ProHoster > Blog > internetne novice > Izdaja OpenSSH 8.7

Izdaja OpenSSH 8.7

Po štirih mesecih razvoja je bila predstavljena izdaja OpenSSH 8.7, odprta implementacija odjemalca in strežnika za delo preko protokolov SSH 2.0 in SFTP.

Večje spremembe:

  • Eksperimentalni način prenosa podatkov je bil dodan v scp z uporabo protokola SFTP namesto tradicionalnega protokola SCP/RCP. SFTP uporablja bolj predvidljive metode ravnanja z imeni in ne uporablja lupinske obdelave vzorcev glob na strani drugega gostitelja, kar povzroča varnostne težave. Za omogočanje SFTP v scp je bila predlagana zastavica "-s", vendar je v prihodnosti načrtovan privzeti prehod na ta protokol.
  • sftp-strežnik izvaja razširitve protokola SFTP za razširitev ~/ in ~user/ poti, kar je potrebno za scp.
  • Pripomoček scp je spremenil vedenje pri kopiranju datotek med dvema oddaljenima gostiteljema (na primer »scp host-a:/path host-b:«), kar se zdaj privzeto izvaja prek vmesnega lokalnega gostitelja, kot pri podajanju » -3” zastavo. Ta pristop vam omogoča, da se izognete posredovanju nepotrebnih poverilnic prvemu gostitelju in trojni interpretaciji imen datotek v lupini (na strani vira, cilja in lokalnega sistema), pri uporabi SFTP pa vam omogoča uporabo vseh metod preverjanja pristnosti pri oddaljenem dostopu. gostitelji in ne samo neinteraktivne metode. Dodana je bila možnost »-R« za obnovitev starega vedenja.
  • Dodana nastavitev ForkAfterAuthentication za ssh, ki ustreza zastavici "-f".
  • V ssh je bila dodana nastavitev StdinNull, ki ustreza zastavici "-n".
  • V ssh je bila dodana nastavitev SessionType, prek katere lahko nastavite načine, ki ustrezajo zastavicama »-N« (brez seje) in »-s« (podsistem).
  • ssh-keygen vam omogoča, da določite interval veljavnosti ključa v datotekah ključev.
  • Dodana zastavica "-Oprint-pubkey" v ssh-keygen za tiskanje celotnega javnega ključa kot dela podpisa sshsig.
  • V ssh in sshd sta tako odjemalec kot strežnik premaknjena na uporabo bolj restriktivnega razčlenjevalnika konfiguracijske datoteke, ki uporablja pravila, podobna lupini, za obravnavanje narekovajev, presledkov in ubežnih znakov. Novi razčlenjevalnik prav tako ne prezre predhodno postavljenih predpostavk, kot je izpuščanje argumentov v možnostih (na primer direktiva DenyUsers ne sme več ostati prazna), nezaprti narekovaji in navedba več znakov =.
  • Pri uporabi zapisov DNS SSHFP pri preverjanju ključev ssh zdaj preverja vse ujemajoče se zapise, ne le tistih, ki vsebujejo določeno vrsto digitalnega podpisa.
  • V ssh-keygen se pri generiranju ključa FIDO z možnostjo -Ochallenge zdaj za zgoščevanje uporablja vgrajena plast namesto libfido2, ki omogoča uporabo izzivnih zaporedij, večjih ali manjših od 32 bajtov.
  • V sshd je pri obdelavi direktiv environment="..." v datotekah authorized_keys prvo ujemanje zdaj sprejeto in obstaja omejitev 1024 imen spremenljivk okolja.

Razvijalci OpenSSH so opozorili tudi na razgradnjo algoritmov z uporabo zgoščenj SHA-1 zaradi povečane učinkovitosti napadov trkov z dano predpono (strošek izbire trka je ocenjen na približno 50 tisoč dolarjev). V naslednji izdaji nameravamo privzeto onemogočiti možnost uporabe algoritma digitalnega podpisa javnega ključa "ssh-rsa", ki je bil omenjen v izvirnem RFC za protokol SSH in se v praksi še vedno pogosto uporablja.

Če želite preizkusiti uporabo ssh-rsa v svojih sistemih, se lahko poskusite povezati prek ssh z možnostjo »-oHostKeyAlgorithms=-ssh-rsa«. Obenem privzeto onemogočanje digitalnih podpisov »ssh-rsa« ne pomeni popolne opustitve uporabe ključev RSA, saj protokol SSH poleg SHA-1 omogoča uporabo drugih algoritmov za izračun zgoščevanja. Zlasti bo poleg »ssh-rsa« še vedno možna uporaba svežnjev »rsa-sha2-256« (RSA/SHA256) in »rsa-sha2-512« (RSA/SHA512).

Za lažji prehod na nove algoritme je imel OpenSSH prej privzeto omogočeno nastavitev UpdateHostKeys, ki strankam omogoča samodejni preklop na bolj zanesljive algoritme. Z uporabo te nastavitve je omogočena posebna razširitev protokola "[e-pošta zaščitena]", kar strežniku omogoča, da po preverjanju pristnosti odjemalca obvesti o vseh razpoložljivih ključih gostitelja. Odjemalec lahko odraža te ključe v svoji datoteki ~/.ssh/known_hosts, kar omogoča posodobitev ključev gostitelja in olajša spreminjanje ključev na strežniku.

Uporaba UpdateHostKeys je omejena z več opozorili, ki bodo morda v prihodnosti odstranjena: ključ mora biti naveden v datoteki UserKnownHostsFile in ne uporabljen v datoteki GlobalKnownHostsFile; ključ mora biti prisoten samo pod enim imenom; potrdilo ključa gostitelja se ne sme uporabljati; v znani_gostitelji se maske po imenu gostitelja ne smejo uporabljati; nastavitev VerifyHostKeyDNS mora biti onemogočena; Parameter UserKnownHostsFile mora biti aktiven.

Priporočeni algoritmi za selitev vključujejo rsa-sha2-256/512, ki temelji na RFC8332 RSA SHA-2 (podprt od OpenSSH 7.2 in se uporablja privzeto), ssh-ed25519 (podprt od OpenSSH 6.5) in ecdsa-sha2-nistp256/384/521. na RFC5656 ECDSA (podprto od OpenSSH 5.7).

Vir: opennet.ru

Dodaj komentar