ProHoster > بلاګ > انټرنیټ خبرونه > د OpenSSH 8.5 خوشې کول

د OpenSSH 8.5 خوشې کول

د پنځو میاشتو پراختیا وروسته، OpenSSH 8.5، د SSH 2.0 او SFTP پروتوکولونو لپاره د خلاصې سرچینې مراجع او سرور پلي کول، خپور شو.

د OpenSSH پراختیا کونکو د مخکینۍ پر بنسټ د ټکر بریدونو د زیاتوالي اغیزمنتوب له امله د SHA-1 هشونو په کارولو سره د الګوریتمونو راتلونکی تخریب اعلان کړی دی (د ټکر د جبري کولو لګښت نږدې $ 50 اټکل شوی). په راتلونکي خپرونه کې، دوی پلان لري چې د "ssh-rsa" عامه کیلي ډیجیټل لاسلیک الګوریتم کارول په ډیفالټ ډول غیر فعال کړي، کوم چې د SSH پروتوکول لپاره په اصلي RFC کې ذکر شوی او په عمل کې په پراخه کچه کارول کیږي.

ستاسو په سیسټمونو کې د ssh-rsa کارولو ازموینې لپاره، تاسو کولی شئ د "-oHostKeyAlgorithms=-ssh-rsa" اختیار سره د ssh له لارې د نښلولو هڅه وکړئ. په ورته وخت کې، د ډیفالټ لخوا د "ssh-rsa" ډیجیټل لاسلیکونو غیر فعال کول د RSA کلیدونو کارولو بشپړ پریښودل معنی نلري، ځکه چې د SHA-1 سربیره، د SSH پروتوکول د نورو هش حساب کولو الګوریتمونو کارولو ته اجازه ورکوي. په ځانګړې توګه، د "ssh-rsa" سربیره، دا به د "rsa-sha2-256" (RSA/SHA256) او "rsa-sha2-512" (RSA/SHA512) بنډلونو کارول ممکن پاتې شي.

د نوي الګوریتمونو ته د لیږد اسانه کولو لپاره، OpenSSH 8.5 کې د UpdateHostKeys ترتیب شامل دی، کوم چې په اتوماتيک ډول مراجعین ډیر خوندي الګوریتمونو ته لیږدوي. دا ترتیب یو ځانګړی پروتوکول توسیع فعالوي، "hostkeys@openssh.com"، کوم چې سرور ته اجازه ورکوي چې د تصدیق وروسته د ټولو شته کوربه کیليونو څخه مراجعین ته خبر ورکړي. مراجع کولی شي دا کیلي په خپل ~/.ssh/known_hosts فایل کې ذخیره کړي، کوم چې د کوربه کیلي تازه معلوماتو ته اجازه ورکوي او د کیلي گردش ساده کوي. سرور.

د UpdateHostKeys کارول د څو احتیاطونو لخوا محدود دي چې ممکن په راتلونکي کې لرې شي: کیلي باید د UserKnownHostsFile کې حواله شي او په GlobalKnownHostsFile کې نه کارول کیږي؛ کیلي باید یوازې د یو نوم لاندې شتون ولري؛ د کوربه کلیدي سند باید ونه کارول شي؛ په پیژندل شوي_hosts کې د کوربه نوم لخوا ماسکونه باید ونه کارول شي؛ د VerifyHostKeyDNS ترتیب باید غیر فعال وي؛ د UserKnownHostsFile پیرامیټر باید فعال وي.

د مهاجرت لپاره وړاندیز شوي الګوریتمونه شامل دي rsa-sha2-256/512 د RFC8332 RSA SHA-2 پر بنسټ (د OpenSSH 7.2 راهیسې ملاتړ شوی او په ډیفالټ کارول کیږي)، ssh-ed25519 (د OpenSSH 6.5 راهیسې ملاتړ شوی) او ecdsa-sha2-nistp256/384/521 په RFC5656 ECDSA کې (د OpenSSH 5.7 راهیسې ملاتړ شوی).

نور بدلونونه:

