OpenSSH 8.4 ထုတ်ဝေမှု

လေးလကြာပြီးနောက် ဖွံ့ဖြိုးတိုးတက်လာသည်။ တင်ဆက် SSH 8.4 နှင့် SFTP ပရိုတိုကောများကို အသုံးပြု၍ အလုပ်လုပ်ရန်အတွက် OpenSSH 2.0၊ ပွင့်လင်းသော ကလိုင်းယင့်နှင့် ဆာဗာ အကောင်အထည်ဖော်မှု။

အဓိကပြောင်းလဲမှုများ-

• လုံခြုံရေးအပြောင်းအလဲများ-
  • ssh-agent တွင်၊ SSH စစ်မှန်ကြောင်းအထောက်အထားအတွက် ဖန်တီးထားခြင်းမဟုတ်သော FIDO သော့များကိုအသုံးပြုသောအခါ (သော့ ID သည် "ssh:" ဟူသောစာကြောင်းဖြင့်မစတင်ပါ)၊ SSH ပရိုတိုကောတွင်အသုံးပြုသည့်နည်းလမ်းများကိုအသုံးပြု၍ မက်ဆေ့ချ်ကို ယခုစစ်ဆေးပါသည်။ ပြောင်းလဲမှုသည် ဝဘ်အထောက်အထားစိစစ်ခြင်းတောင်းဆိုမှုများအတွက် လက်မှတ်များထုတ်ပေးရန် FIDO သော့များပါရှိသော အဝေးထိန်းအိမ်ရှင်များထံ ssh-agent သို့ ပြန်ညွှန်းခြင်းကို ခွင့်မပြုပါ (ဘရောက်ဆာတစ်ခုမှ SSH တောင်းဆိုချက်တစ်ခုကို လက်မှတ်ရေးထိုးနိုင်သောအခါတွင် ပြောင်းပြန်ကိစ္စမှာ အစပိုင်းတွင် ဖယ်ထုတ်ထားသည် key identifier တွင် "ssh:" prefix ကိုအသုံးပြုခြင်းကြောင့်)။
  • ssh-keygen ၏နေထိုင်သူသော့ထုတ်လုပ်ခြင်းတွင် FIDO 2.1 သတ်မှတ်ချက်တွင်ဖော်ပြထားသော credProtect အပိုပရိုဂရမ်အတွက် ပံ့ပိုးမှုပါဝင်သည်၊ ၎င်းသည် တိုကင်မှနေထိုင်သူကီးကိုထုတ်ယူခြင်းမပြုမီ PIN လိုအပ်ခြင်းဖြင့် သော့များအတွက် ထပ်လောင်းကာကွယ်မှုပေးသည်။
• လိုက်ဖက်ညီမှုကို ချိုးဖျက်နိုင်သည့် အပြောင်းအလဲများ-
  • FIDO/U2F ကို ပံ့ပိုးရန်၊ အနည်းဆုံး ဗားရှင်း 2 တွင် libfido1.5.0 စာကြည့်တိုက်ကို အသုံးပြုရန် အကြံပြုထားသည်။ ထုတ်ဝေမှုအဟောင်းများကို အသုံးပြုရန် စွမ်းရည်ကို တစ်စိတ်တစ်ပိုင်း အကောင်အထည်ဖော်ပြီးဖြစ်သော်လည်း ဤကိစ္စတွင်၊ နေထိုင်သူကီးများ၊ PIN တောင်းဆိုချက်နှင့် တိုကင်များစွာကို ချိတ်ဆက်ခြင်းကဲ့သို့သော လုပ်ဆောင်ချက်များကို မရနိုင်ပါ။
  • ssh-keygen တွင်၊ ဒစ်ဂျစ်တယ်လက်မှတ်များကို အတည်ပြုရန် လိုအပ်သော အထောက်အထားစိစစ်ခြင်းဒေတာကို အတည်ပြုချက်အချက်အလက်များ၏ဖော်မတ်သို့ ပေါင်းထည့်ထားပြီး FIDO သော့ကိုထုတ်ပေးသည့်အခါ ရွေးချယ်နိုင်စွာ သိမ်းဆည်းထားသည်။
  • OpenSSH သည် FIDO တိုကင်များကို အသုံးပြုရန်အတွက် အလွှာနှင့် အပြန်အလှန်တုံ့ပြန်သည့်အခါ အသုံးပြုသည့် API ကို ပြောင်းလဲထားသည်။
  • OpenSSH ၏ သယ်ဆောင်ရလွယ်ကူသော ဗားရှင်းတစ်ခုကို တည်ဆောက်သောအခါတွင်၊ ယခုအခါတွင် configure script နှင့် ပူးတွဲပါရှိသော တည်ဆောက်ဖိုင်များကို ထုတ်လုပ်ရန် အလိုအလျောက်လုပ်ဆောင်ရန် လိုအပ်သည် (ထုတ်ဝေထားသော ကုဒ် tar ဖိုင်မှ တည်ဆောက်ပါက၊ configure ပြန်လည်ထုတ်လုပ်ရန် မလိုအပ်ပါ)။
• ssh နှင့် ssh-keygen တွင် PIN အတည်ပြုရန် လိုအပ်သော FIDO သော့များအတွက် ပံ့ပိုးမှု ထပ်ထည့်ထားသည်။ PIN ဖြင့် သော့များထုတ်လုပ်ရန်၊ "အတည်ပြုရန်လိုအပ်သည်" ရွေးချယ်ခွင့်ကို ssh-keygen တွင် ထည့်သွင်းထားသည်။ ထိုသို့သော့များကို အသုံးပြုပါက၊ လက်မှတ်ဖန်တီးမှု လုပ်ဆောင်ချက်ကို မလုပ်ဆောင်မီ၊ အသုံးပြုသူသည် PIN ကုဒ်ကို ထည့်သွင်းခြင်းဖြင့် ၎င်းတို့၏ လုပ်ဆောင်ချက်များကို အတည်ပြုရန် တောင်းဆိုထားသည်။
• sshd တွင်၊ "အတည်ပြုရန်လိုအပ်သည်" ရွေးချယ်မှုကို authorized_keys ဆက်တင်တွင် အကောင်အထည်ဖော်ထားပြီး၊ ၎င်းသည် တိုကင်နှင့်အတူ လည်ပတ်နေစဉ်အတွင်း အသုံးပြုသူ၏ရှေ့မှောက်တွင် ရှိနေကြောင်း အတည်ပြုရန် စွမ်းရည်များကို အသုံးပြုရန်လိုအပ်သည်။ FIDO စံနှုန်းသည် ယင်းကဲ့သို့ အတည်ပြုခြင်းအတွက် ရွေးချယ်စရာများစွာကို ပေးစွမ်းသော်လည်း လက်ရှိတွင် OpenSSH သည် PIN-based အတည်ပြုခြင်းကိုသာ ပံ့ပိုးပေးပါသည်။
• sshd နှင့် ssh-keygen တို့သည် FIDO Webauthn စံနှုန်းနှင့်အညီ ဖီဒိုကီးများကို ဝဘ်ဘရောက်ဆာများတွင် အသုံးပြုခွင့်ပြုသည့် ဒစ်ဂျစ်တယ်လက်မှတ်များကို အတည်ပြုရန်အတွက် ပံ့ပိုးမှု ထပ်လောင်းပေးထားသည်။
• CertificateFile ဆက်တင်များရှိ ssh တွင်၊
  ControlPath၊ IdentityAgent၊ IdentityFile၊ LocalForward နှင့်
  RemoteForward သည် "${ENV}" ဖော်မတ်တွင် သတ်မှတ်ထားသည့် ပတ်ဝန်းကျင် ကိန်းရှင်များမှ တန်ဖိုးများကို အစားထိုးခွင့်ပြုသည်။

