FIDO/U8.2F two-factor authentication တိုကင်များအတွက် ပံ့ပိုးမှုဖြင့် OpenSSH 2 ထွက်ရှိသည်

လေးလကြာပြီးနောက် ဖွံ့ဖြိုးတိုးတက်လာသည်။ တင်ဆက် လွှတ်ပေး OpenSSH ၈.၂SSH 2.0 နှင့် SFTP ပရိုတိုကောများပေါ်တွင် အလုပ်လုပ်ရန်အတွက် ကလိုင်းယင့်နှင့် ဆာဗာ၏ ပွင့်လင်းသော အကောင်အထည်ဖော်မှုတစ်ခု။

OpenSSH 8.2 ထုတ်ဝေမှုတွင် အဓိက တိုးတက်မှုမှာ ပရိုတိုကောကို ပံ့ပိုးပေးသည့် စက်ပစ္စည်းများဖြင့် two-factor authentication ကို အသုံးပြုနိုင်စွမ်း၊ U2Fမဟာမိတ်အဖွဲ့မှတီထွင်ခဲ့သည်။ Fido. U2F သည် သင့်အား USB၊ Bluetooth သို့မဟုတ် NFC မှတစ်ဆင့် အပြန်အလှန်တုံ့ပြန်မှုပြုလုပ်သည့် အသုံးပြုသူ၏ရုပ်ပိုင်းဆိုင်ရာတည်ရှိမှုကို အတည်ပြုရန် ကုန်ကျစရိတ်နည်းသော ဟာ့ဒ်ဝဲတိုကင်များကို ဖန်တီးနိုင်စေသည်။ ဤစက်ပစ္စည်းများကို ဝဘ်ဆိုက်များပေါ်ရှိ two-factor authentication ၏နည်းလမ်းအဖြစ် မြှင့်တင်ထားပြီး၊ အဓိကဘရောက်ဆာများက ပံ့ပိုးထားပြီး၊ Yubico၊ Feitian၊ Thetis နှင့် Kensington အပါအဝင် ထုတ်လုပ်သူအမျိုးမျိုးမှ ရရှိနိုင်ပါသည်။

အသုံးပြုသူ၏တည်ရှိမှုကိုအတည်ပြုသည့်စက်ပစ္စည်းများနှင့်အပြန်အလှန်တုံ့ပြန်ရန်အတွက်၊ OpenSSH သည် SHA-25519 hash နှင့် ဒစ်ဂျစ်တယ်လက်မှတ်ထိုးခြင်းဆိုင်ရာ အယ်လဂိုရီသမ် ECDSA နှင့် Ed25519 ကိုအသုံးပြုသည့်သော့အမျိုးအစားအသစ်များဖြစ်သော "ecdsa-sk" နှင့် "ed256-sk" ကို ထည့်သွင်းခဲ့သည်။ တိုကင်များနှင့် အပြန်အလှန်ဆက်ဆံခြင်းအတွက် လုပ်ထုံးလုပ်နည်းများကို PKCS #11 ပံ့ပိုးမှုအတွက် စာကြည့်တိုက်နှင့် အလားတူစွာ တင်ဆောင်ထားသည့် အလယ်အလတ်စာကြည့်တိုက်တစ်ခုသို့ ရွှေ့လိုက်သည် libfido2USB မှတဆင့် တိုကင်များနှင့် ဆက်သွယ်ခြင်းအတွက် နည်းလမ်းများ (FIDO U2F/CTAP 1 နှင့် FIDO 2.0/CTAP 2 ပရိုတိုကောများကို ပံ့ပိုးသည်)။ OpenSSH developer များ၊ အလယ်အလတ်စာကြည့်တိုက် libsk-libfido2 မှ ပြင်ဆင်ထားသည်။ ပါဝင်သည် ကဲ့သို့သော libfido2 ၏အဓိကဖွဲ့စည်းမှုသို့ HID ယာဉ်မောင်း OpenBSD အတွက်

စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းနှင့် သော့ထုတ်လုပ်ခြင်းအတွက်၊ ဆက်တင်များတွင် "SecurityKeyProvider" ဘောင်ကို သတ်မှတ်ရပါမည် သို့မဟုတ် SSH_SK_PROVIDER ပတ်၀န်းကျင်ပြောင်းလွဲပြောင်းကို သတ်မှတ်၍ ပြင်ပစာကြည့်တိုက် libsk-libfido2.so သို့လမ်းကြောင်းကို သတ်မှတ်ခြင်း (SSH_SK_PROVIDER=/path/to/libsk-libfido2.so ကို ထုတ်ယူပါ။ ) အကယ်၍ သင်သည် "SecurityKeyProvider=internal" ဘောင်ကို သတ်မှတ်ရန် လိုအပ်ပြီး ၎င်းတွင် interlayer စာကြည့်တိုက် (--with-security-key-builtin) အတွက် built-in ပံ့ပိုးမှုဖြင့် openssh ကို တည်ဆောက်နိုင်သည်။
ထို့နောက်၊ သင်သည် "ssh-keygen -t ecdsa-sk" ကို run ရန် လိုအပ်သည် သို့မဟုတ် သော့များကို ဖန်တီးပြီး ပြင်ဆင်ပြီးပါက "ssh" ကို အသုံးပြု၍ ဆာဗာသို့ ချိတ်ဆက်ပါ။ ssh-keygen ကိုအသုံးပြုသောအခါ၊ ထုတ်လုပ်ထားသောသော့အတွဲကို "~/.ssh/id_ecdsa_sk" တွင် သိမ်းဆည်းမည်ဖြစ်ပြီး အခြားသော့များကဲ့သို့ အလားတူအသုံးပြုနိုင်ပါသည်။

အများသူငှာသော့ (id_ecdsa_sk.pub) ကို authorized_keys ဖိုင်ရှိ ဆာဗာသို့ ကူးယူသင့်သည်။ ဆာဗာဘက်တွင်၊ ဒစ်ဂျစ်တယ်လက်မှတ်ကိုသာ အမှန်ခြစ်ပြီး တိုကင်များနှင့် အပြန်အလှန်တုံ့ပြန်မှုကို client ဘက်မှ လုပ်ဆောင်သည် (libsk-libfido2 ကို ဆာဗာတွင် ထည့်သွင်းရန် မလိုအပ်သော်လည်း ဆာဗာသည် "ecdsa-sk" သော့အမျိုးအစားကို ပံ့ပိုးပေးရမည်) . ထုတ်လုပ်ထားသော ကိုယ်ပိုင်သော့ (id_ecdsa_sk) သည် အခြေခံအားဖြင့် U2F တိုကင်၏ဘေးတွင် သိမ်းဆည်းထားသော လျှို့ဝှက်အစီအစဥ်ဖြင့်သာ သော့အစစ်အမှန်ကို ပေါင်းစပ်ဖွဲ့စည်းသည့် အဓိကဖော်ပြချက်တစ်ခုဖြစ်သည်။ အကယ်၍ id_ecdsa_sk သော့သည် တိုက်ခိုက်သူ၏လက်သို့ ကျရောက်ပါက၊ အထောက်အထားစိစစ်ခြင်းကို ဖြတ်ကျော်ရန်အတွက် id_ecdsa_sk ဖိုင်တွင် သိမ်းဆည်းထားသည့် သီးသန့်သော့သည် အသုံးမဝင်ဘဲ ဟာ့ဒ်ဝဲတိုကင်တစ်ခုသို့လည်း ဝင်ရောက်ခွင့်ရရှိရန် လိုအပ်မည်ဖြစ်သည်။

ထို့အပြင် ပုံမှန်အားဖြင့်၊ သော့များဖြင့် လုပ်ဆောင်ချက်တစ်ခုခုကို လုပ်ဆောင်သည့်အခါ (မျိုးဆက်နှင့် စစ်မှန်ကြောင်းအထောက်အထားပြနေစဉ်)၊ အသုံးပြုသူ၏ရုပ်ပိုင်းဆိုင်ရာတည်ရှိမှုကို ဒေသတွင်းအတည်ပြုရန် လိုအပ်သည်၊ ဥပမာ၊ တိုကင်ပေါ်ရှိ အာရုံခံကိရိယာကို ထိရန် အကြံပြုထားသည်၊ ချိတ်ဆက်ထားသော တိုကင်တစ်ခုဖြင့် စနစ်များအပေါ် အဝေးထိန်းတိုက်ခိုက်မှုများကို လုပ်ဆောင်ပါ။ အခြားကာကွယ်ရေးလိုင်းတစ်ခုအနေဖြင့်၊ ssh-keygen စတင်သည့်အဆင့်သည် သော့ဖိုင်ကိုဝင်ရောက်ရန် စကားဝှက်တစ်ခုပေးနိုင်သည်။

