FIDO/U8.2F ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨਾਂ ਲਈ ਸਮਰਥਨ ਦੇ ਨਾਲ OpenSSH 2 ਦੀ ਰਿਲੀਜ਼

ਵਿਕਾਸ ਦੇ ਚਾਰ ਮਹੀਨਿਆਂ ਬਾਅਦ ਪੇਸ਼ ਕੀਤਾ ਜਾਰੀ ਓਪਨ ਐਸਐਸਐਚ 8.2, SSH 2.0 ਅਤੇ SFTP ਪ੍ਰੋਟੋਕੋਲ ਦੁਆਰਾ ਕੰਮ ਕਰਨ ਲਈ ਇੱਕ ਖੁੱਲਾ ਕਲਾਇੰਟ ਅਤੇ ਸਰਵਰ ਲਾਗੂ ਕਰਨਾ।

OpenSSH 8.2 ਦੇ ਰੀਲੀਜ਼ ਵਿੱਚ ਇੱਕ ਮੁੱਖ ਸੁਧਾਰ ਪ੍ਰੋਟੋਕੋਲ ਦਾ ਸਮਰਥਨ ਕਰਨ ਵਾਲੇ ਡਿਵਾਈਸਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਯੋਗਤਾ ਸੀ। U2F, ਗਠਜੋੜ ਦੁਆਰਾ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਹੈ FIDO. U2F ਉਪਭੋਗਤਾ ਦੀ ਭੌਤਿਕ ਮੌਜੂਦਗੀ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਘੱਟ ਕੀਮਤ ਵਾਲੇ ਹਾਰਡਵੇਅਰ ਟੋਕਨਾਂ ਨੂੰ ਬਣਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ, ਉਹਨਾਂ ਨਾਲ USB, ਬਲੂਟੁੱਥ ਜਾਂ NFC ਰਾਹੀਂ ਇੰਟਰੈਕਟ ਕਰਦਾ ਹੈ। ਅਜਿਹੀਆਂ ਡਿਵਾਈਸਾਂ ਨੂੰ ਵੈਬਸਾਈਟਾਂ 'ਤੇ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਸਾਧਨ ਵਜੋਂ ਅੱਗੇ ਵਧਾਇਆ ਜਾਂਦਾ ਹੈ, ਪਹਿਲਾਂ ਹੀ ਪ੍ਰਮੁੱਖ ਬ੍ਰਾਉਜ਼ਰਾਂ ਦੁਆਰਾ ਸਮਰਥਤ ਹਨ ਅਤੇ ਯੂਬੀਕੋ, ਫੇਟਿਅਨ, ਥੀਟਿਸ ਅਤੇ ਕੇਨਸਿੰਗਟਨ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਨਿਰਮਾਤਾਵਾਂ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।

ਉਪਭੋਗਤਾ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਵਾਲੇ ਡਿਵਾਈਸਾਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ, ਨਵੀਆਂ ਮੁੱਖ ਕਿਸਮਾਂ "ecdsa-sk" ਅਤੇ "ed25519-sk" ਨੂੰ OpenSSH ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜੋ SHA-25519 ਹੈਸ਼ ਦੇ ਨਾਲ ਮਿਲਾ ਕੇ, ECDSA ਅਤੇ Ed256 ਡਿਜੀਟਲ ਦਸਤਖਤ ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਟੋਕਨਾਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਦੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਇੱਕ ਵਿਚਕਾਰਲੀ ਲਾਇਬ੍ਰੇਰੀ ਵਿੱਚ ਰੱਖਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ PKCS#11 ਸਹਾਇਤਾ ਲਈ ਲਾਇਬ੍ਰੇਰੀ ਦੇ ਸਮਾਨ ਤਰੀਕੇ ਨਾਲ ਲੋਡ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਲਾਇਬ੍ਰੇਰੀ ਦੇ ਉੱਪਰ ਇੱਕ ਰੈਪਰ ਹੈ। libfido2, ਜੋ ਕਿ USB ਉੱਤੇ ਟੋਕਨਾਂ ਨਾਲ ਸੰਚਾਰ ਲਈ ਟੂਲ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ (FIDO U2F/CTAP 1 ਅਤੇ FIDO 2.0/CTAP 2 ਪ੍ਰੋਟੋਕੋਲ ਸਮਰਥਿਤ ਹਨ)। OpenSSH ਡਿਵੈਲਪਰਾਂ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੀ ਇੰਟਰਮੀਡੀਏਟ ਲਾਇਬ੍ਰੇਰੀ libsk-libfido2 ਸ਼ਾਮਲ ਹਨ ਕੋਰ libfido2 ਵਿੱਚ, ਦੇ ਨਾਲ ਨਾਲ HID ਡਰਾਈਵਰ OpenBSD ਲਈ.

