මාස හයක සංවර්ධනයෙන් පසුව, SSH 8.9 සහ SFTP ප්රොටෝකෝල මත වැඩ කිරීම සඳහා විවෘත සේවාලාභියෙකු සහ සේවාදායක ක්රියාත්මක කිරීමක් වන OpenSSH 2.0 නිකුතුව ඉදිරිපත් කරන ලදී. sshd හි නව අනුවාදය අනවසර ප්රවේශයට ඉඩ දිය හැකි අවදානමක් නිරාකරණය කරයි. සත්යාපන කේතයේ පූර්ණ සංඛ්යා පිටාර ගැලීම නිසා ගැටළුව ඇති වී ඇත, නමුත් එය භාවිතා කළ හැක්කේ කේතයේ ඇති අනෙකුත් තාර්කික දෝෂ සමඟ සංයෝජනයෙන් පමණි.
එහි වත්මන් ස්වරූපයෙන්, වරප්රසාද වෙන්කිරීමේ ප්රකාරය සක්රීය කර ඇති විට, එහි ප්රකාශනය වරප්රසාද වෙන්කිරීමේ ලුහුබැඳීමේ කේතයේ සිදු කෙරෙන වෙනම චෙක්පත් මගින් අවහිර කර ඇති බැවින්, අවදානම් ප්රයෝජනයට ගත නොහැක. වරප්රසාද වෙන් කිරීමේ මාදිලිය 2002 සිට OpenSSH 3.2.2 සිට පෙරනිමියෙන් සක්රීය කර ඇති අතර 7.5 හි ප්රකාශයට පත් කරන ලද OpenSSH 2017 නිකුත් කිරීමේ සිට අනිවාර්ය වේ. මීට අමතරව, 6.5 (2014) නිකුතුවෙන් ආරම්භ වන OpenSSH හි අතේ ගෙන යා හැකි අනුවාදවල, පූර්ණ සංඛ්යා පිටාර ගැලීමේ ආරක්ෂණ ධජ ඇතුළත් කිරීම සමඟ සම්පාදනය කිරීමෙන් අවදානම අවහිර කරනු ලැබේ.
වෙනත් වෙනස්කම්:
- sshd හි OpenSSH හි අතේ ගෙන යා හැකි අනුවාදය MD5 ඇල්ගොරිතම භාවිතයෙන් මුරපද හැෂ් කිරීම සඳහා ස්වදේශීය සහය ඉවත් කර ඇත (libxcrypt වැනි බාහිර පුස්තකාල සමඟ සම්බන්ධ වීමට ඉඩ ලබා දේ).
- ssh, sshd, ssh-add, සහ ssh-agent විසින් ssh-agent වෙත එකතු කරන ලද යතුරු ඉදිරියට යැවීම සහ භාවිතය සීමා කිරීම සඳහා උප පද්ධතියක් ක්රියාත්මක කරයි. ssh-agent හි යතුරු භාවිතා කළ හැක්කේ කෙසේද සහ කොතැනද යන්න තීරණය කරන රීති සැකසීමට උප පද්ධතිය ඔබට ඉඩ සලසයි. උදාහරණයක් ලෙස, ධාරක scylla.example.org වෙත සම්බන්ධ වන ඕනෑම පරිශීලකයෙකු සත්යාපනය කිරීමට පමණක් භාවිතා කළ හැකි යතුරක් එක් කිරීමට, පරිශීලකයා සත්කාරක cetus.example.org වෙත සහ පරිශීලක medea සත්කාරක charybdis.example.org වෙත සම්බන්ධ කරයි. අතරමැදි සත්කාරක scylla.example.org හරහා යළි-යොමු කිරීමත් සමඟ, ඔබට පහත විධානය භාවිතා කළ හැක: $ ssh-add -h "[විද්යුත් ආරක්ෂිත]" \ -h "scylla.example.org" \ -h "scylla.example.org>[විද්යුත් ආරක්ෂිත]\ ~/.ssh/id_ed25519
- ssh සහ sshd වලදී, KexAlgorithms ලැයිස්තුවට දෙමුහුන් ඇල්ගොරිතමයක් පෙරනිමියෙන් එකතු කර ඇත, එය යතුරු හුවමාරු ක්රම තෝරා ගන්නා අනුපිළිවෙල තීරණය කරයි.[විද්යුත් ආරක්ෂිත]"(ECDH/x25519 + NTRU Prime), ක්වොන්ටම් පරිගණක මත තෝරාගැනීමට ප්රතිරෝධී වේ. OpenSSH 8.9 හි, මෙම සාකච්ඡා ක්රමය ECDH සහ DH ක්රම අතරට එක් කරන ලදී, නමුත් එය මීළඟ නිකුතුවේදී පෙරනිමියෙන් සක්රීය කිරීමට සැලසුම් කර ඇත.
