rsa-sha डिजिटल स्वाक्षरीसाठी समर्थन अक्षम करून OpenSSH 8.8 चे प्रकाशन

OpenSSH 8.8 चे प्रकाशन प्रकाशित केले गेले आहे, SSH 2.0 आणि SFTP प्रोटोकॉल वापरून कार्य करण्यासाठी क्लायंट आणि सर्व्हरची खुली अंमलबजावणी. SHA-1 हॅश (“ssh-rsa”) सह RSA की वर आधारित डिजिटल स्वाक्षरी वापरण्याची क्षमता डीफॉल्टनुसार अक्षम करण्यासाठी रिलीझ लक्षणीय आहे.

"ssh-rsa" स्वाक्षरीसाठी समर्थन बंद करणे हे दिलेल्या उपसर्गासह टक्कर हल्ल्यांच्या वाढीव कार्यक्षमतेमुळे आहे (टक्कर निवडण्याची किंमत अंदाजे $50 हजार आहे). तुमच्या सिस्टीमवर ssh-rsa चा वापर तपासण्यासाठी, तुम्ही ssh द्वारे “-oHostKeyAlgorithms=-ssh-rsa” पर्यायाने जोडण्याचा प्रयत्न करू शकता. SHA-256 आणि SHA-512 हॅश (rsa-sha2-256/512) सह RSA स्वाक्षरीसाठी समर्थन, जे OpenSSH 7.2 पासून समर्थित आहे, अपरिवर्तित आहे.

बहुतेक प्रकरणांमध्ये, “ssh-rsa” साठी समर्थन बंद करण्यासाठी वापरकर्त्यांकडून कोणत्याही मॅन्युअल क्रियांची आवश्यकता नसते, कारण OpenSSH ने पूर्वी UpdateHostKeys सेटिंग डीफॉल्टनुसार सक्षम केली होती, जी स्वयंचलितपणे क्लायंटना अधिक विश्वासार्ह अल्गोरिदमवर स्थलांतरित करते. स्थलांतरासाठी, प्रोटोकॉल विस्तार “[ईमेल संरक्षित]", सर्व्हरला, प्रमाणीकरणानंतर, क्लायंटला सर्व उपलब्ध होस्ट की बद्दल माहिती देण्याची परवानगी देते. क्लायंटच्या बाजूने OpenSSH च्या अगदी जुन्या आवृत्त्यांसह होस्टशी कनेक्ट करण्याच्या बाबतीत, तुम्ही ~/.ssh/config: होस्ट old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + मध्ये जोडून "ssh-rsa" स्वाक्षरी वापरण्याची क्षमता निवडकपणे परत करू शकता. ssh-rsa

नवीन आवृत्ती sshd मुळे उद्भवलेल्या सुरक्षिततेच्या समस्येचे निराकरण करते, OpenSSH 6.2 पासून सुरू होणारी, AuthorizedKeysCommand आणि AuthorizedPrincipalsCommand निर्देशांमध्ये निर्दिष्ट केलेल्या आदेशांची अंमलबजावणी करताना वापरकर्ता गट योग्यरित्या सुरू न करणे. हे निर्देश भिन्न वापरकर्त्याच्या अंतर्गत कमांड्स चालवण्यास अनुमती देणार होते, परंतु प्रत्यक्षात त्यांना sshd चालवताना वापरल्या जाणार्‍या गटांची सूची वारशाने मिळाली. संभाव्यत:, या वर्तनाने, विशिष्ट सिस्टम सेटिंग्जच्या उपस्थितीत, लॉन्च हँडलरला सिस्टमवर अतिरिक्त विशेषाधिकार प्राप्त करण्यास अनुमती दिली.

नवीन रिलीझ नोटमध्ये एक चेतावणी देखील समाविष्ट आहे की scp लेगेसी SCP/RCP प्रोटोकॉलऐवजी SFTP वर डीफॉल्ट होईल. SFTP अधिक अंदाज लावता येण्याजोग्या नाव हाताळणी पद्धती वापरते आणि दुसर्‍या होस्टच्या बाजूच्या फाइल नावांमध्ये ग्लोब पॅटर्नची शेल प्रक्रिया वापरत नाही, ज्यामुळे सुरक्षा समस्या निर्माण होतात. विशेषतः, एससीपी आणि आरसीपी वापरताना, सर्व्हर क्लायंटला कोणत्या फाइल्स आणि डिरेक्टरीज पाठवायचा हे ठरवतो आणि क्लायंट फक्त परत आलेल्या ऑब्जेक्टच्या नावांची शुद्धता तपासतो, जे क्लायंटच्या बाजूने योग्य तपासणी नसतानाही, परवानगी देतो. विनंती केलेल्यांपेक्षा भिन्न असलेली इतर फाइल नावे हस्तांतरित करण्यासाठी सर्व्हर. SFTP प्रोटोकॉलमध्ये या समस्या नाहीत, परंतु "~/" सारख्या विशेष पथांच्या विस्तारास समर्थन देत नाही. हा फरक दूर करण्यासाठी, ओपनएसएसएचच्या मागील प्रकाशनाने SFTP सर्व्हर अंमलबजावणीमध्ये ~/ आणि ~ वापरकर्ता/ पथांसाठी नवीन SFTP प्रोटोकॉल विस्तार सादर केला.

स्त्रोत: opennet.ru