ProHoster > BLOG > știri pe internet > Lansarea OpenSSH 8.4

Lansarea OpenSSH 8.4

După patru luni de dezvoltare prezentat lansarea OpenSSH 8.4, o implementare deschisă pentru client și server pentru lucrul folosind protocoalele SSH 2.0 și SFTP.

Principalele modificări:

  • Modificări de securitate:
    • În ssh-agent, când se utilizează chei FIDO care nu au fost create pentru autentificare SSH (ID-ul cheii nu începe cu șirul „ssh:”), acum verifică dacă mesajul va fi semnat folosind metodele utilizate în protocolul SSH. Modificarea nu va permite redirecționarea agentului ssh către gazde la distanță care au chei FIDO pentru a bloca capacitatea de a utiliza aceste chei pentru a genera semnături pentru solicitările de autentificare web (cazul invers, când un browser poate semna o solicitare SSH, este inițial exclus). datorită utilizării prefixului „ssh:” în identificatorul cheii).
    • Generarea de chei rezidente a ssh-keygen include suport pentru suplimentul credProtect descris în specificația FIDO 2.1, care oferă protecție suplimentară pentru chei prin solicitarea unui PIN înainte de a efectua orice operațiune care ar putea duce la extragerea cheii rezidente din token.
  • Modificări de compatibilitate potențial de întrerupere:
    • Pentru a suporta FIDO/U2F, se recomandă utilizarea bibliotecii libfido2 cel puțin versiunea 1.5.0. Abilitatea de a utiliza ediții mai vechi a fost parțial implementată, dar în acest caz, funcții precum cheile rezidente, solicitarea PIN și conectarea mai multor jetoane nu vor fi disponibile.
    • În ssh-keygen, datele de autentificare necesare pentru verificarea semnăturilor digitale de confirmare au fost adăugate la formatul informațiilor de confirmare, salvate opțional la generarea unei chei FIDO.
    • API-ul folosit atunci când OpenSSH interacționează cu stratul de accesare a jetoanelor FIDO a fost modificat.
    • Când construiți o versiune portabilă a OpenSSH, acum este necesar automake pentru a genera scriptul de configurare și fișierele de compilare însoțitoare (dacă se construiește dintr-un fișier tar cu cod publicat, nu este necesară regenerarea configurației).
  • S-a adăugat suport pentru cheile FIDO care necesită verificarea PIN în ssh și ssh-keygen. Pentru a genera chei cu PIN, opțiunea „verify-required” a fost adăugată la ssh-keygen. Dacă sunt utilizate astfel de chei, înainte de a efectua operația de creare a semnăturii, utilizatorului i se solicită să-și confirme acțiunile prin introducerea unui cod PIN.
  • În sshd, opțiunea „verify-required” este implementată în setarea authorized_keys, care necesită utilizarea capacităților pentru a verifica prezența utilizatorului în timpul operațiunilor cu token-ul. Standardul FIDO oferă mai multe opțiuni pentru o astfel de verificare, dar în prezent OpenSSH acceptă numai verificarea bazată pe PIN.
  • sshd și ssh-keygen au adăugat suport pentru verificarea semnăturilor digitale care respectă standardul FIDO Webauthn, care permite utilizarea cheilor FIDO în browserele web.
  • În ssh în setările CertificateFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward și
    RemoteForward permite înlocuirea valorilor din variabilele de mediu specificate în formatul „${ENV}”.

  • ssh și ssh-agent au adăugat suport pentru variabila de mediu $SSH_ASKPASS_REQUIRE, care poate fi folosită pentru a activa sau dezactiva apelul ssh-askpass.
  • În ssh în ssh_config în directiva AddKeysToAgent, a fost adăugată capacitatea de a limita perioada de valabilitate a unei chei. După ce limita specificată a expirat, cheile sunt șterse automat din ssh-agent.
  • În scp și sftp, folosind indicatorul „-A”, acum puteți permite explicit redirecționarea către scp și sftp folosind ssh-agent (redirecționarea este dezactivată implicit).
  • S-a adăugat suport pentru înlocuirea „%k” în setările ssh, care specifică numele cheii gazdei. Această caracteristică poate fi utilizată pentru a distribui cheile în fișiere separate (de exemplu, „UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • Permiteți utilizarea operațiunii „ssh-add -d -” pentru a citi cheile din stdin care urmează să fie șterse.
  • În sshd, începutul și sfârșitul procesului de tăiere a conexiunii sunt reflectate în jurnal, reglementat folosind parametrul MaxStartups.

Dezvoltatorii OpenSSH au reamintit și viitoarea dezafectare a algoritmilor care utilizează hash-uri SHA-1 din cauza promovare eficacitatea atacurilor de coliziune cu un prefix dat (costul de selectare a unei coliziuni este estimat la aproximativ 45 de mii de dolari). Într-una dintre edițiile viitoare, aceștia intenționează să dezactiveze implicit capacitatea de a utiliza algoritmul de semnătură digitală cu cheie publică „ssh-rsa”, care este menționat în RFC original pentru protocolul SSH și rămâne larg răspândit în practică (pentru a testa utilizarea de ssh-rsa în sistemele dvs., puteți încerca să vă conectați prin ssh cu opțiunea „-oHostKeyAlgorithms=-ssh-rsa”).

Pentru a ușura tranziția la noi algoritmi în OpenSSH, următoarea versiune va activa implicit setarea UpdateHostKeys, care va migra automat clienții către algoritmi mai fiabili. Algoritmii recomandați pentru migrare includ rsa-sha2-256/512 bazat pe RFC8332 RSA SHA-2 (acceptat începând cu OpenSSH 7.2 și utilizat implicit), ssh-ed25519 (acceptat începând cu OpenSSH 6.5) și ecdsa-sha2-nistp256/384 based pe RFC521 ECDSA (acceptat începând cu OpenSSH 5656).

Sursa: opennet.ru

Adauga un comentariu