🥇OpenSSH 8.4 रिलीज | प्रोहोस्टर

चार महिनाको विकास पछि प्रस्तुत OpenSSH 8.4 को रिलीज, एक खुला ग्राहक र SSH 2.0 र SFTP प्रोटोकलहरू प्रयोग गरेर काम गर्नको लागि सर्भर कार्यान्वयन।

मुख्य परिवर्तनहरू:

सुरक्षा परिवर्तनहरू:
- ssh-एजेन्टमा, SSH प्रमाणीकरणका लागि सिर्जना नगरिएका FIDO कुञ्जीहरू प्रयोग गर्दा (कुञ्जी ID "ssh:" स्ट्रिङबाट सुरु हुँदैन), यसले अब SSH प्रोटोकलमा प्रयोग गरिएका विधिहरू प्रयोग गरेर सन्देशमा हस्ताक्षर गरिने छ भनी जाँच गर्छ। परिवर्तनले ssh-एजेन्टलाई रिमोट होस्टहरूमा रिडिरेक्ट गर्न अनुमति दिने छैन जसमा FIDO कुञ्जीहरू वेब प्रमाणीकरण अनुरोधहरूको लागि हस्ताक्षरहरू उत्पन्न गर्न यी कुञ्जीहरू प्रयोग गर्ने क्षमतालाई रोक्नको लागि (रिभर्स केस, जब ब्राउजरले SSH अनुरोधमा हस्ताक्षर गर्न सक्छ, सुरुमा बहिष्कृत गरिन्छ। कुञ्जी पहिचानकर्तामा "ssh:" उपसर्गको प्रयोगको कारण)।
- В ssh-keygen при генерации резидентного ключа включена поддержка дополнения credProtect, описанного в спецификации FIDO 2.1, предоставляющего дополнительную защиту для ключей через обязательный запрос ввода PIN-кода перед выполнением любой операции, которая может привести к извлечению резидентного ключа из токена.
सम्भावित अनुकूलता परिवर्तनहरू तोड्दै:
- FIDO/U2F लाई समर्थन गर्न, libfido2 लाईब्रेरी कम्तिमा 1.5.0 संस्करण प्रयोग गर्न सिफारिस गरिन्छ। पुरानो संस्करणहरू प्रयोग गर्ने क्षमता आंशिक रूपमा लागू गरिएको छ, तर यस अवस्थामा, आवासीय कुञ्जीहरू, PIN अनुरोध, र बहु टोकनहरू जडान गर्ने जस्ता कार्यहरू उपलब्ध हुने छैनन्।
- ssh-keygen मा, पुष्टि गर्ने डिजिटल हस्ताक्षरहरू प्रमाणित गर्नको लागि आवश्यक प्रमाणक डेटा पुष्टिकरण जानकारीको ढाँचामा थपिएको छ, वैकल्पिक रूपमा FIDO कुञ्जी उत्पन्न गर्दा सुरक्षित गरिएको छ।
- FIDO टोकनहरू पहुँच गर्नको लागि OpenSSH ले तहसँग अन्तरक्रिया गर्दा प्रयोग गरिएको API परिवर्तन गरिएको छ।
- OpenSSH को पोर्टेबल संस्करण निर्माण गर्दा, automake अब कन्फिगर स्क्रिप्ट र निर्माण फाइलहरू उत्पन्न गर्न आवश्यक छ (यदि प्रकाशित कोड टार फाइलबाट निर्माण गर्दा, कन्फिगर पुन: उत्पन्न गर्न आवश्यक छैन)।
FIDO कुञ्जीहरूको लागि समर्थन थपियो जसलाई ssh र ssh-keygen मा PIN प्रमाणीकरण आवश्यक छ। PIN मार्फत कुञ्जीहरू उत्पन्न गर्न, ssh-keygen मा "verify-required" विकल्प थपिएको छ। यदि त्यस्ता कुञ्जीहरू प्रयोग गरिन्छ भने, हस्ताक्षर सिर्जना सञ्चालन गर्नु अघि, प्रयोगकर्तालाई पिन कोड प्रविष्ट गरेर उनीहरूको कार्यहरू पुष्टि गर्न प्रेरित गरिन्छ।
sshd मा, "verify-required" विकल्प अधिकृत_keys सेटिङमा लागू गरिएको छ, जसले टोकनको साथ सञ्चालन गर्दा प्रयोगकर्ताको उपस्थिति प्रमाणित गर्न क्षमताहरूको प्रयोग गर्न आवश्यक छ। FIDO मानकले त्यस्ता प्रमाणीकरणका लागि धेरै विकल्पहरू प्रदान गर्दछ, तर हाल OpenSSH ले PIN-आधारित प्रमाणीकरणलाई मात्र समर्थन गर्दछ।
sshd र ssh-keygen ले FIDO Webauthn मानक, जसले FIDO कुञ्जीहरूलाई वेब ब्राउजरहरूमा प्रयोग गर्न अनुमति दिन्छ, डिजिटल हस्ताक्षरहरू प्रमाणीकरण गर्न समर्थन थपेको छ।
प्रमाणपत्रफाइल सेटिङहरूमा ssh मा,
ControlPath, IdentityAgent, IdentityFile, LocalForward र
RemoteForward ले "${ENV}" ढाँचामा निर्दिष्ट गरिएको परिवेश चरबाट मानहरू प्रतिस्थापन गर्न अनुमति दिन्छ।
ssh र ssh-agent ले $SSH_ASKPASS_REQUIRE वातावरण चरको लागि समर्थन थपेको छ, जुन ssh-askpass कल सक्षम वा असक्षम गर्न प्रयोग गर्न सकिन्छ।
AddKeysToAgent निर्देशनमा ssh_config मा ssh मा, कुञ्जीको वैधता अवधि सीमित गर्ने क्षमता थपिएको छ। निर्दिष्ट सीमा समाप्त भएपछि, कुञ्जीहरू स्वचालित रूपमा ssh-एजेन्टबाट मेटिन्छन्।
scp र sftp मा, "-A" फ्ल्याग प्रयोग गरेर, तपाईंले अब स्पष्ट रूपमा ssh-एजेन्ट (पुनर्निर्देशन पूर्वनिर्धारित रूपमा असक्षम गरिएको छ) प्रयोग गरेर scp र sftp मा पुनर्निर्देशन अनुमति दिन सक्नुहुन्छ।
ssh सेटिङहरूमा '% k' प्रतिस्थापनका लागि समर्थन थपियो, जसले होस्ट कुञ्जी नाम निर्दिष्ट गर्दछ। यो सुविधालाई अलग-अलग फाइलहरूमा कुञ्जीहरू वितरण गर्न प्रयोग गर्न सकिन्छ (उदाहरणका लागि, "UserKnownHostsFile ~/.ssh/known_hosts.d/%k")।
"ssh-add -d -" अपरेशनको प्रयोगलाई stdin बाट कुञ्जीहरू पढ्न अनुमति दिनुहोस् जुन मेटाइन्छ।
sshd मा, जडान छाँट्ने प्रक्रियाको सुरु र अन्त्य लग मा प्रतिबिम्बित हुन्छ, MaxStartups प्यारामिटर प्रयोग गरेर विनियमित।

