SSH 8.8 болон SFTP протоколуудыг ашиглан ажиллах үйлчлүүлэгч болон серверийн нээлттэй хувилбар болох OpenSSH 2.0 хувилбарыг нийтэллээ. Энэхүү хувилбар нь SHA-1 хэш (“ssh-rsa”) бүхий RSA товчлуур дээр суурилсан тоон гарын үсгийг ашиглах боломжийг анхдагчаар идэвхгүй болгосноороо онцлог юм.
"Ssh-rsa" гарын үсгийг дэмжихээ больсон нь өгөгдсөн угтвар бүхий мөргөлдөөний халдлагын үр ашиг нэмэгдсэнтэй холбоотой (мөргөлдөөнийг сонгох зардал нь ойролцоогоор 50 мянган доллараар тооцогджээ). Та өөрийн систем дээр ssh-rsa-г ашиглахыг шалгахын тулд “-oHostKeyAlgorithms=-ssh-rsa” сонголтоор ssh-ээр холбогдож үзээрэй. OpenSSH 256-с хойш дэмжигдсэн SHA-512 болон SHA-2 хэш (rsa-sha256-512/7.2) бүхий RSA гарын үсгийн дэмжлэг өөрчлөгдөөгүй хэвээр байна.
Ихэнх тохиолдолд, OpenSSH өмнө нь UpdateHostKeys тохиргоог өгөгдмөлөөр идэвхжүүлж, үйлчлүүлэгчдийг илүү найдвартай алгоритмууд руу автоматаар шилжүүлдэг байсан тул "ssh-rsa"-н дэмжлэгийг зогсооход хэрэглэгчдээс ямар нэгэн гарын авлага хийх шаардлагагүй болно. Шилжилтийн хувьд протоколын өргөтгөл "[имэйлээр хамгаалагдсан]", баталгаажуулалтын дараа серверт боломжтой бүх хост түлхүүрүүдийн талаар үйлчлүүлэгчид мэдэгдэх боломжийг олгоно. Үйлчлүүлэгч тал дээр OpenSSH-ийн маш хуучин хувилбартай хостуудтай холбогдох тохиолдолд ~/.ssh/config: Host old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + дээр нэмж "ssh-rsa" гарын үсгийг ашиглах боломжийг сонгон авч болно. ssh-rsa
Шинэ хувилбар нь AuthorizedKeysCommand болон AuthorizedPrincipalsCommand зааварт заасан командуудыг гүйцэтгэх үед хэрэглэгчийн бүлгийг зөв эхлүүлээгүйгээс OpenSSH 6.2-оос эхлэн sshd-ээс үүссэн аюулгүй байдлын асуудлыг шийддэг. Эдгээр удирдамжууд нь тушаалуудыг өөр хэрэглэгчийн дор ажиллуулахыг зөвшөөрөх ёстой байсан ч үнэндээ sshd-г ажиллуулахад ашигласан бүлгүүдийн жагсаалтыг өвлөн авсан. Системийн тодорхой тохиргоо байгаа тохиолдолд энэ зан үйл нь эхлүүлсэн зохицуулагчийг систем дээр нэмэлт эрх олж авах боломжийг олгосон байж магадгүй юм.
Шинэ хувилбарын тэмдэглэлд мөн хуучин SCP/RCP протоколын оронд scp нь анхдагч SFTP байх болно гэсэн анхааруулгыг агуулдаг. SFTP нь илүү урьдчилан таамаглах боломжтой нэрийг ашиглах аргуудыг ашигладаг бөгөөд нөгөө хостын талд байгаа файлын нэрэнд глоб хэв маягийн бүрхүүл боловсруулалтыг ашигладаггүй бөгөөд энэ нь аюулгүй байдлын асуудал үүсгэдэг. Ялангуяа SCP болон RCP-ийг ашиглах үед сервер нь үйлчлүүлэгч рүү ямар файл, лавлахыг илгээхийг шийддэг бөгөөд үйлчлүүлэгч зөвхөн буцаасан объектын нэрсийн зөв эсэхийг шалгадаг бөгөөд энэ нь үйлчлүүлэгчийн тал дээр зохих шалгалт хийгдээгүй тохиолдолд Хүссэнээс өөр файлын нэрийг шилжүүлэх сервер. SFTP протоколд эдгээр асуудал байхгүй ч “~/” гэх мэт тусгай замыг өргөтгөхийг дэмждэггүй. Энэ ялгааг арилгахын тулд SFTP серверийг хэрэгжүүлэхэд OpenSSH-ийн өмнөх хувилбарт ~/ ба ~ хэрэглэгч/ замыг өргөжүүлэхийн тулд SFTP протоколын шинэ өргөтгөлийг санал болгосон.
Эх сурвалж: opennet.ru