• ssh နှင့် ssh-agent တို့သည် ssh-askpass ခေါ်ဆိုမှုကို ဖွင့်ရန် သို့မဟုတ် ပိတ်ရန် အသုံးပြုနိုင်သည့် $SSH_ASKPASS_REQUIRE ပတ်ဝန်းကျင် ပြောင်းလဲမှုအတွက် ပံ့ပိုးမှု ထပ်လောင်းပေးထားသည်။
• AddKeysToAgent လမ်းညွှန်ချက်ရှိ ssh တွင် ssh_config တွင်၊ သော့တစ်ခု၏တရားဝင်မှုကာလကို ကန့်သတ်နိုင်စွမ်းကို ထည့်သွင်းထားသည်။ သတ်မှတ်ထားသော ကန့်သတ်ချက် သက်တမ်းကုန်သွားပြီးနောက်၊ သော့များကို ssh-agent မှ အလိုအလျောက် ဖျက်ပစ်ပါသည်။
• scp နှင့် sftp တွင် "-A" အလံကို အသုံးပြု၍ သင်သည် ယခုအခါ ssh-agent ကို အသုံးပြု၍ ပြန်ညွှန်းခြင်းကို scp နှင့် sftp သို့ ပြတ်သားစွာ ခွင့်ပြုနိုင်ပါပြီ (မူရင်းအားဖြင့် ပြန်ညွှန်းခြင်းကို ပိတ်ထားသည်)။
• လက်ခံသူသော့အမည်ကိုသတ်မှတ်ပေးသည့် ssh ဆက်တင်များတွင် '%k' အစားထိုးမှုအတွက် ပံ့ပိုးမှုထပ်ထည့်ထားသည်။ သီးခြားဖိုင်များသို့ သော့များဖြန့်ဝေရန် ဤအင်္ဂါရပ်ကို သုံးနိုင်သည် (ဥပမာ၊ “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”)။
• ဖျက်ပစ်ရမည့် stdin မှသော့များကို ဖတ်ရန် "ssh-add -d -" လုပ်ဆောင်ချက်ကို အသုံးပြုခွင့်ပြုပါ။
• sshd တွင်၊ ချိတ်ဆက်မှုဖြတ်တောက်ခြင်းလုပ်ငန်းစဉ်၏အစနှင့်အဆုံးသည် MaxStartups ကန့်သတ်ဘောင်ကိုအသုံးပြု၍ ထိန်းချုပ်သည့်မှတ်တမ်းတွင် ထင်ဟပ်နေသည်။

