د څلورو میاشتو پراختیا وروسته خوشې کول ، د SSH 2.0 او SFTP پروتوکولونو له لارې کار کولو لپاره خلاص پیرودونکي او سرور پلي کول.
د OpenSSH 8.2 په خپریدو کې یو مهم پرمختګ د هغو وسیلو سره د دوه فکتور تصدیق کارولو وړتیا وه چې پروتوکول ملاتړ کوي. د اتحاد لخوا رامینځته شوی U2F د کاروونکي فزیکي شتون تاییدولو لپاره د ټیټ لګښت هارډویر ټوکنونو رامینځته کولو ته اجازه ورکوي، د USB، بلوتوث، یا NFC له لارې ورسره اړیکه نیسي. دا وسایل په ویب پاڼو کې د دوه فکتور تصدیق کولو وسیلې په توګه هڅول کیږي، دمخه د لویو براوزرونو لخوا ملاتړ کیږي، او د مختلفو تولید کونکو لخوا تولید شوي، پشمول د یوبیکو، فیټین، تیټیس، او کینسنګټن.
د هغو وسیلو سره د تعامل لپاره چې د کارونکي شتون تاییدوي، OpenSSH نوي کلیدي ډولونه اضافه کړي دي، "ecdsa-sk" او "ed25519-sk،" کوم چې د SHA-256 هش سره په ترکیب کې د ECDSA او Ed25519 ډیجیټل لاسلیک الګوریتمونه کاروي. د ټوکنونو سره د تعامل لپاره پروسیجرونه یو منځګړی کتابتون ته لیږدول شوي، کوم چې د PKCS#11 ملاتړ کتابتون ته ورته بار شوی او د کتابتون شاوخوا د پوښ په توګه کار کوي. ، کوم چې د USB له لارې د ټوکنونو سره د اړیکو لپاره وسیله چمتو کوي (FIDO U2F/CTAP 1 او FIDO 2.0/CTAP 2 پروتوکولونه ملاتړ کیږي). د libsk-libfido2 منځمهاله کتابتون، چې د OpenSSH پراختیا کونکو لخوا چمتو شوی، د libfido2 اصلي جوړښت ته، او همدارنګه د OpenBSD لپاره.
د کیلي تصدیق او تولید لپاره، تاسو باید په ترتیباتو کې "SecurityKeyProvider" پیرامیټر مشخص کړئ یا د SSH_SK_PROVIDER چاپیریال متغیر تنظیم کړئ، د بهرني کتابتون ته لاره مشخص کړئ libsk-libfido2.so (د SSH_SK_PROVIDER=/path/to/libsk-libfido2.so صادر کړئ). OpenSSH د منځګړي کتابتون لپاره د جوړ شوي ملاتړ سره جوړ کیدی شي (--with-security-key-builtin)؛ پدې حالت کې، تاسو باید د "SecurityKeyProvider=internal" پیرامیټر تنظیم کړئ.
بیا، "ssh-keygen -t ecdsa-sk" چل کړئ یا، که چیرې کیلي لا دمخه رامینځته شوي او تنظیم شوي وي، نو د "ssh" په کارولو سره سرور سره وصل شئ. کله چې تاسو ssh-keygen چلوئ، نو تولید شوي کیلي جوړه به په "~/.ssh/id_ecdsa_sk" کې خوندي شي او د نورو کیلي په څیر کارول کیدی شي.
عامه کیلي (id_ecdsa_sk.pub) باید په سرور کې د authorized_keys فایل ته کاپي شي. سرور یوازې ډیجیټل لاسلیک تاییدوي، پداسې حال کې چې د ټوکن تعامل په مراجع کې واقع کیږي (libsk-libfido2 په سرور کې نصبولو ته اړتیا نلري، مګر سرور باید د "ecdsa-sk" کیلي ډول ملاتړ وکړي). تولید شوی شخصي کیلي (id_ecdsa_sk) په اصل کې د کیلي تشریح کونکی دی چې یوازې هغه وخت ریښتینی کیلي جوړوي کله چې په U2F ټوکن کې ذخیره شوي پټ ترتیب سره یوځای شي. که چیرې بریدګر id_ecdsa_sk کیلي ترلاسه کړي، نو دوی به د تصدیق کولو لپاره د هارډویر ټوکن ته هم لاسرسی ته اړتیا ولري، پرته له دې چې په id_ecdsa_sk فایل کې ذخیره شوی شخصي کیلي بې ګټې وي.
