OpenSSH 8.4 चे प्रकाशन

चार महिन्यांच्या विकासानंतर सादर OpenSSH 8.4 चे प्रकाशन, एक ओपन क्लायंट आणि SSH 2.0 आणि SFTP प्रोटोकॉल वापरून कार्य करण्यासाठी सर्व्हर अंमलबजावणी.

मुख्य बदल:

• सुरक्षा बदल:
  • ssh-एजंटमध्ये, SSH प्रमाणीकरणासाठी तयार न केलेल्या FIDO की वापरताना (की आयडी "ssh:" या स्ट्रिंगने सुरू होत नाही), ते आता SSH प्रोटोकॉलमध्ये वापरलेल्या पद्धती वापरून संदेश साइन केले जाईल हे तपासते. बदलामुळे ssh-एजंटला रिमोट होस्ट्सकडे पुनर्निर्देशित करण्याची अनुमती मिळणार नाही ज्यांच्याकडे FIDO की वेब ऑथेंटिकेशन विनंत्यांसाठी स्वाक्षर्या निर्माण करण्यासाठी या की वापरण्याची क्षमता अवरोधित करण्यासाठी (उलट केस, जेव्हा ब्राउझर SSH विनंतीवर स्वाक्षरी करू शकतो, सुरुवातीला वगळले जाते. की आयडेंटिफायरमध्ये “ssh:” उपसर्ग वापरल्यामुळे).
  • ssh-keygen च्या रेसिडेंट की जनरेशनमध्ये FIDO 2.1 स्पेसिफिकेशनमध्ये वर्णन केलेल्या credProtect अॅड-ऑनसाठी समर्थन समाविष्ट आहे, जे टोकनमधून निवासी की काढण्यासाठी कोणतेही ऑपरेशन करण्यापूर्वी पिन आवश्यक करून कीसाठी अतिरिक्त संरक्षण प्रदान करते.
• संभाव्य सुसंगतता बदलणे:
  • FIDO/U2F ला समर्थन देण्यासाठी, libfido2 लायब्ररी किमान आवृत्ती 1.5.0 वापरण्याची शिफारस केली जाते. जुन्या आवृत्त्या वापरण्याची क्षमता अंशतः अंमलात आणली गेली आहे, परंतु या प्रकरणात, निवासी की, पिन विनंती आणि एकाधिक टोकन कनेक्ट करणे यासारखी कार्ये उपलब्ध होणार नाहीत.
  • ssh-keygen मध्ये, पुष्टीकरण डिजिटल स्वाक्षरी सत्यापित करण्यासाठी आवश्यक प्रमाणक डेटा पुष्टीकरण माहितीच्या स्वरूपात जोडला गेला आहे, FIDO की व्युत्पन्न करताना वैकल्पिकरित्या जतन केला जातो.
  • FIDO टोकन ऍक्सेस करण्यासाठी OpenSSH लेयरशी संवाद साधते तेव्हा वापरलेले API बदलले आहे.
  • OpenSSH ची पोर्टेबल आवृत्ती तयार करताना, automake ला आता कॉन्फिगर स्क्रिप्ट आणि सोबतच्या बिल्ड फाइल्स तयार करणे आवश्यक आहे (प्रकाशित कोड टार फाइलमधून तयार केल्यास, कॉन्फिगर पुन्हा निर्माण करणे आवश्यक नाही).
• FIDO की साठी समर्थन जोडले ज्यांना ssh आणि ssh-keygen मध्ये PIN सत्यापन आवश्यक आहे. PIN सह की व्युत्पन्न करण्यासाठी, ssh-keygen मध्ये “verify-required” पर्याय जोडला गेला आहे. अशा की वापरल्या गेल्या असल्यास, स्वाक्षरी निर्मिती ऑपरेशन करण्यापूर्वी, वापरकर्त्याला पिन कोड प्रविष्ट करून त्यांच्या क्रियांची पुष्टी करण्यासाठी सूचित केले जाते.
• sshd मध्ये, अधिकृत_की सेटिंगमध्ये "पडताळणी-आवश्यक" पर्याय लागू केला जातो, ज्यासाठी टोकनसह ऑपरेशन्स दरम्यान वापरकर्त्याची उपस्थिती सत्यापित करण्यासाठी क्षमतांचा वापर करणे आवश्यक आहे. FIDO मानक अशा सत्यापनासाठी अनेक पर्याय प्रदान करते, परंतु सध्या OpenSSH केवळ पिन-आधारित सत्यापनास समर्थन देते.
• sshd आणि ssh-keygen ने डिजिटल स्वाक्षरी सत्यापित करण्यासाठी समर्थन जोडले आहे जे FIDO Webauthn मानकांचे पालन करतात, जे वेब ब्राउझरमध्ये FIDO की वापरण्याची परवानगी देते.
• प्रमाणपत्र फाइल सेटिंग्जमध्ये ssh मध्ये,
  ControlPath, IdentityAgent, IdentityFile, LocalForward आणि
  RemoteForward "${ENV}" फॉरमॅटमध्ये निर्दिष्ट केलेल्या पर्यावरणीय चलांमधून मूल्ये बदलण्याची परवानगी देते.

