🥇OpenSSH 8.5 रिलीज | प्रोहोस्टर

पाच महिन्यांच्या विकासानंतर, OpenSSH 8.5 चे प्रकाशन, SSH 2.0 आणि SFTP प्रोटोकॉलवर काम करण्यासाठी क्लायंट आणि सर्व्हरचे खुले अंमलबजावणी, सादर केले जाते.

दिलेल्या उपसर्गासह टक्कर हल्ल्यांच्या वाढीव कार्यक्षमतेमुळे (टक्कर निवडण्याची किंमत अंदाजे $1 हजार आहे). आगामी प्रकाशनांपैकी एकामध्ये, ते "ssh-rsa" सार्वजनिक की डिजिटल स्वाक्षरी अल्गोरिदम वापरण्याची क्षमता डीफॉल्टनुसार अक्षम करण्याची योजना आखत आहेत, ज्याचा SSH प्रोटोकॉलसाठी मूळ RFC मध्ये उल्लेख केला आहे आणि व्यवहारात व्यापक आहे.

तुमच्या सिस्टीमवर ssh-rsa चा वापर तपासण्यासाठी, तुम्ही ssh द्वारे “-oHostKeyAlgorithms=-ssh-rsa” पर्यायाने जोडण्याचा प्रयत्न करू शकता. त्याच वेळी, डीफॉल्टनुसार "ssh-rsa" डिजिटल स्वाक्षरी अक्षम करणे म्हणजे RSA की वापरणे पूर्णपणे सोडून देणे असा होत नाही, कारण SHA-1 व्यतिरिक्त, SSH प्रोटोकॉल इतर हॅश गणना अल्गोरिदम वापरण्याची परवानगी देतो. विशेषतः, “ssh-rsa” व्यतिरिक्त, “rsa-sha2-256” (RSA/SHA256) आणि “rsa-sha2-512” (RSA/SHA512) बंडल वापरणे शक्य राहील.

नवीन अल्गोरिदममध्ये संक्रमण सुलभ करण्यासाठी, OpenSSH 8.5 मध्ये UpdateHostKeys सेटिंग बाय डीफॉल्ट सक्षम केली आहे, जी क्लायंटला अधिक विश्वासार्ह अल्गोरिदमवर स्वयंचलितपणे स्विच करण्याची परवानगी देते. या सेटिंगचा वापर करून, एक विशेष प्रोटोकॉल विस्तार सक्षम केला जातो "[ईमेल संरक्षित]", सर्व्हरला, प्रमाणीकरणानंतर, क्लायंटला सर्व उपलब्ध होस्ट की बद्दल माहिती देण्याची परवानगी देते. क्लायंट या की त्याच्या ~/.ssh/known_hosts फाइलमध्ये परावर्तित करू शकतो, ज्यामुळे होस्ट की अपडेट करता येतात आणि सर्व्हरवरील की बदलणे सोपे होते.

UpdateHostKeys चा वापर भविष्यात काढल्या जाणार्‍या अनेक सावधगिरींद्वारे मर्यादित आहे: की वापरकर्ताKnownHostsFile मध्ये संदर्भित केली पाहिजे आणि GlobalKnownHostsFile मध्ये वापरली जाऊ नये; की फक्त एकाच नावाखाली असणे आवश्यक आहे; होस्ट की प्रमाणपत्र वापरले जाऊ नये; ज्ञात_होस्टमध्ये होस्टच्या नावाने मास्क वापरू नयेत; VerifyHostKeyDNS सेटिंग अक्षम करणे आवश्यक आहे; UserKnownHostsFile पॅरामीटर सक्रिय असणे आवश्यक आहे.

स्थलांतरासाठी शिफारस केलेल्या अल्गोरिदममध्ये RFC2 RSA SHA-256 वर आधारित rsa-sha512-8332/2 (OpenSSH 7.2 पासून समर्थित आणि डीफॉल्टनुसार वापरलेले), ssh-ed25519 (OpenSSH 6.5 पासून समर्थित) आणि ecdsa-sha2-nistp256/384/आधारित RFC521 ECDSA वर (OpenSSH 5656 पासून समर्थित).

इतर बदल:

