ProHoster > Блог > интернет мэдээ > OpenSSH 8.4 хувилбар

OpenSSH 8.4 хувилбар

Дөрвөн сарын хөгжлийн дараа танилцуулсан OpenSSH 8.4 хувилбар, SSH 2.0 болон SFTP протоколуудыг ашиглан ажиллахад зориулагдсан нээлттэй клиент ба серверийн хэрэгжилт.

Үндсэн өөрчлөлтүүд:

  • Аюулгүй байдлын өөрчлөлтүүд:
    • Ssh-агент дээр SSH баталгаажуулалтад зориулагдаагүй FIDO түлхүүрүүдийг ашиглах үед (түлхүүр ID нь "ssh:" гэсэн мөрөөр эхэлдэггүй) одоо SSH протоколд ашигласан аргуудыг ашиглан мессежийг гарын үсэг зурах эсэхийг шалгадаг. Энэхүү өөрчлөлт нь ssh-agent-ыг вэб баталгаажуулалтын хүсэлтэд гарын үсэг үүсгэхийн тулд эдгээр түлхүүрүүдийг ашиглах боломжийг хаахын тулд FIDO түлхүүртэй алсын хостууд руу дахин чиглүүлэхийг зөвшөөрөхгүй (хөтөч SSH хүсэлтэд гарын үсэг зурж болох урвуу тохиолдлыг анх хасна. Түлхүүр танигч дахь "ssh:" угтварыг ашигласантай холбоотой).
    • ssh-keygen-ийн оршин суугч түлхүүр үүсгэх нь FIDO 2.1 тодорхойлолтод тодорхойлсон credProtect нэмэлтийн дэмжлэгийг агуулдаг бөгөөд энэ нь жетоноос оршин суугч түлхүүрийг задлахад хүргэж болзошгүй аливаа үйлдлийг гүйцэтгэхийн өмнө PIN код шаардах замаар түлхүүрүүдийг нэмэлт хамгаалалтаар хангадаг.
  • Тохиромжтой байдлын өөрчлөлтийг эвдэж болзошгүй:
    • FIDO/U2F-ийг дэмжихийн тулд libfido2 номын санг хамгийн багадаа 1.5.0 хувилбарыг ашиглахыг зөвлөж байна. Хуучин хувилбаруудыг ашиглах боломж хэсэгчлэн хэрэгжсэн боловч энэ тохиолдолд оршин суугч түлхүүр, PIN хүсэлт, олон жетон холбох зэрэг функцууд ажиллахгүй болно.
    • Ssh-keygen-д дижитал гарын үсгийг баталгаажуулахад шаардлагатай гэрчлэгчийн өгөгдлийг баталгаажуулалтын мэдээллийн форматад нэмсэн бөгөөд FIDO түлхүүр үүсгэх үед заавал хадгалдаг.
    • OpenSSH нь FIDO жетонд хандах давхаргатай харилцах үед хэрэглэгддэг API өөрчлөгдсөн.
    • OpenSSH-ийн зөөврийн хувилбарыг бүтээхдээ одоо automake нь тохиргооны скрипт болон дагалдах файлуудыг үүсгэх шаардлагатай болсон (хэрэв нийтлэгдсэн кодын tar файлаас бүтээх бол тохиргоог дахин сэргээх шаардлагагүй).
  • ssh болон ssh-keygen дээр PIN баталгаажуулах шаардлагатай FIDO түлхүүрүүдийн дэмжлэгийг нэмсэн. ПИН код бүхий түлхүүрүүдийг үүсгэхийн тулд ssh-keygen-д "шалгах шаардлагатай" сонголтыг нэмсэн. Хэрэв ийм түлхүүрүүдийг ашиглаж байгаа бол гарын үсэг үүсгэх үйлдлийг гүйцэтгэхийн өмнө хэрэглэгчээс PIN код оруулан үйлдлээ баталгаажуулахыг хүсэх болно.
  • Sshd-д "шалгах-шаардлагатай" сонголтыг эрх бүхий_түлхүүрүүдийн тохиргоонд хэрэгжүүлсэн бөгөөд энэ нь жетонтой ажиллах явцад хэрэглэгч байгаа эсэхийг шалгах чадварыг ашиглахыг шаарддаг. FIDO стандарт нь ийм баталгаажуулалтын хэд хэдэн сонголтыг өгдөг боловч одоогоор OpenSSH зөвхөн PIN код дээр суурилсан баталгаажуулалтыг дэмждэг.
  • sshd болон ssh-keygen нь FIDO Webauthn стандартад нийцсэн тоон гарын үсгийг баталгаажуулах дэмжлэгийг нэмсэн бөгөөд энэ нь FIDO түлхүүрүүдийг вэб хөтөч дээр ашиглах боломжийг олгодог.
  • CertificateFile тохиргоонд ssh дээр,
    ControlPath, IdentityAgent, IdentityFile, LocalForward болон
    RemoteForward нь "${ENV}" форматад заасан орчны хувьсагчдаас утгыг орлуулах боломжийг олгодог.

