ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > OpenSSH 8.0 නිකුතුව

OpenSSH 8.0 නිකුතුව

සංවර්ධනය මාස පහකට පසුව ඉදිරිපත් කරන ලදී නිකුත්වීම OpenSSH 8.0, SSH 2.0 සහ SFTP ප්‍රොටෝකෝල හරහා වැඩ කිරීම සඳහා විවෘත සේවාලාභියෙකු සහ සේවාදායක ක්‍රියාත්මක කිරීමකි.

ප්රධාන වෙනස්කම්:

  • ක්වොන්ටම් පරිගණකයකට බෲට්-ෆෝස් ප්‍රහාරවලට ඔරොත්තු දෙන යතුරු හුවමාරු ක්‍රමයක් සඳහා පර්යේෂණාත්මක සහාය ssh සහ sshd වෙත එකතු කර ඇත. ක්වොන්ටම් පරිගණක නවීන අසමමිතික සංකේතාංකන ඇල්ගොරිතමවලට යටින් පවතින සහ සම්භාව්‍ය ප්‍රොසෙසර මත ඵලදායි ලෙස විසඳිය නොහැකි ප්‍රමුඛ සාධක බවට ස්වාභාවික සංඛ්‍යාවක් වියෝජනය කිරීමේ ගැටලුව විසඳීමේ දී රැඩිකල් ලෙස වේගවත් වේ. යෝජිත ක්රමය ඇල්ගොරිතම මත පදනම් වේ NTRU අගමැති (function ntrup4591761), පශ්චාත් ක්වොන්ටම් ගුප්ත පද්ධති සඳහා සංවර්ධනය කරන ලද සහ ඉලිප්සීය වක්‍ර යතුරු හුවමාරු ක්‍රමය X25519;
  • sshd හි, ListenAddress සහ PermitOpen විධාන තවදුරටත් IPv2001 සමඟ වැඩ කිරීම සරල කිරීම සඳහා "host:port" සඳහා විකල්පයක් ලෙස 6 දී ක්‍රියාත්මක කරන ලද ලෙගසි "host/port" වාක්‍ය ඛණ්ඩයට සහය නොදක්වයි. නවීන තත්වයන් තුළ, IPv6 සඳහා "[::1]:22" වාක්‍ය ඛණ්ඩය ස්ථාපිත කර ඇති අතර, "ධාරක/වරාය" බොහෝ විට උපජාලය (CIDR) දැක්වීම සමඟ ව්‍යාකූල වේ;
  • ssh, ssh-agent සහ ssh-add දැන් ආධාරක යතුරු ඊසීඩීඑස්ඒ PKCS#11 ටෝකන් වල;
  • ssh-keygen හි, නව NIST නිර්දේශයන්ට අනුකූලව පෙරනිමි RSA යතුරු ප්‍රමාණය බිටු 3072 දක්වා වැඩි කර ඇත;
  • ssh ssh_config හි දක්වා ඇති PKCS11Provider විධානය අභිබවා යාමට "PKCS11Provider=none" සැකසීම් භාවිතයට ඉඩ දෙයි;
  • sshd_config හි "ForceCommand=internal-sftp" සීමා කිරීම මගින් අවහිර කරන ලද විධානයන් ක්‍රියාත්මක කිරීමට උත්සාහ කරන විට සම්බන්ධතාවය අවසන් වූ විට sshd තත්ත්වයන් පිළිබඳ ලඝු-සටහනක් සපයයි;
  • ssh හි, නව ධාරක යතුරක් පිළිගැනීම තහවුරු කිරීම සඳහා ඉල්ලීමක් ප්‍රදර්ශනය කරන විට, “ඔව්” ප්‍රතිචාරය වෙනුවට, යතුරේ නිවැරදි ඇඟිලි සලකුණ දැන් පිළිගනු ලැබේ (සම්බන්ධතාවය තහවුරු කිරීමේ ආරාධනයට ප්‍රතිචාර වශයෙන්, පරිශීලකයාට පිටපත් කළ හැකිය එය අතින් සංසන්දනය නොකිරීමට, ක්ලිප් පුවරුව හරහා වෙන වෙනම ලැබුණු යොමු හෑෂ්);
  • ssh-keygen විධාන රේඛාවේ බහු සහතික සඳහා ඩිජිටල් අත්සන් සෑදීමේදී සහතික අනුක්‍රමික අංකය ස්වයංක්‍රීයව වැඩි කිරීම සපයයි;
  • "-J" නව විකල්පයක් scp සහ sftp වෙත එක් කර ඇත, එය ProxyJump සැකසීමට සමාන වේ;
  • ssh-agent, ssh-pkcs11-helper සහ ssh-add හි, ප්‍රතිදානයේ තොරතුරු අන්තර්ගතය වැඩි කිරීම සඳහා “-v” විධාන රේඛා විකල්පය සැකසීම එක් කර ඇත (නිශ්චිත විට, මෙම විකල්පය ළමා ක්‍රියාවලීන් වෙත ලබා දෙනු ලැබේ. උදාහරණයක් ලෙස, ssh-pkcs11-helper ssh-agent වෙතින් ඇමතූ විට );
  • "-T" විකල්පය ssh-add වෙත එකතු කර ඇත්තේ ඩිජිටල් අත්සන සෑදීම සහ සත්‍යාපන මෙහෙයුම් සිදු කිරීම සඳහා ssh-agent හි යතුරු වල යෝග්‍යතාවය පරීක්ෂා කිරීම සඳහා ය;
  • sftp-server "lsetstat at openssh.com" ප්‍රොටෝකෝල දිගුව සඳහා සහය ක්‍රියාත්මක කරයි, එය SFTP සඳහා SSH2_FXP_SETSTAT මෙහෙයුම සඳහා සහය එක් කරයි, නමුත් සංකේතාත්මක සබැඳි අනුගමනය නොකර;
  • සංකේතාත්මක සබැඳි භාවිතා නොකරන ඉල්ලීම් සමඟ chown/chgrp/chmod විධාන ක්‍රියාත්මක කිරීමට sftp වෙත "-h" විකල්පය එක් කරන ලදී;
  • sshd PAM සඳහා $SSH_CONNECTION පරිසර විචල්‍යයේ සිටුවම් සපයයි;
  • sshd සඳහා, ssh_config වෙත "Match final" ගැලපුම් මාදිලියක් එක් කර ඇත, එය "Match canonical" හා සමාන වේ, නමුත් ධාරක නාමය සාමාන්‍යකරණය සක්‍රීය කිරීමට අවශ්‍ය නොවේ;
  • කණ්ඩායම් ප්‍රකාරයේදී ක්‍රියාත්මක කරන ලද විධානවල ප්‍රතිදානය පරිවර්තනය අක්‍රිය කිරීමට sftp වෙත '@' උපසර්ගය සඳහා සහය එක් කරන ලදී;
  • ඔබ විධානය භාවිතයෙන් සහතිකයක අන්තර්ගතය ප්රදර්ශනය කරන විට
    "ssh-keygen -Lf /path/certificate" දැන් සහතිකය වලංගු කිරීමට CA විසින් භාවිතා කරන ඇල්ගොරිතම පෙන්වයි;

