လေးလကြာ ဖွံ့ဖြိုးတိုးတက်ပြီးနောက်၊ SSH 8.7 နှင့် SFTP ပရိုတိုကောများပေါ်တွင် အလုပ်လုပ်ရန်အတွက် ကလိုင်းယင့်နှင့် ဆာဗာ၏ ပွင့်လင်းသော အကောင်အထည်ဖော်မှုဖြစ်သော OpenSSH 2.0 ကို တင်ဆက်ခဲ့သည်။
အဓိကပြောင်းလဲမှုများ-
- သမားရိုးကျ SCP/RCP ပရိုတိုကောအစား SFTP ပရိုတိုကောကို အသုံးပြု၍ စမ်းသပ်ဒေတာလွှဲပြောင်းမှုမုဒ်ကို scp သို့ ပေါင်းထည့်ထားသည်။ SFTP သည် ပိုမိုခန့်မှန်းနိုင်သော အမည်ကိုင်တွယ်ခြင်းနည်းလမ်းများကို အသုံးပြုပြီး လုံခြုံရေးပြဿနာများကို ဖန်တီးပေးသည့် အခြားဟို့စ်၏ဘက်ခြမ်းရှိ glob ပုံစံများကို အခွံလုပ်ဆောင်ခြင်းကို အသုံးမပြုပါ။ SFTP ကို scp တွင်ဖွင့်ရန်၊ "-s" အလံကို အဆိုပြုထားပြီး၊ သို့သော် အနာဂတ်တွင် ၎င်းကို မူရင်းအတိုင်း ဤပရိုတိုကောသို့ ပြောင်းရန် စီစဉ်ထားသည်။
- sftp-ဆာဗာသည် scp အတွက် လိုအပ်သော ~/ နှင့် ~user/ paths များကို ချဲ့ထွင်ရန်အတွက် SFTP ပရိုတိုကောတွင် တိုးချဲ့မှုများကို လုပ်ဆောင်သည်။
- scp utility သည် “scp host-a:/path host-b:”) ကို သတ်မှတ်သည့်အခါတွင်၊ “scp host-a:/path host-b:”) အကြား ဖိုင်များကို ကူးယူသောအခါတွင် အပြုအမူကို ပြောင်းလဲလိုက်သည်၊၊ အလံ - ၃ လက်မ။ ဤနည်းလမ်းသည် သင့်အား မလိုအပ်သော အထောက်အထားများကို ပထမအိမ်ရှင်ထံ လွှဲပြောင်းပေးခြင်းနှင့် shell ရှိ ဖိုင်အမည်များ (အရင်းအမြစ်၊ ဦးတည်ရာနှင့် ဒေသဆိုင်ရာစနစ်ဘက်ခြမ်း) တွင် သုံးဆသော အဓိပ္ပာယ်ဖွင့်ဆိုခြင်းကို ရှောင်ရှားနိုင်စေပြီး SFTP ကိုအသုံးပြုသည့်အခါ၊ အဝေးထိန်းစနစ်ကို အသုံးပြုသည့်အခါ အထောက်အထားစိစစ်ခြင်းနည်းလမ်းအားလုံးကို အသုံးပြုခွင့်ပေးသည်။ hosts များသာမက အပြန်အလှန်အကျိုးပြုသောနည်းလမ်းများသာမကဘဲ။ အပြုအမူဟောင်းကို ပြန်လည်ထိန်းသိမ်းရန် "-R" ရွေးချယ်မှုကို ထည့်သွင်းထားသည်။
- "-f" အလံနှင့်သက်ဆိုင်သော ssh သို့ ForkAfterAuthentication ဆက်တင်ကို ပေါင်းထည့်ထားသည်။
- "-n" အလံနှင့် သက်ဆိုင်သော ssh သို့ StdinNull ဆက်တင်ကို ပေါင်းထည့်ထားသည်။
- SessionType ဆက်တင်ကို "-N" (စက်ရှင်မရှိ) နှင့် "-s" (စနစ်ခွဲ) အလံများနှင့် သက်ဆိုင်သည့် မုဒ်များကို သင်သတ်မှတ်နိုင်သောကြောင့် SessionType ဆက်တင်ကို ssh တွင် ထည့်သွင်းထားပါသည်။
- ssh-keygen သည် သင့်အား သော့ဖိုင်များတွင် သော့တရားဝင်မှုကြားကာလကို သတ်မှတ်ခွင့်ပြုသည်။
