د دریو میاشتو پراختیا وروسته خوشې کول ، د SSH 2.0 او SFTP پروتوکولونو له لارې کار کولو لپاره خلاص پیرودونکي او سرور پلي کول.
نوې خپرونه د scp بریدونو پروړاندې محافظت اضافه کوي چې سرور ته اجازه ورکوي د غوښتنې په پرتله نور فایل نومونه تیر کړي (لکه څنګه چې مخالف ، برید دا ممکنه نه کوي چې د کارونکي لخوا غوره شوي لارښود یا ګلوب ماسک بدل کړي). په یاد ولرئ چې په SCP کې، سرور پریکړه کوي چې کوم فایلونه او لارښودونه پیرودونکي ته واستوي، او پیرودونکي یوازې د بیرته راستانه شوي اعتراض نومونو سموالی ګوري. د پیژندل شوې ستونزې جوهر دا دی چې که د utimes سیسټم کال ناکام شي، نو د فایل مینځپانګې د فایل میټاډاټا په توګه تشریح کیږي.
دا ب featureه ، کله چې د برید کونکي لخوا کنټرول شوي سرور سره وصل کیږي ، د کارونکي FS کې د نورو فایلونو نومونو او نور مینځپانګې خوندي کولو لپاره کارول کیدی شي کله چې په ترتیبونو کې د scp په کارولو سره کاپي کول چې د یوټیم کال کولو پرمهال د ناکامۍ لامل کیږي (د مثال په توګه ، کله چې یوټیم منع شوی وي) د SELinux پالیسي یا د سیسټم کال فلټر). د ریښتیني بریدونو احتمال لږترلږه اټکل شوی ، ځکه چې په عادي تشکیلاتو کې د یوټیم کال ناکام نه کیږي. برسېره پردې، برید د پام وړ نه دی - کله چې scp ته زنګ ووهئ، د معلوماتو لیږد تېروتنه ښودل کیږي.
عمومي بدلونونه:
- په sftp کې، د "-1" دلیل پروسس کول ودرول شوي، د ssh او scp په څیر، چې مخکې منل شوي مګر له پامه غورځول شوي؛
- په sshd کې، کله چې د IgnoreRhosts کاروئ، اوس درې انتخابونه شتون لري: "هو" - rhosts/shosts له پامه غورځول، "نه" - rhosts/shosts ته درناوی، او "یوازې shosts" - اجازه ".shosts" مګر اجازه نه ورکول ".rhosts"؛
- Ssh اوس په LocalFoward او RemoteForward ترتیباتو کې د %TOKEN بدیل مالتړ کوي چې د یونکس ساکټونو ته د راستنیدو لپاره کارول کیږي؛
- د شخصي کیلي سره د غیر کوډ شوي فایل څخه عامه کیلي بارولو ته اجازه ورکړئ که چیرې د عامه کیلي سره جلا فایل شتون نلري؛
- که چیرې libcrypto په سیسټم کې شتون ولري، ssh او sshd اوس د دې کتابتون څخه د چاچا 20 الګوریتم تطبیق کاروي، د جوړ شوي پورټ ایبل پلي کولو پرځای، چې په فعالیت کې وروسته پاتې دی؛
- د "ssh-keygen -lQf /path" کمانډ اجرا کولو پر مهال د رد شوي سندونو د بائنری لیست مینځپانګې ډمپ کولو وړتیا پلي کړه؛
- د پورټ ایبل نسخه د سیسټمونو تعریفونه پلي کوي په کوم کې چې د SA_RESTART اختیار سره سیګنالونه د انتخاب عملیات مداخله کوي؛
- په HP/UX او AIX سیسټمونو کې د مجلس سره ستونزې حل شوې؛
- په ځینو لینکس تشکیلاتو کې د سیکمپ سینڈ باکس جوړولو سره حل شوې ستونزې؛
- د libfido2 کتابتون کشف ښه شوی او د "--with-security-key-builtin" اختیار سره د جوړونې مسلې حل شوې.
د OpenSSH پراختیا کونکو هم یوځل بیا د SHA-1 هشونو په کارولو سره د الګوریتمونو د راتلونکي تخریب په اړه خبرداری ورکړ د ورکړل شوي مختګ سره د ټکر بریدونو اغیزمنتوب (د ټکر د انتخاب لګښت نږدې 45 زره ډالر اټکل شوی). په یوه راتلونکو خپرونو کې، دوی پالن لري چې د ډیفالټ لخوا د عامه کلیدي ډیجیټل لاسلیک الګوریتم "ssh-rsa" کارولو وړتیا غیر فعال کړي، کوم چې د SSH پروتوکول لپاره په اصلي RFC کې ذکر شوي او په عمل کې په پراخه توګه پاتې کیږي (د کارونې ازموینې لپاره. ستاسو په سیسټمونو کې د ssh-rsa، تاسو کولی شئ د ssh له لارې د "-oHostKeyAlgorithms=-ssh-rsa" اختیار سره د نښلولو هڅه وکړئ).
په OpenSSH کې نوي الګوریتمونو ته د لیږد اسانه کولو لپاره، په راتلونکي کې د UpdateHostKeys ترتیب به د ډیفالټ په واسطه فعال شي، کوم چې به په اتوماتيک ډول پیرودونکي ډیر معتبر الګوریتمونو ته مهاجر کړي. د مهاجرت لپاره وړاندیز شوي الګوریتمونه شامل دي rsa-sha2-256/512 د RFC8332 RSA SHA-2 پر بنسټ (د OpenSSH 7.2 راهیسې ملاتړ شوی او په ډیفالټ کارول کیږي)، ssh-ed25519 (د OpenSSH 6.5 راهیسې ملاتړ شوی) او ecdsa-sha2-nistp256/384/521 په RFC5656 ECDSA کې (د OpenSSH 5.7 راهیسې ملاتړ شوی).
د وروستي خپریدو سره سم، "ssh-rsa" او "diffie-hellman-group14-sha1" د CASignatureAlgorithms لیست څخه لیرې شوي چې د الګوریتم تعریف کوي چې په ډیجیټل ډول نوي سندونه لاسلیک کړي، ځکه چې په سندونو کې د SHA-1 کارول یو اضافي خطر رامینځته کوي. د دې له امله برید کونکی د موجوده سند لپاره د ټکر موندلو لپاره لامحدود وخت لري ، پداسې حال کې چې د کوربه کلیدونو برید کولو وخت د پیوستون مهال ویش (LoginGraceTime) لخوا محدود دی.
سرچینه: opennet.ru