- ssh-keygen, ssh, සහ ssh-agent විසින් ජෛවමිතික සත්යාපනය සඳහා යතුරු ඇතුළුව උපාංග සත්යාපනය සඳහා භාවිතා කරන FIDO ටෝකන් යතුරු හැසිරවීම වැඩිදියුණු කර ඇත.
- අවසර ලත් නාම ලේඛනයේ පරිශීලක නාම පරීක්ෂා කිරීමට ssh-keygen වෙත "ssh-keygen -Y match-principals" විධානය එක් කරන ලදී.
- ssh-add සහ ssh-agent මඟින් PIN කේතයකින් ආරක්ෂිත FIDO යතුරු ssh-agent වෙත එක් කිරීමේ හැකියාව සපයයි (සත්යාපනය කිරීමේදී PIN ඉල්ලීම දර්ශනය වේ).
- ssh-keygen විසින් අත්සන් උත්පාදනය අතරතුර හැෂිං ඇල්ගොරිතම (sha512 හෝ sha256) තෝරා ගැනීමට ඉඩ සලසයි.
- ssh සහ sshd වලදී, කාර්ය සාධනය වැඩි දියුණු කිරීම සඳහා, ජාල දත්ත තොගයේ අතරමැදි බෆරය මග හරිමින්, එන පැකට් වල බෆරය වෙත කෙලින්ම කියවනු ලැබේ. ලැබුණු දත්ත නාලිකා බෆරයකට සෘජුවම ස්ථානගත කිරීම සමාන ආකාරයකින් ක්රියාත්මක වේ.
- ssh හි, PubkeyAuthentication විධානය භාවිතා කිරීමට ප්රොටෝකෝල දිගුව තේරීමේ හැකියාව ලබා දීම සඳහා සහාය දක්වන පරාමිති ලැයිස්තුව (ඔව්|no|unbound|host-bound) පුළුල් කර ඇත.
අනාගත නිකුතුවකදී, උරුම SCP/RCP ප්රොටෝකෝලය වෙනුවට SFTP භාවිතා කිරීමට scp උපයෝගීතාවයේ පෙරනිමිය වෙනස් කිරීමට අපි සැලසුම් කරමු. SFTP වඩාත් පුරෝකථනය කළ හැකි නාම හැසිරවීමේ ක්රම භාවිතා කරන අතර ආරක්ෂක ගැටළු ඇති කරන අනෙක් ධාරකයාගේ පැත්තේ ගොනු නාමවල ගෝලීය රටා කවච සැකසීම භාවිතා නොකරයි. විශේෂයෙන්, SCP සහ RCP භාවිතා කරන විට, සේවාදායකයාට කුමන ගොනු සහ නාමාවලි යැවිය යුතුද යන්න සේවාදායකය විසින් තීරණය කරන අතර, සේවාදායකයා විසින් ආපසු ලබා දුන් වස්තු නාමවල නිවැරදිභාවය පමණක් පරීක්ෂා කරයි, සේවාලාභියාගේ පැත්තෙන් නිසි පරීක්ෂාවන් නොමැති විට, ඉඩ ලබා දේ ඉල්ලූ ඒවාට වඩා වෙනස් වෙනත් ගොනු නම් මාරු කිරීමට සේවාදායකය. SFTP ප්රොටෝකෝලයට මෙම ගැටළු නොමැත, නමුත් “~/” වැනි විශේෂ මාර්ග පුළුල් කිරීමට සහාය නොදක්වයි. මෙම වෙනස ආමන්ත්රණය කිරීම සඳහා, OpenSSH හි පෙර නිකුතුව SFTP සේවාදායකය ක්රියාත්මක කිරීමේදී ~/ සහ ~user/ මාර්ග වෙත නව SFTP ප්රොටෝකෝල දිගුවක් හඳුන්වා දෙන ලදී.
මූලාශ්රය: opennet.ru