ਇੱਕ ਕੁੰਜੀ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਅਤੇ ਬਣਾਉਣ ਲਈ, ਤੁਹਾਨੂੰ ਸੈਟਿੰਗਾਂ ਵਿੱਚ "SecurityKeyProvider" ਪੈਰਾਮੀਟਰ ਨਿਰਧਾਰਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਜਾਂ SSH_SK_PROVIDER ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ ਸੈੱਟ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਬਾਹਰੀ ਲਾਇਬ੍ਰੇਰੀ libsk-libfido2.so (ਐਕਸਪੋਰਟ SSH_SK_PROVIDER=/path/to/libdo2.so) ਦਾ ਮਾਰਗ ਦਰਸਾਉਂਦਾ ਹੈ। ਇਸ ਲਈ). ਲੇਅਰ ਲਾਇਬ੍ਰੇਰੀ (--with-security-key-builtin) ਲਈ ਬਿਲਟ-ਇਨ ਸਹਿਯੋਗ ਨਾਲ openssh ਬਣਾਉਣਾ ਸੰਭਵ ਹੈ, ਇਸ ਸਥਿਤੀ ਵਿੱਚ ਤੁਹਾਨੂੰ “SecurityKeyProvider=internal” ਪੈਰਾਮੀਟਰ ਸੈੱਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।
ਅੱਗੇ ਤੁਹਾਨੂੰ "ssh-keygen -t ecdsa-sk" ਚਲਾਉਣ ਦੀ ਲੋੜ ਹੈ ਜਾਂ, ਜੇਕਰ ਕੁੰਜੀਆਂ ਪਹਿਲਾਂ ਹੀ ਬਣਾਈਆਂ ਅਤੇ ਸੰਰਚਿਤ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ, ਤਾਂ "ssh" ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਰਵਰ ਨਾਲ ਜੁੜੋ। ਜਦੋਂ ਤੁਸੀਂ ssh-keygen ਚਲਾਉਂਦੇ ਹੋ, ਤਾਂ ਤਿਆਰ ਕੀਤੀ ਕੁੰਜੀ ਜੋੜਾ “~/.ssh/id_ecdsa_sk” ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾਵੇਗਾ ਅਤੇ ਹੋਰ ਕੁੰਜੀਆਂ ਦੇ ਸਮਾਨ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ।

