OpenSSH 8.1 ထုတ်ဝေမှု

ခြောက်လကြာပြီးနောက် ဖွံ့ဖြိုးတိုးတက်မှု တင်ဆက် လွှတ်ပေး OpenSSH ၈.၂SSH 2.0 နှင့် SFTP ပရိုတိုကောများပေါ်တွင် အလုပ်လုပ်ရန်အတွက် ကလိုင်းယင့်နှင့် ဆာဗာ၏ ပွင့်လင်းသော အကောင်အထည်ဖော်မှုတစ်ခု။

အသစ်ထွက်ရှိမှုတွင် အထူးသတိထားရမည့်အချက်မှာ ssh၊ sshd၊ ssh-add နှင့် ssh-keygen တို့ကို ထိခိုက်စေသော အားနည်းချက်ကို ဖယ်ရှားရေးဖြစ်သည်။ ပြဿနာသည် XMSS အမျိုးအစားဖြင့် သီးသန့်သော့များကို ခွဲခြမ်းစိပ်ဖြာရန် ကုဒ်တွင် ရှိနေပြီး တိုက်ခိုက်သူအား ကိန်းပြည့်လျှံမှုတစ်ခု အစပျိုးရန် ခွင့်ပြုသည်။ XMSS ကီးများအတွက် ပံ့ပိုးမှုသည် ပုံမှန်အားဖြင့် ပိတ်ထားသော စမ်းသပ်အင်္ဂါရပ်တစ်ခုဖြစ်သောကြောင့် အားနည်းချက်ကို အသုံးချနိုင်သည်ဟု အမှတ်အသားပြုထားသော်လည်း အသုံးပြုမှုနည်းပါးသောကြောင့် (အိတ်ဆောင်ဗားရှင်းတွင် XMSS ကိုဖွင့်ရန် autoconf တွင် တည်ဆောက်ရန်ရွေးချယ်စရာပင်မရှိပါ)။

