د شپږو میاشتو پراختیا وروسته، د OpenSSH 8.9 خوشې کول، د SSH 2.0 او SFTP پروتوکولونو کې کار کولو لپاره د خلاص پیرودونکي او سرور پلي کول، وړاندې شوي. د sshd نوې نسخه یو زیان منونکي حل کوي چې ممکن په احتمالي توګه غیر مستند لاسرسي ته اجازه ورکړي. دا مسله د تصدیق کوډ کې د انټر فلو له امله رامینځته شوې ، مګر یوازې په کوډ کې د نورو منطقي غلطیو سره په ترکیب کې کارول کیدی شي.
په اوسنۍ بڼه کې، زیانمنونکي نشي کارول کیدی کله چې د امتیاز جلا کولو حالت فعال شوی وي، ځکه چې دا ښکاره کول د امتیاز جلا کولو تعقیب کوډ کې ترسره شوي جلا چکونو لخوا بند شوي. د امتیاز جلا کولو حالت له 2002 راهیسې د OpenSSH 3.2.2 راهیسې په ډیفالټ فعال شوی ، او په 7.5 کې د OpenSSH 2017 خپریدو راهیسې لازمي دی. برسېره پردې، د OpenSSH په پورټ ایبل نسخو کې چې د 6.5 (2014) خوشې کولو سره پیل کیږي، زیانمنتیا د انټیجر اوور فلو محافظت بیرغونو شاملولو سره د تالیف له لارې بنده شوې.
نور بدلونونه:
- په sshd کې د OpenSSH پورټ ایبل نسخه د MD5 الګوریتم په کارولو سره د هش کولو پاسورډونو لپاره اصلي ملاتړ لرې کړی (د بهرني کتابتونونو لکه libxcrypt بیرته راستنیدو ته اجازه ورکوي).
- ssh، sshd، ssh-add او ssh-agent د ssh-agent ته د اضافه شویو کیلي ګانو د لیږد او کارولو محدودولو لپاره یو فرعي سیسټم پلي کوي. فرعي سیسټم تاسو ته اجازه درکوي چې قواعد تنظیم کړئ چې دا ټاکي چې څنګه او چیرته کیلي په ssh-agent کې کارول کیدی شي. د مثال په توګه، د یوې کیلي اضافه کولو لپاره چې یوازې هغه وخت د تصدیق کولو لپاره کارول کیدی شي کله چې کوم کاروونکی کوربه scylla.example.org سره وصل شي، کاروونکی perseus کوربه cetus.example.org ته، او کاروونکی میډیا کوربه charybdis.example.org ته د منځني کوربه scylla.example.org له لارې د لارښوونې سره، تاسو کولی شئ لاندې قومانده وکاروئ: $ ssh-add -h "perseus@cetus.example.org" \ -h "scylla.example.org" \ -h "scylla.example.org>medea@charybdis.example.org" \ ~/.ssh/id_ed25519
- په ssh او sshd کې، هایبرډ الګوریتم "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime)، چې په کوانټم کمپیوټرونو کې د وحشي ځواک په وړاندې مقاومت لري، د ډیفالټ په توګه د KexAlgorithms لیست ته اضافه شوی، کوم چې د کلیدي تبادلې میتودونو غوره کولو ترتیب ټاکي. په OpenSSH 8.9 کې، دا د خبرو اترو طریقه د ECDH او DH میتودونو ترمنځ اضافه شوې، مګر دا پلان شوې چې په راتلونکي خپرونه کې په ډیفالټ ډول وکارول شي.
- ssh-keygen، ssh، او ssh-agent د FIDO ټوکن کلیدونو سمبالول ښه کړي چې د وسیلې تصدیق لپاره کارول کیږي، په شمول د بایومتریک تصدیق کولو کلیدونه.
- ssh-keygen ته د "ssh-keygen -Y match-principals" کمانډ اضافه شوی ترڅو په اجازه ورکړل شوي نوم لیست فایل کې کارن نومونه چیک کړي.
- ssh-add او ssh-agent ssh-agent ته د PIN کوډ لخوا خوندي شوي FIDO کلیدونو اضافه کولو وړتیا چمتو کوي (د PIN غوښتنه د تصدیق په وخت کې ښودل کیږي).
- ssh-keygen د لاسلیک کولو په جریان کې د هیشینګ الګوریتم (sha512 یا sha256) انتخاب ته اجازه ورکوي.
- په ssh او sshd کې، د فعالیت ښه کولو لپاره، د شبکې ډاټا مستقیم د راتلونکو کڅوړو بفر ته لوستل کیږي، په سټیک کې د منځني بفرینګ په واسطه. د ترلاسه شوي معلوماتو مستقیم ځای په ځای کول په چینل بفر کې په ورته ډول پلي کیږي.
- په ssh کې، د PubkeyAuthentication لارښود د ملاتړ شوي پیرامیټونو لیست پراخ کړی دی (هو| نه
په راتلونکې خپرونه کې، د scp یوټیلټي پلان شوې ده چې په ډیفالټ ډول SFTP ته واړوي، د میراثي SCP/RCP پروتوکول ځای په ځای کړي. SFTP د نومونو د مدیریت ډیر وړاندوینې وړ میتودونه کاروي او د بل کوربه شیل له لارې د فایل نومونو کې د ګلوب نمونو د امنیت پلوه اداره کولو څخه مخنیوی کوي. په ځانګړي توګه، کله چې SCP او RCP کاروي، سرور پریکړه کوي چې کوم فایلونه او لارښودونه مراجع ته واستوي، پداسې حال کې چې مراجع یوازې د بیرته راستنیدونکي اعتراض نومونه د سموالي لپاره ګوري. دا د امنیت سرغړونو ته اجازه ورکوي که چیرې د مراجع اړخ کې مناسب چکونه ترسره نشي. سرور د غوښتل شویو پرته د نورو فایلونو نومونه انتقال کړئ. د SFTP پروتوکول له دې ستونزو څخه پاک دی، مګر دا د ځانګړو لارو لکه "~/" پراختیا ملاتړ نه کوي. د دې توپیر د حل لپاره، د SFTP سرور پلي کولو په پخوانۍ OpenSSH خپرونه کې د ~/ او ~user/ لارو پراخولو لپاره د SFTP پروتوکول نوی توسیع وړاندیز شوی و.
سرچینه: opennet.ru
