پنجن مهينن جي ترقي کان پوء ڇڏڻ ، SSH 2.0 ۽ SFTP پروٽوڪول ذريعي ڪم ڪرڻ لاءِ کليل ڪلائنٽ ۽ سرور تي عمل درآمد.
مکيه تبديليون:
- ssh ۽ sshd ۾ شامل ڪيو ويو آهي هڪ اهم مٽاسٽا واري طريقي لاءِ تجرباتي مدد جيڪا مزاحمتي آهي ڪوانٽم ڪمپيوٽر تي برٽ فورس حملن جي. ڪوانٽم ڪمپيوٽر بنيادي طور تي تيزيءَ سان هڪ قدرتي نمبر کي بنيادي عنصرن ۾ ختم ڪرڻ جي مسئلي کي حل ڪري رهيا آهن، جيڪي جديد اسيميٽرڪ انڪرپشن الگورٿمز کي هيٺ آڻيندا آهن ۽ ڪلاسيڪل پروسيسرز تي مؤثر طريقي سان حل نٿا ڪري سگهن. تجويز ڪيل طريقو الورورٿم تي ٻڌل آهي (function ntrup4591761)، ترقي يافته پوسٽ-ڪانٽم ڪرپٽو سسٽم لاءِ، ۽ ايليپيٽڪ وکر ڪيئي مٽاسٽا جو طريقو X25519؛
- sshd ۾، ListenAddress ۽ PermitOpen ھدايتون ھاڻي وراثت ”ميزبان/پورٽ“ نحو کي سپورٽ نه ڪنديون آھن، جيڪو IPv2001 سان ڪم ڪرڻ کي آسان ڪرڻ لاءِ ”ميزبان: پورٽ“ جي متبادل طور 6 ۾ لاڳو ڪيو ويو ھو. جديد حالتن ۾، نحو ”[::6]:1“ IPv22 لاءِ قائم ڪيو ويو آهي، ۽ ”ميزبان/پورٽ“ اڪثر ڪري ذيلي نيٽ (CIDR) جي اشاري سان مونجهارو هوندو آهي؛
- ssh، ssh-agent ۽ ssh-add هاڻي سپورٽ ڪنجيون PKCS#11 ٽوڪن ۾؛
- ssh-keygen ۾، ڊفالٽ RSA ڪيئي سائيز کي 3072 بٽ تائين وڌايو ويو آھي، نئين NIST سفارشن جي مطابق؛
- ssh اجازت ڏئي ٿو "PKCS11Provider=none" سيٽنگ کي اوور رائڊ ڪرڻ لاءِ PKCS11Provider جي هدايت ssh_config ۾ بيان ڪيل؛
- sshd حالتن جو هڪ لاگ ڊسپلي مهيا ڪري ٿو جڏهن ڪنيڪشن ختم ٿي وڃي ٿي جڏهن sshd_config ۾ "ForceCommand=internal-sftp" پابندي پاران بلاڪ ڪيل حڪمن تي عمل ڪرڻ جي ڪوشش ڪئي وئي آهي؛
- ssh ۾، جڏهن "ها" جي جواب جي بدران، هڪ نئين ميزبان ڪيچ جي قبوليت جي تصديق ڪرڻ جي درخواست ڏيکاري ٿي، چيڪ جو صحيح فنگر پرنٽ هاڻي قبول ڪيو ويو آهي (ڪنيڪشن جي تصديق ڪرڻ جي دعوت جي جواب ۾، صارف ڪاپي ڪري سگهي ٿو. ڪلپ بورڊ ذريعي الڳ الڳ حوالو هيش حاصل ڪيو، جيئن دستي طور تي ان جو مقابلو نه ڪيو وڃي؛
- ssh-keygen سرٽيفڪيٽ جي ترتيب نمبر جي خودڪار واڌارو مهيا ڪري ٿي جڏهن ڪمان لائن تي ڪيترن ئي سرٽيفڪيٽن لاءِ ڊجيٽل دستخط ٺاهي رهيا آهن؛
- ھڪڙو نئون اختيار "-J" شامل ڪيو ويو آھي scp ۽ sftp ۾، برابر آھي ProxyJump سيٽنگ؛
- ssh-agent، ssh-pkcs11-helper ۽ ssh-add ۾، "-v" ڪمانڊ لائن آپشن جي پروسيسنگ کي شامل ڪيو ويو آھي آئوٽ جي معلوماتي مواد کي وڌائڻ لاءِ (جڏھن بيان ڪيو ويو آھي، ھي اختيار ٻارن جي عملن کي منتقل ڪيو ويندو آھي، مثال طور، جڏهن ssh-pkcs11-helper کي ssh-agent کان سڏيو ويندو آهي؛
- "-T" اختيار شامل ڪيو ويو آهي ssh-add ڊجيٽل دستخط ٺاهڻ ۽ تصديق جي عملن کي انجام ڏيڻ لاءِ ssh-ايجنٽ ۾ ڪنجين جي موزونيت کي جانچڻ لاءِ؛
- sftp-server "lsetstat at openssh.com" پروٽوڪول ايڪسٽينشن لاءِ سپورٽ لاڳو ڪري ٿو، جيڪو SFTP لاءِ SSH2_FXP_SETSTAT آپريشن لاءِ سپورٽ شامل ڪري ٿو، پر علامتي لنڪس جي پيروي ڪرڻ کان سواءِ؛
- شامل ڪيو ويو "-h" اختيار sftp کي هلائڻ لاءِ chown/chgrp/chmod حڪمن کي درخواستن سان جيڪي علامتي لنڪ استعمال نٿا ڪن؛
- sshd PAM لاءِ $SSH_CONNECTION ماحول جي متغير جي سيٽنگ مهيا ڪري ٿي؛
- sshd لاءِ، ssh_config ۾ ”ميچ فائنل“ ميچنگ موڊ شامل ڪيو ويو آھي، جيڪو ”ميچ ڪنونيڪل“ سان ملندڙ جلندڙ آھي، پر ھوسٽ اسم کي عام ڪرڻ جي ضرورت نه آھي.