- sshsig လက်မှတ်၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့် အများသူငှာသော့အပြည့်အစုံကို ပရင့်ထုတ်ရန် "-Oprint-pubkey" အလံကို ssh-keygen တွင် ထည့်ထားသည်။
- ssh နှင့် sshd တွင်၊ client နှင့် server နှစ်ခုစလုံးသည် quotes၊ spaces နှင့် escape character များကိုကိုင်တွယ်ရန်အတွက် shell-like rules ကိုအသုံးပြုသည့်ပိုမိုတင်းကျပ်သောဖွဲ့စည်းပုံဖိုင်ခွဲခြမ်းစိပ်ဖြာမှုကိုအသုံးပြုရန်ရွှေ့ထားသည်။ ခွဲခြမ်းစိတ်ဖြာမှုအသစ်သည် ရွေးချယ်စရာများတွင် အငြင်းအခုံများကို ချန်လှပ်ခြင်း (ဥပမာ၊ DenyUsers ညွှန်ကြားချက်ကို အလွတ်ထား၍မရတော့ပါ)၊ မပိတ်ထားသောကိုးကားချက်များနှင့် စာလုံးများ = အများအပြားကို သတ်မှတ်ခြင်းကဲ့သို့သော ခွဲခြမ်းစိတ်ဖြာမှုအသစ်သည် ယခင်ပြုလုပ်ထားသော ယူဆချက်များကိုလည်း လျစ်လျူမရှုပါ။
- သော့များကိုစစ်ဆေးသည့်အခါ SSHFP DNS မှတ်တမ်းများကိုအသုံးပြုသည့်အခါ၊ ssh သည် ယခုအခါ တိကျသောဒစ်ဂျစ်တယ်လက်မှတ်အမျိုးအစားပါ၀င်သော အမျိုးအစားတစ်ခုတည်းမဟုတ်ဘဲ ကိုက်ညီသောမှတ်တမ်းအားလုံးကို စစ်ဆေးပါသည်။
- ssh-keygen တွင် -Ochallenge ရွေးချယ်မှုဖြင့် FIDO သော့ကိုထုတ်ပေးသောအခါ၊ 2 bytes ထက် ပိုကြီးသော သို့မဟုတ် သေးငယ်သော challenge sequences များကို အသုံးပြုခွင့်ပေးသည့် libfido32 ထက် ပါ၀င်သောအလွှာကို hashing အတွက် ယခုအသုံးပြုထားသည်။
- sshd တွင်၊ authorized_keys ဖိုင်များတွင် ညွှန်ကြားချက်များကို လုပ်ဆောင်သည့်အခါ၊ ပထမကိုက်ညီမှုအား ယခုလက်ခံပြီး 1024 ပတ်ဝန်းကျင် ပြောင်းလဲနိုင်သော အမည်များ ကန့်သတ်ချက်ရှိပါသည်။
OpenSSH developer များသည် ပေးထားသော ရှေ့ဆက်တွဲဖြင့် တိုက်မှုတိုက်ခိုက်မှုများ၏ ထိရောက်မှု တိုးလာခြင်းကြောင့် SHA-1 hashes ကို အသုံးပြုသည့် algorithms များ ပြိုကွဲသွားခြင်းအကြောင်းကိုလည်း သတိပေးခဲ့သည် (ယာဉ်တိုက်မှုတစ်ခုရွေးချယ်ခြင်းအတွက် ကုန်ကျစရိတ်မှာ ခန့်မှန်းခြေအားဖြင့် ဒေါ်လာ 50) ဖြစ်သည်။ လာမည့်ထုတ်ဝေမှုတွင်၊ SSH ပရိုတိုကောအတွက် မူရင်း RFC တွင်ဖော်ပြထားသည့် အများသူငှာသော့ဒစ်ဂျစ်တယ်လက်မှတ်အယ်လ်ဂိုရီသမ် "ssh-rsa" ကို အသုံးပြုနိုင်သည့်စွမ်းရည်ကို ပုံသေဖြင့်ပိတ်ထားရန် စီစဉ်ထားပြီး လက်တွေ့တွင်တွင်ကျယ်စွာအသုံးပြုနေဆဲဖြစ်သည်။
