áá«ážáááŒá¬á០ááœá¶á·ááŒáá¯ážááá¯ážáááºáá¬áááºá
á¡áááááŒá±á¬ááºážáá²ááŸá¯áá»á¬áž-
- ááœááºáááºááœááºáá»á°áá¬áá±á«áºááœáẠbrute-force ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááá¯áá¶ááá¯ááºáááºááŸááá±á¬ áá±á¬á·áá²ááŸááºáááºážáááºážá¡ááœáẠá
ááºážáááºáá¶á·ááá¯ážááŸá¯á¡á¬áž ssh ááŸáá·áº sshd ááœáẠááá·áºááœááºážáá¬ážáá«áááºá Quantum ááœááºáá»á°áá¬áá»á¬ážááẠáá±ááºáá® asymmetric encryption algorithms ááá¯á¡ááŒá±áá¶ááŒá®áž classical processors áá»á¬ážááœáẠáááá±á¬ááºá
áœá¬ááŒá±ááŸááºážááááá¯ááºáá±á¬ á¡áááá¡áá»ááºáá»á¬ážá¡ááŒá
Ạááá¬áááááºážáá»á¬ážááᯠááŒáá¯ááœá²á
á±ááá·áºááŒá¿áá¬ááᯠááŒá±ááŸááºážáá¬ááœáẠá¡ááœááºááŒááºáááºáá«áááºá á¡ááá¯ááŒá¯áá¬ážáá±á¬áááºážáááºážááẠalgorithm ááá¯á¡ááŒá±áá¶áááºá
NTRU Prime (function ntrup4591761)á ááœááºáááºááœáẠcryptosystems á¡ááœáẠáá®ááœááºáá¬ážááŒááºážá ááŸáá·áº elliptic curve key exchange method X25519; - sshd ááœááºá ListenAddress ááŸáá·áº PermitOpen áááºážááœáŸááºáá»ááºáá»á¬ážááẠIPv2001 ááŸáá·áºá¡áá¯ááºáá¯ááºáááœááºáá°á á±ááẠ6 áá¯ááŸá áºááœááºá¡áá±á¬ááºá¡áááºáá±á¬áºáá²á·áá±á¬ "host:port" á á¡á á¬ážááá¯ážááŸá¯á¡ááŒá Ạá¡áá±á¬ááºá¡áááºáá±á¬áºáá²á·áá±á¬ á¡ááœá±á¡ááŸá Ạ"host/port" syntax ááᯠááá¶á·ááá¯ážáá±á¬á·áá«á áá±ááºáá áºá¡ááŒá±á¡áá±áá»á¬ážááœááºá á¡áá¬ážá¡ááᯠâ[:6]:1â ááᯠIPv22 á¡ááœáẠáááºáá±á¬ááºáá¬ážááŒá®ážá âhost/portâ ááẠsubnet (CIDR) ááá¯ááœáŸááºááŒááŒááºážááŸáá·áº áááŒá¬áá áá±á¬ááœá±ážáá±áá«áááºá
- sshá ssh-agent ááŸáá·áº ssh-add ááá¯á·ááẠááá¯á¡áá« áá¶á·ááá¯ážááŸá¯áá±á¬á·áá»á¬ážááŒá
áºáááºá
ECDSA PKCS#11 ááá¯áááºáá»á¬ážá - ssh-keygen ááœááºá NIST á¡ááŒá¶ááŒá¯áá»ááºáá»á¬ážááŸáá·áºá¡áá® áá°á RSA áá±á¬á·á¡ááœááºá¡á á¬ážááᯠ3072 áá áºá¡áá ááá¯ážááŒáŸáá·áºáá¬ážáááºá
- ssh ááẠssh_config ááœáẠáááºááŸááºáá¬ážáá±á¬ PKCS11Provider ááœáŸááºááŒá¬ážáá»ááºááᯠá¡á á¬ážááá¯ážááẠ"PKCS11Provider=none" áááºáááºááᯠá¡áá¯á¶ážááŒá¯ááœáá·áºááŒá¯áááºá
- sshd ááẠsshd_config ááŸá âForceCommand=internal-sftpâ ááá·áºáááºááŸá¯ááŒáá·áº ááááºááá¯á·áá¬ážáá±á¬ á¡áááá·áºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááẠááŒáá¯ážáááºážáá±á¬á¡áá« áá»áááºáááºááŸá¯ááᯠáááºááá¯ááºážááá¯ááºááá·áºá¡áá« á¡ááŒá±á¡áá±áá»á¬ážááᯠááŸááºáááºážááŒááá±ážáá«áááºá
