ProHoster > blog > aħbarijiet fuq l-internet > Ħruġ ta' OpenSSH 8.7

Ħruġ ta' OpenSSH 8.7

Wara erba 'xhur ta' żvilupp, ġie ppreżentat ir-rilaxx ta 'OpenSSH 8.7, implimentazzjoni miftuħa ta' klijent u server biex jaħdmu fuq il-protokolli SSH 2.0 u SFTP.

Bidliet ewlenin:

  • Mod ta 'trasferiment tad-dejta sperimentali ġie miżjud ma' scp bl-użu tal-protokoll SFTP minflok il-protokoll SCP/RCP tradizzjonali. SFTP juża metodi ta 'ġestjoni tal-isem aktar prevedibbli u ma jużax l-ipproċessar tal-qoxra ta' mudelli glob fuq in-naħa tal-host l-ieħor, li joħloq problemi ta 'sigurtà. Biex tippermetti SFTP f'scp, il-bandiera "-s" ġiet proposta, iżda fil-futur huwa ppjanat li jaqilbu għal dan il-protokoll b'mod awtomatiku.
  • sftp-server jimplimenta estensjonijiet għall-protokoll SFTP biex jespandi l-mogħdijiet ~/ u ~user/, li huwa meħtieġ għal scp.
  • L-utilità scp biddlet l-imġieba meta tikkopja fajls bejn żewġ hosts remoti (per eżempju, "scp host-a:/path host-b:"), li issa ssir awtomatikament permezz ta 'host lokali intermedju, bħal meta tispeċifika l-" -3” bandiera. Dan l-approċċ jippermettilek tevita li tgħaddi kredenzjali bla bżonn lill-ewwel ospitanti u interpretazzjoni trippla tal-ismijiet tal-fajls fil-qoxra (fuq is-sors, id-destinazzjoni u n-naħa tas-sistema lokali), u meta tuża SFTP, tippermettilek tuża l-metodi kollha ta 'awtentikazzjoni meta taċċessa remoti hosts, u mhux biss metodi mhux interattivi. L-għażla "-R" ġiet miżjuda biex tirrestawra l-imġieba l-antika.
  • Miżjud l-issettjar tal-ForkAfterAuthentication għal ssh li jikkorrispondi għall-bandiera "-f".
  • Miżjud StdinNull setting għal ssh, li jikkorrispondi għall-bandiera "-n".
  • Ġie miżjud setting SessionType ma' ssh, li permezz tiegħu tista' tissettja modi li jikkorrispondu għall-bnadar "-N" (l-ebda sessjoni) u "-s" (subsistema).
  • ssh-keygen jippermettilek li tispeċifika intervall ta' validità ewlenija fil-fajls ewlenin.
  • Miżjud il-bandiera "-Oprint-pubkey" ma' ssh-keygen biex tipprintja ċ-ċavetta pubblika sħiħa bħala parti mill-firma sshsig.
  • F'ssh u sshd, kemm il-klijent kif ukoll is-server ġew imċaqalqa biex jużaw parser tal-fajls tal-konfigurazzjoni aktar restrittiv li juża regoli bħal qoxra għall-immaniġġjar ta 'kwotazzjonijiet, spazji, u karattri ta' ħarba. L-analizzatur il-ġdid lanqas ma jinjora suppożizzjonijiet li saru qabel, bħal li jitħallew barra argumenti f'għażliet (pereżempju, id-direttiva DenyUsers ma tistax tibqa' vojta), kwotazzjonijiet mhux magħluqa, u li tispeċifika karattri multipli =.
  • Meta tuża r-rekords SSHFP DNS meta tivverifika ċ-ċwievet, ssh issa jiċċekkja r-rekords kollha li jaqblu, mhux biss dawk li fihom tip speċifiku ta 'firma diġitali.
  • F'ssh-keygen, meta tiġġenera ċavetta FIDO bl-għażla -Ochallenge, is-saff inkorporat issa jintuża għall-hashing, aktar milli libfido2, li jippermetti l-użu ta 'sekwenzi ta' sfida akbar jew iżgħar minn 32 bytes.
  • F'sshd, meta tipproċessa d-direttivi ambjentali="..." f'fajls authorized_keys, l-ewwel taqbila issa hija aċċettata u hemm limitu ta '1024 isem varjabbli ambjentali.

