ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > OpenSSH 8.5 නිකුතුව

OpenSSH 8.5 නිකුතුව

මාස පහක සංවර්ධනයෙන් පසුව, SSH 8.5 සහ SFTP ප්‍රොටෝකෝල මත වැඩ කිරීම සඳහා සේවාලාභියෙකුගේ සහ සේවාදායකයේ විවෘත ක්‍රියාවක් වන OpenSSH 2.0 නිකුතුව ඉදිරිපත් කරනු ලැබේ.

OpenSSH සංවර්ධකයින් විසින් ලබා දී ඇති උපසර්ගයක් සමඟ ගැටීමේ ප්‍රහාරවල කාර්යක්ෂමතාව වැඩි වීම හේතුවෙන් SHA-1 හෑෂ් භාවිතයෙන් ඉදිරියට එන ඇල්ගොරිතම ඉවත් කිරීම අපට මතක් කර දුන්නේය (ගැටුමක් තෝරා ගැනීමේ පිරිවැය ආසන්න වශයෙන් ඩොලර් 50 දහසක් ලෙස ගණන් බලා ඇත). ඉදිරියට එන නිකුතුවකින්, SSH ප්‍රොටෝකෝලය සඳහා මුල් RFC හි සඳහන් වන සහ ප්‍රායෝගිකව පුළුල්ව පවතින “ssh-rsa” පොදු යතුරු ඩිජිටල් අත්සන ඇල්ගොරිතම භාවිතා කිරීමේ හැකියාව පෙරනිමියෙන් අක්‍රිය කිරීමට ඔවුන් සැලසුම් කරයි.

ඔබේ පද්ධති මත ssh-rsa භාවිතය පරීක්ෂා කිරීමට, ඔබට “-oHostKeyAlgorithms=-ssh-rsa” විකල්පය සමඟ ssh හරහා සම්බන්ධ වීමට උත්සාහ කළ හැක. ඒ අතරම, පෙරනිමියෙන් “ssh-rsa” ඩිජිටල් අත්සන් අක්‍රිය කිරීම RSA යතුරු භාවිතය සම්පූර්ණයෙන්ම අත්හැර දැමීමක් අදහස් නොවේ, මන්ද SHA-1 ට අමතරව, SSH ප්‍රොටෝකෝලය වෙනත් හැෂ් ගණනය කිරීමේ ඇල්ගොරිතම භාවිතා කිරීමට ඉඩ සලසයි. විශේෂයෙන්ම, "ssh-rsa" ට අමතරව, "rsa-sha2-256" (RSA/SHA256) සහ "rsa-sha2-512" (RSA/SHA512) මිටි භාවිතා කිරීමට හැකි වනු ඇත.

නව ඇල්ගොරිතම වෙත සංක්‍රමණය සුමට කිරීමට, OpenSSH 8.5 හි UpdateHostKeys සැකසුම පෙරනිමියෙන් සක්‍රීය කර ඇත, එමඟින් සේවාදායකයින්ට වඩාත් විශ්වාසදායක ඇල්ගොරිතම වෙත ස්වයංක්‍රීයව මාරු වීමට ඉඩ සලසයි. මෙම සැකසුම භාවිතා කරමින්, විශේෂ ප්‍රොටෝකෝල දිගුවක් සක්‍රීය කර ඇත "[විද්‍යුත් ආරක්‍ෂිත]", සත්‍යාපනය කිරීමෙන් පසුව, පවතින සියලුම සත්කාරක යතුරු ගැන සේවාදායකයාට දැනුම් දීමට සේවාදායකයට ඉඩ දෙයි. සේවාලාභියාට මෙම යතුරු එහි ~/.ssh/known_hosts ගොනුව තුළ පරාවර්තනය කළ හැක, එමඟින් ධාරක යතුරු යාවත්කාලීන කිරීමට ඉඩ ලබා දෙන අතර සේවාදායකයේ යතුරු වෙනස් කිරීම පහසු කරයි.

UpdateHostKeys භාවිතය අනාගතයේදී ඉවත් කළ හැකි අනතුරු ඇඟවීම් කිහිපයකින් සීමා වේ: යතුර UserKnownHostsFile හි සඳහන් කළ යුතු අතර GlobalKnownHostsFile හි භාවිතා නොකළ යුතුය; යතුර එක් නමක් යටතේ පමණක් තිබිය යුතුය; සත්කාරක යතුරු සහතිකයක් භාවිතා නොකළ යුතුය; දන්නා_ධාරක වල සත්කාරක නාමයෙන් වෙස් මුහුණු භාවිතා නොකළ යුතුය; VerifyHostKeyDNS සැකසුම අබල කළ යුතුය; UserKnownHostsFile පරාමිතිය සක්‍රිය විය යුතුය.

