🥇OpenSSH 8.0 रिलीज | प्रोहोस्टर

पाच महिन्यांच्या विकासानंतर सादर रीलिझ ओपनएसएच एक्सएनयूएमएक्स, SSH 2.0 आणि SFTP प्रोटोकॉलद्वारे कार्य करण्यासाठी एक ओपन क्लायंट आणि सर्व्हर अंमलबजावणी.

मुख्य बदल:

क्वांटम संगणकावरील ब्रूट-फोर्स हल्ल्यांना प्रतिरोधक असलेल्या की एक्सचेंज पद्धतीसाठी प्रायोगिक समर्थन ssh आणि sshd मध्ये जोडले गेले आहे. प्राइम फॅक्टरमध्ये नैसर्गिक संख्येचे विघटन करण्याच्या समस्येचे निराकरण करण्यासाठी क्वांटम संगणक मूलत: जलद आहेत, जे आधुनिक असममित एन्क्रिप्शन अल्गोरिदम अधोरेखित करते आणि शास्त्रीय प्रोसेसरवर प्रभावीपणे सोडवता येत नाही. प्रस्तावित पद्धत अल्गोरिदमवर आधारित आहे NTRU प्राइम (फंक्शन ntrup4591761), पोस्ट-क्वांटम क्रिप्टोसिस्टमसाठी विकसित केले आहे, आणि लंबवर्तुळ वक्र की एक्सचेंज पद्धत X25519;
sshd मध्ये, ListenAddress आणि PermitOpen निर्देश यापुढे वारसा "होस्ट/पोर्ट" सिंटॅक्सला समर्थन देत नाहीत, जो 2001 मध्ये IPv6 सह काम करणे सोपे करण्यासाठी "होस्ट:पोर्ट" ला पर्याय म्हणून लागू करण्यात आला होता. आधुनिक परिस्थितीत, सिंटॅक्स “[::6]:1” हे IPv22 साठी स्थापित केले गेले आहे, आणि “होस्ट/पोर्ट” हे सहसा सबनेट (CIDR) दर्शविण्यामध्ये गोंधळलेले असते;
ssh, ssh-एजंट आणि ssh-add आता समर्थन की ईसीडीएसए PKCS#11 टोकनमध्ये;
ssh-keygen मध्ये, नवीन NIST शिफारशींनुसार, डीफॉल्ट RSA की आकार 3072 बिट्सपर्यंत वाढवला गेला आहे;
ssh ssh_config मध्ये निर्दिष्ट केलेले PKCS11Provider निर्देश ओव्हरराइड करण्यासाठी "PKCS11Provider=none" सेटिंग वापरण्याची परवानगी देते;
sshd_config मधील “ForceCommand=internal-sftp” निर्बंधाद्वारे अवरोधित केलेल्या आदेशांची अंमलबजावणी करण्याचा प्रयत्न करताना कनेक्शन बंद केल्यावर sshd परिस्थितीचे लॉग डिस्प्ले प्रदान करते;
ssh मध्ये, नवीन होस्ट की स्वीकारण्याची पुष्टी करण्यासाठी विनंती प्रदर्शित करताना, “होय” प्रतिसादाऐवजी, कीचा योग्य फिंगरप्रिंट आता स्वीकारला जातो (कनेक्शनची पुष्टी करण्यासाठी आमंत्रणाच्या प्रतिसादात, वापरकर्ता कॉपी करू शकतो. क्लिपबोर्डद्वारे स्वतंत्रपणे संदर्भ हॅश प्राप्त झाला, जेणेकरून व्यक्तिचलितपणे त्याची तुलना करू नये);
कमांड लाइनवर एकाधिक प्रमाणपत्रांसाठी डिजिटल स्वाक्षरी तयार करताना ssh-keygen प्रमाणपत्र अनुक्रम क्रमांकाची स्वयंचलित वाढ प्रदान करते;
एक नवीन पर्याय "-J" scp आणि sftp मध्ये जोडला गेला आहे, जो ProxyJump सेटिंगच्या समतुल्य आहे;
ssh-एजंट, ssh-pkcs11-हेल्पर आणि ssh-add मध्ये, आउटपुटमधील माहिती सामग्री वाढवण्यासाठी “-v” कमांड लाइन पर्यायाची प्रक्रिया जोडली गेली आहे (जेव्हा निर्दिष्ट केला जातो, तेव्हा हा पर्याय चाइल्ड प्रोसेसमध्ये पाठविला जातो. उदाहरणार्थ, जेव्हा ssh-pkcs11-हेल्परला ssh-एजंटकडून कॉल केला जातो;
डिजिटल स्वाक्षरी निर्मिती आणि पडताळणी ऑपरेशन्स करण्यासाठी ssh-एजंटमधील कीच्या योग्यतेची चाचणी घेण्यासाठी ssh-add मध्ये “-T” पर्याय जोडला गेला आहे;
sftp-server "lsetstat at openssh.com" प्रोटोकॉल विस्तारासाठी समर्थन लागू करते, जे SFTP साठी SSH2_FXP_SETSTAT ऑपरेशनसाठी समर्थन जोडते, परंतु प्रतीकात्मक दुव्याचे अनुसरण न करता;