L-iżviluppaturi OpenSSH wissew ukoll dwar id-dekompożizzjoni ta 'algoritmi li jużaw SHA-1 hashes minħabba l-effiċjenza akbar ta' attakki ta 'ħabta bi prefiss partikolari (l-ispiża tal-għażla ta' ħabta hija stmata għal madwar 50 elf dollaru). Fir-rilaxx li jmiss, qed nippjanaw li tiddiżattiva b'mod awtomatiku l-abbiltà li tuża l-algoritmu tal-firma diġitali taċ-ċavetta pubblika "ssh-rsa", li ssemma fl-RFC oriġinali għall-protokoll SSH u jibqa' użat ħafna fil-prattika.

Biex tittestja l-użu ta 'ssh-rsa fis-sistemi tiegħek, tista' tipprova tikkonnettja permezz ta 'ssh bl-għażla "-oHostKeyAlgorithms=-ssh-rsa". Fl-istess ħin, id-diżattivazzjoni tal-firem diġitali "ssh-rsa" awtomatikament ma tfissirx abbandun sħiħ tal-użu ta 'ċwievet RSA, peress li minbarra SHA-1, il-protokoll SSH jippermetti l-użu ta' algoritmi oħra ta 'kalkolu hash. B'mod partikolari, minbarra "ssh-rsa", se jibqa' possibbli li jintużaw il-qatet "rsa-sha2-256" (RSA/SHA256) u "rsa-sha2-512" (RSA/SHA512).

Biex itaffi t-tranżizzjoni għal algoritmi ġodda, OpenSSH qabel kellu l-issettjar UpdateHostKeys attivat awtomatikament, li jippermetti lill-klijenti jaqilbu awtomatikament għal algoritmi aktar affidabbli. Bl-użu ta' din is-setting, tiġi attivata estensjoni ta' protokoll speċjali "[protett bl-email]", li jippermetti lis-server, wara l-awtentikazzjoni, jinforma lill-klijent dwar iċ-ċwievet kollha tal-host disponibbli. Il-klijent jista 'jirrifletti dawn iċ-ċwievet fil-fajl ~/.ssh/known_hosts tiegħu, li jippermetti li ċ-ċwievet tal-ospitanti jiġu aġġornati u jagħmilha aktar faċli biex tbiddel iċ-ċwievet fuq is-server.

L-użu ta ' UpdateHostKeys huwa limitat minn diversi twissijiet li jistgħu jitneħħew fil-futur: iċ-ċavetta għandha tkun referenzjata fil-UserKnownHostsFile u mhux użata fil-GlobalKnownHostsFile; iċ-ċavetta għandha tkun preżenti taħt isem wieħed biss; m'għandux jintuża ċertifikat ta' ċavetta ospitanti; f'known_hosts maskri bl-isem ospitanti m'għandhomx jintużaw; l-issettjar VerifyHostKeyDNS għandu jkun diżattivat; Il-parametru UserKnownHostsFile għandu jkun attiv.

Algoritmi rakkomandati għall-migrazzjoni jinkludu rsa-sha2-256/512 ibbażati fuq RFC8332 RSA SHA-2 (sostnjati minn OpenSSH 7.2 u użati b'mod awtomatiku), ssh-ed25519 (appoġġati minn OpenSSH 6.5) u ecdsa-sha2-nistp256/384 based/521/5656 fuq RFC5.7 ECDSA (appoġġjat minn OpenSSH XNUMX).

Sors: opennet.ru

Żid kumment