සංක්‍රමණය සඳහා නිර්දේශිත ඇල්ගොරිතම RFC2 RSA SHA-256 මත පදනම් වූ rsa-sha512-8332/2 (OpenSSH 7.2 සිට සහය දක්වන අතර පෙරනිමියෙන් භාවිතා වේ), ssh-ed25519 (OpenSSH 6.5 සිට සහය දක්වයි) සහ ecdsa-sha2-n256 පාදක කර ඇත. RFC384 ECDSA මත (OpenSSH 521 සිට සහය දක්වයි).

වෙනත් වෙනස්කම්:

  • ආරක්ෂක වෙනස්කම්:
    • දැනටමත් නිදහස් කර ඇති මතක ප්‍රදේශයක් (ද්විත්ව-නිදහස්) නැවත නිදහස් කිරීම නිසා ඇති වූ අවදානමක් ssh-agent හි නිරාකරණය කර ඇත. OpenSSH 8.2 නිකුතුවේ සිට මෙම ගැටළුව පවතින අතර ප්‍රහාරකයෙකුට ප්‍රාදේශීය පද්ධතියේ ssh-නියෝජිත සොකට් වෙත ප්‍රවේශය තිබේ නම් එය ප්‍රයෝජනයට ගත හැකිය. සූරාකෑම වඩාත් අපහසු වන්නේ සොකට් වෙත ප්‍රවේශය ඇත්තේ root සහ මුල් පරිශීලකයාට පමණක් වීමයි. බොහෝ දුරට ඉඩ ඇති ප්‍රහාර අවස්ථාව නම් නියෝජිතයා ප්‍රහාරකයා විසින් පාලනය කරනු ලබන ගිණුමකට හෝ ප්‍රහාරකයාට root ප්‍රවේශය ඇති ධාරකයකට හරවා යැවීමයි.
    • sshd විසින් PAM උප පද්ධතියට පරිශීලක නාමය සමඟ ඉතා විශාල පරාමිති යැවීමට එරෙහිව ආරක්ෂාවක් එක් කර ඇත, එමඟින් ඔබට PAM (Pluggable Authentication Module) පද්ධති මොඩියුලවල ඇති දුර්වලතා අවහිර කිරීමට ඉඩ සලසයි. උදාහරණයක් ලෙස, Solaris (CVE-2020-14871) හි මෑතකදී සොයාගත් මූල අවදානමක් භාවිතා කිරීමට sshd දෛශිකයක් ලෙස භාවිතා කිරීම වෙනස් කිරීම වළක්වයි.
  • විය හැකි අනුකූලතා වෙනස්කම්:
    • ssh සහ sshd හි, ක්වොන්ටම් පරිගණකයක අනුමාන කිරීමට ප්‍රතිරෝධී වන පර්යේෂණාත්මක යතුරු හුවමාරු ක්‍රමයක් ප්‍රතිනිර්මාණය කර ඇත. ක්වොන්ටම් පරිගණක නවීන අසමමිතික සංකේතාංකන ඇල්ගොරිතමවලට යටින් පවතින සහ සම්භාව්‍ය ප්‍රොසෙසර මත ඵලදායි ලෙස විසඳිය නොහැකි ප්‍රධාන සාධක බවට ස්වාභාවික සංඛ්‍යාවක් වියෝජනය කිරීමේ ගැටලුව විසඳීමේදී රැඩිකල් ලෙස වේගවත් වේ. භාවිතා කරන ක්‍රමය පශ්චාත් ක්වොන්ටම් ගුප්ත පද්ධති සඳහා සංවර්ධනය කරන ලද NTRU ප්‍රයිම් ඇල්ගොරිතම සහ X25519 ඉලිප්සීය වක්‍ර යතුරු හුවමාරු ක්‍රමය මත පදනම් වේ. වෙනුවට [විද්‍යුත් ආරක්‍ෂිත] ක්‍රමය දැන් හඳුනාගෙන ඇත [විද්‍යුත් ආරක්‍ෂිත] (sntrup4591761 ඇල්ගොරිතම sntrup761 මගින් ප්‍රතිස්ථාපනය කර ඇත).
    • ssh සහ sshd හි, සහාය දක්වන ඩිජිටල් අත්සන ඇල්ගොරිතම නිවේදනය කරන අනුපිළිවෙල වෙනස් කර ඇත. ECDSA වෙනුවට ED25519 දැන් මුලින්ම පිරිනමනු ලැබේ.
