پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > OpenSSH 8.4 جو رليز

OpenSSH 8.4 جو رليز

ترقي جي چئن مهينن کان پوء پيش ڪيو OpenSSH 8.4 جي ڇڏڻ، SSH 2.0 ۽ SFTP پروٽوڪول استعمال ڪرڻ لاء ڪم ڪرڻ لاء هڪ کليل ڪلائنٽ ۽ سرور تي عمل درآمد.

مکيه تبديليون:

  • سيڪيورٽي تبديليون:
    • ssh-agent ۾، جڏهن FIDO ڪيز استعمال ڪري رهيا آهن جيڪي SSH جي تصديق لاءِ نه ٺاهيا ويا هئا (ڪي آئي ڊي اسٽرنگ "ssh:" سان شروع نه ٿيندي آهي)، اهو هاڻي چيڪ ڪري ٿو ته پيغام SSH پروٽوڪول ۾ استعمال ڪيل طريقن سان سائن ڪيو ويندو. تبديلي ssh-agent کي ريموٽ ميزبانن ڏانهن ريڊائريڪٽ ٿيڻ جي اجازت نه ڏيندو جن وٽ FIDO چاٻيون آهن انهن کي استعمال ڪرڻ جي صلاحيت کي بلاڪ ڪرڻ لاءِ ويب جي تصديق جي درخواستن لاءِ دستخط پيدا ڪرڻ لاءِ (ريورس ڪيس، جڏهن برائوزر هڪ SSH درخواست تي دستخط ڪري سگهي ٿو، شروعاتي طور تي خارج ٿيل آهي. جي استعمال جي ڪري "ssh:" پريفڪس جي اهم سڃاڻپ ڪندڙ ۾).
    • ssh-keygen جي رهائشي ڪيئي نسل ۾ FIDO 2.1 وضاحتن ۾ بيان ڪيل credProtect add-on لاءِ سپورٽ شامل آهي، جيڪا ڪنهن به آپريشن کي انجام ڏيڻ کان پهريان PIN جي ضرورت ڪندي ڪنجي لاءِ اضافي تحفظ فراهم ڪري ٿي جيڪا شايد ٽوڪن مان رهواسي ڪنجي ڪڍڻ جي نتيجي ۾ ٿي سگهي ٿي.
  • ممڪن طور تي ٽوڙڻ واري مطابقت تبديلين:
    • FIDO/U2F کي سپورٽ ڪرڻ لاءِ، libfido2 لائبريري استعمال ڪرڻ جي سفارش ڪئي وئي آهي گهٽ ۾ گهٽ نسخو 1.5.0. پراڻن ايڊيشن کي استعمال ڪرڻ جي صلاحيت جزوي طور تي لاڳو ڪئي وئي آهي، پر هن صورت ۾، افعال جهڙوڪ رهائشي چابيون، PIN درخواست، ۽ گهڻن ٽوڪن کي ڳنڍڻ موجود نه هوندا.
    • ssh-keygen ۾، تصديق ڪندڙ ڊجيٽل دستخطن جي تصديق ڪرڻ لاءِ ضروري تصديق ڪندڙ ڊيٽا کي تصديق جي معلومات جي فارميٽ ۾ شامل ڪيو ويو آهي، اختياري طور تي محفوظ ڪيو ويو جڏهن هڪ FIDO ڪيچ ٺاهيندي.
    • API استعمال ڪيو ويو جڏهن OpenSSH FIDO ٽوڪن تائين رسائي حاصل ڪرڻ لاء پرت سان رابطو ڪري ٿو تبديل ڪيو ويو آهي.
    • جڏهن OpenSSH جي پورٽيبل ورزن جي تعمير ڪرڻ، automake هاڻي گهربل آهي ترتيب ڏيڻ واري اسڪرپٽ ۽ ان سان گڏ بلڊ فائلون (جيڪڏهن شايع ٿيل ڪوڊ ٽار فائل مان تعمير ڪرڻ، ٻيهر پيدا ڪرڻ واري ترتيب جي ضرورت ناهي).
  • شامل ڪيل سپورٽ FIDO ڪنجين لاءِ جيڪا Ssh ۽ ssh-keygen ۾ PIN جي تصديق جي ضرورت آهي. پن سان ڪنجيون ٺاهڻ لاءِ، ”تصديق گهربل“ اختيار شامل ڪيو ويو آهي ssh-keygen. جيڪڏهن اهڙيون چاٻيون استعمال ڪيون وينديون آهن، دستخط ٺاهڻ جي عمل کي انجام ڏيڻ کان اڳ، صارف کي چيو ويندو آهي ته انهن جي عملن جي تصديق ڪرڻ لاء هڪ PIN ڪوڊ داخل ڪندي.
  • sshd ۾، "verify-required" اختيار اختيار ڪيو ويو آهي authorized_keys سيٽنگ ۾، جنهن کي ٽوڪن سان آپريشن دوران صارف جي موجودگي جي تصديق ڪرڻ لاءِ صلاحيتن جي استعمال جي ضرورت آهي. FIDO معيار اهڙي تصديق لاءِ ڪيترائي آپشن مهيا ڪري ٿو، پر في الحال OpenSSH صرف پن جي بنياد تي تصديق جي حمايت ڪري ٿو.
  • sshd ۽ ssh-keygen ڊجيٽل دستخطن جي تصديق ڪرڻ لاءِ مدد شامل ڪئي آهي جيڪي FIDO Webauthn معيار سان تعميل ڪن ٿيون، جيڪا اجازت ڏئي ٿي FIDO ڪيز کي ويب برائوزرن ۾ استعمال ڪرڻ جي.
  • ssh ۾ سرٽيفڪيٽ فائل سيٽنگون،
    ControlPath، IdentityAgent، IdentityFile، LocalForward ۽
    RemoteForward "${ENV}" فارميٽ ۾ بيان ڪيل ماحوليات جي متغيرن مان قدرن جي متبادل جي اجازت ڏئي ٿو.

