🥇OpenSSH 8.0 रिलीज | प्रोहोस्टर

विकासको पाँच महिना पछि प्रस्तुत रिलीज ओपनएसएच .8.0..XNUMX, SSH 2.0 र SFTP प्रोटोकलहरू मार्फत काम गर्नको लागि खुला ग्राहक र सर्भर कार्यान्वयन।

मुख्य परिवर्तनहरू:

क्वान्टम कम्प्युटरमा ब्रूट-फोर्स आक्रमणहरूको प्रतिरोधी कुञ्जी विनिमय विधिको लागि प्रयोगात्मक समर्थन ssh र sshd मा थपिएको छ। क्वान्टम कम्प्यूटरहरू प्राइम फ्याक्टरहरूमा प्राकृतिक सङ्ख्यालाई विघटन गर्ने समस्या समाधान गर्नमा एकदमै छिटो छन्, जसले आधुनिक असिमेट्रिक एन्क्रिप्शन एल्गोरिदमहरू समाहित गर्दछ र शास्त्रीय प्रोसेसरहरूमा प्रभावकारी रूपमा समाधान गर्न सकिँदैन। प्रस्तावित विधि एल्गोरिदममा आधारित छ NTRU प्राइम (function ntrup4591761), पोस्ट-क्वान्टम क्रिप्टोसिस्टमका लागि विकसित, र अण्डाकार कर्भ कुञ्जी विनिमय विधि X25519;
sshd मा, ListenAddress र PermitOpen निर्देशनहरूले लिगेसी "होस्ट/पोर्ट" सिन्ट्याक्सलाई समर्थन गर्दैन, जुन 2001 मा IPv6 सँग काम गर्न सरल बनाउन "होस्ट: पोर्ट" को विकल्पको रूपमा लागू गरिएको थियो। आधुनिक परिस्थितिहरूमा, सिन्ट्याक्स "[::6]:1" IPv22 को लागि स्थापित गरिएको छ, र "होस्ट/पोर्ट" प्रायः सबनेट (CIDR) को संकेत गर्न भ्रमित हुन्छ;
ssh, ssh-agent र ssh-add now समर्थन कुञ्जीहरू ECDSA PKCS#11 टोकनहरूमा;
ssh-keygen मा, पूर्वनिर्धारित RSA कुञ्जी आकार 3072 बिट्समा बढाइएको छ, नयाँ NIST सिफारिसहरू अनुसार;
ssh ले ssh_config मा निर्दिष्ट PKCS11 प्रदायक निर्देशन ओभरराइड गर्न "PKCS11Provider=none" सेटिङको प्रयोग गर्न अनुमति दिन्छ;
sshd ले sshd_config मा "ForceCommand=internal-sftp" प्रतिबन्धद्वारा अवरुद्ध आदेशहरू कार्यान्वयन गर्ने प्रयास गर्दा जडान समाप्त हुँदा परिस्थितिहरूको लग प्रदर्शन प्रदान गर्दछ;
ssh मा, नयाँ होस्ट कुञ्जीको स्वीकृति पुष्टि गर्न अनुरोध प्रदर्शन गर्दा, "हो" प्रतिक्रियाको सट्टा, कुञ्जीको सही फिंगरप्रिन्ट अब स्वीकार गरिन्छ (जडान पुष्टि गर्न निमन्त्रणाको जवाफमा, प्रयोगकर्ताले प्रतिलिपि गर्न सक्छ। क्लिपबोर्ड मार्फत छुट्टै सन्दर्भ ह्यास प्राप्त गरियो, ताकि यसलाई म्यानुअल रूपमा तुलना नगर्नुहोस्);
ssh-keygen ले कमाण्ड लाइनमा धेरै प्रमाणपत्रहरूको लागि डिजिटल हस्ताक्षरहरू सिर्जना गर्दा प्रमाणपत्र अनुक्रम नम्बरको स्वचालित वृद्धि प्रदान गर्दछ;
नयाँ विकल्प "-J" scp र sftp मा थपिएको छ, ProxyJump सेटिङको बराबर;
ssh-एजेन्ट, ssh-pkcs11-हेल्पर र ssh-add मा, आउटपुटको जानकारी सामग्री बढाउन "-v" कमाण्ड लाइन विकल्पको प्रशोधन थपिएको छ (निर्दिष्ट हुँदा, यो विकल्प बाल प्रक्रियाहरूमा पठाइन्छ। उदाहरण, जब ssh-pkcs11-हेल्परलाई ssh-एजेन्टबाट बोलाइन्छ);
डिजिटल हस्ताक्षर सिर्जना र प्रमाणीकरण कार्यहरू प्रदर्शन गर्नको लागि ssh-एजेन्टमा कुञ्जीहरूको उपयुक्तता परीक्षण गर्न ssh-add मा "-T" विकल्प थपिएको छ;
sftp-सर्भरले "lsetstat at openssh.com" प्रोटोकल विस्तारको लागि समर्थन लागू गर्दछ, जसले SFTP का लागि SSH2_FXP_SETSTAT सञ्चालनको लागि समर्थन थप्छ, तर प्रतीकात्मक लिङ्कहरू पछ्याउन बिना;