OpenSSH ၏ ဗားရှင်းအသစ်သည် SHA-1 hashes ကို အသုံးပြု၍ လာမည့် algorithms များကို ဖျက်သိမ်းကြောင်း ကြေညာခဲ့သည်။ ပရိုမိုးရှင်း ပေးထားသော ရှေ့ဆက်တွဲဖြင့် တိုက်မှု တိုက်ခိုက်မှုများ၏ ထိရောက်မှု (ယာဉ်တိုက်မှုတစ်ခုကို ရွေးချယ်ရန် ကုန်ကျစရိတ်မှာ ခန့်မှန်းခြေ ဒေါ်လာ ၄၅ဝဝ ခန့်) ဖြစ်သည်။ လာမည့်ထုတ်ဝေမှုများအနက်တစ်ခုတွင်၊ ၎င်းတို့သည် SSH ပရိုတိုကောအတွက် မူရင်း RFC တွင်ဖော်ပြထားသည့် ssh-rsa အများသူငှာသော့ဒစ်ဂျစ်တယ်လက်မှတ်အယ်လ်ဂိုရီသမ်ကို အသုံးပြုနိုင်သည့်စွမ်းရည်ကို ပုံသေဖြင့်ပိတ်ရန်စီစဉ်ထားပြီး (ssh အသုံးပြုမှုကိုစစ်ဆေးရန်၊ -rsa သင့်စနစ်များတွင်၊ သင်သည် "-oHostKeyAlgorithms=-ssh-rsa" ရွေးချယ်မှုဖြင့် ssh မှတစ်ဆင့် ချိတ်ဆက်ရန် ကြိုးစားနိုင်သည်။

OpenSSH ရှိ အယ်လဂိုရီသမ်အသစ်များသို့ ကူးပြောင်းမှုကို ချောမွေ့စေရန်၊ နောက်ထွက်ရှိမှုများထဲမှ တစ်ခုတွင်၊ UpdateHostKeys ဆက်တင်ကို မူရင်းအတိုင်း ဖွင့်ထားမည်ဖြစ်ပြီး၊ ၎င်းသည် သုံးစွဲသူများကို ပိုမိုယုံကြည်စိတ်ချရသော အယ်လဂိုရီသမ်များထံ အလိုအလျောက် ရွှေ့ပြောင်းပေးမည်ဖြစ်သည်။ ရွှေ့ပြောင်းခြင်းအတွက် အကြံပြုထားသော အယ်လဂိုရီသမ်များတွင် RFC2 RSA SHA-256 ကိုအခြေခံသည့် rsa-sha512-8332/2 (OpenSSH 7.2 ကတည်းက ပံ့ပိုးထားပြီး မူရင်းအတိုင်းအသုံးပြုထားသည်)၊ ssh-ed25519 (OpenSSH 6.5 ကတည်းက ပံ့ပိုးထားသည်) နှင့် ecdsa-sha2-nistp256/384 RFC521 ECDSA (OpenSSH 5656 ကတည်းက ပံ့ပိုးထားသည်)။

OpenSSH 8.2 တွင်၊ "ssh-rsa" ကို အသုံးပြု၍ ချိတ်ဆက်နိုင်သည့် စွမ်းရည်ကို ဆက်လက်ရရှိနိုင်သော်လည်း၊ ဤအယ်လဂိုရီသမ်ကို CASignatureAlgorithms စာရင်းမှ ဖယ်ရှားလိုက်ပြီး၊ ဒစ်ဂျစ်တယ်လက်မှတ်အသစ်များကို လက်မှတ်ထိုးရန်အတွက် ခွင့်ပြုထားသော အယ်လဂိုရီသမ်များကို သတ်မှတ်ပေးသည့် CASignatureAlgorithms စာရင်းမှ ဖယ်ရှားလိုက်ပါသည်။ အလားတူ၊ diffie-hellman-group14-sha1 algorithm ကို ပုံသေသော့လဲလှယ်သည့် အယ်လဂိုရီသမ်များမှ ဖယ်ရှားလိုက်ပါသည်။ အသိအမှတ်ပြုလက်မှတ်များတွင် SHA-1 ကိုအသုံးပြုခြင်းသည် တိုက်ခိုက်သူတွင် ရှိပြီးသားသက်သေခံလက်မှတ်တစ်ခုအတွက် တိုက်မိမှုတစ်ခုကိုရှာဖွေရန် အချိန်အကန့်အသတ်မရှိသောကြောင့်ဖြစ်ပြီး၊ လက်ခံသူကီးများ၏တိုက်ခိုက်မှုအချိန်ကို ချိတ်ဆက်မှုအချိန်ကုန်ဆုံးချိန် (LoginGraceTime) ဖြင့် ကန့်သတ်ထားသောကြောင့်၊ .