- ssh ááœááºá host key á¡áá áºáá áºáá¯áááºáá¶ááŸá¯ááá¯á¡áááºááŒá¯áááºáá±á¬ááºážááá¯áá»ááºáá áºáá¯ááá¯ááŒááá±á¬á¡áá«á "yes" áá¯á¶á·ááŒááºááŸá¯á¡á á¬ážá áá±á¬á·áááŸááºáááºáá±á¬áááºááœá±ááá¯ááá¯áááºáá¶ááá¯ááºááŒá®ááŒá áºááẠ(áá»áááºáááºááŸá¯ááá¯á¡áááºááŒá¯áááºááááºááŒá¬ážáá»ááºááá¯áá¯á¶á·ááŒááºááá·áºá¡áá±ááŒáá·áºá¡áá¯á¶ážááŒá¯áá°ááŸáá°ážáá°ááá¯ááºáááºá áááºážááᯠááá¯ááºááá¯ááºáááŸáá¯ááºážááŸá¥áºááẠááá áºáá¯ááºááŸáá áºááá·áº áá®ážááŒá¬ážá á®áááŸááá¬ážáá±á¬ á¡ááá¯ážá¡áá¬áž hash)á
- ssh-keygen ááẠcommand line áá±á«áºááŸá áááºááŸááºáá»á¬ážá áœá¬á¡ááœáẠáá áºáá»á áºáááºáááºááŸááºáá»á¬ážááᯠáááºáá®ážááá·áºá¡áá« á¡ááá¡ááŸááºááŒá¯áááºááŸáẠá¡ááœá²ááá¯ááºáá¶áá«ááºááᯠá¡ááá¯á¡áá»á±á¬áẠááá¯ážáá±ážáá«áááºá
- ááœá±ážáá»ááºááŸá¯á¡áá Ạ"-J" ááᯠProxyJump áááºáááºááŸáá·áº áá®áá»áŸáá±á¬ scp ááŸáá·áº sftp ááá¯á· áá±á«ááºážááá·áºáá¬ážáá«áááºá
- ssh-agentá ssh-pkcs11-helper ááŸáá·áº ssh-add ááœááºá output á á¡áá»ááºá¡áááºá¡ááŒá±á¬ááºážá¡áá¬ááᯠááá¯ážááŒáá·áºáááºá¡ááœáẠ"-v" command line option ááᯠáá¯ááºáá±á¬ááºááŒááºážá¡á¬áž áá±á«ááºážááá·áºááá¯ááºááẠ(áááºááŸááºáá±á¬á¡áá«ááœááºá á€ááœá±ážáá»ááºááŸá¯ááᯠááá±ážáá¯ááºáááºážá ááºáá»á¬ážááá¯á· ááœáŸá²ááŒá±á¬ááºážáá±ážáááºá á¥ááá¬á ssh-pkcs11-helper ááᯠssh-agent á០áá±á«áºáá±á¬á¡áá« );
- áá áºáá»á áºááẠáááºááŸááºáááºáá®ážááŸá¯ááŸáá·áº á¡áááºááŒá¯ááŒááºážááá¯ááºáᬠáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáááºá¡ááœáẠssh-agent ááŸá áá±á¬á·áá»á¬ážá ááá·áºáá»á±á¬áºááŸá¯ááᯠá ááºážáááºáááºá¡ááœáẠâ-Tâ ááœá±ážáá»ááºááŸá¯ááᯠssh-add ááœáẠááá·áºááœááºážáá¬ážáááºá
- sftp-áá¬áá¬ááẠSFTP á¡ááœáẠSSH2_FXP_SETSTAT áá¯ááºáá±á¬ááºáá»ááºá¡ááœáẠáá¶á·ááá¯ážááŸá¯áááºáá±á¬ááºážáá±ážááá·áº âlsetstat at openssh.comâ áááá¯ááá¯áá±á¬ ááá¯ážáá»á²á·ááŸá¯á¡ááœáẠáá¶á·ááá¯ážááŸá¯ááᯠáá±á¬ááºááœááºáá±ážáááºá ááá¯á·áá±á¬áº áááºá¹áá±áááá·áºááºáá»á¬ážááᯠááá¯ááºáá¬ááŒááºážáááŸááá²á
- áááºá¹áá±áááá·áºááºáá»á¬ážááá¯á¡áá¯á¶ážáááŒá¯áá±á¬áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááŸáá·áºá¡áá° chown/chgrp/chmod commands áá»á¬ážááᯠrun ááẠ"-h" option ááᯠsftp ááœááºááá·áºááœááºážáá¬ážáááºá