سربیره پردې، په ډیفالټ ډول، ټول کلیدي عملیات (دواړه تولید او تصدیق) د کارونکي فزیکي شتون سیمه ایز تایید ته اړتیا لري، لکه په ټوکن کې سینسر ته لمس کول، چې د وصل شوي ټوکن سره په سیسټمونو کې د لرې پرتو بریدونو ترسره کول ستونزمن کوي. د امنیت د اضافي طبقې په توګه، د ssh-keygen پیل کولو پرمهال د کلیدي فایل ته د لاسرسي لپاره پټنوم هم تنظیم کیدی شي.
د OpenSSH نوې نسخه د SHA-1 هشونو په کارولو سره د الګوریتمونو راتلونکي تخریب هم اعلان کړ ځکه چې د ورکړل شوي مختګ سره د ټکر بریدونو اغیزمنتوب (د ټکر د انتخاب لګښت نږدې 45 زره ډالر اټکل شوی). په یوه راتلونکو خپرونو کې، دوی پالن لري چې د ډیفالټ لخوا د عامه کلیدي ډیجیټل لاسلیک الګوریتم "ssh-rsa" کارولو وړتیا غیر فعال کړي، کوم چې د SSH پروتوکول لپاره په اصلي RFC کې ذکر شوي او په عمل کې په پراخه توګه پاتې کیږي (د کارونې ازموینې لپاره. ستاسو په سیسټمونو کې د ssh-rsa، تاسو کولی شئ د ssh له لارې د "-oHostKeyAlgorithms=-ssh-rsa" اختیار سره د نښلولو هڅه وکړئ).
په OpenSSH کې نوي الګوریتمونو ته د لیږد اسانه کولو لپاره، په راتلونکي کې د UpdateHostKeys ترتیب به د ډیفالټ په واسطه فعال شي، کوم چې به په اتوماتيک ډول پیرودونکي ډیر معتبر الګوریتمونو ته مهاجر کړي. د مهاجرت لپاره وړاندیز شوي الګوریتمونه شامل دي rsa-sha2-256/512 د RFC8332 RSA SHA-2 پر بنسټ (د OpenSSH 7.2 راهیسې ملاتړ شوی او په ډیفالټ کارول کیږي)، ssh-ed25519 (د OpenSSH 6.5 راهیسې ملاتړ شوی) او ecdsa-sha2-nistp256/384/521 په RFC5656 ECDSA کې (د OpenSSH 5.7 راهیسې ملاتړ شوی).
OpenSSH 8.2 لاهم د "ssh-rsa" په کارولو سره د نښلولو ملاتړ کوي، مګر دا الګوریتم د CASignatureAlgorithms لیست څخه لرې شوی، کوم چې د ډیجیټلي لاسلیک کولو لپاره اجازه ورکړل شوي الګوریتمونه تعریفوي. په ورته ډول، diffie-hellman-group14-sha1 الګوریتم د ملاتړ شوي ډیفالټ کیلي تبادلې الګوریتمونو څخه لرې شوی. دا یادونه شوې چې په سندونو کې د SHA-1 کارول یو اضافي خطر لري، ځکه چې بریدګر د موجوده سند لپاره د ټکر موندلو لپاره لامحدود وخت لري، پداسې حال کې چې د کوربه کیليونو بریدونه د اتصال وخت پای (LoginGraceTime) لخوا محدود دي.
کله چې ssh-keygen چلوئ، rsa-sha2-512 الګوریتم، چې د OpenSSH 7.2 راهیسې ملاتړ شوی، اوس په ډیفالټ ډول کارول کیږي، کوم چې ممکن د OpenSSH 8.2 لاسلیک شوي سندونو پروسس کولو هڅه کولو پرمهال د مطابقت ستونزې رامینځته کړي چې د زړو OpenSSH ریلیزونو چلولو سیسټمونو کې (د دې مسلې حل کولو لپاره، تاسو کولی شئ په واضح ډول "ssh-keygen -t ssh-rsa" مشخص کړئ کله چې لاسلیک تولید کړئ، یا د OpenSSH 5.7 راهیسې ملاتړ شوي ecdsa-sha2-nistp256/384/521 الګوریتمونه وکاروئ).
