ProHoster > بلاګ > انټرنیټ خبرونه > د OpenSSH 8.4 خوشې کول

د OpenSSH 8.4 خوشې کول

د څلورو میاشتو پراختیا وروسته وړاندې شوی د OpenSSH 8.4 خوشې کول، د SSH 2.0 او SFTP پروتوکولونو په کارولو سره کار کولو لپاره د خلاص پیرودونکي او سرور پلي کول.

اصلي بدلونونه:

  • امنیتي بدلونونه:
    • په ssh-agent کې، کله چې د FIDO کلیدونه وکاروئ چې د SSH تصدیق لپاره ندي رامینځته شوي (کلیدي ID د "ssh:" تار سره نه پیل کیږي) ، دا اوس ګوري چې پیغام به د SSH پروتوکول کې کارول شوي میتودونو په کارولو سره لاسلیک شي. بدلون به ssh-agent ته اجازه ورنکړي چې لرې پرتو کوربه ته واستول شي چې د FIDO کلیدونه لري ترڅو د ویب تصدیق کولو غوښتنو لپاره لاسلیکونو رامینځته کولو لپاره د دې کلیدونو کارولو وړتیا بنده کړي (د برعکس قضیه ، کله چې براوزر د SSH غوښتنه لاسلیک کولی شي ، په پیل کې خارج کیږي. په کلیدي پیژندونکي کې د "ssh:" مخکیني کارولو له امله).
    • د ssh-keygen د اوسیدونکي کیلي نسل کې د FIDO 2.1 مشخصاتو کې تشریح شوي د کریډ پروټیکټ اضافه کولو ملاتړ شامل دی ، کوم چې د هر ډول عملیاتو ترسره کولو دمخه د PIN اړتیا سره د کیلي لپاره اضافي محافظت چمتو کوي کوم چې ممکن د نښې څخه د اوسیدونکي کیلي استخراج لامل شي.
  • په احتمالي توګه د مطابقت بدلونونه ماتول:
    • د FIDO/U2F مالتړ لپاره، سپارښتنه کیږي چې لږ تر لږه د 2 نسخه libfido1.5.0 کتابتون وکاروئ. د زړو نسخو کارولو وړتیا په جزوي توګه پلي شوې، مګر پدې حالت کې، د استوګنې کیلي، د PIN غوښتنه، او د څو ټوکونو نښلول به شتون ونلري.
    • په ssh-keygen کې، د ډیجیټل لاسلیکونو تصدیق کولو لپاره اړین د تصدیق کونکي ډیټا د تایید معلوماتو ب formatه کې اضافه شوي ، په اختیاري توګه د FIDO کیلي رامینځته کولو پرمهال خوندي کیږي.
    • API کارول کیږي کله چې OpenSSH د FIDO ټوکنونو ته د لاسرسي لپاره د پرت سره تعامل کوي بدل شوی.
    • کله چې د OpenSSH پورټ ایبل نسخه رامینځته کړئ ، نو اتوماتیک اوس اړین دی چې د ترتیب سکریپټ او ورسره جوړ شوي فایلونه رامینځته کړي (که چیرې د خپاره شوي کوډ ټار فایل څخه جوړ شي ، نو بیا رامینځته کول اړین ندي).
  • د FIDO کیلي لپاره ملاتړ اضافه شوی چې په ssh او ssh-keygen کې د PIN تایید ته اړتیا لري. د PIN سره د کیلي جوړولو لپاره، د "تصدیق اړین" اختیار په ssh-keygen کې اضافه شوی. که دا ډول کیلي کارول کیږي، د لاسلیک جوړولو عملیات ترسره کولو دمخه، کارونکي ته هڅول کیږي چې د PIN کوډ په داخلولو سره خپل عمل تایید کړي.
  • په sshd کې، د "تصدیق-اړین" اختیار د مجاز_کیز ترتیب کې پلي کیږي، کوم چې د نښه کولو سره د عملیاتو په جریان کې د کاروونکي شتون تصدیق کولو لپاره د وړتیاوو کارولو ته اړتیا لري. د FIDO معیار د داسې تایید لپاره ډیری اختیارونه وړاندې کوي، مګر اوس مهال OpenSSH یوازې د PIN پر بنسټ تایید ملاتړ کوي.
  • sshd او ssh-keygen د ډیجیټل لاسلیکونو تصدیق کولو لپاره ملاتړ اضافه کړی چې د FIDO Webauthn معیار سره مطابقت لري، کوم چې د FIDO کلیدونو ته اجازه ورکوي چې په ویب براوزرونو کې وکارول شي.
  • په ssh کې د سند فایل تنظیماتو کې،
    ControlPath، IdentityAgent، IdentityFile، LocalForward او
    RemoteForward د "${ENV}" بڼه کې مشخص شوي د چاپیریال متغیرونو څخه د ارزښتونو بدیل ته اجازه ورکوي.

