ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > OpenSSH 8.4 නිකුතුව

OpenSSH 8.4 නිකුතුව

සංවර්ධනය මාස හතරකට පසුව ඉදිරිපත් කරන ලදී OpenSSH 8.4 නිකුත් කිරීම, SSH 2.0 සහ SFTP ප්‍රොටෝකෝල භාවිතයෙන් වැඩ කිරීම සඳහා විවෘත සේවාලාභියා සහ සේවාදායක ක්‍රියාත්මක කිරීම.

ප්රධාන වෙනස්කම්:

  • ආරක්ෂක වෙනස්කම්:
    • ssh-agent වලදී, SSH සත්‍යාපනය සඳහා නිර්මාණය නොකළ FIDO යතුරු භාවිතා කරන විට (යතුරු හැඳුනුම්පත "ssh:" තන්තුවෙන් ආරම්භ නොවේ), එය දැන් SSH ප්‍රොටෝකෝලයේ භාවිතා කරන ක්‍රම භාවිතයෙන් පණිවිඩය අත්සන් කරන්නේදැයි පරීක්ෂා කරයි. වෙබ් සත්‍යාපන ඉල්ලීම් සඳහා අත්සන් උත්පාදනය කිරීමට මෙම යතුරු භාවිතා කිරීමේ හැකියාව අවහිර කිරීම සඳහා FIDO යතුරු ඇති දුරස්ථ ධාරක වෙත ssh-agent යළි හරවා යැවීමට වෙනස් කිරීම ඉඩ නොදෙනු ඇත (බ්‍රවුසරයකට SSH ඉල්ලීමක් අත්සන් කළ හැකි විට ප්‍රතිලෝම අවස්ථාව, මුලින් බැහැර කරනු ලැබේ. යතුරු හඳුනාගැනීමේ "ssh:" උපසර්ගය භාවිතා කිරීම හේතුවෙන්).
    • ssh-keygen හි නේවාසික යතුරු උත්පාදනය FIDO 2.1 පිරිවිතරයේ විස්තර කර ඇති credProtect ඇඩෝනය සඳහා සහය ඇතුළත් වේ, එය ටෝකනයෙන් නේවාසික යතුර උකහා ගැනීමට හේතු විය හැකි ඕනෑම මෙහෙයුමක් සිදු කිරීමට පෙර PIN එකක් අවශ්‍ය කිරීමෙන් යතුරු සඳහා අමතර ආරක්ෂාවක් සපයයි.
  • විය හැකි අනුකූලතා වෙනස්කම්:
    • FIDO/U2F සඳහා සහය දැක්වීම සඳහා, libfido2 පුස්තකාලය අවම වශයෙන් 1.5.0 අනුවාදය භාවිතා කිරීම නිර්දේශ කෙරේ. පැරණි සංස්කරණ භාවිතා කිරීමේ හැකියාව අර්ධ වශයෙන් ක්‍රියාත්මක කර ඇත, නමුත් මෙම අවස්ථාවේදී, නේවාසික යතුරු, PIN ඉල්ලීම සහ බහු ටෝකන සම්බන්ධ කිරීම වැනි කාර්යයන් ලබා ගත නොහැක.
    • ssh-keygen හි, තහවුරු කිරීමේ ඩිජිටල් අත්සන සත්‍යාපනය කිරීම සඳහා අවශ්‍ය සත්‍යාපන දත්ත තහවුරු කිරීමේ තොරතුරු ආකෘතියට එක් කර ඇති අතර, FIDO යතුරක් ජනනය කිරීමේදී විකල්ප වශයෙන් සුරැකේ.
    • FIDO ටෝකන වෙත ප්‍රවේශ වීම සඳහා OpenSSH ස්තරය සමඟ අන්තර්ක්‍රියා කරන විට භාවිතා කරන API වෙනස් කර ඇත.
    • OpenSSH හි අතේ ගෙන යා හැකි අනුවාදයක් තැනීමේදී, වින්‍යාස ස්ක්‍රිප්ට් සහ ඒ සමඟ ඇති ගොනු ගොඩනැගීමට ස්වයංක්‍රීයකරණය දැන් අවශ්‍ය වේ (ප්‍රකාශිත කේත තාර ගොනුවකින් ගොඩනඟන්නේ නම්, වින්‍යාසය ප්‍රතිජනනය කිරීම අවශ්‍ය නොවේ).
  • ssh සහ ssh-keygen හි PIN සත්‍යාපනය අවශ්‍ය FIDO යතුරු සඳහා සහය එක් කරන ලදී. PIN සමඟ යතුරු උත්පාදනය කිරීමට, "verify-අවශ්‍ය" විකල්පය ssh-keygen වෙත එක් කර ඇත. එවැනි යතුරු භාවිතා කරන්නේ නම්, අත්සන නිර්මාණය කිරීමේ මෙහෙයුම සිදු කිරීමට පෙර, PIN කේතයක් ඇතුළත් කිරීමෙන් ඔවුන්ගේ ක්රියාවන් තහවුරු කිරීමට පරිශීලකයාගෙන් විමසනු ලැබේ.
  • sshd හි, “verify-required” විකල්පය, authorized_keys සැකසුම තුළ ක්‍රියාත්මක වේ, ටෝකනය සමඟ මෙහෙයුම් වලදී පරිශීලකයාගේ පැමිණීම තහවුරු කිරීමට හැකියාවන් භාවිතා කිරීම අවශ්‍ය වේ. FIDO ප්‍රමිතිය එවැනි සත්‍යාපනය සඳහා විකල්ප කිහිපයක් සපයයි, නමුත් දැනට OpenSSH සහාය දක්වන්නේ PIN-පාදක සත්‍යාපනයට පමණි.
  • sshd සහ ssh-keygen වෙබ් බ්‍රව්සර්වල FIDO යතුරු භාවිතා කිරීමට ඉඩ සලසන FIDO Webauthn ප්‍රමිතියට අනුකූල වන ඩිජිටල් අත්සන සත්‍යාපනය කිරීම සඳහා සහය එක් කර ඇත.
  • ssh හි CertificateFile සැකසුම් තුළ,
    ControlPath, IdentityAgent, IdentityFile, LocalForward සහ
    RemoteForward "${ENV}" ආකෘතියෙන් දක්වා ඇති පරිසර විචල්‍ය වලින් අගයන් ආදේශ කිරීමට ඉඩ දෙයි.