ਜਨਤਕ ਕੁੰਜੀ (id_ecdsa_sk.pub) ਨੂੰ ਅਧਿਕਾਰਤ_ਕੀਜ਼ ਫਾਈਲ ਵਿੱਚ ਸਰਵਰ ਨਾਲ ਕਾਪੀ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਸਰਵਰ ਸਾਈਡ 'ਤੇ, ਸਿਰਫ ਡਿਜੀਟਲ ਦਸਤਖਤ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਅਤੇ ਟੋਕਨਾਂ ਨਾਲ ਗੱਲਬਾਤ ਕਲਾਇੰਟ ਸਾਈਡ 'ਤੇ ਕੀਤੀ ਜਾਂਦੀ ਹੈ (ਤੁਹਾਨੂੰ ਸਰਵਰ 'ਤੇ libsk-libfido2 ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ, ਪਰ ਸਰਵਰ ਨੂੰ "ecdsa-sk" ਕੁੰਜੀ ਕਿਸਮ ਦਾ ਸਮਰਥਨ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ) . ਤਿਆਰ ਕੀਤੀ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ (id_ecdsa_sk) ਲਾਜ਼ਮੀ ਤੌਰ 'ਤੇ ਇੱਕ ਕੁੰਜੀ ਹੈਂਡਲ ਹੈ, ਜੋ ਕਿ U2F ਟੋਕਨ ਸਾਈਡ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਗੁਪਤ ਕ੍ਰਮ ਦੇ ਨਾਲ ਹੀ ਇੱਕ ਅਸਲੀ ਕੁੰਜੀ ਬਣਾਉਂਦੀ ਹੈ। ਜੇਕਰ id_ecdsa_sk ਕੁੰਜੀ ਹਮਲਾਵਰ ਦੇ ਹੱਥ ਵਿੱਚ ਆ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਪਾਸ ਕਰਨ ਲਈ ਉਸਨੂੰ ਹਾਰਡਵੇਅਰ ਟੋਕਨ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਵੀ ਲੋੜ ਹੋਵੇਗੀ, ਜਿਸ ਤੋਂ ਬਿਨਾਂ id_ecdsa_sk ਫਾਈਲ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ ਬੇਕਾਰ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮੂਲ ਰੂਪ ਵਿੱਚ, ਕੁੰਜੀਆਂ ਦੇ ਨਾਲ ਕੋਈ ਵੀ ਓਪਰੇਸ਼ਨ ਕਰਦੇ ਸਮੇਂ (ਦੋਵੇਂ ਪੀੜ੍ਹੀ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਦੌਰਾਨ), ਉਪਭੋਗਤਾ ਦੀ ਭੌਤਿਕ ਮੌਜੂਦਗੀ ਦੀ ਸਥਾਨਕ ਪੁਸ਼ਟੀ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਉਦਾਹਰਨ ਲਈ, ਟੋਕਨ 'ਤੇ ਸੈਂਸਰ ਨੂੰ ਛੂਹਣ ਦੀ ਤਜਵੀਜ਼ ਹੈ, ਜੋ ਇਸਨੂੰ ਮੁਸ਼ਕਲ ਬਣਾਉਂਦਾ ਹੈ. ਕਨੈਕਟ ਕੀਤੇ ਟੋਕਨ ਨਾਲ ਸਿਸਟਮਾਂ 'ਤੇ ਰਿਮੋਟ ਹਮਲੇ ਕਰਦੇ ਹਨ। ਰੱਖਿਆ ਦੀ ਇੱਕ ਹੋਰ ਲਾਈਨ ਦੇ ਰੂਪ ਵਿੱਚ, ਕੁੰਜੀ ਫਾਈਲ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ssh-keygen ਦੇ ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ ਦੌਰਾਨ ਇੱਕ ਪਾਸਵਰਡ ਵੀ ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

OpenSSH ਦੇ ਨਵੇਂ ਸੰਸਕਰਣ ਨੇ SHA-1 ਹੈਸ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਐਲਗੋਰਿਦਮ ਦੇ ਆਉਣ ਵਾਲੇ ਬਰਤਰਫ਼ ਹੋਣ ਦੀ ਘੋਸ਼ਣਾ ਵੀ ਕੀਤੀ ਹੈ ਵਾਧਾ ਇੱਕ ਦਿੱਤੇ ਅਗੇਤਰ ਦੇ ਨਾਲ ਟੱਕਰ ਦੇ ਹਮਲਿਆਂ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ (ਟੱਕਰ ਦੀ ਚੋਣ ਕਰਨ ਦੀ ਲਾਗਤ ਲਗਭਗ 45 ਹਜ਼ਾਰ ਡਾਲਰ ਹੈ)। ਆਗਾਮੀ ਰੀਲੀਜ਼ਾਂ ਵਿੱਚੋਂ ਇੱਕ ਵਿੱਚ, ਉਹ ਜਨਤਕ ਕੁੰਜੀ ਡਿਜੀਟਲ ਹਸਤਾਖਰ ਐਲਗੋਰਿਦਮ "ssh-rsa" ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਯੋਗਤਾ ਨੂੰ ਮੂਲ ਰੂਪ ਵਿੱਚ ਅਸਮਰੱਥ ਬਣਾਉਣ ਦੀ ਯੋਜਨਾ ਬਣਾਉਂਦੇ ਹਨ, ਜਿਸਦਾ SSH ਪ੍ਰੋਟੋਕੋਲ ਲਈ ਮੂਲ RFC ਵਿੱਚ ਜ਼ਿਕਰ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਅਭਿਆਸ ਵਿੱਚ ਵਿਆਪਕ ਰਹਿੰਦਾ ਹੈ (ਵਰਤੋਂ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਤੁਹਾਡੇ ਸਿਸਟਮਾਂ ਵਿੱਚ ssh-rsa ਦਾ, ਤੁਸੀਂ "-oHostKeyAlgorithms=-ssh-rsa" ਵਿਕਲਪ ਨਾਲ ssh ਰਾਹੀਂ ਜੁੜਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਸਕਦੇ ਹੋ।