सुरक्षा बदल:
- ssh-एजंटमध्ये आधीपासून मुक्त केलेले मेमरी क्षेत्र (डबल-फ्री) पुन्हा-मुक्त केल्यामुळे होणारी असुरक्षा निश्चित केली गेली आहे. OpenSSH 8.2 च्या रिलीझपासून ही समस्या उपस्थित आहे आणि आक्रमणकर्त्याला स्थानिक प्रणालीवरील ssh-एजंट सॉकेटमध्ये प्रवेश असल्यास संभाव्यपणे शोषण केले जाऊ शकते. शोषणाला अधिक कठीण बनवणारी गोष्ट म्हणजे फक्त रूट आणि मूळ वापरकर्त्याला सॉकेटमध्ये प्रवेश असतो. संभाव्य हल्ल्याची परिस्थिती अशी आहे की एजंटला आक्रमणकर्त्याद्वारे नियंत्रित केलेल्या खात्यावर किंवा आक्रमणकर्त्याला रूट ऍक्सेस असलेल्या होस्टकडे पुनर्निर्देशित केले जाते.
- sshd ने PAM उपप्रणालीमध्ये वापरकर्तानावासह खूप मोठे पॅरामीटर्स पास करण्यापासून संरक्षण जोडले आहे, जे तुम्हाला PAM (प्लग्गेबल ऑथेंटिकेशन मॉड्यूल) सिस्टम मॉड्यूल्समधील भेद्यता अवरोधित करण्यास परवानगी देते. उदाहरणार्थ, बदल sshd ला सोलारिस (CVE-2020-14871) मधील अलीकडे शोधलेल्या रूट असुरक्षिततेचे शोषण करण्यासाठी वेक्टर म्हणून वापरण्यापासून प्रतिबंधित करते.
संभाव्य सुसंगतता बदलणे:
- В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо [ईमेल संरक्षित] метод теперь идентифицируется как [ईमेल संरक्षित] (sntrup4591761 अल्गोरिदम sntrup761 ने बदलले आहे).
- ssh आणि sshd मध्ये, ज्या क्रमाने समर्थित डिजिटल स्वाक्षरी अल्गोरिदम घोषित केले जातात ते बदलले गेले आहेत. ED25519 आता ECDSA ऐवजी प्रथम ऑफर केले आहे.
- ssh आणि sshd मध्ये, इंटरएक्टिव्ह सत्रांसाठी सेवा पॅरामीटर्सची TOS/DSCP गुणवत्ता सेट करणे आता TCP कनेक्शन स्थापित करण्यापूर्वी केले जाते.
- ssh आणि sshd मध्ये सायफर समर्थन बंद केले आहे [ईमेल संरक्षित], जे aes256-cbc सारखे आहे आणि RFC-4253 मंजूर होण्यापूर्वी वापरले होते.
- डीफॉल्टनुसार, चेकहोस्टआयपी पॅरामीटर अक्षम केले आहे, ज्याचा फायदा नगण्य आहे, परंतु त्याचा वापर लोड बॅलन्सर्सच्या मागे होस्टसाठी की रोटेशन लक्षणीयरीत्या गुंतागुंत करतो.
PerSourceMaxStartups आणि PerSourceNetBlockSize सेटिंग्ज क्लायंट पत्त्यावर आधारित हँडलर्स लाँच करण्याची तीव्रता मर्यादित करण्यासाठी sshd मध्ये जोडली गेली आहेत. हे पॅरामीटर्स तुम्हाला सर्वसाधारण MaxStartups सेटिंगच्या तुलनेत प्रक्रिया लॉन्चवरील मर्यादा अधिक बारीकपणे नियंत्रित करण्याची परवानगी देतात.
ssh आणि sshd मध्ये एक नवीन LogVerbose सेटिंग जोडली गेली आहे, जी तुम्हाला टेम्पलेट्स, फंक्शन्स आणि फाइल्सद्वारे फिल्टर करण्याच्या क्षमतेसह लॉगमध्ये टाकलेल्या डीबगिंग माहितीची पातळी जबरदस्तीने वाढवण्याची परवानगी देते.
ssh मध्ये, नवीन होस्ट की स्वीकारताना, कीशी संबंधित सर्व होस्टनावे आणि IP पत्ते दाखवले जातात.
होस्ट की ओळखताना ssh UserKnownHostsFile=none पर्यायाला known_hosts फाइलचा वापर अक्षम करण्यासाठी परवानगी देतो.
KnownHostsCommand सेटिंग ssh साठी ssh_config मध्ये जोडली गेली आहे, ज्यामुळे तुम्हाला निर्दिष्ट कमांडच्या आउटपुटमधून ज्ञात_होस्ट डेटा मिळू शकेल.
SOCKS सह RemoteForward पर्याय वापरताना तुम्हाला गंतव्यस्थान प्रतिबंधित करण्यास अनुमती देण्यासाठी ssh साठी ssh_config मध्ये PermitRemoteOpen पर्याय जोडला.
FIDO की साठी ssh मध्ये, चुकीच्या पिनमुळे डिजिटल स्वाक्षरी ऑपरेशन अयशस्वी झाल्यास आणि वापरकर्त्याला पिनसाठी सूचित केले जात नसल्यास पुनरावृत्ती पिन विनंती प्रदान केली जाते (उदाहरणार्थ, जेव्हा योग्य बायोमेट्रिक डेटा मिळू शकला नाही आणि डिव्हाइस मॅन्युअल पिन एंट्रीवर परत पडले).
sshd Linux वरील seccomp-bpf-आधारित प्रक्रिया अलगाव यंत्रणेला अतिरिक्त सिस्टम कॉलसाठी समर्थन जोडते.
contrib/ssh-copy-id युटिलिटी अपडेट केली गेली आहे.

स्त्रोत: opennet.ru

OpenSSH 8.5 चे प्रकाशन

एक टिप्पणी जोडा Отменить ответ