- بيچ موڊ ۾ ڪمانڊز جي آئوٽ پٽ جي ترجمي کي غير فعال ڪرڻ لاءِ sftp ۾ '@' اڳياڙي لاءِ سپورٽ شامل ڪئي وئي؛
- جڏهن توهان حڪم استعمال ڪندي سرٽيفڪيٽ جي مواد کي ڊسپلي ڪندا آهيو
"ssh-keygen -Lf /path/certificate" ھاڻي CA پاران استعمال ڪيل الگورتھم ڏيکاري ٿو سرٽيفڪيٽ جي تصديق ڪرڻ لاءِ؛ - سائگون ماحول لاءِ بهتر سپورٽ، مثال طور گروپ ۽ يوزر نالن جو ڪيس غير حساس مقابلو مهيا ڪرڻ. Cygwin بندرگاھ ۾ sshd عمل cygsshd ۾ تبديل ڪيو ويو آھي Microsoft جي فراهم ڪيل OpenSSH پورٽ سان مداخلت کان بچڻ لاء؛
- تجرباتي OpenSSL 3.x برانچ سان تعمير ڪرڻ جي صلاحيت شامل ڪئي وئي؛
- ختم ٿيل (CVE-2019-6111) scp افاديت جي عمل ۾، جيڪا ٽارگيٽ ڊاريڪٽري ۾ صوابديدي فائلن کي ڪلائنٽ پاسي تي اوور رائٽ ڪرڻ جي اجازت ڏئي ٿي جڏهن حملي ڪندڙ طرفان ڪنٽرول ڪيل سرور تائين رسائي حاصل ڪري ٿي. مسئلو اهو آهي ته جڏهن scp استعمال ڪندي، سرور فيصلو ڪري ٿو ته ڪهڙن فائلن ۽ ڊائريڪٽرن کي ڪلائنٽ ڏانهن موڪلڻ لاء، ۽ ڪلائنٽ صرف واپسي اعتراض جي نالن جي درستي جي جانچ ڪري ٿو. ڪلائنٽ سائڊ چيڪنگ صرف موجوده ڊاريڪٽري (“../”) کان ٻاهر سفر کي بلاڪ ڪرڻ تائين محدود آهي، پر نالن سان فائلن جي منتقلي کي نظر ۾ نٿو رکي جيڪي اصل ۾ درخواست ڪيل کان مختلف آهن. بار بار نقل ڪرڻ (-r) جي صورت ۾، فائل جي نالن کان علاوه، توھان پڻ ساڳي طرح ذيلي ڊائريڪٽرن جي نالن کي ٺاھي سگھو ٿا. مثال طور، جيڪڏهن صارف فائلن کي هوم ڊاريڪٽري ۾ نقل ڪري ٿو، سرور طرفان ڪنٽرول ڪيل سرور جيڪي نالن سان فائلون پيدا ڪري سگھن ٿا .bash_aliases يا .ssh/authorized_keys درخواست ڪيل فائلن جي بدران، ۽ انهن کي محفوظ ڪيو ويندو scp يوٽيليٽي طرفان استعمال ڪندڙ جي. گهر ڊاريڪٽري.
نئين رليز ۾، scp افاديت کي اپڊيٽ ڪيو ويو آهي ته جيئن درخواست ڪيل فائلن جي نالن ۽ سرور طرفان موڪليل رابطي جي جانچ ڪرڻ لاءِ، جيڪو ڪلائنٽ جي پاسي تي ڪيو ويندو آهي. اهو ماسڪ پروسيسنگ سان مسئلا پيدا ڪري سگهي ٿو، ڇاڪاڻ ته ماسڪ وڌائڻ وارا ڪردار سرور ۽ ڪلائنٽ جي طرفن تي مختلف طريقي سان پروسيس ٿي سگهن ٿيون. ان صورت ۾ اھڙا اختلاف ڪلائنٽ کي scp ۾ فائلون قبول ڪرڻ بند ڪرڻ جو سبب بڻجن ٿا، ڪلائنٽ سائڊ چيڪنگ کي غير فعال ڪرڻ لاءِ ”-T“ اختيار شامل ڪيو ويو آھي. مسئلي کي مڪمل طور تي درست ڪرڻ لاءِ، scp پروٽوڪول جي تصوراتي ڪم جي ضرورت آھي، جيڪو پاڻ اڳي ئي پراڻو آھي، تنھنڪري ان کي وڌيڪ جديد پروٽوڪول استعمال ڪرڻ جي صلاح ڏني وئي آھي جيئن sftp ۽ rsync بدران.
جو ذريعو: opennet.ru