සංවර්ධනය මාස තුනකට පසුව නිකුත්වීම , SSH 2.0 සහ SFTP ප්රොටෝකෝල හරහා වැඩ කිරීම සඳහා විවෘත සේවාලාභියෙකු සහ සේවාදායක ක්රියාත්මක කිරීමකි.
නව නිකුතුව මඟින් ඉල්ලා සිටින ඒවාට වඩා වෙනත් ගොනු නාම සම්මත කිරීමට සේවාදායකයට ඉඩ සලසන scp ප්රහාරවලට එරෙහිව ආරක්ෂාව එක් කරයි (ප්රතිවිරුද්ධ ලෙස , ප්රහාරය මඟින් පරිශීලක-තෝරාගත් නාමාවලිය හෝ ග්ලෝබ් මාස්ක් වෙනස් කිරීමට නොහැකි වේ). SCP හි, සේවාදායකයාට කුමන ගොනු සහ නාමාවලි යැවිය යුතුද යන්න සේවාදායකය විසින් තීරණය කරන අතර, සේවාදායකයා විසින් ආපසු ලබා දුන් වස්තුවේ නම්වල නිවැරදි බව පමණක් පරීක්ෂා කරන බව මතක තබා ගන්න. හඳුනාගත් ගැටලුවේ සාරය නම්, utimes පද්ධති ඇමතුම අසාර්ථක වුවහොත්, ගොනුවේ අන්තර්ගතය ගොනු පාර-දත්ත ලෙස අර්ථ දැක්වේ.
මෙම විශේෂාංගය, ප්රහාරකයෙකු විසින් පාලනය කරන සේවාදායකයකට සම්බන්ධ වන විට, යූටයිම් ඇමතීමේදී අසාර්ථක වීමට තුඩු දෙන වින්යාසයන්හි scp භාවිතයෙන් පිටපත් කිරීමේදී පරිශීලකයාගේ FS හි වෙනත් ගොනු නාම සහ අනෙකුත් අන්තර්ගතයන් සුරැකීමට භාවිතා කළ හැක (උදාහරණයක් ලෙස, utimes තහනම් කර ඇති විට SELinux ප්රතිපත්තිය හෝ පද්ධති ඇමතුම් පෙරහන) . සාමාන්ය වින්යාසයන්හි utimes ඇමතුම අසාර්ථක නොවන බැවින්, සැබෑ ප්රහාරවල සම්භාවිතාව අවම වශයෙන් ඇස්තමේන්තු කර ඇත. ඊට අමතරව, ප්රහාරය නොපෙනී යන්නේ නැත - scp ඇමතීමේ දී, දත්ත හුවමාරු දෝෂයක් පෙන්වයි.
සාමාන්ය වෙනස්කම්:
- sftp හි, කලින් පිළිගත් නමුත් නොසලකා හරින ලද ssh සහ scp වලට සමාන “-1” තර්කය සැකසීම නතර කර ඇත;
- sshd හි, IgnoreRhosts භාවිතා කරන විට, දැන් තේරීම් තුනක් ඇත: "yes" - rhosts/shosts නොසලකා හරින්න, "no" - rhosts/shosts වලට ගරු කරන්න, සහ "shosts-only" - ".shosts" ට ඉඩ දෙන නමුත් ".rhosts" අබල කරන්න;
- Ssh දැන් Unix සොකට් යළි හරවා යැවීමට භාවිතා කරන LocalFoward සහ RemoteForward සැකසුම් තුළ %TOKEN ආදේශනය සඳහා සහය දක්වයි;
- පොදු යතුර සමඟ වෙනම ගොනුවක් නොමැති නම් පුද්ගලික යතුරක් සමඟ සංකේතනය නොකළ ගොනුවකින් පොදු යතුරු පැටවීමට ඉඩ දෙන්න;
- පද්ධතිය තුළ libcrypto තිබේ නම්, ssh සහ sshd දැන් මෙම පුස්තකාලයෙන් chacha20 ඇල්ගොරිතම ක්රියාත්මක කිරීම භාවිතා කරයි, කාර්ය සාධනයෙන් පසුගාමී වන බිල්ට්-ඉන් අතේ ගෙන යා හැකි ක්රියාත්මක කිරීම වෙනුවට;
- “ssh-keygen -lQf /path” විධානය ක්රියාත්මක කිරීමේදී අවලංගු කරන ලද සහතිකවල ද්විමය ලැයිස්තුවක අන්තර්ගතය ඩම්ප් කිරීමේ හැකියාව ක්රියාත්මක කර ඇත;
- අතේ ගෙන යා හැකි අනුවාදය මඟින් SA_RESTART විකල්පය සමඟ සංඥා තෝරා ගැනීමේ ක්රියාකාරිත්වයට බාධා කරන පද්ධතිවල අර්ථ දැක්වීම් ක්රියාත්මක කරයි;
- HP/UX සහ AIX පද්ධතිවල එකලස් කිරීමේ ගැටළු විසඳා ඇත;
- සමහර ලිනක්ස් වින්යාසයන් මත seccomp වැලිපිල්ල තැනීමේ ස්ථාවර ගැටළු;
- වැඩිදියුණු කළ libfido2 පුස්තකාල හඳුනාගැනීම සහ "--with-security-key-builtin" විකල්පය සමඟ ගොඩ නැගීමේ ගැටළු විසඳා ඇත.