  • ssh ۽ ssh-agent $SSH_ASKPASS_REQUIRE ماحوليات لاءِ مدد شامل ڪئي آهي، جيڪا ssh-askpass ڪال کي فعال يا غير فعال ڪرڻ لاءِ استعمال ٿي سگهي ٿي.
  • ssh ۾ ssh_config ۾ AddKeysToAgent ھدايت ۾، ڪي جي صحيح مدت کي محدود ڪرڻ جي صلاحيت شامل ڪئي وئي آھي. مقرر ڪيل حد ختم ٿيڻ کان پوء، ڪنجيون خودڪار طريقي سان ssh-agent مان ڊهي وينديون آهن.
  • scp ۽ sftp ۾، "-A" پرچم استعمال ڪندي، توھان ھاڻي واضح طور تي ssh-agent استعمال ڪندي scp ۽ sftp ڏانھن ريڊائريڪشن جي اجازت ڏئي سگھو ٿا (ريڊائريڪشن ڊفالٽ طور بند ٿيل آھي).
  • ssh سيٽنگن ۾ '%k' متبادل لاءِ سپورٽ شامل ڪئي وئي، جيڪا ميزبان ڪيئي جو نالو بيان ڪري ٿي. ھي خصوصيت استعمال ڪري سگھجي ٿي ڪنز کي الڳ فائلن ۾ ورهائڻ لاءِ (مثال طور، "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
  • "ssh-add -d -" آپريشن جي استعمال جي اجازت ڏيو stdin مان ڪيز پڙهڻ لاءِ جيڪي ڊهي وڃن ٿيون.
  • sshd ۾، ڪنيڪشن جي ڇنڊڇاڻ واري عمل جي شروعات ۽ پڇاڙي لاگ ۾ ظاهر ٿئي ٿي، MaxStartups پيراميٽر کي استعمال ڪندي منظم ڪيو ويو آهي.

OpenSSH ڊولپرز پڻ SHA-1 هيش استعمال ڪندي الورورٿم جي ايندڙ ختم ٿيڻ کي ياد ڪيو واڌاري تصادم جي حملن جي اثرائتي هڪ ڏنل اڳڪٿي سان (هڪ ٽڪر کي چونڊڻ جي قيمت لڳ ڀڳ 45 هزار ڊالر آهي). ايندڙ رليز مان هڪ ۾، اهي ڊفالٽ طور تي غير فعال ڪرڻ جو ارادو رکن ٿا عوامي ڪيئي ڊجيٽل دستخط الگورتھم استعمال ڪرڻ جي صلاحيت "ssh-rsa"، جيڪو SSH پروٽوڪول لاءِ اصل RFC ۾ ذڪر ڪيو ويو آهي ۽ عملي طور تي وسيع رهي ٿو (استعمال کي جانچڻ لاءِ. توهان جي سسٽم ۾ ssh-rsa جو، توهان ssh ذريعي ڳنڍڻ جي ڪوشش ڪري سگهو ٿا اختيار سان "-oHostKeyAlgorithms=-ssh-rsa").

OpenSSH ۾ نئين الگورتھم جي منتقلي کي هموار ڪرڻ لاءِ، ايندڙ رليز کي فعال ڪندو UpdateHostKeys سيٽنگ ڊفالٽ طور، جيڪو خودڪار طريقي سان ڪلائنٽ کي وڌيڪ قابل اعتماد الگورتھم ڏانھن منتقل ڪندو. لڏپلاڻ لاءِ تجويز ڪيل الگورتھم شامل آھن RFC2 RSA SHA-256 جي بنياد تي rsa-sha512-8332/2 (سپورٽ ٿيل آھي OpenSSH 7.2 کان ۽ ڊفالٽ طور استعمال ڪيو ويو آھي)، ssh-ed25519 (OpenSSH 6.5 کان وٺي سپورٽ ٿيل) ۽ ecdsa-sha2-nistp256/384/521 تي ٻڌل RFC5656 ECDSA تي (OpenSSH 5.7 کان سپورٽ ٿيل).

جو ذريعو: opennet.ru

تبصرو شامل ڪريو