ProHoster > بلاګ > انټرنیټ خبرونه > د OpenSSH 8.0 خوشې کول

د OpenSSH 8.0 خوشې کول

د پنځو میاشتو پراختیا وروسته وړاندې شوی خوشې کول OpenSSH 8.0، د SSH 2.0 او SFTP پروتوکولونو له لارې کار کولو لپاره خلاص پیرودونکي او سرور پلي کول.

اصلي بدلونونه:

  • د کلیدي تبادلې میتود لپاره تجربوي ملاتړ چې په کوانټم کمپیوټر کې د وحشي ځواک بریدونو پروړاندې مقاومت لري په ssh او sshd کې اضافه شوي. د کوانټم کمپیوټرونه په لومړني فکتورونو کې د طبیعي شمیرې د تخریب کولو ستونزې په حل کې خورا ګړندي دي ، کوم چې د عصري غیر متناسب کوډ کولو الګوریتمونو لاندې راځي او په کلاسیک پروسیسرونو کې په مؤثره توګه نشي حل کیدی. وړاندیز شوی میتود د الګوریتم پر بنسټ دی NTRU Prime (function ntrup4591761)، د پوسټ کوانټم کریپټو سیسټمونو لپاره رامینځته شوی، او د ایلیپټیک وکر کلیدي تبادلې میتود X25519؛
  • په sshd کې، د ListenAddress او PermitOpen لارښوونې نور د میراث "میزبان/پورټ" ترکیب ملاتړ نه کوي، کوم چې په 2001 کې د "میزبان: پورټ" د بدیل په توګه پلي شوی ترڅو د IPv6 سره کار اسانه کړي. په عصري شرایطو کې، نحو "[::6]:1" د IPv22 لپاره رامینځته شوی، او "میزبان/پورټ" اکثرا د سبنټ (CIDR) په نښه کولو سره ګډوډ وي؛
  • ssh، ssh-agent او ssh-add اوس ملاتړ کیلي ECDSA په PKCS#11 ټوکن کې؛
  • په ssh-keygen کې، د ډیفالټ RSA کلیدي اندازه 3072 بټونو ته لوړه شوې، د نوي NIST سپارښتنو سره سم؛
  • ssh د "PKCS11Provider=none" ترتیب کارولو ته اجازه ورکوي چې په ssh_config کې مشخص شوي PKCS11Provider لارښود له پامه غورځوي؛
  • sshd د شرایطو لاګ ښودنه چمتو کوي کله چې اړیکه وتړل شي کله چې په sshd_config کې د "ForceCommand=internal-sftp" محدودیت لخوا بند شوي کمانډونو اجرا کولو هڅه وکړئ؛
  • په ssh کې، کله چې د "هو" ځواب پر ځای د نوي کوربه کیلي د منلو تایید لپاره غوښتنه ښکاره کول، د کیلي سمه ګوتې نښه اوس منل شوې (د پیوستون تایید کولو بلنې په ځواب کې، کاروونکي کولی شي کاپي کړي. په جلا توګه د کلپ بورډ له لارې د حوالې هش ترلاسه شوی، نو په لاسي ډول یې پرتله نه کړئ؛
  • ssh-keygen په کمانډ لاین کې د ډیری سندونو لپاره ډیجیټل لاسلیکونو رامینځته کولو پرمهال د سند ترتیب شمیره اتوماتیک زیاتوالی چمتو کوي؛
  • یو نوی اختیار "-J" په scp او sftp کې اضافه شوی، د پراکسي جمپ ترتیب سره برابر؛
  • په ssh-agent، ssh-pkcs11-helper او ssh-add کې، د "-v" کمانډ لاین اختیار پروسس کول د محصول د معلوماتو مینځپانګې زیاتولو لپاره اضافه شوي (کله چې مشخص شي، دا اختیار د ماشومانو پروسو ته لیږدول کیږي. د مثال په توګه، کله چې ssh-pkcs11-helper د ssh-agent څخه ویل کیږي؛
  • د "-T" اختیار په ssh-add کې اضافه شوی ترڅو د ډیجیټل لاسلیک رامینځته کولو او تصدیق عملیاتو ترسره کولو لپاره په ssh-اجنټ کې د کیلي مناسبتیا ازموینه وکړي؛
  • sftp-server د "lsetstat at openssh.com" پروتوکول توسیع لپاره ملاتړ پلي کوي، کوم چې د SFTP لپاره د SSH2_FXP_SETSTAT عملیاتو لپاره مالتړ زیاتوي، مګر پرته له سمبولیک لینکونو تعقیب؛
  • د chown/chgrp/chmod کمانډونو چلولو لپاره sftp ته د "-h" اختیار اضافه شوی د غوښتنو سره چې سمبولیک لینکونه نه کاروي؛
  • sshd د PAM لپاره د $SSH_CONNECTION چاپیریال متغیر ترتیب چمتو کوي؛
  • د sshd لپاره، د "میچ فاینل" میچینګ حالت ssh_config ته اضافه شوی، کوم چې د "میچ کینونیکي" سره ورته دی، مګر د کوربه نوم نورمال کولو ته اړتیا نلري چې فعال شي؛
  • sftp ته د '@' مخکینۍ لپاره ملاتړ اضافه شوی ترڅو په بیچ حالت کې د اجرا شوي کمانډ محصول ژباړې غیر فعال کړي؛
  • کله چې تاسو د کمانډ په کارولو سره د سند مینځپانګې ښکاره کړئ
    "ssh-keygen -Lf /path/certificate" اوس هغه الګوریتم ښیې چې د CA لخوا د سند تصدیق کولو لپاره کارول کیږي؛

