ProHoster > Блог > интернет мэдээ > OpenSSH 8.0 хувилбар

OpenSSH 8.0 хувилбар

Таван сарын хөгжлийн дараа танилцуулсан суллах OpenSSH 8.0, SSH 2.0 болон SFTP протоколоор ажиллах нээлттэй үйлчлүүлэгч болон серверийн хэрэгжилт.

Үндсэн өөрчлөлтүүд:

  • ssh болон sshd-д квант компьютер дээрх харгис хүчний халдлагад тэсвэртэй түлхүүр солилцооны аргын туршилтын дэмжлэг нэмэгдэв. Квантын компьютерууд натурал тоог анхны хүчин зүйл болгон задлах асуудлыг шийдвэрлэхэд илүү хурдан байдаг бөгөөд энэ нь орчин үеийн тэгш хэмт бус шифрлэлтийн алгоритмуудын үндэс суурь болдог бөгөөд сонгодог процессорууд дээр үр дүнтэй шийдвэрлэх боломжгүй юм. Санал болгож буй арга нь алгоритм дээр суурилдаг NTRU Prime (функц ntrup4591761), квантын дараах криптосистемд зориулж боловсруулсан, эллипс муруй түлхүүр солилцох арга X25519;
  • Sshd-д ListenAddress болон PermitOpen удирдамжууд нь IPv2001-тай ажиллахад хялбар болгох үүднээс 6 онд "host:port"-ын өөр хувилбар болгон хэрэгжсэн "хост/порт"-ын синтаксийг дэмжихээ больсон. Орчин үеийн нөхцөлд IPv6-д зориулж “[::1]:22” синтаксийг тогтоосон бөгөөд “хост/порт”-ыг дэд сүлжээг (CIDR) заадаг гэж андуурдаг;
  • ssh, ssh-agent болон ssh-add одоо түлхүүрүүдийг дэмждэг ECDSA PKCS#11 жетон дээр;
  • ssh-keygen-д NIST-ийн шинэ зөвлөмжийн дагуу анхдагч RSA түлхүүрийн хэмжээг 3072 бит хүртэл нэмэгдүүлсэн;
  • ssh нь ssh_config-д заасан PKCS11Provider удирдамжийг хүчингүй болгохын тулд "PKCS11Provider=none" тохиргоог ашиглахыг зөвшөөрдөг;
  • sshd нь sshd_config доторх “ForceCommand=internal-sftp” хязгаарлалтаар хаагдсан командуудыг гүйцэтгэхийг оролдох үед холболт тасарсан нөхцөл байдлын бүртгэлийн дэлгэцийг өгдөг;
  • Ssh-д шинэ хост түлхүүрийг хүлээн авах хүсэлтийг харуулах үед "тийм" гэсэн хариултын оронд түлхүүрийн зөв хурууны хээг хүлээн авах болно (холболтыг баталгаажуулах урилгын хариуд хэрэглэгч Гараар харьцуулахгүйн тулд санах ойгоор дамжуулан тусад нь авсан лавлагааны хэш);
  • ssh-keygen нь тушаалын мөрөнд олон гэрчилгээнд дижитал гарын үсэг үүсгэх үед гэрчилгээний дарааллын дугаарыг автоматаар нэмэгдүүлэх боломжийг олгодог;
  • ProxyJump тохиргоотой дүйцэхүйц "-J" шинэ сонголт scp болон sftp-д нэмэгдсэн;
  • ssh-agent, ssh-pkcs11-helper болон ssh-add-д гаралтын мэдээллийн агуулгыг нэмэгдүүлэхийн тулд "-v" командын мөрийн сонголтыг нэмсэн (заасан үед энэ сонголтыг хүүхэд процессуудад дамжуулдаг. жишээ нь, ssh-pkcs11-туслагчийг ssh-agent-аас дуудах үед);
  • Тоон гарын үсэг үүсгэх, баталгаажуулах үйлдлийг гүйцэтгэхэд ssh-agent дахь түлхүүрүүд тохирох эсэхийг шалгахын тулд "-T" сонголтыг ssh-add дээр нэмсэн;
  • sftp-сервер нь "lsetstat at openssh.com" протоколын өргөтгөлийн дэмжлэгийг хэрэгжүүлдэг бөгөөд энэ нь SFTP-д зориулсан SSH2_FXP_SETSTAT үйлдлийн дэмжлэгийг нэмдэг боловч симбол холбоосыг дагахгүйгээр;
  • Симбол холбоос ашигладаггүй хүсэлт бүхий chown/chgrp/chmod командуудыг ажиллуулахын тулд sftp-д "-h" сонголтыг нэмсэн;
  • sshd нь PAM-д зориулсан $SSH_CONNECTION орчны хувьсагчийн тохиргоог өгдөг;
  • sshd-ийн хувьд ssh_config-д "Match final" тохирох горим нэмэгдсэн бөгөөд энэ нь "Match canonical"-тай төстэй боловч хостын нэрийг хэвийн болгохыг идэвхжүүлэх шаардлагагүй;
  • Багц горимд гүйцэтгэсэн командуудын гаралтын орчуулгыг идэвхгүй болгохын тулд sftp-д '@' угтварыг дэмжих дэмжлэг нэмэгдсэн;
  • Та тушаалыг ашиглан гэрчилгээний агуулгыг харуулах үед
    "ssh-keygen -Lf /path/certificate" нь гэрчилгээг баталгаажуулахад CA-ийн ашигладаг алгоритмыг харуулж байна;

