🥇OpenSSH 8.7 रिलीज | प्रोहोस्टर

चार महिन्यांच्या विकासानंतर, OpenSSH 8.7 चे प्रकाशन, SSH 2.0 आणि SFTP प्रोटोकॉलवर काम करण्यासाठी क्लायंट आणि सर्व्हरची खुली अंमलबजावणी सादर केली गेली.

मुख्य बदल:

पारंपारिक SCP/RCP प्रोटोकॉल ऐवजी SFTP प्रोटोकॉल वापरून scp मध्ये प्रायोगिक डेटा ट्रान्सफर मोड जोडला गेला आहे. SFTP अधिक अंदाज करण्यायोग्य नाव हाताळणी पद्धती वापरते आणि दुसर्‍या होस्टच्या बाजूला ग्लोब पॅटर्नची शेल प्रक्रिया वापरत नाही, ज्यामुळे सुरक्षा समस्या निर्माण होतात. scp मध्ये SFTP सक्षम करण्यासाठी, “-s” ध्वज प्रस्तावित केला गेला आहे, परंतु भविष्यात ते डीफॉल्टनुसार या प्रोटोकॉलवर स्विच करण्याची योजना आहे.
sftp-server ~/ आणि ~user/ पथांचा विस्तार करण्यासाठी SFTP प्रोटोकॉलमध्ये विस्तार लागू करते, जे scp साठी आवश्यक आहे.
दोन रिमोट होस्ट (उदाहरणार्थ, “scp host-a:/path host-b:”) मधील फाइल्स कॉपी करताना scp युटिलिटीने वर्तन बदलले आहे, जे आता डिफॉल्ट द्वारे इंटरमीडिएट लोकल होस्टद्वारे केले जाते, जसे की “निर्दिष्ट करताना. -3" ध्वज. हा दृष्टीकोन तुम्हाला पहिल्या होस्टला अनावश्यक क्रेडेन्शियल्स पास करणे टाळण्यास आणि शेलमधील फाइलच्या नावांचे तिहेरी स्पष्टीकरण (स्रोत, गंतव्यस्थान आणि स्थानिक सिस्टम बाजूला) टाळण्याची परवानगी देतो आणि SFTP वापरताना, रिमोटमध्ये प्रवेश करताना सर्व प्रमाणीकरण पद्धती वापरण्याची परवानगी देते. होस्ट, आणि फक्त गैर-परस्परसंवादी पद्धती नाही. जुने वर्तन पुनर्संचयित करण्यासाठी "-R" पर्याय जोडला गेला आहे.
"-f" ध्वजाशी संबंधित ssh वर ForkAfterAuthentication सेटिंग जोडले.
ssh मध्ये StdinNull सेटिंग जोडले, "-n" ध्वजाशी संबंधित.
ssh मध्ये एक SessionType सेटिंग जोडली गेली आहे, ज्याद्वारे तुम्ही “-N” (कोणतेही सत्र नाही) आणि “-s” (सबसिस्टम) ध्वजांशी संबंधित मोड सेट करू शकता.
ssh-keygen तुम्हाला की फाइल्समध्ये की वैधता अंतराल निर्दिष्ट करण्यास अनुमती देते.
sshsig स्वाक्षरीचा भाग म्हणून संपूर्ण सार्वजनिक की मुद्रित करण्यासाठी ssh-keygen मध्ये "-Oprint-pubkey" ध्वज जोडला.
ssh आणि sshd मध्ये, क्लायंट आणि सर्व्हर दोन्ही अधिक प्रतिबंधात्मक कॉन्फिगरेशन फाइल पार्सर वापरण्यासाठी हलवले गेले आहेत जे कोट्स, स्पेसेस आणि एस्केप कॅरेक्टर्स हाताळण्यासाठी शेल-सारखे नियम वापरतात. नवीन पार्सर देखील पूर्वी केलेल्या गृहितकांकडे दुर्लक्ष करत नाही, जसे की पर्यायांमधील युक्तिवाद वगळणे (उदाहरणार्थ, DenyUsers निर्देश यापुढे रिक्त सोडले जाऊ शकत नाही), अनक्लोज्ड कोट्स, आणि एकाधिक = वर्ण निर्दिष्ट करणे.
की सत्यापित करताना SSHFP DNS रेकॉर्ड वापरताना, ssh आता सर्व जुळणारे रेकॉर्ड तपासते, फक्त विशिष्ट प्रकारचे डिजिटल स्वाक्षरी नसलेले.
ssh-keygen मध्ये, -Ochallenge पर्यायासह FIDO की व्युत्पन्न करताना, बिल्ट-इन लेयरचा वापर आता हॅशिंगसाठी libfido2 ऐवजी केला जातो, जो 32 बाइट्सपेक्षा मोठा किंवा लहान आव्हान क्रम वापरण्यास अनुमती देतो.
sshd मध्ये, authorized_keys फायलींमध्ये पर्यावरण="..." निर्देशांवर प्रक्रिया करताना, प्रथम जुळणी आता स्वीकारली जाते आणि 1024 पर्यावरणीय व्हेरिएबल नावांची मर्यादा आहे.