  • د Cygwin چاپیریال لپاره ښه ملاتړ، د بیلګې په توګه د ګروپ او کارن نومونو د قضیې غیر حساس پرتله کول. په Cygwin بندر کې د sshd پروسه cygsshd ته بدله شوې ترڅو د مایکروسافټ لخوا چمتو شوي OpenSSH بندر کې د مداخلې مخه ونیسي؛
  • د تجربوي OpenSSL 3.x څانګې سره د جوړولو وړتیا اضافه کړه؛
  • له منځه وړل زیانمنتیا (CVE-2019-6111) د scp یوټیلیټ پلي کولو کې، کوم چې د هدف ډایرکټر کې خپل سري فایلونو ته اجازه ورکوي چې د پیرودونکي اړخ کې بیا لیکل شي کله چې د برید کونکي لخوا کنټرول شوي سرور ته لاسرسی ومومي. ستونزه دا ده چې د scp کارولو پر مهال، سرور پریکړه کوي چې کوم فایلونه او لارښودونه پیرودونکي ته واستوي، او پیرودونکي یوازې د بیرته راستانه شوي اعتراض نومونو سموالی ګوري. د پیرودونکي اړخ چیک کول یوازې د اوسني لارښود ("../") هاخوا سفر بندولو پورې محدود دی ، مګر د نومونو سره د فایلونو لیږد په پام کې نه نیسي چې اصلي غوښتنه شوي. د تکراري کاپي کولو په حالت کې (-r) ، د فایل نومونو سربیره ، تاسو کولی شئ په ورته ډول د فرعي لارښودونو نومونه هم تنظیم کړئ. د مثال په توګه، که چیرې کارن فایلونه د کور ډایرکټر ته کاپي کړي، د برید کونکي لخوا کنټرول شوی سرور کولی شي د غوښتل شوي فایلونو په ځای د .bash_aliases یا .ssh/authorized_keys نومونو سره فایلونه تولید کړي، او دوی به د کارن په scp یوټیلیټ کې خوندي شي. کور لارښود.

    په نوې خپرونه کې، د scp یوټیلیټ تازه شوی ترڅو د غوښتل شوي فایل نومونو او د سرور لخوا لیږل شوي تر منځ لیکونه وګوري، کوم چې د پیرودونکي اړخ کې ترسره کیږي. دا ممکن د ماسک پروسس کولو کې ستونزې رامینځته کړي ، ځکه چې د ماسک توسعې حروف ممکن په سرور او پیرودونکي اړخونو کې په مختلف ډول پروسس شي. په هغه صورت کې چې دا ډول توپیرونه د دې لامل کیږي چې پیرودونکي په scp کې د فایلونو منلو مخه ونیسي، "-T" اختیار د مراجعینو اړخ چیک کولو غیر فعالولو لپاره اضافه شوی. د ستونزې په بشپړه توګه سمولو لپاره، د scp پروتوکول مفکورې بیا کار کولو ته اړتیا ده، کوم چې پخپله پخوانی دی، نو دا سپارښتنه کیږي چې نور عصري پروتوکولونه لکه sftp او rsync وکاروئ.

سرچینه: opennet.ru

Add a comment