  • Cygwin орчинд зориулсан сайжруулсан дэмжлэг, тухайлбал, бүлэг болон хэрэглэгчийн нэрсийг жижиг үсгээр харгалзахгүйгээр харьцуулах боломжтой. Microsoft-аас нийлүүлсэн OpenSSH портод саад учруулахгүйн тулд Cygwin порт дахь sshd процессыг cygsshd болгон өөрчилсөн;
  • Туршилтын OpenSSL 3.x салбарыг ашиглан бүтээх чадварыг нэмсэн;
  • Арилгасан эмзэг байдал (CVE-2019-6111) нь халдагчийн удирддаг серверт хандах үед зорилтот директор дахь дурын файлуудыг клиент талд дарж бичих боломжийг олгодог scp хэрэгслийг хэрэгжүүлэхэд зориулагдсан. Асуудал нь scp-г ашиглах үед сервер нь үйлчлүүлэгч рүү аль файл, лавлахыг илгээхийг шийддэг бөгөөд үйлчлүүлэгч зөвхөн буцаасан объектын нэрсийн зөв эсэхийг шалгадагт оршино. Үйлчлүүлэгчийн талын шалгалт нь зөвхөн одоогийн лавлахаас цааш аялахыг хориглох замаар хязгаарлагддаг (“../”), гэхдээ анх хүссэнээс өөр нэртэй файлуудыг шилжүүлэхийг тооцдоггүй. Рекурсив хуулбарлах (-r) тохиолдолд файлын нэрээс гадна дэд сангуудын нэрийг мөн үүнтэй төстэй байдлаар өөрчилж болно. Жишээлбэл, хэрэв хэрэглэгч файлуудыг гэрийн директор руу хуулж авбал халдагчийн удирддаг сервер нь хүссэн файлуудын оронд .bash_aliases эсвэл .ssh/authorized_keys нэртэй файлуудыг үүсгэж болох бөгөөд тэдгээрийг scp хэрэглүүр хэрэглэгчийн санд хадгалах болно. гэрийн лавлах.

    Шинэ хувилбарт scp хэрэгслийг шинэчлэгдсэн бөгөөд хүссэн файлын нэр болон серверээс илгээсэн файлуудын хоорондын захидал харилцааг шалгах бөгөөд энэ нь клиент талд хийгддэг. Энэ нь маск боловсруулахад асуудал үүсгэж болзошгүй, учир нь маск өргөтгөх тэмдэгтүүдийг сервер болон үйлчлүүлэгчийн тал дээр өөр өөрөөр боловсруулж болно. Хэрэв ийм ялгаа нь үйлчлүүлэгч scp доторх файлуудыг хүлээн авахаа болиход хүргэсэн тохиолдолд "-T" сонголтыг нэмсэн бөгөөд үйлчлүүлэгч талын шалгалтыг идэвхгүй болгосон. Асуудлыг бүрэн засахын тулд scp протоколын үзэл баримтлалыг дахин боловсруулах шаардлагатай бөгөөд энэ нь өөрөө хуучирсан тул оронд нь sftp, rsync гэх мэт илүү орчин үеийн протоколуудыг ашиглахыг зөвлөж байна.

Эх сурвалж: opennet.ru

сэтгэгдэл нэмэх