OpenSSH ਵਿੱਚ ਨਵੇਂ ਐਲਗੋਰਿਦਮ ਵਿੱਚ ਤਬਦੀਲੀ ਨੂੰ ਸੁਚਾਰੂ ਬਣਾਉਣ ਲਈ, ਇੱਕ ਭਵਿੱਖ ਵਿੱਚ ਰੀਲੀਜ਼ ਵਿੱਚ UpdateHostKeys ਸੈਟਿੰਗ ਨੂੰ ਡਿਫੌਲਟ ਰੂਪ ਵਿੱਚ ਸਮਰੱਥ ਕੀਤਾ ਜਾਵੇਗਾ, ਜੋ ਆਪਣੇ ਆਪ ਗਾਹਕਾਂ ਨੂੰ ਵਧੇਰੇ ਭਰੋਸੇਮੰਦ ਐਲਗੋਰਿਦਮ ਵਿੱਚ ਮਾਈਗ੍ਰੇਟ ਕਰੇਗਾ। ਮਾਈਗ੍ਰੇਸ਼ਨ ਲਈ ਸਿਫ਼ਾਰਿਸ਼ ਕੀਤੇ ਐਲਗੋਰਿਦਮ ਵਿੱਚ RFC2 RSA SHA-256 'ਤੇ ਆਧਾਰਿਤ rsa-sha512-8332/2 (OpenSSH 7.2 ਤੋਂ ਸਮਰਥਿਤ ਅਤੇ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ), ssh-ed25519 (OpenSSH 6.5 ਤੋਂ ਸਮਰਥਿਤ) ਅਤੇ ecdsa-sha2-nistp256/384 ਅਧਾਰਿਤ RFC521 ECDSA 'ਤੇ (OpenSSH 5656 ਤੋਂ ਸਮਰਥਿਤ)।

OpenSSH 8.2 ਵਿੱਚ, “ssh-rsa” ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਜੁੜਨ ਦੀ ਯੋਗਤਾ ਅਜੇ ਵੀ ਉਪਲਬਧ ਹੈ, ਪਰ ਇਸ ਐਲਗੋਰਿਦਮ ਨੂੰ CASignatureAlgorithms ਸੂਚੀ ਵਿੱਚੋਂ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਜੋ ਨਵੇਂ ਸਰਟੀਫਿਕੇਟਾਂ ਨੂੰ ਡਿਜੀਟਲ ਤੌਰ 'ਤੇ ਹਸਤਾਖਰ ਕਰਨ ਲਈ ਮਨਜ਼ੂਰ ਐਲਗੋਰਿਦਮ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਇਸੇ ਤਰ੍ਹਾਂ, ਡਿਫਾਲਟ ਕੁੰਜੀ ਐਕਸਚੇਂਜ ਐਲਗੋਰਿਦਮ ਸਮਰਥਿਤ ਡਿਫੌਲਟ ਤੋਂ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਇਹ ਨੋਟ ਕੀਤਾ ਗਿਆ ਹੈ ਕਿ ਸਰਟੀਫਿਕੇਟਾਂ ਵਿੱਚ SHA-14 ਦੀ ਵਰਤੋਂ ਵਾਧੂ ਜੋਖਮ ਨਾਲ ਜੁੜੀ ਹੋਈ ਹੈ, ਕਿਉਂਕਿ ਹਮਲਾਵਰ ਕੋਲ ਇੱਕ ਮੌਜੂਦਾ ਸਰਟੀਫਿਕੇਟ ਲਈ ਟੱਕਰ ਦੀ ਖੋਜ ਕਰਨ ਲਈ ਅਸੀਮਿਤ ਸਮਾਂ ਹੈ, ਜਦੋਂ ਕਿ ਹੋਸਟ ਕੁੰਜੀਆਂ 'ਤੇ ਹਮਲੇ ਦਾ ਸਮਾਂ ਕੁਨੈਕਸ਼ਨ ਟਾਈਮਆਉਟ (ਲੌਗਿਨਗ੍ਰੇਸਟਾਈਮ) ਦੁਆਰਾ ਸੀਮਿਤ ਹੈ ).