သင့်စနစ်များတွင် ssh-rsa အသုံးပြုမှုကို စမ်းသပ်ရန်၊ သင်သည် “-oHostKeyAlgorithms=-ssh-rsa” ရွေးချယ်မှုဖြင့် ssh မှတစ်ဆင့် ချိတ်ဆက်ကြည့်ပါ။ တစ်ချိန်တည်းမှာပင်၊ ပုံမှန်အားဖြင့် “ssh-rsa” ဒစ်ဂျစ်တယ်လက်မှတ်များကို ပိတ်ထားခြင်းသည် SHA-1 အပြင်၊ SSH ပရိုတိုကောသည် အခြားသော hash တွက်ချက်မှုဆိုင်ရာ အယ်လဂိုရီသမ်များကို အသုံးပြုခြင်းကို ခွင့်ပြုထားသောကြောင့် RSA သော့များအသုံးပြုမှုကို အပြီးအပြတ်စွန့်လွှတ်ခြင်းဟု မဆိုလိုပါ။ အထူးသဖြင့်၊ "ssh-rsa" အပြင်၊ "rsa-sha2-256" (RSA/SHA256) နှင့် "rsa-sha2-512" (RSA/SHA512) အစုအဝေးများကို အသုံးပြုရန် ဖြစ်နိုင်ခြေရှိနေမည်ဖြစ်ပါသည်။
အသစ်သော အယ်လဂိုရီသမ်များဆီသို့ ကူးပြောင်းမှုကို ချောမွေ့စေရန်၊ OpenSSH တွင် ယခင်က ပုံသေဖွင့်ထားသည့် UpdateHostKeys ဆက်တင်ကို သုံးစွဲသူများအား ပိုမိုယုံကြည်စိတ်ချရသော အယ်လဂိုရီသမ်များထံ အလိုအလျောက်ပြောင်းနိုင်စေမည့် default အနေဖြင့် ရှိခဲ့သည်။ ဤဆက်တင်ကို အသုံးပြု၍ အထူးပရိုတိုကော တိုးချဲ့မှုကို ဖွင့်ထားသည် “[အီးမေးလ်ကိုကာကွယ်ထားသည်]"၊ စစ်မှန်ကြောင်းအထောက်အထားပြပြီးနောက်၊ ရရှိနိုင်သော host keys အားလုံးကို client ကိုအကြောင်းကြားရန်ဆာဗာအားခွင့်ပြုသည်။ ကလိုင်းယင့်သည် ဤသော့များကို ၎င်း၏ ~/.ssh/known_hosts ဖိုင်တွင် ရောင်ပြန်ဟပ်နိုင်သည်၊ ၎င်းသည် အိမ်ရှင်သော့များကို အပ်ဒိတ်လုပ်ပြီး ဆာဗာပေါ်ရှိ သော့များကို ပြောင်းလဲရန် ပိုမိုလွယ်ကူစေသည်။
UpdateHostKeys ၏အသုံးပြုမှုကို အနာဂတ်တွင် ဖယ်ရှားနိုင်သည့် သတိပေးချက်များစွာဖြင့် ကန့်သတ်ထားပါသည်- သော့ကို UserKnownHostsFile တွင် ကိုးကားရမည်ဖြစ်ပြီး GlobalKnownHostsFile တွင် အသုံးမပြုပါ။ သော့သည် အမည်တစ်ခုတည်းအောက်တွင် ရှိနေရမည်။ လက်ခံသူသော့လက်မှတ်ကို အသုံးမပြုသင့်ပါ။ လက်ခံသူအမည်ဖြင့် know_hosts မျက်နှာဖုံးများကို အသုံးမပြုသင့်ပါ။ VerifyHostKeyDNS ဆက်တင်ကို ပိတ်ရပါမည်။ UserKnownHostsFile ကန့်သတ်ချက်သည် အသက်ဝင်နေရပါမည်။
ပြောင်းရွှေ့ခြင်းအတွက် အကြံပြုထားသော အယ်လဂိုရီသမ်များတွင် RFC2 RSA SHA-256 ကိုအခြေခံသည့် rsa-sha512-8332/2 (OpenSSH 7.2 ကတည်းက ပံ့ပိုးထားပြီး မူရင်းအတိုင်းအသုံးပြုထားသည်)၊ ssh-ed25519 (OpenSSH 6.5 ကတည်းက ပံ့ပိုးထားသည်) နှင့် ecdsa-sha2-nisp256/384/521 RFC5656 ECDSA (OpenSSH 5.7 ကတည်းက ပံ့ပိုးထားသည်)။
source: opennet.ru