ssh-keygen သည် ယခုအခါ OpenSSH 2 မှ ပံ့ပိုးပေးထားသော rsa-sha512-7.2 အယ်လဂိုရီသမ်သို့ ပုံသေသတ်မှတ်ထားပြီး OpenSSH 8.2-လက်မှတ်ထိုးထားသော လက်မှတ်များကို လုပ်ဆောင်သည့်စနစ်များတွင် OpenSSH အဟောင်းများပါရှိသည့် စနစ်များတွင် လုပ်ဆောင်သည့်အခါ လိုက်ဖက်ညီမှုပြဿနာများကို ဖန်တီးပေးနိုင်သည့် ပြဿနာများကို ဖန်တီးပေးနိုင်သည် -keygen -t ssh-rsa" သို့မဟုတ် OpenSSH 2 ကတည်းက ပံ့ပိုးထားသော ecdsa-sha256-nistp384/521/5.7 algorithms ကိုသုံးပါ။

အခြားပြောင်းလဲမှုများ-

• Include directive ကို sshd_config တွင် ထည့်သွင်းထားပြီး၊ ၎င်းသည် အခြားဖိုင်များ၏ အကြောင်းအရာများကို configuration file ၏ လက်ရှိအနေအထားတွင် ထည့်သွင်းနိုင်သည် (ဖိုင်အမည်ကို သတ်မှတ်သည့်အခါ glob masks များကို ခွင့်ပြုထားသည်)။
• ssh-keygen တွင် "no-touch-required" option ကိုထည့်သွင်းထားပြီး၊ သော့တစ်ခုဖန်တီးသည့်အခါ တိုကင်သို့ဝင်ရောက်ခွင့်အတည်ပြုရန် လိုအပ်မှုကို ပိတ်ထားသည်။
• အများသူငှာသော့စစ်မှန်ကြောင်းသက်သေပြခြင်းနှင့်သက်ဆိုင်သည့်အမျိုးမျိုးသောရွေးချယ်စရာများကိုပေါင်းစပ်ရန် sshd_config သို့ PubkeyAuthOptions ညွှန်ကြားချက်ကို ထည့်သွင်းခဲ့သည်။ လောလောဆယ်တွင်၊ တိုကင်တစ်ခုဖြင့် စစ်မှန်ကြောင်းအထောက်အထားပြသည့်အခါ ရုပ်ပိုင်းဆိုင်ရာတည်ရှိမှုစစ်ဆေးခြင်းကို ကျော်ရန် "ထိစရာမလိုသော" အလံကိုသာ ပံ့ပိုးထားသည်။ ဥပမာအားဖြင့်၊ "touch-required" option ကို authorized_keys ဖိုင်တွင် ထည့်သွင်းထားသည်။
• သော့များထုတ်ပေးသည့်အခါ FIDO သက်သေခံလက်မှတ်များ ထပ်မံရေးသားရန်အတွက် "-O write-attestation=/path" option ကို ssh-keygen တွင် ထည့်သွင်းခဲ့သည်။ OpenSSH သည် ဤလက်မှတ်များကို အသုံးမပြုသေးသော်လည်း သော့ကို ယုံကြည်စိတ်ချရသော ဟာ့ဒ်ဝဲစတိုးတွင် ထားရှိထားကြောင်း အတည်ပြုရန် ၎င်းတို့ကို နောက်ပိုင်းတွင် အသုံးပြုနိုင်သည်။
• IPQoS ညွှန်ကြားချက်မှတဆင့် ssh နှင့် sshd ၏ဆက်တင်များတွင်၊ ယခု traffic ဦးစားပေးမုဒ်ကို သတ်မှတ်နိုင်ပါပြီ LE DSCP (Lower-Effort Per-Hop Behavior);