  • امنیتي بدلونونه:
    • په ssh-agent کې د پخوانۍ خوشې شوې حافظې د دوه ځله خلاصولو له امله رامینځته شوې زیان منونکې ستونزه حل شوې ده. دا ستونزه د OpenSSH 8.2 راهیسې شتون لري او د برید کونکي لخوا کارول کیدی شي چې په محلي سیسټم کې د ssh-agent ساکټ ته لاسرسی لري. استحصال د دې حقیقت له امله پیچلی دی چې یوازې روټ او اصلي کارونکي ساکټ ته لاسرسی لري. د برید ترټولو احتمالي سناریو اجنټ د برید کونکي لخوا کنټرول شوي حساب یا کوربه ته لیږدول دي چیرې چې بریدګر روټ لاسرسی لري.
    • sshd د PAM فرعي سیسټم ته د خورا لوی کارونکي نوم پیرامیټرو د لیږدولو په وړاندې د ساتنې سره تازه شوی، د سیسټم PAM (پلګ ایبل تصدیق ماډل) ماډلونو کې زیان منونکي بندوي. د مثال په توګه، دا بدلون sshd د سولاریس (CVE-2020-14871) کې د وروستي کشف شوي روټ زیان منونکي څخه د ګټې اخیستنې لپاره د ویکتور په توګه د کارولو مخه نیسي.
  • په احتمالي توګه د مطابقت بدلونونه ماتول:
    • د کوانټم کمپیوټر باندې د وحشي ځواک بریدونو په وړاندې مقاومت لرونکی د کیلي تبادلې یو تجربوي میتود په ssh او sshd کې بیا ډیزاین شوی. کوانټم کمپیوټرونه د طبیعي شمیرو د اصلي فاکتورونو ته د فکتور کولو ستونزې ته د پام وړ ګړندي حلونه وړاندې کوي، کوم چې د عصري غیر متناسب کوډ کولو الګوریتمونو اساس دی او په کلاسیک پروسسرونو کې په غیر موثر ډول د حل وړ دی. دا میتود د NTRU پرائم الګوریتم پراساس دی، چې د پوسټ کوانټم کریپټو سیسټمونو لپاره رامینځته شوی، او د X25519 بیضوي منحني کیلي تبادلې میتود. د sntrup4591761x25519-sha512@tinyssh.org پرځای، دا میتود اوس د sntrup761x25519-sha512@openssh.com په توګه پیژندل شوی (sntrup4591761 الګوریتم د sntrup761 سره بدل شوی).
    • هغه ترتیب چې ملاتړ شوي ډیجیټل لاسلیک الګوریتمونه په ssh او sshd کې اعلان شوي دي بدل شوی دی. ED25519 اوس لومړی وړاندې کیږي، د ECDSA ځای نیسي.
    • په ssh او sshd کې، د متقابل غونډو لپاره د TOS/DSCP کیفیت خدماتو پیرامیټرې اوس د TCP اتصال له رامینځته کیدو دمخه تنظیم شوي.
    • ssh او sshd د rijndael-cbc@lysator.liu.se سیفر لپاره ملاتړ له لاسه ورکړی دی، کوم چې د aes256-cbc سره ورته دی او د RFC-4253 څخه مخکې کارول کیده.
    • د CheckHostIP پیرامیټر په ډیفالټ ډول غیر فعال دی، کوم چې لږ ګټه ورکوي، مګر د بار بیلانسرونو شاته کوربه لپاره د کلیدي گردش خورا پیچلی کوي.
  • د PerSourceMaxStartups او PerSourceNetBlockSize ترتیبات په sshd کې اضافه شوي ترڅو د مراجعینو پتې پراساس د هینډلرونو د پیل کولو کچه محدوده کړي. دا ترتیبات د عمومي MaxStartups ترتیباتو په پرتله د پروسې لانچ محدودیتونو باندې ډیر دانه کنټرول ته اجازه ورکوي.
  • په ssh او sshd کې د LogVerbose یو نوی ترتیب اضافه شوی، چې تاسو ته اجازه درکوي چې په لاګ کې اچول شوي د ډیبګ کولو معلوماتو کچه په زور سره لوړه کړئ، د نمونو، دندو او فایلونو لخوا د فلټر کولو وړتیا سره.
  • په ssh کې، کله چې د نوي کوربه کیلي منل کیږي، ټول کوربه نومونه ښودل کیږي او IP پتې، د کیلي سره تړاو لري.
  • په ssh کې، د UserKnownHostsFile=none اختیار ته اجازه ورکول کیږي چې د کوربه کیلي پیژندلو پرمهال د known_hosts فایل کارول غیر فعال کړي.
  • د KnownHostsCommand ترتیب د ssh لپاره ssh_config ته اضافه شوی، تاسو ته اجازه درکوي چې د ټاکل شوي کمانډ له محصول څخه د known_hosts ډیټا بیرته ترلاسه کړئ.
  • د PermitRemoteOpen اختیار د ssh لپاره ssh_config ته اضافه شوی، تاسو ته اجازه درکوي چې د SOCKS سره د RemoteForward اختیار کارولو پرمهال منزل محدود کړئ.
  • په SSH کې د FIDO کیلي لپاره، د غلط PIN له امله د ډیجیټل لاسلیک عملیات ناکامۍ او د کارونکي لخوا د PIN غوښتنې نشتوالي په صورت کې د PIN تکرار غوښتنه چمتو کیږي (د مثال په توګه، کله چې د سم بایومیټریک معلوماتو ترلاسه کول ممکن نه وو او وسیله بیرته لاسي PIN داخلې ته راښکته شوه).
  • په sshd کې، په پلیټ فارم کې د seccomp-bpf پر بنسټ د پروسې جلا کولو میکانیزم Linux د اضافي سیسټم زنګونو لپاره اضافه شوی ملاتړ.
  • د contrib/ssh-copy-id اسانتیا تازه شوې ده.

سرچینه: opennet.ru

د DDoS محافظت ، VPS VDS سرورونو سره د سایټونو لپاره معتبر کوربه توب واخلئ 🔥 د DDoS محافظت، VPS VDS سرورونو سره د باور وړ ویب پاڼې کوربه توب واخلئ | ProHoster