    • ssh සහ sshd වලදී, අන්තර්ක්‍රියාකාරී සැසි සඳහා සේවා පරාමිතීන්හි TOS/DSCP තත්ත්ව සැකසීම දැන් TCP සම්බන්ධතාවයක් පිහිටුවීමට පෙර සිදු කෙරේ.
    • ssh සහ sshd හි කේතාංක සහාය අත්හිටුවා ඇත [විද්‍යුත් ආරක්‍ෂිත], එය aes256-cbc ට සමාන වන අතර RFC-4253 අනුමත කිරීමට පෙර භාවිතා කරන ලදී.
    • පෙරනිමියෙන්, CheckHostIP පරාමිතිය අක්‍රිය කර ඇති අතර, එහි ප්‍රතිලාභය නොසැලකිය හැකි නමුත්, එහි භාවිතය බර සමතුලිතකයන් පිටුපස ඇති ධාරක සඳහා යතුරු භ්‍රමණය සැලකිය යුතු ලෙස සංකීර්ණ කරයි.
  • සේවාදායක ලිපිනය මත පදනම්ව හසුරුවන්නන් දියත් කිරීමේ තීව්‍රතාවය සීමා කිරීම සඳහා PerSourceMaxStartups සහ PerSourceNetBlockSize සැකසුම් sshd වෙත එක් කර ඇත. සාමාන්‍ය MaxStartup සැකසුම හා සසඳන විට, ක්‍රියාවලි දියත් කිරීම් වල සීමාව වඩාත් සියුම් ලෙස පාලනය කිරීමට මෙම පරාමිතීන් ඔබට ඉඩ සලසයි.
  • නව LogVerbose සැකසුම ssh සහ sshd වෙත එක් කර ඇත, එමඟින් සැකිලි, ශ්‍රිත සහ ගොනු මගින් පෙරීමේ හැකියාව ඇතිව, ලොගයට දමන ලද නිදොස් කිරීමේ තොරතුරු මට්ටම බලහත්කාරයෙන් ඉහළ නැංවීමට ඔබට ඉඩ සලසයි.
  • ssh හි, නව සත්කාරක යතුරක් පිළිගන්නා විට, යතුර හා සම්බන්ධ සියලුම ධාරක නාම සහ IP ලිපින පෙන්වනු ලැබේ.
  • ssh විසින් UserKnownHostsFile=කිසිදු විකල්පයක් ධාරක යතුරු හඳුනාගැනීමේදී දන්නා_hosts ගොනුව භාවිතා කිරීම අක්‍රීය කිරීමට ඉඩ සලසයි.
  • ssh සඳහා ssh_config වෙත KnownHostsCommand සැකසුම එක් කර ඇත, ඔබට නිශ්චිත විධානයේ ප්‍රතිදානයෙන් දන්නා_hosts දත්ත ලබා ගැනීමට ඉඩ සලසයි.
  • SOCKS සමඟ RemoteForward විකල්පය භාවිතා කරන විට ගමනාන්තය සීමා කිරීමට ඔබට ඉඩ සලසා දීම සඳහා ssh සඳහා ssh_config වෙත PermitRemoteOpen විකල්පයක් එක් කරන ලදී.
  • FIDO යතුරු සඳහා ssh හි, වැරදි PIN අංකයක් හේතුවෙන් සහ පරිශීලකයා PIN එකක් ඉල්ලා නොසිටීම හේතුවෙන් ඩිජිටල් අත්සන ක්‍රියා විරහිත වීමකදී නැවත නැවත PIN ඉල්ලීමක් සපයනු ලැබේ (උදාහරණයක් ලෙස, නිවැරදි ජෛවමිතික දත්ත ලබා ගැනීමට නොහැකි වූ විට සහ උපාංගය අතින් PIN ඇතුළත් කිරීම වෙත ආපසු ගියේය).
  • sshd මඟින් ලිනක්ස් මත seccomp-bpf-පාදක ක්‍රියාවලි හුදකලා යාන්ත්‍රණයට අමතර පද්ධති ඇමතුම් සඳහා සහය එක් කරයි.
  • contrib/ssh-copy-id උපයෝගීතාව යාවත්කාලීන කර ඇත.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න