သုံးလကြာပြီးနောက် ဖွံ့ဖြိုးတိုးတက်မှု လွှတ်ပေး SSH 2.0 နှင့် SFTP ပရိုတိုကောများပေါ်တွင် အလုပ်လုပ်ရန်အတွက် ကလိုင်းယင့်နှင့် ဆာဗာ၏ ပွင့်လင်းသော အကောင်အထည်ဖော်မှုတစ်ခု။
ထုတ်ဝေမှုအသစ်တွင် ဆာဗာသည် တောင်းဆိုထားသည့် ဖိုင်အမည်များထက် အခြားဖိုင်အမည်များကို ကျော်ဖြတ်ခွင့်ပြုသည့် scp တိုက်ခိုက်မှုများကို အကာအကွယ်ထပ်လောင်းပေးသည် (ဆန့်ကျင်ဘက်အနေဖြင့်၊ တိုက်ခိုက်မှုသည် အသုံးပြုသူရွေးချယ်ထားသော လမ်းညွှန် သို့မဟုတ် glob မျက်နှာဖုံးကို ပြောင်းလဲရန် မဖြစ်နိုင်ပါ။) SCP တွင်၊ ဆာဗာသည် သုံးစွဲသူထံ ပေးပို့ရမည့် ဖိုင်များနှင့် လမ်းညွှန်များကို ဆုံးဖြတ်ပေးပြီး၊ client သည် ပြန်ပေးထားသော အရာဝတ္ထုအမည်များ၏ မှန်ကန်မှုကိုသာ စစ်ဆေးသည်ကို သတိရပါ။ ဖော်ထုတ်ထားသော ပြဿနာ၏ အနှစ်သာရမှာ utims စနစ်ခေါ်ဆိုမှု ပျက်ကွက်ပါက ဖိုင်၏ အကြောင်းအရာများကို ဖိုင်မက်တာဒေတာအဖြစ် အဓိပ္ပာယ်ဖွင့်ဆိုခြင်း ဖြစ်သည်။
တိုက်ခိုက်သူ ထိန်းချုပ်ထားသော ဆာဗာသို့ ချိတ်ဆက်သည့်အခါတွင်၊ ဤအင်္ဂါရပ်ကို အသုံးပြုသူ၏ FS တွင် အခြားဖိုင်အမည်များနှင့် အခြားအကြောင်းအရာများကို သိမ်းဆည်းရန် အသုံးပြုနိုင်သည် (ဥပမာ၊ utims ကိုခေါ်ဆိုသည့်အခါ ပျက်ကွက်ခြင်းဖြစ်စေသော စီစဉ်သတ်မှတ်မှုများတွင် scp ကိုအသုံးပြု၍ ကူးယူသည့်အခါ၊ SELinux မူဝါဒ သို့မဟုတ် စနစ်ခေါ်ဆိုမှု စစ်ထုတ်မှု)။ ပုံမှန်ဖွဲ့စည်းပုံများတွင် Utimes ခေါ်ဆိုမှုသည် ပျက်ကွက်ခြင်းမရှိသောကြောင့် အစစ်အမှန်တိုက်ခိုက်မှုများ၏ ဖြစ်နိုင်ခြေသည် အနည်းငယ်မျှသာဟု ခန့်မှန်းရသည်။ ထို့အပြင်၊ တိုက်ခိုက်မှုသည် scp ကိုခေါ်ဆိုသောအခါတွင်၊ ဒေတာလွှဲပြောင်းမှုအမှားကိုပြသသည်။
အထွေထွေပြောင်းလဲမှုများ-
- sftp တွင်၊ “-1” အငြင်းအခုံကို လုပ်ဆောင်ခြင်းအား ယခင်က လက်ခံခဲ့သော်လည်း လျစ်လျူရှုထားသည့် ssh နှင့် scp နှင့် ဆင်တူသည်၊
- sshd တွင် IgnoreRhosts ကိုအသုံးပြုသောအခါ၊ ယခုရွေးချယ်စရာသုံးခုရှိသည်- "yes" - rhosts/shosts များကို ignore, "no" - respect rhosts/shosts နှင့် "shosts-only" - ".shosts" ကိုခွင့်ပြုသော်လည်း ".rhosts" ကိုပိတ်ထားပါ။
- ယခုအခါ Ssh သည် Unix socket များကို ပြန်လည်ညွှန်းရန် အသုံးပြုသော LocalFoward နှင့် RemoteForward ဆက်တင်များတွင် %TOKEN အစားထိုးမှုကို ပံ့ပိုးပေးပါသည်။
- အများသူငှာသော့နှင့် သီးခြားဖိုင်မရှိပါက လျှို့ဝှက်ကုဒ်မထားသောဖိုင်တစ်ခုမှ အများသူငှာသော့များကို တင်ဆောင်ခွင့်ပြုပါ။
- စနစ်တွင် libcrypto ကိုရရှိနိုင်ပါက၊ ssh နှင့် sshd သည် ယခု စာကြည့်တိုက်မှ chacha20 algorithm ၏အကောင်အထည်ဖော်မှုကို အသုံးပြုပြီး စွမ်းဆောင်ရည်နောက်ကျကျန်နေသည့် သယ်ဆောင်ရလွယ်ကူသော အကောင်အထည်ဖော်မှုအစား၊
- “ssh-keygen -lQf /path” အမိန့်ကို လုပ်ဆောင်သောအခါ ရုပ်သိမ်းထားသော လက်မှတ်များ၏ ဒွိစုံစာရင်း၏ အကြောင်းအရာများကို စွန့်ပစ်ရန် စွမ်းရည်ကို အကောင်အထည်ဖော်ခဲ့သည်။
