sshd တွင်အားနည်းချက်များကိုဖယ်ရှားခြင်းဖြင့် OpenSSH 8.9 ကိုဖြန့်ချိသည်။

ဖွံ့ဖြိုးတိုးတက်မှု ခြောက်လအကြာတွင် SSH 8.9 နှင့် SFTP ပရိုတိုကောများပေါ်တွင် အလုပ်လုပ်ဆောင်ရန်အတွက် OpenSSH 2.0၊ အဖွင့် client နှင့် server အကောင်အထည်ဖော်မှုတို့ကို တင်ပြခဲ့ပါသည်။ sshd ဗားရှင်းအသစ်သည် အထောက်အထားမခိုင်လုံသော ဝင်ရောက်ခွင့်ကို ခွင့်ပြုပေးနိုင်သည့် အားနည်းချက်ကို ပြင်ဆင်ပေးသည်။ ဤပြဿနာသည် အထောက်အထားစိစစ်ခြင်းကုဒ်တွင် ကိန်းပြည့်ပြည့်လျှံခြင်းကြောင့် ဖြစ်ပေါ်လာသော်လည်း၊ ကုဒ်ရှိ အခြားယုတ္တိအမှားအယွင်းများနှင့် ပေါင်းစပ်မှသာ အသုံးချနိုင်သည်။

၎င်း၏လက်ရှိပုံစံတွင်၊ အခွင့်ထူးခြားနားခြင်းမုဒ်ကို ဖွင့်ထားသောအခါတွင် အားနည်းချက်ကို အသုံးချ၍မရပါ။ သီးသန့်ခွဲထွက်မုဒ်ကို OpenSSH 2002 မှ စတင်ကာ 3.2.2 ခုနှစ်ကတည်းက မူရင်းအတိုင်း ဖွင့်ထားခဲ့ပြီး OpenSSH 7.5 ကို 2017 ခုနှစ်တွင် ထုတ်ဝေပြီးကတည်းက မဖြစ်မနေလုပ်ဆောင်ခဲ့ခြင်းဖြစ်သည်။ ထို့အပြင်၊ ထုတ်ဝေမှု 6.5 (2014) မှစတင်သည့် OpenSSH ၏သယ်ဆောင်ရလွယ်ကူသောဗားရှင်းများတွင် ကိန်းပြည့်လျှံမှုကာကွယ်ရေးအလံများပါ၀င်မှုနှင့်အတူ ပေါင်းစည်းခြင်းဖြင့် အားနည်းချက်ကို ပိတ်ဆို့ထားသည်။