  • ssh болон ssh-agent нь $SSH_ASKPASS_REQUIRE орчны хувьсагчийн дэмжлэгийг нэмсэн бөгөөд үүнийг ssh-askpass дуудлагыг идэвхжүүлэх эсвэл идэвхгүй болгоход ашиглаж болно.
  • AddKeysToAgent зааврын ssh_config-д ssh-д түлхүүрийн хүчинтэй байх хугацааг хязгаарлах боломжийг нэмсэн. Заасан хязгаар дууссаны дараа түлхүүрүүд нь ssh-agent-аас автоматаар устгагдана.
  • scp болон sftp дээр "-A" тугийг ашиглан та ssh-agent ашиглан scp болон sftp руу дахин чиглүүлэхийг тодорхой зөвшөөрч болно (дахин чиглүүлэлт нь анхдагчаар идэвхгүй болсон).
  • Хост түлхүүрийн нэрийг зааж өгдөг ssh тохиргоонд '%k' орлуулах дэмжлэг нэмсэн. Энэ функцийг түлхүүрүүдийг тусад нь файл болгон хуваарилахад ашиглаж болно (жишээлбэл, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • Устгах гэж буй түлхүүрүүдийг stdin-ээс уншихын тулд "ssh-add -d -" үйлдлийг ашиглахыг зөвшөөрнө үү.
  • Sshd дээр холболтын тайрах үйл явцын эхлэл ба төгсгөлийг MaxStartups параметрийг ашиглан зохицуулдаг бүртгэлд тусгасан болно.

Мөн OpenSSH хөгжүүлэгчид SHA-1 хэш ашиглан алгоритмуудыг удахгүй татан буулгах гэж байгааг дурссан. сурталчилгаа өгөгдсөн угтвар бүхий мөргөлдөөний халдлагын үр нөлөө (мөргөлдөөнийг сонгох зардал нь ойролцоогоор 45 мянган доллараар үнэлэгддэг). Удахгүй гарах хувилбаруудын нэгэнд тэд SSH протоколын анхны RFC-д дурдсан, практикт өргөн тархсан хэвээр байгаа "ssh-rsa" дижитал гарын үсгийн олон нийтийн түлхүүрийг ашиглах боломжийг анхдагчаар идэвхгүй болгохоор төлөвлөж байна (хэрэглээг шалгахын тулд). ssh-rsa-г өөрийн системд байгаа бол та "-oHostKeyAlgorithms=-ssh-rsa" гэсэн сонголтоор ssh-ээр холбогдож үзээрэй).

OpenSSH дахь шинэ алгоритмууд руу шилжих шилжилтийг жигдрүүлэхийн тулд дараагийн хувилбар нь UpdateHostKeys тохиргоог анхдагчаар идэвхжүүлж, үйлчлүүлэгчдийг илүү найдвартай алгоритмууд руу автоматаар шилжүүлэх болно. Шилжүүлэхэд санал болгож буй алгоритмууд нь RFC2 RSA SHA-256 (OpenSSH 512-с хойш дэмжигдсэн бөгөөд анхдагчаар ашиглагддаг), ssh-ed8332 (OpenSSH 2-аас хойш дэмжигдсэн) болон ecdsa-sha7.2-nistp25519/6.5 дээр суурилсан rsa-sha2-256/384 орно. RFC521 ECDSA дээр (OpenSSH 5656-с хойш дэмжигддэг).

Эх сурвалж: opennet.ru

сэтгэгдэл нэмэх