Зургаан сарын хөгжлийн дараа суллах , SSH 2.0 болон SFTP протоколоор ажиллах нээлттэй үйлчлүүлэгч болон серверийн хэрэгжилт.
Шинэ хувилбарт онцгой анхаарал хандуулж байгаа зүйл бол ssh, sshd, ssh-add болон ssh-keygen-д нөлөөлж буй эмзэг байдлыг арилгах явдал юм. Асуудал нь XMSS төрлийн хувийн түлхүүрүүдийг задлан шинжлэх кодонд байгаа бөгөөд халдагч бүхэл тооны халилтыг өдөөх боломжийг олгодог. XMSS түлхүүрүүдийн дэмжлэг нь анхдагчаар идэвхгүй болсон туршилтын шинж чанартай тул эмзэг байдлыг ашиглах боломжтой гэж тэмдэглэсэн боловч бага зэрэг ашигладаг (зөөврийн хувилбарт XMSS-г идэвхжүүлэх autoconf-д бүтээх сонголт ч байдаггүй).
Үндсэн өөрчлөлтүүд:
- Ssh, sshd болон ssh-agent дээр гэх мэт хажуугийн сувгийн халдлагын үр дүнд RAM-д байрлах хувийн түлхүүрийг сэргээхээс сэргийлдэг код. , и . Хувийн түлхүүрүүд одоо санах ойд ачаалагдах үед шифрлэгдсэн бөгөөд зөвхөн ашиглаж байх үед шифрлэгдэж, үлдсэн хугацаанд шифрлэгдсэн хэвээр үлдэнэ. Энэхүү аргын тусламжтайгаар хувийн түлхүүрээ амжилттай сэргээхийн тулд халдагчид эхлээд үндсэн түлхүүрийг шифрлэхэд ашигладаг 16 КБ хэмжээтэй санамсаргүй байдлаар үүсгэгдсэн завсрын түлхүүрийг сэргээх ёстой бөгөөд энэ нь орчин үеийн халдлагын ердийн сэргээх алдааны түвшинг харгалзан үзэх боломжгүй юм;
- В Тоон гарын үсэг үүсгэх, баталгаажуулах хялбаршуулсан схемд туршилтын дэмжлэг нэмсэн. Диск эсвэл ssh-агент дээр хадгалагдсан ердийн SSH түлхүүрүүдийг ашиглан дижитал гарын үсгийг үүсгэж болох ба authorized_keys-тэй төстэй зүйлийг ашиглан баталгаажуулах боломжтой. . Нэрийн орон зайн мэдээллийг өөр өөр газар (жишээ нь, имэйл болон файл) ашиглах үед төөрөгдлөөс зайлсхийхийн тулд тоон гарын үсэгт суулгасан болно;
- ssh-keygen нь RSA түлхүүр дээр суурилсан тоон гарын үсэг бүхий гэрчилгээг баталгаажуулахдаа (CA горимд ажиллах үед) rsa-sha2-512 алгоритмыг ашиглахаар анхдагчаар солигдсон. Ийм гэрчилгээ нь OpenSSH 7.2-оос өмнөх хувилбаруудтай таарахгүй (тохиромжтой байдлыг хангахын тулд алгоритмын төрлийг дарж, жишээ нь "ssh-keygen -t ssh-rsa -s ..." гэж дуудах шаардлагатай);
- ssh-д ProxyCommand илэрхийлэл нь одоо "%n" орлуулалтыг өргөтгөхийг дэмждэг (хаягийн мөрөнд заасан хостын нэр);
- ssh болон sshd-д зориулсан шифрлэлтийн алгоритмуудын жагсаалтад та одоо "^" тэмдэгтийг ашиглан анхдагч алгоритмуудыг оруулах боломжтой. Жишээлбэл, ssh-ed25519-г үндсэн жагсаалтад нэмэхийн тулд та "HostKeyAlgorithms ^ssh-ed25519"-г зааж өгч болно;
- ssh-keygen нь хувийн түлхүүрээс нийтийн түлхүүрийг задлахад түлхүүрт хавсаргасан тайлбарын гаралтыг өгдөг;
- Түлхүүр хайх үйлдлүүдийг (жишээ нь, "ssh-keygen -vF хост") гүйцэтгэх үед ssh-keygen-д "-v" тугийг ашиглах боломжийг нэмсэн бөгөөд үүний үр дүнд визуал хост гарын үсгийг зааж өгсөн;
- Ашиглах чадварыг нэмсэн хувийн түлхүүрүүдийг дискэн дээр хадгалах өөр формат болгон. PEM форматыг анхдагч байдлаар ашигласаар байгаа бөгөөд PKCS8 нь гуравдагч талын програмуудтай нийцтэй ажиллахад хэрэгтэй байж болох юм.
Эх сурвалж: opennet.ru