ProHoster > Blog > berita internet > Keluaran OpenSSH 8.0

Keluaran OpenSSH 8.0

Selepas lima bulan pembangunan dibentangkan melepaskan OpenSSH 8.0, pelaksanaan klien dan pelayan terbuka untuk bekerja melalui protokol SSH 2.0 dan SFTP.

Perubahan utama:

  • Sokongan eksperimen untuk kaedah pertukaran utama yang tahan terhadap serangan kekerasan pada komputer kuantum telah ditambahkan pada ssh dan sshd. Komputer kuantum secara radikal lebih pantas dalam menyelesaikan masalah penguraian nombor asli kepada faktor utama, yang mendasari algoritma penyulitan asimetri moden dan tidak dapat diselesaikan dengan berkesan pada pemproses klasik. Kaedah yang dicadangkan adalah berdasarkan algoritma NTRU Perdana (fungsi ntrup4591761), dibangunkan untuk sistem kriptografi pasca-kuantum, dan kaedah pertukaran kunci lengkung eliptik X25519;
  • Dalam sshd, arahan ListenAddress dan PermitOpen tidak lagi menyokong sintaks "host/port" warisan, yang telah dilaksanakan pada tahun 2001 sebagai alternatif kepada "host:port" untuk memudahkan kerja dengan IPv6. Dalam keadaan moden, sintaks "[::6]:1" telah ditetapkan untuk IPv22, dan "host/port" sering dikelirukan dengan menunjukkan subnet (CIDR);
  • ssh, ssh-agent dan ssh-add kini menyokong kunci ECDSA dalam token PKCS#11;
  • Dalam ssh-keygen, saiz kunci RSA lalai telah ditingkatkan kepada 3072 bit, mengikut cadangan NIST baharu;
  • ssh membenarkan penggunaan tetapan "PKCS11Provider=none" untuk mengatasi arahan PKCS11Provider yang dinyatakan dalam ssh_config;
  • sshd menyediakan paparan log situasi apabila sambungan ditamatkan apabila cuba melaksanakan arahan yang disekat oleh sekatan "ForceCommand=internal-sftp" dalam sshd_config;
  • Dalam ssh, apabila memaparkan permintaan untuk mengesahkan penerimaan kunci hos baharu, bukannya respons "ya", cap jari kunci yang betul kini diterima (sebagai tindak balas kepada jemputan untuk mengesahkan sambungan, pengguna boleh menyalin menerima cincang rujukan secara berasingan melalui papan keratan, supaya tidak membandingkannya secara manual);
  • ssh-keygen menyediakan penambahan automatik nombor turutan sijil apabila mencipta tandatangan digital untuk berbilang sijil pada baris arahan;
  • Pilihan baharu "-J" telah ditambahkan pada scp dan sftp, bersamaan dengan tetapan ProxyJump;
  • Dalam ssh-agent, ssh-pkcs11-helper dan ssh-add, pemprosesan pilihan baris arahan "-v" telah ditambah untuk meningkatkan kandungan maklumat output (apabila dinyatakan, pilihan ini diteruskan kepada proses anak, untuk contoh, apabila ssh-pkcs11-helper dipanggil daripada ssh-agent );
  • Pilihan "-T" telah ditambahkan pada ssh-add untuk menguji kesesuaian kunci dalam ssh-agent untuk melaksanakan operasi penciptaan dan pengesahan tandatangan digital;
  • sftp-server melaksanakan sokongan untuk sambungan protokol "lsetstat at openssh.com", yang menambah sokongan untuk operasi SSH2_FXP_SETSTAT untuk SFTP, tetapi tanpa mengikuti pautan simbolik;
  • Menambahkan pilihan "-h" pada sftp untuk menjalankan perintah chown/chgrp/chmod dengan permintaan yang tidak menggunakan pautan simbolik;
  • sshd menyediakan tetapan pembolehubah persekitaran $SSH_CONNECTION untuk PAM;
  • Untuk sshd, mod padanan "Match final" telah ditambahkan pada ssh_config, yang serupa dengan "Match canonical", tetapi tidak memerlukan normalisasi nama hos didayakan;
  • Menambah sokongan untuk awalan '@' kepada sftp untuk melumpuhkan terjemahan output arahan yang dilaksanakan dalam mod kelompok;
  • Apabila anda memaparkan kandungan sijil menggunakan arahan
    "ssh-keygen -Lf /path/certificate" kini memaparkan algoritma yang digunakan oleh CA untuk mengesahkan sijil;

  • Sokongan yang dipertingkatkan untuk persekitaran Cygwin, contohnya menyediakan perbandingan tidak sensitif huruf besar bagi nama kumpulan dan pengguna. Proses sshd dalam port Cygwin telah ditukar kepada cygsshd untuk mengelakkan gangguan dengan port OpenSSH yang dibekalkan oleh Microsoft;
  • Menambah keupayaan untuk membina dengan cawangan OpenSSL 3.x percubaan;
  • Dihapuskan kelemahan (CVE-2019-6111) dalam pelaksanaan utiliti scp, yang membenarkan fail sewenang-wenang dalam direktori sasaran ditimpa pada sisi klien apabila mengakses pelayan yang dikawal oleh penyerang. Masalahnya ialah apabila menggunakan scp, pelayan memutuskan fail dan direktori mana yang hendak dihantar kepada klien, dan klien hanya menyemak ketepatan nama objek yang dikembalikan. Pemeriksaan sisi pelanggan dihadkan kepada hanya menyekat perjalanan di luar direktori semasa (β€œ../”), tetapi tidak mengambil kira pemindahan fail dengan nama yang berbeza daripada yang diminta pada asalnya. Dalam kes penyalinan rekursif (-r), sebagai tambahan kepada nama fail, anda juga boleh memanipulasi nama subdirektori dengan cara yang sama. Contohnya, jika pengguna menyalin fail ke direktori rumah, pelayan yang dikawal oleh penyerang boleh menghasilkan fail dengan nama .bash_aliases atau .ssh/authorized_keys dan bukannya fail yang diminta, dan ia akan disimpan oleh utiliti scp dalam pengguna. direktori rumah.

    Dalam keluaran baharu, utiliti scp telah dikemas kini untuk menyemak surat-menyurat antara nama fail yang diminta dan yang dihantar oleh pelayan, yang dilakukan pada bahagian klien. Ini boleh menyebabkan masalah dengan pemprosesan topeng, kerana aksara pengembangan topeng mungkin diproses secara berbeza pada bahagian pelayan dan klien. Sekiranya perbezaan tersebut menyebabkan pelanggan berhenti menerima fail dalam scp, pilihan "-T" telah ditambahkan untuk melumpuhkan semakan sisi klien. Untuk membetulkan masalah sepenuhnya, kerja semula konsep protokol scp diperlukan, yang dengan sendirinya sudah lapuk, jadi disyorkan untuk menggunakan protokol yang lebih moden seperti sftp dan rsync sebaliknya.

Sumber: opennet.ru

Tambah komen