OpenSSH विकासकर्ताहरूले SHA-1 ह्यासहरू प्रयोग गरेर एल्गोरिदमहरूको आगामी डिकमिसनिङलाई पनि सम्झाए। पदोन्नति दिइएको उपसर्गको साथ टक्कर आक्रमणको प्रभावकारिता (एक टक्कर चयनको लागत लगभग 45 हजार डलर अनुमान गरिएको छ)। आगामी रिलीजहरू मध्ये एकमा, तिनीहरूले सार्वजनिक कुञ्जी डिजिटल हस्ताक्षर एल्गोरिदम "ssh-rsa" प्रयोग गर्ने क्षमतालाई पूर्वनिर्धारित रूपमा असक्षम गर्ने योजना बनाएका छन्, जुन SSH प्रोटोकलको लागि मूल RFC मा उल्लेख गरिएको छ र व्यवहारमा व्यापक रहन्छ (प्रयोग परीक्षण गर्न। तपाईको प्रणालीमा ssh-rsa को, तपाईले "-oHostKeyAlgorithms=-ssh-rsa" विकल्पको साथ ssh मार्फत जडान गर्ने प्रयास गर्न सक्नुहुन्छ।

OpenSSH मा नयाँ एल्गोरिदमहरूमा संक्रमण सहज बनाउन, अर्को रिलीजले पूर्वनिर्धारित रूपमा UpdateHostKeys सेटिङ सक्षम गर्नेछ, जसले स्वचालित रूपमा ग्राहकहरूलाई थप भरपर्दो एल्गोरिदमहरूमा स्थानान्तरण गर्नेछ। माइग्रेसनका लागि सिफारिस गरिएका एल्गोरिदमहरूमा RFC2 RSA SHA-256 मा आधारित rsa-sha512-8332/2 (OpenSSH 7.2 बाट समर्थित र पूर्वनिर्धारित रूपमा प्रयोग गरिएको), ssh-ed25519 (OpenSSH 6.5 देखि समर्थित) र ecdsa-sha2-nistp256/384/आधारित RFC521 ECDSA मा (OpenSSH 5656 देखि समर्थित)।

स्रोत: opennet.ru

OpenSSH 8.4 को रिलीज

एक टिप्पणी थप्न Отменить ответ