- အိတ်ဆောင်ဗားရှင်းသည် SA_RESTART ရွေးချယ်မှုဖြင့် အချက်ပြသည့် စနစ်များ၏ အဓိပ္ပါယ်ဖွင့်ဆိုချက်များကို ဖော်ဆောင်ပေးပါသည်။
- HP/UX နှင့် AIX စနစ်များတွင် တပ်ဆင်ခြင်းဆိုင်ရာ ပြဿနာများကို ဖြေရှင်းခဲ့သည်။
- Linux configurations အချို့တွင် seccomp sandbox တည်ဆောက်ခြင်းနှင့် ပြဿနာများကို ဖြေရှင်းခဲ့သည်။
- ပိုမိုကောင်းမွန်သော libfido2 ဒစ်ဂျစ်တိုက်ရှာဖွေတွေ့ရှိမှုနှင့် "--with-security-key-builtin" ရွေးချယ်မှုဖြင့် တည်ဆောက်မှုပြဿနာများကို ဖြေရှင်းခဲ့သည်။
OpenSSH developer များသည် SHA-1 hashes ကိုအသုံးပြု၍ algorithms များပြိုကွဲတော့မည့်အကြောင်းကိုလည်း ထပ်မံသတိပေးခဲ့သည်။ ပေးထားသော ရှေ့ဆက်တွဲဖြင့် တိုက်မှု တိုက်ခိုက်မှုများ၏ ထိရောက်မှု (ယာဉ်တိုက်မှုတစ်ခုကို ရွေးချယ်ရန် ကုန်ကျစရိတ်မှာ ခန့်မှန်းခြေ ဒေါ်လာ ၄၅ဝဝ ခန့်) ဖြစ်သည်။ လာမည့်ထုတ်ဝေမှုများအနက်တစ်ခုတွင်၊ ၎င်းတို့သည် SSH ပရိုတိုကောအတွက် မူရင်း RFC တွင်ဖော်ပြထားသည့် ssh-rsa အများသူငှာသော့ဒစ်ဂျစ်တယ်လက်မှတ်အယ်လ်ဂိုရီသမ်ကို အသုံးပြုနိုင်သည့်စွမ်းရည်ကို ပုံသေဖြင့်ပိတ်ရန်စီစဉ်ထားပြီး (ssh အသုံးပြုမှုကိုစစ်ဆေးရန်၊ -rsa သင့်စနစ်များတွင်၊ သင်သည် "-oHostKeyAlgorithms=-ssh-rsa" ရွေးချယ်မှုဖြင့် ssh မှတစ်ဆင့် ချိတ်ဆက်ရန် ကြိုးစားနိုင်သည်။
OpenSSH ရှိ အယ်လဂိုရီသမ်အသစ်များသို့ ကူးပြောင်းမှုကို ချောမွေ့စေရန်၊ နောက်ထွက်ရှိမှုများထဲမှ တစ်ခုတွင်၊ UpdateHostKeys ဆက်တင်ကို မူရင်းအတိုင်း ဖွင့်ထားမည်ဖြစ်ပြီး၊ ၎င်းသည် သုံးစွဲသူများကို ပိုမိုယုံကြည်စိတ်ချရသော အယ်လဂိုရီသမ်များထံ အလိုအလျောက် ရွှေ့ပြောင်းပေးမည်ဖြစ်သည်။ ရွှေ့ပြောင်းခြင်းအတွက် အကြံပြုထားသော အယ်လဂိုရီသမ်များတွင် RFC2 RSA SHA-256 ကိုအခြေခံသည့် rsa-sha512-8332/2 (OpenSSH 7.2 ကတည်းက ပံ့ပိုးထားပြီး မူရင်းအတိုင်းအသုံးပြုထားသည်)၊ ssh-ed25519 (OpenSSH 6.5 ကတည်းက ပံ့ပိုးထားသည်) နှင့် ecdsa-sha2-nistp256/384 RFC521 ECDSA (OpenSSH 5656 ကတည်းက ပံ့ပိုးထားသည်)။
နောက်ဆုံးထွက်ရှိထားသည့်အတိုင်း၊ "ssh-rsa" နှင့် "diffie-hellman-group14-sha1" ကို လက်မှတ်များတွင် SHA-1 ကိုအသုံးပြုခြင်းဖြင့် လက်မှတ်များတွင် နောက်ထပ်အန္တရာယ်ဖြစ်စေနိုင်သောကြောင့် လက်မှတ်အသစ်များကို ဒစ်ဂျစ်တယ်နည်းဖြင့်လက်မှတ်ထိုးရန် ခွင့်ပြုထားသော အယ်ဂိုရီသမ်များကို သတ်မှတ်သည့် CASignatureAlgorithms စာရင်းမှ ဖယ်ရှားလိုက်ပါသည်။ အဘယ်ကြောင့်ဆိုသော် တိုက်ခိုက်သူတွင် ရှိပြီးသား လက်မှတ်တစ်ခုအတွက် တိုက်မိမှုတစ်ခုကို ရှာဖွေရန် အချိန်အကန့်အသတ်မရှိ ရှိပြီး၊ လက်ခံသူကီးများကို တိုက်ခိုက်သည့်အချိန်ကို ချိတ်ဆက်မှုအချိန်ကုန်ဆုံးချိန် (LoginGraceTime) ဖြင့် ကန့်သတ်ထားသည်။
source: opennet.ru