အဓိကပြောင်းလဲမှုများ-

• ssh၊ sshd နှင့် ssh-agent တွင် ထပ်ပြောသည် ဘေးထွက်ချန်နယ်တိုက်ခိုက်မှုများ၏ရလဒ်အဖြစ် RAM တွင်ရှိသောသီးသန့်သော့ကိုပြန်လည်ရယူခြင်းမှတားဆီးသောကုဒ် Spectre၊ အရည်ပျော်ခြင်း။, RowHammer и RAMBleed. ယခုအခါ သီးသန့်သော့များကို မန်မိုရီတွင် ထည့်သွင်းသည့်အခါတွင် ကုဒ်ဝှက်ထားပြီး အသုံးပြုနေချိန်တွင်သာ စာဝှက်ထားကာ ကျန်အချိန်များတွင် ကုဒ်ဝှက်ထားဆဲဖြစ်သည်။ ဤချဉ်းကပ်မှုဖြင့်၊ သီးသန့်သော့ကို အောင်မြင်စွာ ပြန်လည်ရယူရန်၊ တိုက်ခိုက်သူသည် ပင်မကီးကို စာဝှက်ရန်အတွက် အသုံးပြုသည့် ကျပန်းအရွယ်အစား 16 KB ရှိသည့် အလယ်အလတ်သော့ကို ဦးစွာ ပြန်လည်ရယူရမည်ဖြစ်ပြီး၊ ခေတ်မီတိုက်ခိုက်မှုများ၏ ပြန်လည်ရယူရေးဆိုင်ရာ အမှားအယွင်းနှုန်းကို ပုံမှန်မဟုတ်နိုင်ပါ။
• В ssh-keygen ဒစ်ဂျစ်တယ်လက်မှတ်များကို ဖန်တီးခြင်းနှင့် အတည်ပြုခြင်းအတွက် ရိုးရှင်းသောအစီအစဥ်အတွက် စမ်းသပ်မှုဆိုင်ရာ ပံ့ပိုးမှု ထပ်လောင်းထည့်သွင်းထားသည်။ ဒစ်ဂျစ်တယ် လက်မှတ်များကို ဒစ်ခ်ပေါ်တွင် သို့မဟုတ် ssh-agent တွင် သိမ်းဆည်းထားသော ပုံမှန် SSH သော့များကို အသုံးပြု၍ ဖန်တီးနိုင်ပြီး authorized_keys နှင့် ဆင်တူသည့် အရာတစ်ခုကို အသုံးပြု၍ အတည်ပြုနိုင်သည်။ တရားဝင်သော့များစာရင်း. Namespace အချက်အလက်ကို မတူညီသောနေရာများတွင် အသုံးပြုသည့်အခါ ရှုပ်ထွေးမှုများကို ရှောင်ရှားရန် (ဥပမာ၊ အီးမေးလ်နှင့် ဖိုင်များအတွက်)၊
• RSA သော့ကိုအခြေခံ၍ (CA မုဒ်တွင်အလုပ်လုပ်သောအခါ) ဒစ်ဂျစ်တယ်လက်မှတ်များဖြင့် လက်မှတ်များကိုအတည်ပြုသည့်အခါ ssh-keygen သည် rsa-sha2-512 အယ်လဂိုရီသမ်ကိုအသုံးပြုရန်အတွက် မူရင်းအတိုင်းပြောင်းထားသည်။ အဆိုပါ လက်မှတ်များသည် OpenSSH 7.2 မတိုင်မီ ထုတ်ဝေမှုများနှင့် သဟဇာတမဖြစ်စေရန် (ဥပမာ "ssh-keygen -t ssh-rsa -s ... " ဟုခေါ်ဆိုခြင်းဖြင့် အယ်လဂိုရီသမ် အမျိုးအစားကို အစားထိုးရန် လိုအပ်ပါသည်။
• ssh တွင်၊ ProxyCommand စကားရပ်သည် ယခုအခါ "%n" အစားထိုးခြင်း၏ တိုးချဲ့မှုကို ပံ့ပိုးပေးသည် (လိပ်စာဘားတွင် သတ်မှတ်ထားသော hostname ကို);
• ssh နှင့် sshd အတွက် ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များစာရင်းတွင်၊ မူရင်း အယ်လဂိုရီသမ်များကို ထည့်သွင်းရန် "^" စာလုံးကို ယခု သင်အသုံးပြုနိုင်ပါပြီ။ ဥပမာအားဖြင့်၊ မူရင်းစာရင်းသို့ ssh-ed25519 ကိုထည့်ရန် "HostKeyAlgorithms ^ssh-ed25519" ကို သတ်မှတ်နိုင်သည်။
• ssh-keygen သည် သီးသန့်တစ်ခုမှ အများသူငှာသော့ကို ထုတ်ယူသည့်အခါ ကီးနှင့်တွဲထားသည့် မှတ်ချက်တစ်ခု၏ အထွက်ကို ပံ့ပိုးပေးသည်။
• သော့ရှာဖွေခြင်းလုပ်ငန်းဆောင်တာများလုပ်ဆောင်သည့်အခါ ssh-keygen တွင် “-v” အလံကို အသုံးပြုနိုင်သည့်စွမ်းရည်ကို ပေါင်းထည့်ခဲ့သည် (ဥပမာ၊ “ssh-keygen -vF host”)၊ မြင်သာသောအိမ်ရှင်လက်မှတ်ရလာဒ်ကို သတ်မှတ်ပေးခြင်း။
• အသုံးပြုနိုင်စွမ်းကို ထည့်သွင်းထားပါတယ်။ PKCS8 ဒစ်ပေါ်တွင် သီးသန့်သော့များ သိမ်းဆည်းခြင်းအတွက် အခြားဖော်မတ်တစ်ခုအဖြစ်။ PEM ဖော်မတ်ကို မူရင်းအတိုင်း ဆက်လက်အသုံးပြုနေပြီး PKCS8 သည် ပြင်ပကုမ္ပဏီအက်ပ်လီကေးရှင်းများနှင့် လိုက်ဖက်ညီမှုရရှိစေရန်အတွက် အသုံးဝင်နိုင်ပါသည်။

source: opennet.ru