• ssh आणि ssh-एजंटने $SSH_ASKPASS_REQUIRE पर्यावरण व्हेरिएबलसाठी समर्थन जोडले आहे, ज्याचा वापर ssh-askpass कॉल सक्षम किंवा अक्षम करण्यासाठी केला जाऊ शकतो.
• AddKeysToAgent निर्देशामध्ये ssh_config मधील ssh मध्ये, कीचा वैधता कालावधी मर्यादित करण्याची क्षमता जोडली गेली आहे. निर्दिष्ट मर्यादा कालबाह्य झाल्यानंतर, की आपोआप ssh-agent वरून हटवल्या जातात.
• scp आणि sftp मध्ये, "-A" ध्वज वापरून, तुम्ही आता स्पष्टपणे ssh-एजंट वापरून scp आणि sftp ला पुनर्निर्देशनास अनुमती देऊ शकता (पुनर्निर्देशन डीफॉल्टनुसार अक्षम केलेले आहे).
• ssh सेटिंग्जमध्ये '%k' प्रतिस्थापनासाठी समर्थन जोडले, जे होस्ट की नाव निर्दिष्ट करते. हे वैशिष्ट्य वेगळ्या फाइल्समध्ये की वितरित करण्यासाठी वापरले जाऊ शकते (उदाहरणार्थ, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
• हटवल्या जाणार्‍या stdin मधील की वाचण्यासाठी "ssh-add -d -" ऑपरेशनचा वापर करण्यास अनुमती द्या.
• sshd मध्ये, कनेक्शन छाटणी प्रक्रियेचा प्रारंभ आणि शेवट लॉगमध्ये परावर्तित केला जातो, जो MaxStartups पॅरामीटर वापरून नियंत्रित केला जातो.

OpenSSH डेव्हलपर्सनी SHA-1 हॅश वापरून अल्गोरिदमच्या आगामी डिकमीशनिंगची आठवण करून दिली. जाहिरात दिलेल्या उपसर्गासह टक्कर हल्ल्याची प्रभावीता (टक्कर निवडण्याची किंमत अंदाजे 45 हजार डॉलर्स आहे). आगामी प्रकाशनांपैकी एकामध्ये, ते सार्वजनिक की डिजिटल स्वाक्षरी अल्गोरिदम "ssh-rsa" वापरण्याची क्षमता डीफॉल्टनुसार अक्षम करण्याची योजना आखत आहेत, ज्याचा SSH प्रोटोकॉलसाठी मूळ RFC मध्ये उल्लेख केला आहे आणि व्यवहारात व्यापक आहे (वापराची चाचणी घेण्यासाठी तुमच्या सिस्टममधील ssh-rsa चे, तुम्ही “-oHostKeyAlgorithms=-ssh-rsa”) पर्यायासह ssh द्वारे कनेक्ट करण्याचा प्रयत्न करू शकता.

OpenSSH मधील नवीन अल्गोरिदममध्ये संक्रमण सुलभ करण्यासाठी, पुढील रिलीझ UpdateHostKeys सेटिंग बाय डीफॉल्ट सक्षम करेल, जे क्लायंटला अधिक विश्वासार्ह अल्गोरिदममध्ये आपोआप स्थलांतरित करेल. स्थलांतरासाठी शिफारस केलेल्या अल्गोरिदममध्ये RFC2 RSA SHA-256 वर आधारित rsa-sha512-8332/2 (OpenSSH 7.2 पासून समर्थित आणि डीफॉल्टनुसार वापरलेले), ssh-ed25519 (OpenSSH 6.5 पासून समर्थित) आणि ecdsa-sha2-nistp256/384/आधारित RFC521 ECDSA वर (OpenSSH 5656 पासून समर्थित).

स्त्रोत: opennet.ru