प्रतिकात्मक दुवे वापरत नसलेल्या विनंत्यांसह chown/chgrp/chmod आदेश चालविण्यासाठी sftp मध्ये "-h" पर्याय जोडला;
sshd PAM साठी $SSH_CONNECTION पर्यावरण व्हेरिएबलची सेटिंग पुरवते;
sshd साठी, ssh_config मध्ये “मॅच फायनल” मॅचिंग मोड जोडला गेला आहे, जो “मॅच कॅनॉनिकल” सारखा आहे, परंतु होस्टनाव सामान्यीकरण सक्षम करण्याची आवश्यकता नाही;
बॅच मोडमध्ये कार्यान्वित केलेल्या कमांडच्या आउटपुटचे भाषांतर अक्षम करण्यासाठी sftp ला '@' उपसर्गासाठी समर्थन जोडले;
जेव्हा तुम्ही कमांड वापरून प्रमाणपत्राची सामग्री प्रदर्शित करता
"ssh-keygen -Lf /path/certificate" आता प्रमाणपत्र प्रमाणित करण्यासाठी CA द्वारे वापरलेले अल्गोरिदम प्रदर्शित करते;
सायग्विन वातावरणासाठी सुधारित समर्थन, उदाहरणार्थ गट आणि वापरकर्ता नावांची केस-संवेदनशील तुलना प्रदान करणे. मायक्रोसॉफ्टने पुरवलेल्या OpenSSH पोर्टमध्ये हस्तक्षेप टाळण्यासाठी Cygwin पोर्टमधील sshd प्रक्रिया cygsshd मध्ये बदलली आहे;
प्रायोगिक OpenSSL 3.x शाखेसह तयार करण्याची क्षमता जोडली;
दूर केले भेद्यता (CVE-2019-6111) scp युटिलिटीच्या अंमलबजावणीमध्ये, जे आक्रमणकर्त्याद्वारे नियंत्रित सर्व्हरमध्ये प्रवेश करताना लक्ष्य निर्देशिकेतील अनियंत्रित फाइल्स क्लायंटच्या बाजूला अधिलिखित करण्यास अनुमती देते. समस्या अशी आहे की scp वापरताना, सर्व्हर क्लायंटला कोणत्या फाइल्स आणि डिरेक्टरी पाठवायचे हे ठरवतो आणि क्लायंट फक्त परत आलेल्या ऑब्जेक्टच्या नावांची शुद्धता तपासतो. क्लायंट-साइड तपासणी केवळ वर्तमान निर्देशिकेच्या (“../”) पलीकडे प्रवास अवरोधित करण्यापुरती मर्यादित आहे, परंतु मूळ विनंती केलेल्या नावांपेक्षा भिन्न नाव असलेल्या फायलींचे हस्तांतरण विचारात घेत नाही. रिकर्सिव्ह कॉपीिंग (-r) च्या बाबतीत, फाइलच्या नावांव्यतिरिक्त, तुम्ही उपडिरेक्टरींची नावे देखील अशाच प्रकारे हाताळू शकता. उदाहरणार्थ, जर वापरकर्त्याने होम डिरेक्टरीमध्ये फाइल्स कॉपी केल्या, तर आक्रमणकर्त्याद्वारे नियंत्रित सर्व्हर विनंती केलेल्या फाइल्सऐवजी .bash_aliases किंवा .ssh/authorized_keys नावांच्या फाइल्स तयार करू शकतो आणि त्या वापरकर्त्याच्या scp युटिलिटीद्वारे सेव्ह केल्या जातील. होम डिरेक्टरी.
नवीन प्रकाशनामध्ये, विनंती केलेली फाइल नावे आणि सर्व्हरद्वारे पाठवलेले पत्रव्यवहार तपासण्यासाठी scp युटिलिटी अद्यतनित केली गेली आहे, जी क्लायंटच्या बाजूने केली जाते. यामुळे मास्क प्रोसेसिंगमध्ये समस्या उद्भवू शकतात, कारण सर्व्हर आणि क्लायंट बाजूंवर मास्क विस्तार वर्ण वेगळ्या पद्धतीने प्रक्रिया केली जाऊ शकतात. जर अशा फरकांमुळे क्लायंटने scp मध्ये फाइल्स स्वीकारणे थांबवले तर, क्लायंट-साइड चेकिंग अक्षम करण्यासाठी “-T” पर्याय जोडला गेला आहे. समस्या पूर्णपणे दुरुस्त करण्यासाठी, scp प्रोटोकॉलची संकल्पनात्मक पुनर्रचना करणे आवश्यक आहे, जे स्वतः आधीच जुने आहे, म्हणून त्याऐवजी sftp आणि rsync सारखे अधिक आधुनिक प्रोटोकॉल वापरण्याची शिफारस केली जाते.

स्त्रोत: opennet.ru

OpenSSH 8.0 चे प्रकाशन

एक टिप्पणी जोडा Отменить ответ