• ssh တွင်၊ "AddKeysToAgent=yes" တန်ဖိုးကို သတ်မှတ်သည့်အခါ သော့သည် မှတ်ချက်တစ်ခုပါရှိသော အကွက်တစ်ခု မပါဝင်ပါက၊ ၎င်းကို မှတ်ချက်တစ်ခုအဖြစ် သော့လမ်းကြောင်းဖြင့် ssh-agent သို့ ပေါင်းထည့်မည်ဖြစ်သည်။ IN
  ssh-keygen နှင့် ssh-agent တို့သည် ယခုအခါ သော့ရှိမှတ်ချက်များအဖြစ် စာကြည့်တိုက်လမ်းကြောင်းအစား PKCS#11 တဂ်များနှင့် X.509 အကြောင်းအရာအမည်ကို အသုံးပြုပါသည်။
• DSA နှင့် ECDSA သော့များအတွက် PEM ကို ssh-keygen သို့ တင်ပို့နိုင်မှုကို ထပ်ဖြည့်ထားသည်။
• FIDO/U2F တိုကင်ဝင်ရောက်ခွင့်စာကြည့်တိုက်ကို သီးခြားခွဲထုတ်ရန် အသုံးပြုသည့် executable ssh-sk-helper အသစ်တစ်ခု ထပ်ထည့်ထားသည်။
• zlib စာကြည့်တိုက်ပံ့ပိုးမှုဖြင့် compile လုပ်ရန် "--with-zlib" build option ကို ssh နှင့် sshd တွင် ထည့်ထားသည်။
• RFC4253 ၏လိုအပ်ချက်နှင့်အညီ၊ ချိတ်ဆက်မှုတွင်ပြသထားသည့်နဖူးစည်းသည် MaxStartups ကန့်သတ်ချက်ထက်ကျော်လွန်ခြင်းကြောင့်ဝင်ရောက်ခွင့်ကိုပိတ်ဆို့ခြင်းနှင့်ပတ်သက်၍သတိပေးချက်ပေးထားသည်။ ရောဂါရှာဖွေမှုများကို ရိုးရှင်းစေရန်၊ ps utility ကိုအသုံးပြုသည့်အခါ မြင်နိုင်သော sshd လုပ်ငန်းစဉ် ခေါင်းစီးသည် လက်ရှိ စစ်မှန်ကြောင်း အတည်ပြုထားသော ချိတ်ဆက်မှုများ အရေအတွက်နှင့် MaxStartups ကန့်သတ်ချက်၏ အခြေအနေကို ပြသသည်။
• ssh နှင့် ssh-agent တွင်၊ $SSH_ASKPASS မှတစ်ဆင့် သတ်မှတ်ပေးထားသည့် အချက်ပြရန် ပရိုဂရမ်ကို ခေါ်ဆိုသောအခါ၊ နှိုးဆော်ချက်အမျိုးအစားပါသော အလံကို ယခု ထပ်လောင်းပို့သည်- "confirm" - အတည်ပြုဒိုင်ယာလော့ဂ် (ဟုတ်/မဟုတ်)၊ "မရှိ" - အချက်အလက်ဆိုင်ရာ မက်ဆေ့ဂျ်၊ "blank" — စကားဝှက်တောင်းဆိုမှု;
• သတ်မှတ်ထားသော ဒစ်ဂျစ်တယ် လက်မှတ်နှင့် ဆက်စပ်သော အသုံးပြုသူအတွက် ခွင့်ပြုထားသော လက်မှတ်ထိုးသူများ ဖိုင်ကို ရှာဖွေရန် ဒစ်ဂျစ်တယ် လက်မှတ် လုပ်ဆောင်ချက် အသစ် "find-principals" ကို ssh-keygen တွင် ထည့်သွင်းခဲ့သည်။
• Улучшена поддержка изоляции процесса sshd в Linux при помощи механизма seccomp: запрещены системные вызовы IPC, разрешены clock_gettime64(), clock_nanosleep_time64 и clock_nanosleep().

source: opennet.ru