प्रतीकात्मक लिङ्कहरू प्रयोग नगर्ने अनुरोधहरूको साथ chown/chgrp/chmod आदेशहरू चलाउन sftp मा "-h" विकल्प थपियो;
sshd ले PAM को लागि $SSH_CONNECTION वातावरण चरको सेटिङ प्रदान गर्दछ;
sshd को लागि, ssh_config मा "Match Final" मिल्दो मोड थपिएको छ, जुन "Mach canonical" सँग मिल्दोजुल्दो छ, तर होस्टनाम सामान्यीकरण सक्षम गर्न आवश्यक छैन;
ब्याच मोडमा कार्यान्वयन गरिएका आदेशहरूको आउटपुटको अनुवाद असक्षम गर्न sftp मा '@' उपसर्गको लागि समर्थन थपियो;
जब तपाइँ आदेश प्रयोग गरी प्रमाणपत्रको सामग्रीहरू प्रदर्शन गर्नुहुन्छ
"ssh-keygen -Lf /path/certificate" ले अब प्रमाणपत्र प्रमाणित गर्न CA द्वारा प्रयोग गरेको एल्गोरिदम देखाउँछ;
साइगविन वातावरणको लागि सुधारिएको समर्थन, उदाहरणका लागि समूह र प्रयोगकर्ता नामहरूको केस-संवेदनशील तुलना प्रदान गर्ने। Cygwin पोर्टमा sshd प्रक्रिया माइक्रोसफ्ट-सप्लाई गरिएको OpenSSH पोर्टमा हस्तक्षेपबाट बच्न cygsshd मा परिवर्तन गरिएको छ;
प्रयोगात्मक OpenSSL 3.x शाखासँग निर्माण गर्ने क्षमता थपियो;
हटाइयो कमजोरी (CVE-2019-6111) scp उपयोगिताको कार्यान्वयनमा, जसले आक्रमणकर्ताद्वारा नियन्त्रित सर्भरमा पहुँच गर्दा लक्ष्य डाइरेक्टरीमा रहेका आर्बिट्रेरी फाइलहरूलाई क्लाइन्ट साइडमा अधिलेखन गर्न अनुमति दिन्छ। समस्या यो हो कि scp प्रयोग गर्दा, सर्भरले क्लाइन्टलाई कुन फाइल र डाइरेक्टरीहरू पठाउने निर्णय गर्दछ, र क्लाइन्टले फिर्ता वस्तु नामहरूको शुद्धता मात्र जाँच गर्दछ। क्लाइन्ट-साइड जाँच हालको डाइरेक्टरी (“../”) भन्दा बाहिरको यात्रा अवरुद्ध गर्न मात्र सीमित छ, तर मूल रूपमा अनुरोध गरिएका नामहरू भन्दा फरक फाइलहरूको स्थानान्तरणलाई ध्यानमा राख्दैन। पुनरावर्ती प्रतिलिपि (-r) को मामला मा, फाइल नामहरु को अतिरिक्त, तपाइँ पनि समान तरीका मा उपनिर्देशिका को नाम हेरफेर गर्न सक्नुहुन्छ। उदाहरणका लागि, यदि प्रयोगकर्ताले गृह डाइरेक्टरीमा फाइलहरू प्रतिलिपि गर्छ भने, आक्रमणकर्ताद्वारा नियन्त्रित सर्भरले अनुरोध गरिएका फाइलहरूको सट्टामा .bash_aliases वा .ssh/authorized_keys नामका फाइलहरू उत्पादन गर्न सक्छ, र तिनीहरू प्रयोगकर्ताको scp उपयोगिताद्वारा सुरक्षित हुनेछन्। गृह निर्देशिका।
नयाँ विमोचनमा, अनुरोध गरिएको फाइल नामहरू र सर्भरद्वारा पठाइएको पत्राचार जाँच गर्न scp उपयोगिता अद्यावधिक गरिएको छ, जुन क्लाइन्ट साइडमा गरिन्छ। यसले मास्क प्रशोधनमा समस्या निम्त्याउन सक्छ, किनकि मास्क विस्तार वर्णहरू सर्भर र ग्राहक पक्षहरूमा फरक तरिकाले प्रशोधन गर्न सकिन्छ। यदि त्यस्ता भिन्नताहरूले ग्राहकलाई scp मा फाइलहरू स्वीकार गर्न रोक्ने कारणले गर्दा, क्लाइन्ट-साइड जाँच असक्षम गर्न "-T" विकल्प थपिएको छ। समस्यालाई पूर्ण रूपमा सच्याउनको लागि, scp प्रोटोकलको वैचारिक पुन: कार्य आवश्यक छ, जुन आफैंमा पहिले नै पुरानो भइसकेको छ, त्यसैले यसको सट्टा sftp र rsync जस्ता थप आधुनिक प्रोटोकलहरू प्रयोग गर्न सिफारिस गरिन्छ।

स्रोत: opennet.ru

OpenSSH 8.0 को रिलीज

एक टिप्पणी थप्न Отменить ответ