OpenSSH developer များသည် SHA-1 hashs ကိုအသုံးပြု၍ လာမည့် algorithms များဖျက်သိမ်းခြင်းကို ပြန်လည်အမှတ်ရခဲ့သည်။ ပရိုမိုးရှင်း ပေးထားသော ရှေ့ဆက်တွဲဖြင့် တိုက်မှု တိုက်ခိုက်မှုများ၏ ထိရောက်မှု (ယာဉ်တိုက်မှုတစ်ခုကို ရွေးချယ်ရန် ကုန်ကျစရိတ်မှာ ခန့်မှန်းခြေ ဒေါ်လာ ၄၅ဝဝ ခန့်) ဖြစ်သည်။ လာမည့်ထုတ်ဝေမှုများအနက်တစ်ခုတွင်၊ ၎င်းတို့သည် SSH ပရိုတိုကောအတွက် မူရင်း RFC တွင်ဖော်ပြထားသည့် ssh-rsa အများသူငှာသော့ဒစ်ဂျစ်တယ်လက်မှတ်အယ်လ်ဂိုရီသမ်ကို အသုံးပြုနိုင်သည့်စွမ်းရည်ကို ပုံသေဖြင့်ပိတ်ရန်စီစဉ်ထားပြီး (ssh အသုံးပြုမှုကိုစစ်ဆေးရန်၊ -rsa သင့်စနစ်များတွင်၊ သင်သည် "-oHostKeyAlgorithms=-ssh-rsa" ရွေးချယ်မှုဖြင့် ssh မှတစ်ဆင့် ချိတ်ဆက်ရန် ကြိုးစားနိုင်သည်။

OpenSSH ရှိ algorithms အသစ်များသို့ ကူးပြောင်းမှုကို ချောမွေ့စေရန်၊ နောက်ထွက်ရှိမှုသည် UpdateHostKeys ဆက်တင်ကို ပုံမှန်အားဖြင့် ဖွင့်ပေးမည်ဖြစ်ပြီး၊ သုံးစွဲသူများကို ပိုမိုယုံကြည်စိတ်ချရသော အယ်လဂိုရီသမ်များသို့ အလိုအလျောက် ရွှေ့ပြောင်းပေးမည်ဖြစ်သည်။ ပြောင်းရွှေ့ခြင်းအတွက် အကြံပြုထားသော အယ်လဂိုရီသမ်များတွင် RFC2 RSA SHA-256 ကိုအခြေခံသည့် rsa-sha512-8332/2 (OpenSSH 7.2 ကတည်းက ပံ့ပိုးထားပြီး မူရင်းအတိုင်းအသုံးပြုထားသည်)၊ ssh-ed25519 (OpenSSH 6.5 ကတည်းက ပံ့ပိုးထားသည်) နှင့် ecdsa-sha2-nisp256/384/521 RFC5656 ECDSA (OpenSSH 5.7 ကတည်းက ပံ့ပိုးထားသည်)။

source: opennet.ru