د څلورو میاشتو پراختیا وروسته، د OpenSSH 8.7 خوشې کول، د SSH 2.0 او SFTP پروتوکولونو کې کار کولو لپاره د پیرودونکي او سرور خلاص تطبیق، وړاندې شو.
اصلي بدلونونه:
- د دودیز SCP/RCP پروتوکول پرځای د SFTP پروتوکول په کارولو سره scp کې د تجربوي معلوماتو لیږد حالت اضافه شوی. SFTP د وړاندوینې وړ نوم اداره کولو میتودونه کاروي او د کوربه بل اړخ کې د ګلوب نمونو شیل پروسس نه کاروي ، کوم چې امنیت ستونزې رامینځته کوي. په scp کې د SFTP فعالولو لپاره، د "-s" بیرغ وړاندیز شوی، مګر په راتلونکي کې دا پالن شوی چې د ډیفالټ لخوا دې پروتوکول ته لاړ شي.
- sftp-server د SFTP پروتوکول ته توسیعونه پلي کوي ترڅو د ~/ او ~ کارن/ لارې پراخې کړي، کوم چې د scp لپاره اړین دي.
- د scp کارونې چلند بدل کړی کله چې د دوه لرې پرتو میزبانونو (د مثال په توګه، "scp host-a:/path host-b:") ترمنځ د فایلونو کاپي کول، کوم چې اوس د منځګړیتوب ځایي کوربه له لارې د ډیفالټ په توګه ترسره کیږي، لکه څنګه چې مشخص کوي " -3” بیرغ. دا طریقه تاسو ته اجازه درکوي چې لومړي کوربه ته د غیر ضروري اسنادو تیریدو څخه مخنیوی وکړئ او په شیل کې د فایل نومونو درې ځله تشریح (سرچینه، منزل او محلي سیسټم اړخ کې)، او کله چې SFTP کاروئ، دا تاسو ته اجازه درکوي چې د ریموټ لاسرسي په وخت کې د تصدیق کولو ټولې میتودونه وکاروئ. کوربه، او نه یوازې غیر متقابل میتودونه. د "-R" اختیار اضافه شوی ترڅو زاړه چلند بیرته راولي.
- د "-f" بیرغ سره سم ssh ته د ForkAfterAuthentication ترتیب اضافه شوی.
- ssh ته د StdinNull ترتیب اضافه شوی، د "-n" بیرغ سره مطابقت لري.
- د سیشن ټایپ ترتیب په ssh کې اضافه شوی ، د کوم له لارې تاسو کولی شئ د "-N" (نه ناسته) او "-s" (فرعي سیسټم) بیرغونو سره مطابقت لرونکي حالتونه تنظیم کړئ.
- ssh-keygen تاسو ته اجازه درکوي په کلیدي فایلونو کې د کلیدي اعتبار وقفه مشخص کړئ.
- د sshsig لاسلیک برخې په توګه د بشپړ عامه کیلي چاپ کولو لپاره ssh-keygen ته د "-Oprint-pubkey" بیرغ اضافه شوی.
- په ssh او sshd کې، پیرودونکي او سرور دواړه د یو ډیر محدود ترتیباتي فایل پارسر کارولو لپاره لیږدول شوي چې د نرخونو، ځایونو، او فرار حروفونو اداره کولو لپاره د شیل په څیر قواعد کاروي. نوی پارسر هم مخکې جوړ شوي انګیرنې له پامه غورځوي، لکه په اختیارونو کې د دلیلونو له مینځه وړل (د مثال په توګه، د DenyUsers لارښود نور نشي کولی خالي پاتې شي)، تړل شوي نرخونه، او د څو = حروفونو مشخص کول.
- کله چې د کیلي تصدیق کولو پرمهال د SSHFP DNS ریکارډونه وکاروئ ، ssh اوس ټول مطابقت لرونکي ریکارډونه ګوري ، نه یوازې هغه چې د ځانګړي ډول ډیجیټل لاسلیک لري.
- په ssh-keygen کې، کله چې د -Ochallenge اختیار سره د FIDO کیلي تولید کړئ، جوړ شوی پرت اوس د libfido2 پر ځای د هش کولو لپاره کارول کیږي، کوم چې د 32 بایټ څخه لوی یا کوچنیو ننګونو ترتیبونو کارولو ته اجازه ورکوي.
