پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > OpenSSH 8.5 جو رليز

OpenSSH 8.5 جو رليز

ترقيءَ جي پنجن مهينن کان پوءِ، OpenSSH 8.5 جو خلاصو، SSH 2.0 ۽ SFTP پروٽوڪول تي ڪم ڪرڻ لاءِ ڪلائنٽ ۽ سرور جو کليل عمل، پيش ڪيو ويو آهي.

OpenSSH ڊولپرز اسان کي SHA-1 هيش استعمال ڪندي الگورتھم جي ايندڙ ختم ٿيڻ جي ياد ڏياري ٿي ڇاڪاڻ ته هڪ ڏنل اڳفڪس سان ٽڪراءَ جي حملن جي وڌندڙ ڪارڪردگي سبب (هڪ ٽڪر کي چونڊڻ جي قيمت لڳ ڀڳ $50 هزار آهي). ايندڙ رليز مان هڪ ۾، اهي "ssh-rsa" عوامي ڪيئي ڊجيٽل دستخط الورورٿم کي استعمال ڪرڻ جي صلاحيت کي ڊفالٽ طور بند ڪرڻ جو ارادو رکن ٿا، جيڪو SSH پروٽوڪول لاءِ اصل RFC ۾ ذڪر ڪيو ويو آهي ۽ عملي طور تي وسيع رهي ٿو.

توهان جي سسٽم تي ssh-rsa جي استعمال کي جانچڻ لاء، توهان ڪوشش ڪري سگهو ٿا ssh ذريعي ڳنڍڻ جي "-oHostKeyAlgorithms=-ssh-rsa" اختيار سان. ساڳئي وقت، "ssh-rsa" ڊجيٽل دستخطن کي ڊفالٽ طور تي غير فعال ڪرڻ جو مطلب RSA ڪيز جي استعمال کي مڪمل طور تي ختم ڪرڻ جو مطلب ناهي، ڇاڪاڻ ته SHA-1 کان علاوه، SSH پروٽوڪول ٻين هيش حساب جي الگورتھم جي استعمال جي اجازت ڏئي ٿو. خاص طور تي، "ssh-rsa" کان علاوه، "rsa-sha2-256" (RSA/SHA256) ۽ "rsa-sha2-512" (RSA/SHA512) بنڊل استعمال ڪرڻ ممڪن رهندو.

نئين الگورٿم ڏانهن منتقلي کي هموار ڪرڻ لاءِ، OpenSSH 8.5 وٽ UpdateHostKeys سيٽنگ ڊفالٽ طور تي فعال ٿيل آهي، جيڪا صارفين کي خودڪار طريقي سان وڌيڪ قابل اعتماد الگورتھم ڏانهن سوئچ ڪرڻ جي اجازت ڏئي ٿي. هن سيٽنگ کي استعمال ڪندي، هڪ خاص پروٽوڪول جي واڌ کي فعال ڪيو ويو آهي "[ايميل محفوظ ٿيل]"، سرور کي اجازت ڏئي ٿو، تصديق ڪرڻ کان پوء، ڪلائنٽ کي سڀني موجود ميزبان چابين جي باري ۾ ڄاڻ ڏيڻ لاء. ڪلائنٽ انهن ڪنجين کي پنهنجي ~/.ssh/known_hosts فائل ۾ ظاهر ڪري سگهي ٿو، جيڪا ميزبان ڪيز کي اپڊيٽ ڪرڻ جي اجازت ڏئي ٿي ۽ سرور تي چابيون تبديل ڪرڻ آسان بڻائي ٿي.

UpdateHostKeys جو استعمال ڪيترن ئي انتباہن تائين محدود آھي جيڪي مستقبل ۾ ختم ٿي سگھن ٿيون: ڪنجي کي UserKnownHostsFile ۾ حوالي ڪيو وڃي ۽ GlobalKnownHostsFile ۾ استعمال نه ڪيو وڃي. چاٻي صرف هڪ نالي هيٺ موجود هجڻ گهرجي؛ هڪ ميزبان اهم سرٽيفڪيٽ استعمال نه ٿيڻ گهرجي؛ ڄاتل_hosts ۾ ميزبان جي نالي سان ماسڪ استعمال نه ٿيڻ گهرجن؛ VerifyHostKeyDNS سيٽنگ کي بند ڪيو وڃي. UserKnownHostsFile پيٽرول فعال هجڻ ضروري آهي.

لڏپلاڻ لاءِ تجويز ڪيل الگورتھم شامل آھن RFC2 RSA SHA-256 جي بنياد تي rsa-sha512-8332/2 (سپورٽ ٿيل آھي OpenSSH 7.2 کان ۽ ڊفالٽ طور استعمال ڪيو ويو آھي)، ssh-ed25519 (OpenSSH 6.5 کان وٺي سپورٽ ٿيل) ۽ ecdsa-sha2-nistp256/384/521 تي ٻڌل RFC5656 ECDSA تي (OpenSSH 5.7 کان سپورٽ ٿيل).