दिलेल्या उपसर्गासह टक्कर हल्ल्यांच्या वाढीव कार्यक्षमतेमुळे (टक्कर निवडण्याची किंमत अंदाजे 1 हजार डॉलर्स अंदाजे आहे) SHA-50 हॅश वापरून अल्गोरिदमच्या विघटनाबद्दल OpenSSH विकसकांनी देखील चेतावणी दिली. पुढील प्रकाशनात, आम्ही सार्वजनिक की डिजिटल स्वाक्षरी अल्गोरिदम "ssh-rsa" वापरण्याची क्षमता डीफॉल्टनुसार अक्षम करण्याची योजना आखत आहोत, ज्याचा SSH प्रोटोकॉलसाठी मूळ RFC मध्ये उल्लेख केला गेला होता आणि सरावामध्ये मोठ्या प्रमाणावर वापरला जातो.

तुमच्या सिस्टीमवर ssh-rsa चा वापर तपासण्यासाठी, तुम्ही ssh द्वारे “-oHostKeyAlgorithms=-ssh-rsa” पर्यायाने जोडण्याचा प्रयत्न करू शकता. त्याच वेळी, डीफॉल्टनुसार "ssh-rsa" डिजिटल स्वाक्षरी अक्षम करणे म्हणजे RSA की वापरणे पूर्णपणे सोडून देणे असा होत नाही, कारण SHA-1 व्यतिरिक्त, SSH प्रोटोकॉल इतर हॅश गणना अल्गोरिदम वापरण्याची परवानगी देतो. विशेषतः, “ssh-rsa” व्यतिरिक्त, “rsa-sha2-256” (RSA/SHA256) आणि “rsa-sha2-512” (RSA/SHA512) बंडल वापरणे शक्य राहील.

नवीन अल्गोरिदममध्ये संक्रमण सुलभ करण्यासाठी, OpenSSH ने पूर्वी UpdateHostKeys सेटिंग डीफॉल्टनुसार सक्षम केली होती, जी क्लायंटना अधिक विश्वासार्ह अल्गोरिदमवर स्वयंचलितपणे स्विच करण्याची परवानगी देते. या सेटिंगचा वापर करून, एक विशेष प्रोटोकॉल विस्तार सक्षम केला जातो "[ईमेल संरक्षित]", सर्व्हरला, प्रमाणीकरणानंतर, क्लायंटला सर्व उपलब्ध होस्ट की बद्दल माहिती देण्याची परवानगी देते. क्लायंट या की त्याच्या ~/.ssh/known_hosts फाइलमध्ये परावर्तित करू शकतो, ज्यामुळे होस्ट की अपडेट करता येतात आणि सर्व्हरवरील की बदलणे सोपे होते.

UpdateHostKeys चा वापर भविष्यात काढल्या जाणार्‍या अनेक सावधगिरींद्वारे मर्यादित आहे: की वापरकर्ताKnownHostsFile मध्ये संदर्भित केली पाहिजे आणि GlobalKnownHostsFile मध्ये वापरली जाऊ नये; की फक्त एकाच नावाखाली असणे आवश्यक आहे; होस्ट की प्रमाणपत्र वापरले जाऊ नये; ज्ञात_होस्टमध्ये होस्टच्या नावाने मास्क वापरू नयेत; VerifyHostKeyDNS सेटिंग अक्षम करणे आवश्यक आहे; UserKnownHostsFile पॅरामीटर सक्रिय असणे आवश्यक आहे.

स्थलांतरासाठी शिफारस केलेल्या अल्गोरिदममध्ये RFC2 RSA SHA-256 वर आधारित rsa-sha512-8332/2 (OpenSSH 7.2 पासून समर्थित आणि डीफॉल्टनुसार वापरलेले), ssh-ed25519 (OpenSSH 6.5 पासून समर्थित) आणि ecdsa-sha2-nistp256/384/आधारित RFC521 ECDSA वर (OpenSSH 5656 पासून समर्थित).

स्त्रोत: opennet.ru

OpenSSH 8.7 चे प्रकाशन

एक टिप्पणी जोडा Отменить ответ