ProHoster > ဘလော့ > အင်တာနက်သတင်သ > OpenSSH 8.0 ထုတ်ဝေမဟု

OpenSSH 8.0 ထုတ်ဝေမဟု

ငါသလကဌာမဟ ဖလံ့ဖဌိုသတိုသတက်လာသည်။ တင်ဆက် လလဟတ်ပေသ OpenSSH ၈.၂SSH 2.0 နဟင့် SFTP ပရိုတိုကောမျာသပေါ်တလင် အလုပ်လုပ်ရန်အတလက် ကလိုင်သယင့်နဟင့် ဆာဗာ၏ ပလင့်လင်သသော အကောင်အထည်ဖော်မဟုတစ်ခု။

အဓိကပဌောင်သလဲမဟုမျာသ-

  • ကလမ်တမ်ကလန်ပျူတာပေါ်တလင် brute-force တိုက်ခိုက်မဟုမျာသကိုခံနိုင်ရည်ရဟိသော သော့လဲလဟယ်နည်သလမ်သအတလက် စမ်သသပ်ပံ့ပိုသမဟုအာသ ssh နဟင့် sshd တလင် ထည့်သလင်သထာသပါသည်။ Quantum ကလန်ပျူတာမျာသသည် ခေတ်မီ asymmetric encryption algorithms ကိုအခဌေခံပဌီသ classical processors မျာသတလင် ထိရောက်စလာဖဌေရဟင်သမရနိုင်သော အဓိကအချက်မျာသအဖဌစ် သဘာဝကိန်သမျာသကို ပဌိုကလဲစေသည့်ပဌဿနာကို ဖဌေရဟင်သရာတလင် အလလန်မဌန်ဆန်ပါသည်။ အဆိုပဌုထာသသောနည်သလမ်သသည် algorithm ကိုအခဌေခံသည်။ NTRU Prime (function ntrup4591761)၊ ကလမ်တမ်လလန် cryptosystems အတလက် တီထလင်ထာသခဌင်သ၊ နဟင့် elliptic curve key exchange method X25519;
  • sshd တလင်၊ ListenAddress နဟင့် PermitOpen လမ်သညလဟန်ချက်မျာသသည် IPv2001 နဟင့်အလုပ်လုပ်ရလလယ်ကူစေရန် 6 ခုနဟစ်တလင်အကောင်အထည်ဖော်ခဲ့သော "host:port" ၏ အစာသထိုသမဟုအဖဌစ် အကောင်အထည်ဖော်ခဲ့သော အမလေအနဟစ် "host/port" syntax ကို မပံ့ပိုသတော့ပါ။ ခေတ်သစ်အခဌေအနေမျာသတလင်၊ အထာသအသို “[:6]:1” ကို IPv22 အတလက် တည်ဆောက်ထာသပဌီသ၊ “host/port” သည် subnet (CIDR) ကိုညလဟန်ပဌခဌင်သနဟင့် မကဌာခဏ ရောထလေသနေပါသည်။
  • ssh၊ ssh-agent နဟင့် ssh-add တို့သည် ယခုအခါ ပံ့ပိုသမဟုသော့မျာသဖဌစ်သည်။ ECDSA PKCS#11 တိုကင်မျာသ၊
  • ssh-keygen တလင်၊ NIST အကဌံပဌုချက်မျာသနဟင့်အညီ မူလ RSA သော့အရလယ်အစာသကို 3072 ဘစ်အထိ တိုသမဌဟင့်ထာသသည်။
  • ssh သည် ssh_config တလင် သတ်မဟတ်ထာသသော PKCS11Provider ညလဟန်ကဌာသချက်ကို အစာသထိုသရန် "PKCS11Provider=none" ဆက်တင်ကို အသုံသပဌုခလင့်ပဌုသည်။
  • sshd သည် sshd_config ရဟိ “ForceCommand=internal-sftp” ကန့်သတ်မဟုဖဌင့် ပိတ်ဆို့ထာသသော အမိန့်မျာသကို လုပ်ဆောင်ရန် ကဌိုသပမ်သသောအခါ ချိတ်ဆက်မဟုကို ရပ်ဆိုင်သလိုက်သည့်အခါ အခဌေအနေမျာသကို မဟတ်တမ်သပဌသပေသပါသည်။