  • Cygwin පරිසරය සඳහා වැඩිදියුණු කරන ලද සහය, උදාහරණයක් ලෙස කණ්ඩායම් සහ පරිශීලක නාමවල සිද්ධි සංවේදී නොවන සංසන්දනය සැපයීම. මයික්‍රොසොෆ්ට් සපයන OpenSSH වරායට බාධා නොකිරීමට Cygwin port හි sshd ක්‍රියාවලිය cygsshd ලෙස වෙනස් කර ඇත;
  • පර්යේෂණාත්මක OpenSSL 3.x ශාඛාව සමඟ ගොඩනැගීමේ හැකියාව එකතු කරන ලදී;
  • ඉවත් කරන ලදී අවදානම (CVE-2019-6111) scp උපයෝගීතාව ක්‍රියාත්මක කිරීමේදී, ප්‍රහාරකයෙකු විසින් පාලනය කරනු ලබන සේවාදායකයකට ප්‍රවේශ වීමේදී, ඉලක්ක නාමාවලියෙහි ඇති අත්තනෝමතික ගොනු සේවාලාභියාගේ පැත්තේ උඩින් ලිවීමට ඉඩ සලසයි. ගැටළුව වන්නේ scp භාවිතා කරන විට, සේවාදායකයා වෙත යැවිය යුතු ගොනු සහ නාමාවලි සේවාදායකය විසින් තීරණය කරන අතර, සේවාදායකයා විසින් ආපසු ලබා දුන් වස්තුවේ නම් වල නිවැරදි බව පමණක් පරීක්ෂා කරයි. සේවාලාභී පාර්ශ්ව පරීක්ෂාව වත්මන් නාමාවලියෙන් ඔබ්බට ගමන් අවහිර කිරීමට පමණක් සීමා වේ (“../”), නමුත් මුලින් ඉල්ලූ ඒවාට වඩා වෙනස් නම් සහිත ගොනු මාරු කිරීම සැලකිල්ලට නොගනී. පුනරාවර්තන පිටපත් කිරීමේදී (-r), ගොනු නාම වලට අමතරව, ඔබට උප බහලුම්වල නම් ද ඒ හා සමාන ආකාරයකින් හැසිරවිය හැකිය. උදාහරණයක් ලෙස, පරිශීලකයා මුල් නාමාවලියට ගොනු පිටපත් කරන්නේ නම්, ප්‍රහාරකයා විසින් පාලනය කරනු ලබන සේවාදායකයට ඉල්ලන ලද ගොනු වෙනුවට .bash_aliases හෝ .ssh/authorized_keys නම් සහිත ගොනු නිපදවිය හැකි අතර, ඒවා පරිශීලකයාගේ scp උපයෝගීතාවයෙන් සුරැකෙනු ඇත. මුල් නාමාවලිය.

    නව නිකුතුවේදී, සේවාදායකයා විසින් එවන ලද ගොනු නාමයන් සහ සේවාදායකයා විසින් එවන ලද ඒවා අතර ලිපි හුවමාරුව පරීක්ෂා කිරීම සඳහා scp උපයෝගීතාව යාවත්කාලීන කර ඇත. වෙස් විස්තාරණ අක්ෂර සේවාදායකයේ සහ සේවාදායක පාර්ශවයේ වෙනස් ලෙස සැකසිය හැකි බැවින් මෙය වෙස් මුහුණු සැකසීමේ ගැටළු ඇති කළ හැක. එවැනි වෙනස්කම් නිසා සේවාදායකයා scp හි ගොනු පිළිගැනීම නැවැත්වීමට හේතු වේ නම්, සේවාලාභී පාර්ශ්ව පරීක්ෂා කිරීම අක්‍රීය කිරීමට “-T” විකල්පය එක් කර ඇත. ගැටළුව සම්පූර්ණයෙන් නිවැරදි කිරීම සඳහා, scp ප්‍රොටෝකෝලය සංකල්පීය ප්‍රතිනිර්මාණය කිරීම අවශ්‍ය වේ, එය දැනටමත් යල් පැන ගොස් ඇත, එබැවින් ඒ වෙනුවට sftp සහ rsync වැනි නවීන ප්‍රොටෝකෝල භාවිතා කිරීම රෙකමදාරු කරනු ලැබේ.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න