- sshd ááẠPAM á¡ááœáẠ$SSH_CONNECTION áááºáááºážáá»áẠááŒá±á¬ááºážáá²ááá¯ááºáá±á¬ áááºáááºááᯠáá¶á·ááá¯ážáá±ážáááºá
- sshd á¡ááœááºá "Match canonical" ááŸáá·áº áááºáá°ááá·áº "Match final" matching mode ááᯠssh_config ááá¯á· áá±á«ááºážááá·áºáá¬ážááŒá®ážá ááá¯á·áá±á¬áº hostname ááᯠáá¯á¶ááŸááºááŒá¯áá¯ááºááẠáááá¯á¡ááºáá«á
- á¡áá¯ááºáá¯ááºááœáẠáá¯ááºáá±á¬ááºáá²á·áá±á¬ ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážá á¡ááœááºááᯠáá¬áá¬ááŒááºááá¯ááŒááºážááᯠááááºááẠ'@' ááŸá±á·áááºááᯠsftp á¡ááœáẠáá¶á·ááá¯ážááŸá¯ áá±á«ááºážááá·áºáá¬ážáááºá
- á¡áááá·áºááᯠá¡áá¯á¶ážááŒá¯á áááºááŸááºáá
áºáá¯á á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠáááºááŒááá±á¬á¡áá«
"ssh-keygen -Lf /path/certificate" ááẠááá¯á¡áá« áááºááŸááºááᯠááá¬ážáááºá¡á±á¬ááºááŒá¯áá¯ááºááẠCA á០á¡áá¯á¶ážááŒá¯ááá·áº á¡ááºáááá¯áá®áááºááᯠááŒááááºá - á¡á¯ááºá á¯ááŸáá·áºá¡áá¯á¶ážááŒá¯áá°á¡áááºáá»á¬ážááᯠcase-insensitive ááŸáá¯ááºážááŸááºááŸá¯ááᯠáá¶á·ááá¯ážáá±ážááá·áº á¥ááᬠCygwin áááºáááºážáá»ááºá¡ááœáẠááá¯ááá¯áá±á¬ááºážááœááºáá±á¬áá¶á·ááá¯ážááŸá¯á Microsoft ááŸáá¶á·ááá¯ážáá±ážáá¬ážáá±á¬ OpenSSH port ááá¯á¡ááŸá±á¬áá·áºá¡ááŸááºáááŒá áºá á±ááẠCygwin port ááŸá sshd áá¯ááºáááºážá ááºááᯠcygsshd ááá¯á·ááŒá±á¬ááºážáá¬ážáááºá
- á ááºážáááºáá² OpenSSL 3.x áá¬áááœá²ááŒáá·áº áááºáá±á¬ááºááá¯ááºá áœááºážááᯠáá±á«ááºážááá·áºáá²á·áááºá
- áááºáá¯ááºáá¶ááááºá
á¡á¬ážáááºážáá»áẠ(CVE-2019-6111) ááẠááá¯ááºááá¯ááºáá°ááááºážáá»á¯ááºáá¬ážáá±á¬áá¬áá¬ááá¯áááºáá±á¬ááºááá·áºá¡áá«ááœáẠáá áºááŸááºáááºážááœáŸááºááŸá ááááºááŸááºáá¬ážáá±á¬ááá¯ááºáá»á¬ážááᯠáááá¯ááºážááá·áºáááºááŒááºážááœáẠoverwrite áá¯ááºááœáá·áºááŒá¯ááá·áº scp utility ááá¯á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯ááœáẠ(CVE-XNUMX-XNUMX)á ááŒá¿áá¬ááŸá¬ scp ááá¯á¡áá¯á¶ážááŒá¯áá±á¬á¡áá«ááœááºá áá¬áá¬ááẠclient áá¶ááá¯á· áááºááá·áºááá¯ááºáá»á¬ážááŸáá·áº áááºážááœáŸááºáá»ááºáá»á¬ážááᯠáá±ážááá¯á·ááẠáá¯á¶ážááŒááºááŒá®áž client ááẠááŒááºáá±ážáá¬ážáá±á¬ á¡áá¬ááá¹áá¯á¡áááºáá»á¬ážá ááŸááºáááºááŸá¯ááá¯áᬠá á