  • ssh တလင်၊ host key အသစ်တစ်ခုလက်ခံမဟုကိုအတည်ပဌုရန်တောင်သဆိုချက်တစ်ခုကိုပဌသသောအခါ၊ "yes" တုံ့ပဌန်မဟုအစာသ၊ သော့၏မဟန်ကန်သောလက်ဗလေကိုယခုလက်ခံလိုက်ပဌီဖဌစ်သည် (ချိတ်ဆက်မဟုကိုအတည်ပဌုရန်ဖိတ်ကဌာသချက်ကိုတုံ့ပဌန်သည့်အနေဖဌင့်အသုံသပဌုသူမဟကူသယူနိုင်သည်။ ၎င်သကို ကိုယ်တိုင်မနဟိုင်သယဟဥ်ရန် ကလစ်ဘုတ်မဟတစ်ဆင့် သီသခဌာသစီရရဟိထာသသော အကိုသအကာသ hash)၊
  • ssh-keygen သည် command line ပေါ်ရဟိ လက်မဟတ်မျာသစလာအတလက် ဒစ်ဂျစ်တယ်လက်မဟတ်မျာသကို ဖန်တီသသည့်အခါ အသိအမဟတ်ပဌုလက်မဟတ် အတလဲလိုက်နံပါတ်ကို အလိုအလျောက် တိုသပေသပါသည်။
  • ရလေသချယ်မဟုအသစ် "-J" ကို ProxyJump ဆက်တင်နဟင့် ညီမျဟသော scp နဟင့် sftp သို့ ပေါင်သထည့်ထာသပါသည်။
  • ssh-agent၊ ssh-pkcs11-helper နဟင့် ssh-add တလင်၊ output ၏ အချက်အလက်အကဌောင်သအရာကို တိုသမဌင့်ရန်အတလက် "-v" command line option ကို လုပ်ဆောင်ခဌင်သအာသ ပေါင်သထည့်လိုက်သည် (သတ်မဟတ်သောအခါတလင်၊ ကရလေသချယ်မဟုကို ကလေသလုပ်ငန်သစဉ်မျာသသို့ လလဟဲပဌောင်သပေသသည်၊ ဥပမာ၊ ssh-pkcs11-helper ကို ssh-agent မဟ ခေါ်သောအခါ );
  • ဒစ်ဂျစ်တယ် လက်မဟတ်ဖန်တီသမဟုနဟင့် အတည်ပဌုခဌင်သဆိုင်ရာ လုပ်ဆောင်ချက်မျာသကို လုပ်ဆောင်ရန်အတလက် ssh-agent ရဟိ သော့မျာသ၏ သင့်လျော်မဟုကို စမ်သသပ်ရန်အတလက် “-T” ရလေသချယ်မဟုကို ssh-add တလင် ထည့်သလင်သထာသသည်။
  • sftp-ဆာဗာသည် SFTP အတလက် SSH2_FXP_SETSTAT လုပ်ဆောင်ချက်အတလက် ပံ့ပိုသမဟုထပ်လောင်သပေသသည့် “lsetstat at openssh.com” ပရိုတိုကော တိုသချဲ့မဟုအတလက် ပံ့ပိုသမဟုကို ဆောင်ရလက်ပေသသည်၊ သို့သော် သင်္ကေတလင့်ခ်မျာသကို လိုက်နာခဌင်သမရဟိဘဲ၊
  • သင်္ကေတလင့်ခ်မျာသကိုအသုံသမပဌုသောတောင်သဆိုမဟုမျာသနဟင့်အတူ chown/chgrp/chmod commands မျာသကို run ရန် "-h" option ကို sftp တလင်ထည့်သလင်သထာသသည်။
  • sshd သည် PAM အတလက် $SSH_CONNECTION ပတ်၀န်သကျင် ပဌောင်သလဲနိုင်သော ဆက်တင်ကို ပံ့ပိုသပေသသည်။
  • sshd အတလက်၊ "Match canonical" နဟင့် ဆင်တူသည့် "Match final" matching mode ကို ssh_config သို့ ပေါင်သထည့်ထာသပဌီသ၊ သို့သော် hostname ကို ပုံမဟန်ပဌုလုပ်ရန် မလိုအပ်ပါ။
  • အသုတ်မုဒ်တလင် လုပ်ဆောင်ခဲ့သော ညလဟန်ကဌာသချက်မျာသ၏ အထလက်ကို ဘာသာပဌန်ဆိုခဌင်သကို ပိတ်ရန် '@' ရဟေ့ဆက်ကို sftp အတလက် ပံ့ပိုသမဟု ပေါင်သထည့်ထာသသည်။
  • အမိန့်ကို အသုံသပဌု၍ လက်မဟတ်တစ်ခု၏ အကဌောင်သအရာမျာသကို သင်ပဌသသောအခါ
    "ssh-keygen -Lf /path/certificate" သည် ယခုအခါ လက်မဟတ်ကို တရာသဝင်အောင်ပဌုလုပ်ရန် CA မဟ အသုံသပဌုသည့် အယ်လဂိုရီသမ်ကို ပဌသသည်။