အခြားပြောင်းလဲမှုများ-

• sshd ရှိ OpenSSH ၏ သယ်ဆောင်ရလွယ်ကူသောဗားရှင်းသည် MD5 အယ်ဂိုရီသမ်ကို အသုံးပြု၍ စကားဝှက်များကို ဟက်ခြင်းအတွက် မူရင်းပံ့ပိုးမှုကို ဖယ်ရှားလိုက်သည် (libxcrypt ကဲ့သို့သော ပြင်ပစာကြည့်တိုက်များနှင့် လင့်ခ်ချိတ်ခြင်းကို ပြန်သွားရန်ခွင့်ပြုသည်)။
• ssh၊ sshd၊ ssh-add၊ နှင့် ssh-agent သည် ssh-agent သို့ ထည့်ထားသော သော့များ ပေးပို့ခြင်းနှင့် အသုံးပြုခြင်းကို ကန့်သတ်ရန် စနစ်ခွဲတစ်ခုကို အကောင်အထည်ဖော်သည်။ စနစ်ခွဲသည် သင့်အား ssh-agent တွင် သော့များကို မည်ကဲ့သို့နှင့် မည်သည့်နေရာတွင် အသုံးပြုနိုင်ကြောင်း ဆုံးဖြတ်သည့် စည်းမျဉ်းများကို သတ်မှတ်ခွင့်ပြုသည်။ ဥပမာအားဖြင့်၊ host scylla.example.org နှင့်ချိတ်ဆက်ထားသောမည်သည့်အသုံးပြုသူကိုမဆိုစစ်မှန်ကြောင်းအထောက်အထားပြရန်သာအသုံးပြုနိုင်သည့်သော့ကိုထည့်ရန်၊ အသုံးပြုသူသည် host cetus.example.org သို့အသုံးပြုသည်၊ နှင့် host charybdis.example.org သို့အသုံးပြုသူ medea အလယ်အလတ် host scylla.example.org မှတဆင့် ပြန်လည်ညွှန်းခြင်းဖြင့်၊ သင်သည် အောက်ပါ command ကို သုံးနိုင်သည်- $ssh-add -h"[အီးမေးလ်ကိုကာကွယ်ထားသည်]» \ -h «scylla.example.org» \ -h «scylla.example.org>[အီးမေးလ်ကိုကာကွယ်ထားသည်]» \ ~/.ssh/id_ed25519
• ssh နှင့် sshd တွင်၊ ပုံမှန်အားဖြင့် ပေါင်းစပ် အယ်လဂိုရီသမ်ကို KexAlgorithms စာရင်းသို့ ထည့်ထားပြီး၊ ၎င်းသည် သော့လဲလှယ်မှုနည်းလမ်းများကို ရွေးချယ်သည့်အစီအစဥ်ကို ဆုံးဖြတ်ပေးသည်။[အီးမေးလ်ကိုကာကွယ်ထားသည်]"(ECDH/x25519 + NTRU Prime)၊ ကွမ်တမ်ကွန်ပျူတာများတွင် ရွေးချယ်မှုကို ခံနိုင်ရည်ရှိသည်။ OpenSSH 8.9 တွင်၊ ဤညှိနှိုင်းရေးနည်းလမ်းကို ECDH နှင့် DH နည်းလမ်းများကြားတွင် ထည့်သွင်းထားသော်လည်း ၎င်းကို လာမည့်ထုတ်ဝေမှုတွင် မူရင်းအတိုင်း ဖွင့်ထားရန် စီစဉ်ထားသည်။
• ssh-keygen၊ ssh နှင့် ssh-agent များသည် biometric စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းအတွက်သော့များအပါအဝင် စက်စစ်ဆေးခြင်းအတွက်အသုံးပြုသည့် FIDO တိုကင်ကီးများကို ပိုမိုကောင်းမွန်စွာကိုင်တွယ်နိုင်ပါပြီ။
• ခွင့်ပြုထားသောအမည်စာရင်းဖိုင်တွင် အသုံးပြုသူအမည်များကို စစ်ဆေးရန် "ssh-keygen -Y match-principals" ညွှန်ကြားချက်ကို ssh-keygen တွင် ထည့်သွင်းခဲ့သည်။
• ssh-add နှင့် ssh-agent သည် PIN ကုဒ်ဖြင့် ကာကွယ်ထားသော FIDO သော့များကို ssh-agent သို့ ထည့်သွင်းနိုင်သည် (PIN တောင်းဆိုချက်ကို အထောက်အထားစိစစ်သည့်အချိန်တွင် ပြသသည်)။
• ssh-keygen သည် signature မျိုးဆက်အတွင်း hashing algorithm (sha512 သို့မဟုတ် sha256) ကို ရွေးချယ်ခွင့်ပေးသည်။
• ssh နှင့် sshd တွင်၊ စွမ်းဆောင်ရည်မြှင့်တင်ရန်၊ ကွန်ရက်ဒေတာကို အဝင်ပက်ကတ်များ၏ ကြားခံထဲသို့ တိုက်ရိုက်ဖတ်ပြီး stack ပေါ်ရှိ အလယ်အလတ်ကြားခံကြားခံကို ကျော်ဖြတ်ပါ။ လက်ခံရရှိသောဒေတာကို ချန်နယ်ကြားခံတစ်ခုသို့ တိုက်ရိုက်နေရာချထားခြင်းကို အလားတူနည်းလမ်းဖြင့် အကောင်အထည်ဖော်သည်။
• ssh တွင်၊ PubkeyAuthentication ညွှန်ကြားချက်သည် အသုံးပြုရန် ပရိုတိုကော တိုးချဲ့မှုကို ရွေးချယ်နိုင်စေရန် ပံ့ပိုးပေးထားသည့် ကန့်သတ်ဘောင်များစာရင်း (yes|no|unbound|host-bound) ကို တိုးချဲ့ထားသည်။

အနာဂတ်ထုတ်ဝေမှုတွင်၊ ကျွန်ုပ်တို့သည် အမွေအနှစ် SCP/RCP ပရိုတိုကောအစား SFTP ကိုအသုံးပြုရန်အတွက် scp utility ၏မူလပုံစံကို ပြောင်းလဲရန် စီစဉ်ထားပါသည်။ SFTP သည် ပိုမိုခန့်မှန်းနိုင်သော အမည်ကိုင်တွယ်ခြင်းနည်းလမ်းများကို အသုံးပြုပြီး လုံခြုံရေးပြဿနာများကို ဖန်တီးပေးသည့် အခြားဟို့စ်၏ဘက်ခြမ်းရှိ ဖိုင်အမည်များတွင် glob ပုံစံများကို အခွံလုပ်ဆောင်ခြင်းကို အသုံးမပြုပါ။ အထူးသဖြင့်၊ SCP နှင့် RCP ကိုအသုံးပြုသည့်အခါ၊ ဆာဗာသည် သုံးစွဲသူထံ ပေးပို့ရမည့်ဖိုင်များနှင့် လမ်းညွှန်များကို ဆုံးဖြတ်ပေးမည်ဖြစ်ပြီး၊ client ဘက်မှ သင့်လျော်သော စစ်ဆေးမှုများမရှိပါက၊ ဖောက်သည်ဘက်မှ ပြန်လည်ပေးပို့လာသည့် အရာအမည်များ၏ မှန်ကန်မှုကိုသာ စစ်ဆေးသည်။ တောင်းဆိုထားသည့်အရာများနှင့် မတူသော အခြားဖိုင်အမည်များကို လွှဲပြောင်းရန် ဆာဗာ။ SFTP ပရိုတိုကောတွင် ဤပြဿနာများ မရှိသော်လည်း “~/” ကဲ့သို့သော အထူးလမ်းကြောင်းများ ချဲ့ထွင်ခြင်းကို မပံ့ပိုးပါ။ ဤကွာခြားချက်ကို ကိုင်တွယ်ဖြေရှင်းရန်၊ ယခင်ထုတ်လွှတ်မှုတွင် OpenSSH သည် SFTP ဆာဗာအကောင်အထည်ဖော်မှုတွင် ~/ နှင့် ~ အသုံးပြုသူ/ လမ်းကြောင်းများသို့ SFTP ပရိုတိုကော တိုးချဲ့မှုအသစ်တစ်ခုကို မိတ်ဆက်ပေးခဲ့သည်။

source: opennet.ru