ssh-keygen ਨੂੰ ਚਲਾਉਣਾ ਹੁਣ rsa-sha2-512 ਐਲਗੋਰਿਦਮ ਲਈ ਡਿਫਾਲਟ ਹੈ, ਜੋ OpenSSH 7.2 ਤੋਂ ਸਮਰਥਿਤ ਹੈ, ਜੋ ਕਿ ਪੁਰਾਣੇ OpenSSH ਰੀਲੀਜ਼ਾਂ ਨੂੰ ਚਲਾਉਣ ਵਾਲੇ ਸਿਸਟਮਾਂ 'ਤੇ OpenSSH 8.2 ਵਿੱਚ ਸਾਈਨ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟਾਂ ਦੀ ਪ੍ਰਕਿਰਿਆ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਵੇਲੇ ਅਨੁਕੂਲਤਾ ਸਮੱਸਿਆਵਾਂ ਪੈਦਾ ਕਰ ਸਕਦਾ ਹੈ (ਇਸ ਮੁੱਦੇ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਜਦੋਂ ਦਸਤਖਤ ਬਣਾਉਣਾ, ਤੁਸੀਂ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ "ssh-keygen -t ssh-rsa" ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰ ਸਕਦੇ ਹੋ ਜਾਂ ecdsa-sha2-nistp256/384/521 ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ, ਜੋ OpenSSH 5.7 ਤੋਂ ਸਮਰਥਿਤ ਹੈ)।

ਹੋਰ ਬਦਲਾਅ:

• ਇੱਕ ਇਨਕਲੂਡ ਡਾਇਰੈਕਟਿਵ sshd_config ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜੋ ਤੁਹਾਨੂੰ ਸੰਰਚਨਾ ਫਾਇਲ ਦੀ ਮੌਜੂਦਾ ਸਥਿਤੀ 'ਤੇ ਹੋਰ ਫਾਈਲਾਂ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ (ਫਾਇਲ ਦਾ ਨਾਂ ਦੇਣ ਵੇਲੇ ਗਲੋਬ ਮਾਸਕ ਵਰਤੇ ਜਾ ਸਕਦੇ ਹਨ);
• "ਨੋ-ਟਚ-ਲੋੜੀਂਦਾ" ਵਿਕਲਪ ssh-keygen ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਕੁੰਜੀ ਬਣਾਉਣ ਵੇਲੇ ਟੋਕਨ ਤੱਕ ਪਹੁੰਚ ਦੀ ਸਰੀਰਕ ਤੌਰ 'ਤੇ ਪੁਸ਼ਟੀ ਕਰਨ ਦੀ ਲੋੜ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ;
• ਇੱਕ PubkeyAuthOptions ਡਾਇਰੈਕਟਿਵ sshd_config ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਜਨਤਕ ਕੁੰਜੀ ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ ਸੰਬੰਧਿਤ ਕਈ ਵਿਕਲਪਾਂ ਨੂੰ ਜੋੜਦਾ ਹੈ। ਵਰਤਮਾਨ ਵਿੱਚ, ਟੋਕਨ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਭੌਤਿਕ ਮੌਜੂਦਗੀ ਜਾਂਚਾਂ ਨੂੰ ਛੱਡਣ ਲਈ ਸਿਰਫ਼ "ਨੋ-ਟਚ-ਲੋੜੀਂਦਾ" ਫਲੈਗ ਸਮਰਥਿਤ ਹੈ। ਸਮਾਨਤਾ ਦੁਆਰਾ, "ਨੋ-ਟਚ-ਲੋੜੀਂਦਾ" ਵਿਕਲਪ ਨੂੰ ਅਧਿਕਾਰਤ_ਕੀਜ਼ ਫਾਈਲ ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ;
• ssh-keygen ਵਿੱਚ "-O write-attestation=/path" ਵਿਕਲਪ ਜੋੜਿਆ ਗਿਆ ਤਾਂ ਕਿ ਕੁੰਜੀਆਂ ਤਿਆਰ ਕਰਨ ਵੇਲੇ ਵਾਧੂ FIDO ਤਸਦੀਕ ਸਰਟੀਫਿਕੇਟ ਲਿਖੇ ਜਾ ਸਕਣ। OpenSSH ਹਾਲੇ ਇਹਨਾਂ ਸਰਟੀਫਿਕੇਟਾਂ ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰਦਾ ਹੈ, ਪਰ ਉਹਨਾਂ ਨੂੰ ਬਾਅਦ ਵਿੱਚ ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ ਕਿ ਕੁੰਜੀ ਇੱਕ ਭਰੋਸੇਯੋਗ ਹਾਰਡਵੇਅਰ ਸਟੋਰ ਵਿੱਚ ਰੱਖੀ ਗਈ ਹੈ;
• ssh ਅਤੇ sshd ਸੈਟਿੰਗਾਂ ਵਿੱਚ, ਹੁਣ IPQoS ਨਿਰਦੇਸ਼ ਦੁਆਰਾ ਟ੍ਰੈਫਿਕ ਪ੍ਰਾਥਮਿਕਤਾ ਮੋਡ ਨੂੰ ਸੈਟ ਕਰਨਾ ਸੰਭਵ ਹੈ LE DSCP (ਲੋਅਰ-ਐਫੋਰਟ ਪ੍ਰਤੀ-ਹੋਪ ਵਿਵਹਾਰ);
• ssh ਵਿੱਚ, "AddKeysToAgent=yes" ਮੁੱਲ ਸੈੱਟ ਕਰਦੇ ਸਮੇਂ, ਜੇਕਰ ਕੁੰਜੀ ਵਿੱਚ ਕੋਈ ਟਿੱਪਣੀ ਖੇਤਰ ਨਹੀਂ ਹੈ, ਤਾਂ ਇਸਨੂੰ ssh-ਏਜੰਟ ਵਿੱਚ ਜੋੜਿਆ ਜਾਵੇਗਾ ਜੋ ਟਿੱਪਣੀ ਦੇ ਰੂਪ ਵਿੱਚ ਕੁੰਜੀ ਦਾ ਮਾਰਗ ਦਰਸਾਉਂਦਾ ਹੈ। IN
  ssh-keygen ਅਤੇ ssh-agent ਵੀ ਹੁਣ PKCS#11 ਲੇਬਲ ਅਤੇ X.509 ਵਿਸ਼ੇ ਦੇ ਨਾਮ ਨੂੰ ਲਾਇਬ੍ਰੇਰੀ ਮਾਰਗ ਦੀ ਬਜਾਏ ਕੁੰਜੀ ਵਿੱਚ ਟਿੱਪਣੀਆਂ ਵਜੋਂ ਵਰਤਦੇ ਹਨ;