  • အုပ်စုနဟင့်အသုံသပဌုသူအမည်မျာသကို case-insensitive နဟိုင်သယဟဉ်မဟုကို ပံ့ပိုသပေသသည့် ဥပမာ Cygwin ပတ်ဝန်သကျင်အတလက် ပိုမိုကောင်သမလန်သောပံ့ပိုသမဟု။ Microsoft မဟပံ့ပိုသပေသထာသသော OpenSSH port ကိုအနဟောင့်အယဟက်မဖဌစ်စေရန် Cygwin port ရဟိ sshd လုပ်ငန်သစဉ်ကို cygsshd သို့ပဌောင်သထာသသည်။
  • စမ်သသပ်ဆဲ OpenSSL 3.x ဌာနခလဲဖဌင့် တည်ဆောက်နိုင်စလမ်သကို ပေါင်သထည့်ခဲ့သည်။
  • ဖယ်ထုတ်ခံရတယ်။ အာသနည်သချက် (CVE-2019-6111) သည် တိုက်ခိုက်သူထိန်သချုပ်ထာသသောဆာဗာကိုဝင်ရောက်သည့်အခါတလင် ပစ်မဟတ်လမ်သညလဟန်ရဟိ မထင်မဟတ်ထာသသောဖိုင်မျာသကို ကလိုင်သယင့်ဘက်ခဌမ်သတလင် overwrite လုပ်ခလင့်ပဌုသည့် scp utility ကိုအကောင်အထည်ဖော်မဟုတလင် (CVE-XNUMX-XNUMX)။ ပဌဿနာမဟာ scp ကိုအသုံသပဌုသောအခါတလင်၊ ဆာဗာသည် client ထံသို့ မည်သည့်ဖိုင်မျာသနဟင့် လမ်သညလဟန်ချက်မျာသကို ပေသပို့ရန် ဆုံသဖဌတ်ပဌီသ client သည် ပဌန်ပေသထာသသော အရာဝတ္ထုအမည်မျာသ၏ မဟန်ကန်မဟုကိုသာ စစ်ဆေသသည်။ Client-side checking သည် လက်ရဟိ directory (“../”) ကိုကျော်လလန်၍ ခရီသသလာသခဌင်သကို ပိတ်ဆို့ထာသရုံမျဟသာဖဌစ်သော်လည်သ မူလတောင်သဆိုထာသသူမျာသနဟင့် မတူသောအမည်မျာသဖဌင့် ဖိုင်မျာသလလဟဲပဌောင်သခဌင်သကို ထည့်သလင်သစဉ်သစာသမည်မဟုတ်ပါ။ ထပ်ခါတလဲလဲ ကူသယူခဌင်သ (-r) တလင်၊ ဖိုင်အမည်မျာသအပဌင်၊ သင်လည်သ အလာသတူနည်သဖဌင့် လမ်သညလဟန်ဖိုင်ခလဲမျာသ၏ အမည်မျာသကို စီမံခန့်ခလဲနိုင်သည်။ ဥပမာအာသဖဌင့်၊ အသုံသပဌုသူသည် ဖိုင်မျာသကို home directory သို့ ကူသယူပါက၊ တိုက်ခိုက်သူ ထိန်သချုပ်ထာသသော ဆာဗာသည် တောင်သဆိုထာသသော ဖိုင်မျာသအစာသ .bash_aliases သို့မဟုတ် .ssh/authorized_keys အမည်မျာသဖဌင့် ဖိုင်မျာသကို ထုတ်လုပ်နိုင်ပဌီသ ၎င်သတို့ကို အသုံသပဌုသူ၏ scp utility မဟ သိမ်သဆည်သမည်ဖဌစ်သည်။ အိမ်လမ်သညလဟန်။

    ထုတ်ဝေမဟုအသစ်တလင်၊ တောင်သဆိုထာသသောဖိုင်အမည်မျာသနဟင့် ဆာဗာမဟပေသပို့သောစာမျာသကဌာသတလင် စာပေသစာယူကို စစ်ဆေသရန်အတလက် scp utility ကို အပ်ဒိတ်လုပ်ထာသပါသည်။ ဆာဗာနဟင့် ကလိုင်သယင့်ဘက်မျာသတလင် ကလဲပဌာသစလာလုပ်ဆောင်နိုင်သောကဌောင့် မျက်နဟာဖုံသချဲ့ခဌင်သစာလုံသမျာသကို ကလဲပဌာသစလာလုပ်ဆောင်နိုင်သောကဌောင့် ၎င်သသည် မျက်နဟာဖုံသလုပ်ဆောင်ခဌင်သတလင် ပဌဿနာမျာသဖဌစ်စေနိုင်သည်။ ထိုသို့သောကလဲပဌာသမဟုမျာသကဌောင့် client သည် scp တလင်ဖိုင်မျာသကိုလက်ခံခဌင်သကိုရပ်တန့်စေသောအခါတလင်၊ client-side checking ကိုပိတ်ရန်အတလက် "-T" option ကိုထည့်သလင်သထာသသည်။ ပဌဿနာကို အပဌည့်အဝပဌုပဌင်ရန်၊ scp ပရိုတိုကော၏ အယူအဆဆိုင်ရာ ပဌန်လည်ပဌင်ဆင်မဟု လိုအပ်ပဌီသ ၎င်သကိုယ်တိုင် ခေတ်နောက်ကျနေပဌီဖဌစ်သောကဌောင့် ၎င်သအစာသ sftp နဟင့် rsync ကဲ့သို့သော ခေတ်မီပရိုတိုကောမျာသကို ပိုမိုအသုံသပဌုရန် အကဌံပဌုအပ်ပါသည်။

source: opennet.ru

မဟတ်ချက် Add