ProHoster > Blog > internetne novice > Izdaja OpenSSH 8.4

Izdaja OpenSSH 8.4

Po štirih mesecih razvoja predstavljeno izdaja OpenSSH 8.4, odprta implementacija odjemalca in strežnika za delo s protokoloma SSH 2.0 in SFTP.

Večje spremembe:

  • Varnostne spremembe:
    • V ssh-agentu pri uporabi ključev FIDO, ki niso bili ustvarjeni za avtentikacijo SSH (ID ključa se ne začne z nizom "ssh:"), zdaj preveri, ali bo sporočilo podpisano z metodami, ki se uporabljajo v protokolu SSH. Sprememba ne bo dovolila, da bi bil ssh-agent preusmerjen na oddaljene gostitelje, ki imajo ključe FIDO za blokiranje zmožnosti uporabe teh ključev za ustvarjanje podpisov za spletne zahteve za preverjanje pristnosti (obraten primer, ko lahko brskalnik podpiše zahtevo SSH, je na začetku izključen. zaradi uporabe predpone »ssh:« v identifikatorju ključa).
    • Generiranje rezidenčnega ključa ssh-keygen vključuje podporo za dodatek credProtect, opisan v specifikaciji FIDO 2.1, ki zagotavlja dodatno zaščito za ključe tako, da zahteva PIN pred izvedbo kakršne koli operacije, ki bi lahko povzročila ekstrahiranje rezidenčnega ključa iz žetona.
  • Spremembe morebitne kršitve združljivosti:
    • Za podporo FIDO/U2F je priporočljivo uporabljati knjižnico libfido2 vsaj različice 1.5.0. Možnost uporabe starejših izdaj je bila delno implementirana, vendar v tem primeru funkcije, kot so rezidenčni ključi, zahteva za PIN in povezovanje več žetonov, ne bodo na voljo.
    • V ssh-keygen so bili podatki avtentifikatorja, potrebni za preverjanje potrjenih digitalnih podpisov, dodani v obliko potrditvenih informacij, po želji shranjenih pri generiranju ključa FIDO.
    • API, ki se uporablja, ko OpenSSH komunicira s plastjo za dostop do žetonov FIDO, je bil spremenjen.
    • Pri gradnji prenosne različice OpenSSH mora automake zdaj ustvariti konfiguracijski skript in spremljajoče gradbene datoteke (če gradite iz objavljene datoteke tar s kodo, ponovno generiranje konfiguracije ni potrebno).
  • Dodana podpora za ključe FIDO, ki zahtevajo preverjanje kode PIN v ssh in ssh-keygen. Za ustvarjanje ključev s kodo PIN je bila v ssh-keygen dodana možnost »zahtevano preverjanje«. Če se uporabljajo takšni ključi, se pred izvedbo operacije ustvarjanja podpisa od uporabnika zahteva, da potrdi svoja dejanja z vnosom kode PIN.
  • V sshd je možnost »verify-required« implementirana v nastavitvi authorized_keys, ki zahteva uporabo zmogljivosti za preverjanje prisotnosti uporabnika med operacijami z žetonom. Standard FIDO ponuja več možnosti za tako preverjanje, vendar trenutno OpenSSH podpira samo preverjanje na podlagi PIN-a.
  • sshd in ssh-keygen imata dodano podporo za preverjanje digitalnih podpisov, ki so skladni s standardom FIDO Webauthn, ki omogoča uporabo ključev FIDO v spletnih brskalnikih.
  • V ssh v nastavitvah CertificateFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward in
    RemoteForward omogoča zamenjavo vrednosti iz spremenljivk okolja, podanih v obliki "${ENV}".

  • ssh in ssh-agent sta dodala podporo za spremenljivko okolja $SSH_ASKPASS_REQUIRE, ki jo je mogoče uporabiti za omogočanje ali onemogočanje klica ssh-askpass.
  • V ssh v ssh_config v direktivi AddKeysToAgent je bila dodana možnost omejitve obdobja veljavnosti ključa. Po poteku navedene omejitve se ključi samodejno izbrišejo iz ssh-agenta.
  • V scp in sftp lahko z uporabo zastavice "-A" zdaj izrecno dovolite preusmeritev na scp in sftp z uporabo agenta ssh (preusmeritev je privzeto onemogočena).
  • Dodana podpora za zamenjavo '%k' v nastavitvah ssh, ki določa ime ključa gostitelja. To funkcijo je mogoče uporabiti za razdeljevanje ključev v ločene datoteke (na primer »UserKnownHostsFile ~/.ssh/known_hosts.d/%k«).
  • Dovoli uporabo operacije "ssh-add -d -" za branje ključev iz stdin, ki jih je treba izbrisati.
  • V sshd se začetek in konec postopka obrezovanja povezave odražata v dnevniku, reguliranem s parametrom MaxStartups.

Razvijalci OpenSSH so se spomnili tudi na prihajajočo razgradnjo algoritmov, ki uporabljajo zgoščene vrednosti SHA-1 zaradi napredovanje učinkovitost napadov trka z dano predpono (strošek izbire trka je ocenjen na približno 45 tisoč dolarjev). V eni od prihajajočih izdaj nameravajo privzeto onemogočiti možnost uporabe algoritma digitalnega podpisa javnega ključa »ssh-rsa«, ki je omenjen v izvirnem RFC za protokol SSH in ostaja razširjen v praksi (za testiranje uporabe ssh-rsa v vaših sistemih, se lahko poskusite povezati prek ssh z možnostjo »-oHostKeyAlgorithms=-ssh-rsa«).

Za gladek prehod na nove algoritme v OpenSSH bo naslednja izdaja privzeto omogočila nastavitev UpdateHostKeys, ki bo samodejno preselila odjemalce na bolj zanesljive algoritme. Priporočeni algoritmi za selitev vključujejo rsa-sha2-256/512, ki temelji na RFC8332 RSA SHA-2 (podprt od OpenSSH 7.2 in se uporablja privzeto), ssh-ed25519 (podprt od OpenSSH 6.5) in ecdsa-sha2-nistp256/384/521. na RFC5656 ECDSA (podprto od OpenSSH 5.7).

Vir: opennet.ru

Dodaj komentar