Зургаан сарын турш хөгжүүлсний дараа SSH 8.9 болон SFTP протоколууд дээр ажиллахад зориулагдсан нээлттэй клиент ба серверийн хэрэгжилт болох OpenSSH 2.0 хувилбарыг танилцуулав. sshd-ийн шинэ хувилбар нь баталгаагүй хандалтыг зөвшөөрч болзошгүй эмзэг байдлыг зассан. Асуудал нь баталгаажуулалтын код дахь бүхэл тоо хэтэрсэнээс үүдэлтэй боловч зөвхөн кодын бусад логик алдаатай хослуулан ашиглах боломжтой.
Эрх тусгаарлах горимыг идэвхжүүлсэн үед энэ эмзэг байдлыг ашиглах боломжгүй, учир нь түүний илрэл нь эрх тусгаарлах хяналтын кодоор хийгдсэн тусдаа шалгалтаар хаагдсан байдаг. Эрх тусгаарлах горимыг 2002 оноос хойш OpenSSH 3.2.2-оос хойш анхдагчаар идэвхжүүлсэн бөгөөд 7.5 онд хэвлэгдсэн OpenSSH 2017-ыг гаргаснаас хойш заавал дагаж мөрдөх болсон. Нэмж дурдахад, OpenSSH-ийн 6.5 (2014) хувилбараас эхлэн зөөврийн хувилбаруудад бүхэл тоон хэт халалтаас хамгаалах тугуудыг агуулсан эмхэтгэлээр эмзэг байдлыг хаадаг.
Бусад өөрчлөлтүүд:
- Sshd дахь OpenSSH-ийн зөөврийн хувилбар нь MD5 алгоритмыг ашиглан нууц үгийг хэшлэх эх дэмжлэгийг устгасан (libxcrypt гэх мэт гадаад номын сангуудтай холбогдох боломжийг олгодог).
- ssh, sshd, ssh-add, ssh-agent нь ssh-agent-д нэмсэн түлхүүрүүдийг дамжуулах, ашиглахыг хязгаарлах дэд системийг хэрэгжүүлдэг. Дэд систем нь ssh-agent-д түлхүүрүүдийг хэрхэн, хаана ашиглахыг тодорхойлсон дүрмийг тогтоох боломжийг олгодог. Жишээлбэл, зөвхөн scylla.example.org хост руу холбогдсон аливаа хэрэглэгчийг баталгаажуулахад ашиглагдах түлхүүр нэмэхийн тулд хэрэглэгч cetus.example.org хост руу, medea хэрэглэгч charybdis.example.org хост руу нэвтрэх боломжтой. scylla.example.org завсрын хостоор дамжуулан дахин чиглүүлэх үед та дараах тушаалыг ашиглаж болно: $ ssh-add -h "[имэйлээр хамгаалагдсан]" \ -h "scylla.example.org" \ -h "scylla.example.org>[имэйлээр хамгаалагдсан]\ ~/.ssh/id_ed25519
- Ssh болон sshd-д KexAlgorithms жагсаалтад анхдагчаар эрлийз алгоритм нэмэгдсэн бөгөөд энэ нь түлхүүр солилцох аргуудыг сонгох дарааллыг тодорхойлдог.[имэйлээр хамгаалагдсан]"(ECDH/x25519 + NTRU Prime), квант компьютер дээрх сонголтод тэсвэртэй. OpenSSH 8.9-д энэхүү хэлэлцээрийн аргыг ECDH болон DH аргуудын хооронд нэмсэн боловч дараагийн хувилбарт анхдагч байдлаар идэвхжүүлэхээр төлөвлөж байна.
- ssh-keygen, ssh болон ssh-agent нь төхөөрөмжийг баталгаажуулахад ашигладаг FIDO токен түлхүүрүүд, тэр дундаа биометрийн баталгаажуулалтын түлхүүрүүдийн зохицуулалтыг сайжруулсан.
- Зөвшөөрөгдсөн нэрсийн жагсаалт файл дахь хэрэглэгчийн нэрийг шалгахын тулд "ssh-keygen -Y match-principals" командыг ssh-keygen-д нэмсэн.
- ssh-add болон ssh-agent нь PIN кодоор хамгаалагдсан FIDO түлхүүрүүдийг ssh-agent-д нэмэх боломжийг олгодог (гэрчилгээ хийх үед PIN хүсэлтийг харуулна).
- ssh-keygen нь гарын үсэг үүсгэх үед хэш алгоритмыг (sha512 эсвэл sha256) сонгох боломжийг олгодог.
- Ssh болон sshd-д гүйцэтгэлийг сайжруулахын тулд сүлжээний өгөгдлийг стек дээрх завсрын буферийг алгасаж ирж буй пакетуудын буферт шууд уншдаг. Хүлээн авсан өгөгдлийг сувгийн буферт шууд байрлуулах нь ижил төстэй байдлаар хийгддэг.
- ssh-д PubkeyAuthentication заавар нь ашиглах протоколын өргөтгөлийг сонгох боломжийг олгохын тулд дэмжигдсэн параметрүүдийн жагсаалтыг (тийм|үгүй|холбоотой|хосттой) өргөтгөсөн.
Ирээдүйн хувилбарт бид хуучин SCP/RCP протоколын оронд SFTP ашиглахын тулд scp хэрэгслийн анхдагч тохиргоог өөрчлөхөөр төлөвлөж байна. SFTP нь илүү урьдчилан таамаглах боломжтой нэрийг ашиглах аргуудыг ашигладаг бөгөөд нөгөө хостын талд байгаа файлын нэрэнд глоб хэв маягийн бүрхүүл боловсруулалтыг ашигладаггүй бөгөөд энэ нь аюулгүй байдлын асуудал үүсгэдэг. Ялангуяа SCP болон RCP-ийг ашиглах үед сервер нь үйлчлүүлэгч рүү ямар файл, лавлахыг илгээхийг шийддэг бөгөөд үйлчлүүлэгч зөвхөн буцаасан объектын нэрсийн зөв эсэхийг шалгадаг бөгөөд энэ нь үйлчлүүлэгчийн тал дээр зохих шалгалт хийгдээгүй тохиолдолд Хүссэнээс өөр файлын нэрийг шилжүүлэх сервер. SFTP протоколд эдгээр асуудал байхгүй ч “~/” гэх мэт тусгай замыг өргөтгөхийг дэмждэггүй. Энэ ялгааг арилгахын тулд OpenSSH-ийн өмнөх хувилбар нь SFTP серверийн хэрэгжилтийн ~/ болон ~user/ замуудад шинэ SFTP протоколын өргөтгөлийг нэвтрүүлсэн.
Эх сурвалж: opennet.ru