نور بدلونونه:
- د شاملولو لارښود sshd_config ته اضافه شوی، چې د نورو فایلونو مینځپانګې ته اجازه ورکوي چې د ترتیب فایل په اوسني موقعیت کې شامل شي (د فایل نوم مشخص کولو پرمهال د ګلوب ماسکونه کارول کیدی شي)؛
- د "no-touch-required" اختیار په ssh-keygen کې اضافه شوی، کوم چې د کیلي تولیدولو پر مهال د ټوکن ته د لاسرسي فزیکي تایید اړتیا غیر فعالوي؛
- د PubkeyAuthOptions لارښود sshd_config ته اضافه شوی، چې د عامه کیلي تصدیق پورې اړوند مختلف انتخابونه یوځای کوي. اوس مهال، یوازې "no-touch-required" بیرغ ملاتړ شوی، چې د ټوکن تصدیق پرمهال د فزیکي شتون چیک پریښودو ته اجازه ورکوي. په ورته ډول، "no-touch-required" اختیار د authorized_keys فایل ته اضافه شوی.
- د "-O write-attestation=/path" اختیار ssh-keygen ته اضافه شوی، چې د کیلي تولیدولو پرمهال د FIDO اضافي تصدیق سندونو لیکلو ته اجازه ورکوي. OpenSSH اوس مهال دا سندونه نه کاروي، مګر دوی په راتلونکي کې د دې تصدیق کولو لپاره کارول کیدی شي چې کیلي په باوري هارډویر ذخیره کې زیرمه شوې ده.
- په ssh او sshd ترتیباتو کې، اوس دا ممکنه ده چې د IPQoS لارښود له لارې د ترافیک لومړیتوب حالت تنظیم کړئ. (د ټیټې هڅې په هر هاپ چلند)؛
- په ssh کې، کله چې د "AddKeysToAgent=yes" ارزښت تنظیم کړئ، که چیرې کیلي د تبصرې ساحه ونه لري، نو دا به د ssh-اجنټ سره د تبصرې په توګه مشخص شوي کیلي ته د لارې سره اضافه شي.
ssh-keygen او ssh-agent اوس د کتابتون لارې پر ځای د کیلي کې د تبصرو په توګه د PKCS#11 لیبلونه او د X.509 موضوع نوم هم کاروي؛ - د DSA او ECDSA کیلي لپاره د PEM صادرولو وړتیا ssh-keygen ته اضافه شوه؛
- یو نوی اجرا کیدونکی فایل ssh-sk-helper اضافه شو، چې د کتابتون د FIDO/U2F ټوکنونو ته د لاسرسي جلا کولو لپاره کارول کیږي؛
- د zlib کتابتون ملاتړ سره د تالیف کولو لپاره ssh او sshd ته د "--with-zlib" جوړونې اختیار اضافه شو؛
- د RFC 4253 سره سم، د MaxStartups حد څخه د تیریدو له امله د لاسرسي بندیدو په اړه خبرداری اوس د اتصال بینر کې ښودل شوی. د تشخیص ساده کولو لپاره، د sshd پروسې سرلیک، چې د ps یوټیلټي په کارولو سره لیدل کیږي، اوس د اوسني تصدیق شوي اتصالونو شمیر او د MaxStartups محدودیت حالت ښیې.
- په ssh او ssh-agent کې، کله چې یو پروګرام ته زنګ ووهل شي ترڅو په سکرین کې بلنه ښکاره کړي، چې د $SSH_ASKPASS له لارې مشخص شوې، اوس د بلنې ډول سره یو بیرغ هم تیریږي: "تصدیق" - د تایید ډیالوګ (هو/نه)، "هیڅ نه" - معلوماتي پیغام، "خالي" - د پټنوم غوښتنه؛
- یو نوی ډیجیټل لاسلیک عملیات، "find-principals"، په ssh-keygen کې اضافه شوی ترڅو د ټاکل شوي ډیجیټل لاسلیک سره تړلي کارونکي لپاره د اجازه ورکړل شوي لاسلیک کونکو فایل وپلټي؛
- Улучшена поддержка изоляции процесса sshd в Linux при помощи механизма seccomp: запрещены системные вызовы IPC, разрешены clock_gettime64(), clock_nanosleep_time64 и clock_nanosleep().
سرچینه: opennet.ru