  • ssh او ssh-agent د $SSH_ASKPASS_REQUIRE چاپیریال متغیر لپاره ملاتړ اضافه کړی، کوم چې د ssh-askpass کال فعال یا غیر فعالولو لپاره کارول کیدی شي.
  • د AddKeysToAgent لارښود کې په ssh_config کې ssh کې، د کیلي د اعتبار موده محدودولو وړتیا اضافه شوې. وروسته له دې چې ټاکل شوی حد پای ته ورسید، کیلي په اتوماتيک ډول د ssh-agent څخه حذف کیږي.
  • په scp او sftp کې، د "-A" بیرغ په کارولو سره، تاسو اوس کولی شئ په واضح ډول د ssh-agent په کارولو سره scp او sftp ته د ری ډایریکشن اجازه ورکړئ (ری ډایریکشن د ډیفالټ لخوا غیر فعال دی).
  • په ssh ترتیباتو کې د '%k' بدیل لپاره ملاتړ اضافه شوی، کوم چې د کوربه کلیدي نوم مشخصوي. دا فیچر په جلا فایلونو کې د کیلي ویشلو لپاره کارول کیدی شي (د مثال په توګه، "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
  • د stdin څخه د کیلي لوستلو لپاره د "ssh-add -d -" عملیاتو کارولو ته اجازه ورکړئ کوم چې باید حذف شي.
  • په sshd کې، د پیوستون د پری کولو پروسې پیل او پای په لاګ کې منعکس کیږي، د MaxStartups پیرامیټر په کارولو سره تنظیم شوي.

د OpenSSH پراختیا کونکو د SHA-1 هشونو په کارولو سره د الګوریتمونو راتلونکي تخریب هم یادونه وکړه چې له امله یې ترویج د ورکړل شوي مختګ سره د ټکر بریدونو اغیزمنتوب (د ټکر د انتخاب لګښت نږدې 45 زره ډالر اټکل شوی). په یوه راتلونکو خپرونو کې، دوی پالن لري چې د ډیفالټ لخوا د عامه کلیدي ډیجیټل لاسلیک الګوریتم "ssh-rsa" کارولو وړتیا غیر فعال کړي، کوم چې د SSH پروتوکول لپاره په اصلي RFC کې ذکر شوي او په عمل کې په پراخه توګه پاتې کیږي (د کارونې ازموینې لپاره. ستاسو په سیسټمونو کې د ssh-rsa، تاسو کولی شئ د ssh له لارې د "-oHostKeyAlgorithms=-ssh-rsa" اختیار سره د نښلولو هڅه وکړئ).

په OpenSSH کې نوي الګوریتمونو ته د لیږد اسانه کولو لپاره ، راتلونکی خپرونه به د ډیفالټ په واسطه د UpdateHostKeys ترتیب فعال کړي ، کوم چې به په اتوماتيک ډول پیرودونکي ډیر معتبر الګوریتمونو ته مهاجر کړي. د مهاجرت لپاره وړاندیز شوي الګوریتمونه شامل دي rsa-sha2-256/512 د RFC8332 RSA SHA-2 پر بنسټ (د OpenSSH 7.2 راهیسې ملاتړ شوی او په ډیفالټ کارول کیږي)، ssh-ed25519 (د OpenSSH 6.5 راهیسې ملاتړ شوی) او ecdsa-sha2-nistp256/384/521 په RFC5656 ECDSA کې (د OpenSSH 5.7 راهیسې ملاتړ شوی).

سرچینه: opennet.ru

Add a comment