áºáá±ážáááºá Client-side checking ááẠáááºááŸá directory (â../â) ááá¯áá»á±á¬áºááœááºá ááá®ážááœá¬ážááŒááºážááᯠááááºááá¯á·áá¬ážáá¯á¶áá»áŸáá¬ááŒá áºáá±á¬áºáááºáž áá°ááá±á¬ááºážááá¯áá¬ážáá°áá»á¬ážááŸáá·áº ááá°áá±á¬á¡áááºáá»á¬ážááŒáá·áº ááá¯ááºáá»á¬ážááœáŸá²ááŒá±á¬ááºážááŒááºážááᯠááá·áºááœááºážá ááºážá á¬ážáááºááá¯ááºáá«á áááºáá«ááá²áá² áá°ážáá°ááŒááºáž (-r) ááœááºá ááá¯ááºá¡áááºáá»á¬ážá¡ááŒááºá áááºáááºáž á¡áá¬ážáá°áááºážááŒáá·áº áááºážááœáŸááºááá¯ááºááœá²áá»á¬ážá á¡áááºáá»á¬ážááᯠá á®áá¶ááá·áºááœá²ááá¯ááºáááºá á¥ááá¬á¡á¬ážááŒáá·áºá á¡áá¯á¶ážááŒá¯áá°ááẠááá¯ááºáá»á¬ážááᯠhome directory ááá¯á· áá°ážáá°áá«áá ááá¯ááºááá¯ááºáá° ááááºážáá»á¯ááºáá¬ážáá±á¬ áá¬áá¬ááẠáá±á¬ááºážááá¯áá¬ážáá±á¬ ááá¯ááºáá»á¬ážá¡á á¬áž .bash_aliases ááá¯á·ááá¯áẠ.ssh/authorized_keys á¡áááºáá»á¬ážááŒáá·áº ááá¯ááºáá»á¬ážááᯠáá¯ááºáá¯ááºááá¯ááºááŒá®áž áááºážááá¯á·ááᯠá¡áá¯á¶ážááŒá¯áá°á scp utility á០ááááºážáááºážáááºááŒá áºáááºá á¡áááºáááºážááœáŸááºááá¯ááºáá±ááŸá¯á¡áá áºááœááºá áá±á¬ááºážááá¯áá¬ážáá±á¬ááá¯ááºá¡áááºáá»á¬ážááŸáá·áº áá¬áá¬ááŸáá±ážááá¯á·áá±á¬á á¬áá»á¬ážááŒá¬ážááœáẠá á¬áá±ážá á¬áá°ááᯠá á áºáá±ážáááºá¡ááœáẠscp utility ááᯠá¡ááºááááºáá¯ááºáá¬ážáá«áááºá áá¬áá¬ááŸáá·áº áááá¯ááºážááá·áºáááºáá»á¬ážááœáẠááœá²ááŒá¬ážá áœá¬áá¯ááºáá±á¬ááºááá¯ááºáá±á¬ááŒá±á¬áá·áº áá»ááºááŸá¬áá¯á¶ážáá»á²á·ááŒááºážá á¬áá¯á¶ážáá»á¬ážááᯠááœá²ááŒá¬ážá áœá¬áá¯ááºáá±á¬ááºááá¯ááºáá±á¬ááŒá±á¬áá·áº áááºážááẠáá»ááºááŸá¬áá¯á¶ážáá¯ááºáá±á¬ááºááŒááºážááœáẠááŒá¿áá¬áá»á¬ážááŒá áºá á±ááá¯ááºáááºá ááá¯ááá¯á·áá±á¬ááœá²ááŒá¬ážááŸá¯áá»á¬ážááŒá±á¬áá·áº client ááẠscp ááœááºááá¯ááºáá»á¬ážááá¯áááºáá¶ááŒááºážááá¯áááºááá·áºá á±áá±á¬á¡áá«ááœááºá client-side checking ááá¯ááááºáááºá¡ááœáẠ"-T" option ááá¯ááá·áºááœááºážáá¬ážáááºá ááŒá¿áá¬ááᯠá¡ááŒáá·áºá¡áááŒá¯ááŒááºáááºá scp áááá¯ááá¯áá±á¬á á¡áá°á¡áááá¯ááºáᬠááŒááºáááºááŒááºáááºááŸá¯ ááá¯á¡ááºááŒá®áž áááºážááá¯ááºááá¯áẠáá±ááºáá±á¬ááºáá»áá±ááŒá®ááŒá áºáá±á¬ááŒá±á¬áá·áº áááºážá¡á á¬áž sftp ááŸáá·áº rsync áá²á·ááá¯á·áá±á¬ áá±ááºáá®áááá¯ááá¯áá±á¬áá»á¬ážááᯠááá¯ááá¯á¡áá¯á¶ážááŒá¯ááẠá¡ááŒá¶ááŒá¯á¡ááºáá«áááºá
source: opennet.ru