ٻيون تبديليون:

  • سيڪيورٽي تبديليون:
    • ssh-agent ۾ اڳ ۾ ئي آزاد ٿيل ميموري ايريا (ڊبل فري) کي ٻيهر آزاد ڪرڻ جي ڪري هڪ ڪمزوري مقرر ڪئي وئي آهي. مسئلو OpenSSH 8.2 جي ڇڏڻ کان وٺي موجود آهي ۽ ممڪن طور تي استحصال ڪري سگهجي ٿو جيڪڏهن هڪ حملي آور کي مقامي سسٽم تي ssh-ايجنٽ ساکٽ تائين رسائي آهي. ڇا استحصال کي وڌيڪ ڏکيو بڻائي ٿو ته صرف روٽ ۽ اصل صارف کي ساکٽ تائين رسائي آهي. سڀ کان وڌيڪ امڪاني حملي جو منظر اهو آهي ته ايجنٽ کي هڪ اڪائونٽ ڏانهن منتقل ڪيو ويو آهي جيڪو حملي ڪندڙ طرفان ڪنٽرول ڪيو ويو آهي، يا هڪ ميزبان ڏانهن جتي حملو ڪندڙ کي روٽ رسائي آهي.
    • sshd استعمال ڪندڙ جي نالي سان تمام وڏا پيرا ميٽر پاس ڪرڻ جي خلاف تحفظ شامل ڪيو آھي PAM سبسسٽم ۾، جيڪو توھان کي PAM (Pluggable Authentication Module) سسٽم ماڊلز ۾ خطرن کي بلاڪ ڪرڻ جي اجازت ڏئي ٿو. مثال طور، تبديلي sshd کي ویکٹر طور استعمال ٿيڻ کان روڪي ٿي Solaris (CVE-2020-14871).
  • ممڪن طور تي ٽوڙڻ واري مطابقت تبديلين:
    • В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо [ايميل محفوظ ٿيل] метод теперь идентифицируется как [ايميل محفوظ ٿيل] (sntrup4591761 algorithm sntrup761 سان تبديل ڪيو ويو آهي).
    • ssh ۽ sshd ۾، ترتيب جنهن ۾ سپورٽ ٿيل ڊجيٽل دستخط الگورتھم جو اعلان ڪيو ويو آھي تبديل ڪيو ويو آھي. ED25519 هاڻي ECDSA جي بدران پهرين پيش ڪئي وئي آهي.
    • ssh ۽ sshd ۾، ٽي سي پي ڪنيڪشن قائم ڪرڻ کان پهريان انٽرايڪٽو سيشنز لاءِ TOS/DSCP معيار جي خدمت جي معيار کي ترتيب ڏيڻ هاڻي ڪيو ويو آهي.
    • ssh ۽ sshd ۾ سيفر سپورٽ کي بند ڪيو ويو آھي [ايميل محفوظ ٿيل]، جيڪو aes256-cbc جي هڪجهڙائي آهي ۽ RFC-4253 منظور ٿيڻ کان اڳ استعمال ڪيو ويو.
    • ڊفالٽ طور، CheckHostIP پيٽرولر کي غير فعال ڪيو ويو آهي، جنهن جو فائدو ناگزير آهي، پر ان جو استعمال خاص طور تي ميزبانن لاء اهم گردش کي پيچيده ڪري ٿو لوڊ بيلنسرز جي پويان.
  • PerSourceMaxStartups ۽ PerSourceNetBlockSize سيٽنگون sshd ۾ شامل ڪيون ويون آھن ڪلائنٽ ايڊريس جي بنياد تي ھلندڙن کي لانچ ڪرڻ جي شدت کي محدود ڪرڻ لاءِ. اهي پيرا ميٽرز توهان کي اجازت ڏين ٿا وڌيڪ نفيس ڪنٽرول جي حد کي پروسيس لانچن تي، عام MaxStartups سيٽنگ جي مقابلي ۾.
  • ssh ۽ sshd ۾ هڪ نئين LogVerbose سيٽنگ شامل ڪئي وئي آهي، جيڪا توهان کي اجازت ڏئي ٿي ته ڊيبگنگ معلومات جي سطح کي مضبوطيءَ سان وڌائڻ جي لاگ ۾ ڊمپ ٿيل، ٽيمپليٽس، افعال ۽ فائلن ذريعي فلٽر ڪرڻ جي صلاحيت سان.
  • ssh ۾، جڏهن هڪ نئين ميزبان چيڪ کي قبول ڪيو وڃي، سڀني ميزبانن جا نالا ۽ IP پتي سان لاڳاپيل ڏيکاريا ويندا آهن.
  • ssh اجازت ڏئي ٿو UserKnownHostsFile=کوئي به آپشن کي غير فعال ڪرڻ لاءِ ڄاتل_هوسٽ فائل جي استعمال کي ختم ڪرڻ لاءِ جڏهن هوسٽ ڪيز جي سڃاڻپ ڪندي.
  • هڪ KnownHostsCommand سيٽنگ شامل ڪئي وئي آهي ssh_config لاءِ ssh، توهان کي حاصل ڪرڻ جي اجازت ڏئي ٿي know_hosts ڊيٽا مخصوص ڪمانڊ جي آئوٽ مان.
  • شامل ڪيو ويو ھڪڙو PermitRemoteOpen آپشن ssh_config لاءِ ssh لاءِ توھان کي اجازت ڏيڻ جي اجازت ڏيڻ جي منزل کي محدود ڪريو جڏھن SOCKS سان RemoteForward اختيار استعمال ڪريو.
  • FIDO ڪيز لاءِ ssh ۾، غلط PIN جي ڪري ڊجيٽل دستخط آپريشن جي ناڪامي جي صورت ۾ بار بار PIN جي درخواست ڏني ويندي آهي ۽ صارف کي PIN لاءِ اشارو نه ڪيو ويندو آهي (مثال طور، جڏهن صحيح بايو ميٽرڪ ڊيٽا حاصل نه ٿي سگهي ۽ ڊيوائس واپس دستي پن جي داخلا ڏانهن واپس ٿي وئي).
  • sshd لينڪس تي seccomp-bpf-based پروسيس آئسوليشن ميڪانيزم کي اضافي سسٽم ڪالن لاءِ سپورٽ شامل ڪري ٿو.
  • contrib/ssh-copy-id افاديت کي اپڊيٽ ڪيو ويو آهي.

جو ذريعو: opennet.ru

تبصرو شامل ڪريو