د څلورو میاشتو پراختیا وروسته
اصلي بدلونونه:
- امنیتي بدلونونه:
- په ssh-agent کې، کله چې د FIDO کلیدونه وکاروئ چې د SSH تصدیق لپاره ندي رامینځته شوي (کلیدي ID د "ssh:" تار سره نه پیل کیږي) ، دا اوس ګوري چې پیغام به د SSH پروتوکول کې کارول شوي میتودونو په کارولو سره لاسلیک شي. بدلون به ssh-agent ته اجازه ورنکړي چې لرې پرتو کوربه ته واستول شي چې د FIDO کلیدونه لري ترڅو د ویب تصدیق کولو غوښتنو لپاره لاسلیکونو رامینځته کولو لپاره د دې کلیدونو کارولو وړتیا بنده کړي (د برعکس قضیه ، کله چې براوزر د SSH غوښتنه لاسلیک کولی شي ، په پیل کې خارج کیږي. په کلیدي پیژندونکي کې د "ssh:" مخکیني کارولو له امله).
- د ssh-keygen د اوسیدونکي کیلي نسل کې د FIDO 2.1 مشخصاتو کې تشریح شوي د کریډ پروټیکټ اضافه کولو ملاتړ شامل دی ، کوم چې د هر ډول عملیاتو ترسره کولو دمخه د PIN اړتیا سره د کیلي لپاره اضافي محافظت چمتو کوي کوم چې ممکن د نښې څخه د اوسیدونکي کیلي استخراج لامل شي.
- په احتمالي توګه د مطابقت بدلونونه ماتول:
- د FIDO/U2F مالتړ لپاره، سپارښتنه کیږي چې لږ تر لږه د 2 نسخه libfido1.5.0 کتابتون وکاروئ. د زړو نسخو کارولو وړتیا په جزوي توګه پلي شوې، مګر پدې حالت کې، د استوګنې کیلي، د PIN غوښتنه، او د څو ټوکونو نښلول به شتون ونلري.
- په ssh-keygen کې، د ډیجیټل لاسلیکونو تصدیق کولو لپاره اړین د تصدیق کونکي ډیټا د تایید معلوماتو ب formatه کې اضافه شوي ، په اختیاري توګه د FIDO کیلي رامینځته کولو پرمهال خوندي کیږي.
- API کارول کیږي کله چې OpenSSH د FIDO ټوکنونو ته د لاسرسي لپاره د پرت سره تعامل کوي بدل شوی.
- کله چې د OpenSSH پورټ ایبل نسخه رامینځته کړئ ، نو اتوماتیک اوس اړین دی چې د ترتیب سکریپټ او ورسره جوړ شوي فایلونه رامینځته کړي (که چیرې د خپاره شوي کوډ ټار فایل څخه جوړ شي ، نو بیا رامینځته کول اړین ندي).
- د FIDO کیلي لپاره ملاتړ اضافه شوی چې په ssh او ssh-keygen کې د PIN تایید ته اړتیا لري. د PIN سره د کیلي جوړولو لپاره، د "تصدیق اړین" اختیار په ssh-keygen کې اضافه شوی. که دا ډول کیلي کارول کیږي، د لاسلیک جوړولو عملیات ترسره کولو دمخه، کارونکي ته هڅول کیږي چې د PIN کوډ په داخلولو سره خپل عمل تایید کړي.
- په sshd کې، د "تصدیق-اړین" اختیار د مجاز_کیز ترتیب کې پلي کیږي، کوم چې د نښه کولو سره د عملیاتو په جریان کې د کاروونکي شتون تصدیق کولو لپاره د وړتیاوو کارولو ته اړتیا لري. د FIDO معیار د داسې تایید لپاره ډیری اختیارونه وړاندې کوي، مګر اوس مهال OpenSSH یوازې د PIN پر بنسټ تایید ملاتړ کوي.
- sshd او ssh-keygen د ډیجیټل لاسلیکونو تصدیق کولو لپاره ملاتړ اضافه کړی چې د FIDO Webauthn معیار سره مطابقت لري، کوم چې د FIDO کلیدونو ته اجازه ورکوي چې په ویب براوزرونو کې وکارول شي.
- په ssh کې د سند فایل تنظیماتو کې،
ControlPath، IdentityAgent، IdentityFile، LocalForward او
RemoteForward د "${ENV}" بڼه کې مشخص شوي د چاپیریال متغیرونو څخه د ارزښتونو بدیل ته اجازه ورکوي. - ssh او ssh-agent د $SSH_ASKPASS_REQUIRE چاپیریال متغیر لپاره ملاتړ اضافه کړی، کوم چې د ssh-askpass کال فعال یا غیر فعالولو لپاره کارول کیدی شي.
- د AddKeysToAgent لارښود کې په ssh_config کې ssh کې، د کیلي د اعتبار موده محدودولو وړتیا اضافه شوې. وروسته له دې چې ټاکل شوی حد پای ته ورسید، کیلي په اتوماتيک ډول د ssh-agent څخه حذف کیږي.
- په scp او sftp کې، د "-A" بیرغ په کارولو سره، تاسو اوس کولی شئ په واضح ډول د ssh-agent په کارولو سره scp او sftp ته د ری ډایریکشن اجازه ورکړئ (ری ډایریکشن د ډیفالټ لخوا غیر فعال دی).
- په ssh ترتیباتو کې د '%k' بدیل لپاره ملاتړ اضافه شوی، کوم چې د کوربه کلیدي نوم مشخصوي. دا فیچر په جلا فایلونو کې د کیلي ویشلو لپاره کارول کیدی شي (د مثال په توګه، "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
- د stdin څخه د کیلي لوستلو لپاره د "ssh-add -d -" عملیاتو کارولو ته اجازه ورکړئ کوم چې باید حذف شي.
- په sshd کې، د پیوستون د پری کولو پروسې پیل او پای په لاګ کې منعکس کیږي، د MaxStartups پیرامیټر په کارولو سره تنظیم شوي.
د OpenSSH پراختیا کونکو د SHA-1 هشونو په کارولو سره د الګوریتمونو راتلونکي تخریب هم یادونه وکړه چې له امله یې
په OpenSSH کې نوي الګوریتمونو ته د لیږد اسانه کولو لپاره ، راتلونکی خپرونه به د ډیفالټ په واسطه د UpdateHostKeys ترتیب فعال کړي ، کوم چې به په اتوماتيک ډول پیرودونکي ډیر معتبر الګوریتمونو ته مهاجر کړي. د مهاجرت لپاره وړاندیز شوي الګوریتمونه شامل دي rsa-sha2-256/512 د RFC8332 RSA SHA-2 پر بنسټ (د OpenSSH 7.2 راهیسې ملاتړ شوی او په ډیفالټ کارول کیږي)، ssh-ed25519 (د OpenSSH 6.5 راهیسې ملاتړ شوی) او ecdsa-sha2-nistp256/384/521 په RFC5656 ECDSA کې (د OpenSSH 5.7 راهیسې ملاتړ شوی).
سرچینه: opennet.ru