  • ssh සහ ssh-agent විසින් $SSH_ASKPASS_REQUIRE පරිසර විචල්‍ය සඳහා සහය එක් කර ඇත, එය ssh-askpass ඇමතුම සබල කිරීමට හෝ අක්‍රිය කිරීමට භාවිතා කළ හැක.
  • AddKeysToAgent විධානය තුළ ssh_config හි ssh හි, යතුරක වලංගු කාලය සීමා කිරීමේ හැකියාව එක් කර ඇත. නිශ්චිත සීමාව කල් ඉකුත් වූ පසු, යතුරු ස්වයංක්‍රීයව ssh-agent වෙතින් මකා දමනු ලැබේ.
  • scp සහ sftp වලදී, "-A" ධජය භාවිතා කරමින්, ඔබට දැන් පැහැදිලිවම ssh-agent භාවිතයෙන් scp සහ sftp වෙත යළි හරවා යැවීමට ඉඩ දිය හැක (ප්‍රතියොමු කිරීම පෙරනිමියෙන් අක්‍රීය කර ඇත).
  • ධාරක යතුරු නාමය සඳහන් කරන ssh සැකසුම් තුළ '%k' ආදේශනය සඳහා සහය එක් කරන ලදී. මෙම විශේෂාංගය වෙනම ගොනු වලට යතුරු බෙදා හැරීමට භාවිතා කළ හැක (උදාහරණයක් ලෙස, "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
  • stdin වෙතින් මකා දැමිය යුතු යතුරු කියවීමට "ssh-add -d -" මෙහෙයුම භාවිතා කිරීමට ඉඩ දෙන්න.
  • sshd හි, සම්බන්ධතා කප්පාදු කිරීමේ ක්‍රියාවලියේ ආරම්භය සහ අවසානය, MaxStartup පරාමිතිය භාවිතයෙන් නියාමනය කරනු ලබන ලඝු-සටහනෙහි පිළිබිඹු වේ.

OpenSSH සංවර්ධකයින් SHA-1 හෑෂ් භාවිතා කරමින් ඉදිරියට එන ඇල්ගොරිතම ඉවත් කිරීම ද සිහිපත් කළහ. ප්රවර්ධන දී ඇති උපසර්ගයක් සමඟ ගැටීමේ ප්‍රහාරවල සඵලතාවය (ගැටුමක් තෝරාගැනීමේ පිරිවැය ආසන්න වශයෙන් ඩොලර් 45 දහසක් ලෙස ගණන් බලා ඇත). ඉදිරියට එන එක් නිකුතුවකදී, SSH ප්‍රොටෝකෝලය සඳහා මුල් RFC හි සඳහන් වන සහ ප්‍රායෝගිකව පුළුල්ව පවතින (භාවිතය පරීක්ෂා කිරීමට) පොදු යතුරු ඩිජිටල් අත්සන ඇල්ගොරිතම "ssh-rsa" භාවිතා කිරීමේ හැකියාව පෙරනිමියෙන් අක්‍රිය කිරීමට ඔවුන් සැලසුම් කරයි. ඔබේ පද්ධතිවල ssh-rsa හි, ඔබට “-oHostKeyAlgorithms=-ssh-rsa” විකල්පය සමඟ ssh හරහා සම්බන්ධ වීමට උත්සාහ කළ හැකිය.

OpenSSH හි නව ඇල්ගොරිතම වෙත සංක්‍රමණය සුමට කිරීමට, මීළඟ නිකුතුව පෙරනිමියෙන් UpdateHostKeys සැකසුම සක්‍රීය කරයි, එමඟින් සේවාදායකයින් වඩාත් විශ්වාසදායක ඇල්ගොරිතම වෙත ස්වයංක්‍රීයව සංක්‍රමණය වේ. සංක්‍රමණය සඳහා නිර්දේශිත ඇල්ගොරිතමවලට RFC2 RSA SHA-256 මත පදනම් වූ rsa-sha512-8332/2 ඇතුළත් වේ (OpenSSH 7.2 සිට සහය දක්වන අතර පෙරනිමියෙන් භාවිතා වේ), ssh-ed25519 (OpenSSH 6.5 සිට සහය දක්වයි) සහ ecdsa-sha2-n256 පාදක කරගත් RFC384 ECDSA මත (OpenSSH 521 සිට සහය දක්වයි).

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න