- په sshd کې، کله چې په authorized_keys فایلونو کې د چاپیریال = "..." لارښوونې پروسس کوي، لومړۍ لوبه اوس منل شوې او د 1024 چاپیریال متغیر نومونو حد شتون لري.
د OpenSSH پراختیا کونکو د SHA-1 هشونو په کارولو سره د الګوریتمونو تخریب په اړه هم خبرداری ورکړ چې د ورکړل شوي مختګ سره د ټکر بریدونو ډیر موثریت له امله (د ټکر غوره کولو لګښت نږدې 50 زره ډالر اټکل شوی). په راتلونکی ریلیز کې، موږ پالن لرو چې د ډیفالټ لخوا د عامه کلیدي ډیجیټل لاسلیک الګوریتم "ssh-rsa" کارولو وړتیا غیر فعال کړو، کوم چې د SSH پروتوکول لپاره په اصلي RFC کې ذکر شوی او په پراخه توګه په عمل کې کارول کیږي.
ستاسو په سیسټمونو کې د ssh-rsa کارولو ازموینې لپاره، تاسو کولی شئ د "-oHostKeyAlgorithms=-ssh-rsa" اختیار سره د ssh له لارې د نښلولو هڅه وکړئ. په ورته وخت کې، د ډیفالټ لخوا د "ssh-rsa" ډیجیټل لاسلیکونو غیر فعال کول د RSA کلیدونو کارولو بشپړ پریښودل معنی نلري، ځکه چې د SHA-1 سربیره، د SSH پروتوکول د نورو هش حساب کولو الګوریتمونو کارولو ته اجازه ورکوي. په ځانګړې توګه، د "ssh-rsa" سربیره، دا به د "rsa-sha2-256" (RSA/SHA256) او "rsa-sha2-512" (RSA/SHA512) بنډلونو کارول ممکن پاتې شي.
نوي الګوریتمونو ته د لیږد اسانه کولو لپاره ، OpenSSH دمخه د ډیفالټ لخوا د UpdateHostKeys ترتیب فعال کړی و ، کوم چې پیرودونکو ته اجازه ورکوي په اتوماتيک ډول ډیر معتبر الګوریتمونو ته لاړ شي. د دې ترتیب په کارولو سره، د ځانګړي پروتوکول توسیع فعال شوی "[ایمیل خوندي شوی]"، سرور ته اجازه ورکوي، د تصدیق کولو وروسته، پیرودونکي ته د ټولو موجود کوربه کیلي په اړه خبر کړي. پیرودونکی کولی شي دا کیلي په خپل ~/.ssh/known_hosts فایل کې منعکس کړي، کوم چې د کوربه کیلي تازه کولو ته اجازه ورکوي او په سرور کې د کیلي بدلول اسانه کوي.
د UpdateHostKeys کارول د څو احتیاطونو لخوا محدود دي چې ممکن په راتلونکي کې لرې شي: کیلي باید د UserKnownHostsFile کې حواله شي او په GlobalKnownHostsFile کې نه کارول کیږي؛ کیلي باید یوازې د یو نوم لاندې شتون ولري؛ د کوربه کلیدي سند باید ونه کارول شي؛ په پیژندل شوي_hosts کې د کوربه نوم لخوا ماسکونه باید ونه کارول شي؛ د VerifyHostKeyDNS ترتیب باید غیر فعال وي؛ د UserKnownHostsFile پیرامیټر باید فعال وي.
د مهاجرت لپاره وړاندیز شوي الګوریتمونه شامل دي rsa-sha2-256/512 د RFC8332 RSA SHA-2 پر بنسټ (د OpenSSH 7.2 راهیسې ملاتړ شوی او په ډیفالټ کارول کیږي)، ssh-ed25519 (د OpenSSH 6.5 راهیسې ملاتړ شوی) او ecdsa-sha2-nistp256/384/521 په RFC5656 ECDSA کې (د OpenSSH 5.7 راهیسې ملاتړ شوی).
سرچینه: opennet.ru