• ssh-keygen ਲਈ DSA ਅਤੇ ECDSA ਕੁੰਜੀਆਂ ਲਈ PEM ਨਿਰਯਾਤ ਕਰਨ ਦੀ ਯੋਗਤਾ ਸ਼ਾਮਲ ਕੀਤੀ ਗਈ ਹੈ;
• ਇੱਕ ਨਵਾਂ ਐਗਜ਼ੀਕਿਊਟੇਬਲ, ssh-sk-helper ਜੋੜਿਆ ਗਿਆ, FIDO/U2F ਟੋਕਨ ਐਕਸੈਸ ਲਾਇਬ੍ਰੇਰੀ ਨੂੰ ਅਲੱਗ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ;
• zlib ਲਾਇਬ੍ਰੇਰੀ ਸਹਾਇਤਾ ਨਾਲ ਸੰਕਲਨ ਲਈ ssh ਅਤੇ sshd ਵਿੱਚ “--with-zlib” ਬਿਲਡ ਵਿਕਲਪ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ;
• RFC4253 ਦੀ ਲੋੜ ਦੇ ਅਨੁਸਾਰ, ਕੁਨੈਕਸ਼ਨ ਦੇ ਦੌਰਾਨ ਪ੍ਰਦਰਸ਼ਿਤ ਬੈਨਰ ਵਿੱਚ MaxStartups ਸੀਮਾਵਾਂ ਨੂੰ ਪਾਰ ਕਰਨ ਦੇ ਕਾਰਨ ਐਕਸੈਸ ਬਲੌਕ ਕਰਨ ਬਾਰੇ ਇੱਕ ਚੇਤਾਵਨੀ ਦਿੱਤੀ ਗਈ ਹੈ। ਡਾਇਗਨੌਸਟਿਕਸ ਨੂੰ ਸਰਲ ਬਣਾਉਣ ਲਈ, sshd ਕਾਰਜ ਸਿਰਲੇਖ, ps ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਸਮੇਂ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਹੁਣ ਮੌਜੂਦਾ ਪ੍ਰਮਾਣਿਤ ਕੁਨੈਕਸ਼ਨਾਂ ਦੀ ਸੰਖਿਆ ਅਤੇ ਮੈਕਸਸਟਾਰਟਅੱਪ ਸੀਮਾ ਦੀ ਸਥਿਤੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ;
• ssh ਅਤੇ ssh-ਏਜੰਟ ਵਿੱਚ, ਸਕਰੀਨ 'ਤੇ ਇੱਕ ਸੱਦਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ ਇੱਕ ਪ੍ਰੋਗਰਾਮ ਨੂੰ ਕਾਲ ਕਰਨ ਵੇਲੇ, $SSH_ASKPASS ਦੁਆਰਾ ਨਿਰਦਿਸ਼ਟ, ਸੱਦੇ ਦੀ ਕਿਸਮ ਦੇ ਨਾਲ ਇੱਕ ਫਲੈਗ ਹੁਣ ਵੀ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ: "ਪੁਸ਼ਟੀ ਕਰੋ" - ਪੁਸ਼ਟੀ ਡਾਇਲਾਗ (ਹਾਂ/ਨਹੀਂ), "ਕੋਈ ਨਹੀਂ " - ਜਾਣਕਾਰੀ ਵਾਲਾ ਸੁਨੇਹਾ, "ਖਾਲੀ" - ਪਾਸਵਰਡ ਬੇਨਤੀ;
• ਇੱਕ ਨਿਸ਼ਚਿਤ ਡਿਜ਼ੀਟਲ ਹਸਤਾਖਰ ਨਾਲ ਜੁੜੇ ਉਪਭੋਗਤਾ ਲਈ ਮਨਜ਼ੂਰ-ਹਸਤਾਖਰ ਫਾਈਲ ਦੀ ਖੋਜ ਕਰਨ ਲਈ ssh-keygen ਵਿੱਚ ਇੱਕ ਨਵਾਂ ਡਿਜ਼ੀਟਲ ਹਸਤਾਖਰ ਕਾਰਜ "ਲੱਭੋ-ਪ੍ਰਿੰਸੀਪਲ" ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ;
• seccomp ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਲੀਨਕਸ ਉੱਤੇ sshd ਪ੍ਰਕਿਰਿਆ ਆਈਸੋਲੇਸ਼ਨ ਲਈ ਸੁਧਾਰਿਆ ਗਿਆ ਸਮਰਥਨ: IPC ਸਿਸਟਮ ਕਾਲਾਂ ਨੂੰ ਅਯੋਗ ਕਰਨਾ, clock_gettime64(), clock_nanosleep_time64 ਅਤੇ clock_nanosleep() ਦੀ ਆਗਿਆ ਦੇਣਾ।

ਸਰੋਤ: opennet.ru