OpenSSH සංවර්ධකයින් විසින් SHA-1 හෑෂ් භාවිතා කරමින් ඇල්ගොරිතමවල වියෝජනය ගැන නැවත වරක් අනතුරු ඇඟවීය. දී ඇති උපසර්ගයක් සමඟ ගැටීමේ ප්රහාරවල සඵලතාවය (ගැටුමක් තෝරාගැනීමේ පිරිවැය ආසන්න වශයෙන් ඩොලර් 45 දහසක් ලෙස ගණන් බලා ඇත). ඉදිරියට එන එක් නිකුතුවකදී, SSH ප්රොටෝකෝලය සඳහා මුල් RFC හි සඳහන් වන සහ ප්රායෝගිකව පුළුල්ව පවතින (භාවිතය පරීක්ෂා කිරීමට) පොදු යතුරු ඩිජිටල් අත්සන ඇල්ගොරිතම "ssh-rsa" භාවිතා කිරීමේ හැකියාව පෙරනිමියෙන් අක්රිය කිරීමට ඔවුන් සැලසුම් කරයි. ඔබේ පද්ධතිවල ssh-rsa හි, ඔබට “-oHostKeyAlgorithms=-ssh-rsa” විකල්පය සමඟ ssh හරහා සම්බන්ධ වීමට උත්සාහ කළ හැකිය.
OpenSSH හි නව ඇල්ගොරිතම වෙත සංක්රමණය සුමට කිරීමට, අනාගත නිකුතුවකදී UpdateHostKeys සැකසුම පෙරනිමියෙන් සක්රීය කරනු ඇත, එය ස්වයංක්රීයව සේවාදායකයින් වඩාත් විශ්වාසදායක ඇල්ගොරිතම වෙත සංක්රමණය කරයි. සංක්රමණය සඳහා නිර්දේශිත ඇල්ගොරිතම RFC2 RSA SHA-256 මත පදනම් වූ rsa-sha512-8332/2 (OpenSSH 7.2 සිට සහය දක්වන අතර පෙරනිමියෙන් භාවිතා වේ), ssh-ed25519 (OpenSSH 6.5 සිට සහය දක්වයි) සහ ecdsa-sha2-n256 පාදක කර ඇත. RFC384 ECDSA මත (OpenSSH 521 සිට සහය දක්වයි).
අවසාන නිකුතුව වන විට, "ssh-rsa" සහ "diffie-hellman-group14-sha1" CASignatureAlgorithms ලැයිස්තුවෙන් ඉවත් කර ඇත, එය නව සහතික ඩිජිටල් ලෙස අත්සන් කිරීමට අවසර දී ඇති ඇල්ගොරිතම නිර්වචනය කරයි, මන්ද සහතිකවල SHA-1 භාවිතා කිරීම අමතර අවදානමක් ඇති කරයි. එම නිසා ප්රහාරකයාට පවතින සහතිකයක් සඳහා ගැටුමක් සෙවීමට අසීමිත කාලයක් ඇති අතර, ධාරක යතුරු මත ප්රහාරයේ කාලය සම්බන්ධතා කල් ඉකුත්වීමෙන් සීමා වේ (LoginGraceTime).
මූලාශ්රය: opennet.ru