ProHoster > Blog > talafou initaneti > OpenSSH 8.5 tatala

OpenSSH 8.5 tatala

A maeʻa le lima masina o atinaʻe, o le tuʻuina atu o le OpenSSH 8.5, o se faʻatinoga tatala o se tagata faʻatau ma se 'auʻaunaga mo le galue i luga ole SSH 2.0 ma SFTP protocols, ua tuʻuina atu.

Na faamanatu mai e le au atinaʻe OpenSSH ia i matou le lata mai o le faʻaaogaina o algorithms e faʻaaoga ai le SHA-1 hashes ona o le faʻateleina o le malosi o osofaʻiga faʻatasi ma se prefix ua tuʻuina atu (o le tau o le filifilia o se faʻalavelave e faʻatatau i le $ 50 afe). I se tasi o faʻasalalauga o loʻo oʻo mai, latou te fuafua e faʻamalo e ala i le le mafai ona faʻaogaina le "ssh-rsa" lautele numera numera saini algorithm, lea o loʻo taʻua i le uluai RFC mo le SSH protocol ma o loʻo faʻalauteleina i le faʻatinoga.

Ina ia faʻataʻitaʻiina le faʻaogaina o le ssh-rsa i luga o au faiga, e mafai ona e taumafai e faʻafesoʻotaʻi e ala i le ssh ma le "-oHostKeyAlgorithms=-ssh-rsa" filifiliga. I le taimi lava e tasi, o le faʻaaogaina o saini numera "ssh-rsa" e le o lona uiga o le lafoaia atoatoa o le faʻaogaina o ki RSA, talu ai i le faʻaopoopoga i le SHA-1, o le SSH protocol e faʻatagaina ai le faʻaogaina o isi algorithms faʻatusatusaga. Aemaise lava, i le faaopoopo atu i le "ssh-rsa", o le a tumau pea le mafai ona faʻaogaina le "rsa-sha2-256" (RSA / SHA256) ma le "rsa-sha2-512" (RSA / SHA512) fusi.

Ina ia faʻalelei le suiga i algorithms fou, OpenSSH 8.5 o loʻo i ai le UpdateHostKeys seti e mafai ona faʻaogaina, lea e mafai ai e tagata faʻatau ona sui otometi i algorithms sili atu ona faʻatuatuaina. I le faʻaaogaina o lenei faʻatulagaga, e mafai ai se faʻaopoopoga faʻapitoa faʻapitoa "[imeli puipuia]", faʻatagaina le 'auʻaunaga, pe a uma le faʻamaoni, e logoina le kalani e uiga i ki uma o loʻo avanoa. E mafai e le kalani ona atagia nei ki i lona ~/.ssh/known_hosts faila, lea e mafai ai ona faʻafouina ki talimalo ma faʻafaigofie ai ona suia ki i luga o le server.

O le faʻaaogaina o UpdateHostKeys e faʻatapulaʻaina e le tele o faʻamatalaga e mafai ona aveesea i le lumanaʻi: o le ki e tatau ona faʻasino i le UserKnownHostsFile ae le faʻaaogaina i le GlobalKnownHostsFile; e tatau ona i ai le ki i lalo o le igoa e tasi; e le tatau ona fa'aogaina se tusi fa'amaonia autu; i le iloa_hosts masks ile igoa talimalo e le tatau ona faʻaaogaina; o le VerifyHostKeyDNS seti e tatau ona le atoatoa; O le UserKnownHostsFile parameter e tatau ona galue.

Fautuaina algorithms mo femalagaiga e aofia ai le rsa-sha2-256/512 faʻavae ile RFC8332 RSA SHA-2 (lagolago talu mai OpenSSH 7.2 ma faʻaaogaina e ala i le faaletonu), ssh-ed25519 (lagolago talu mai OpenSSH 6.5) ma ecdsa-sha2-nistp256/384/521 faʻavae i luga o le RFC5656 ECDSA (lagolagoina talu mai le OpenSSH 5.7).

O isi suiga:

  • Suiga saogalemu:
    • O se fa'aletonu e mafua mai i le toe fa'asa'olotoina o se vaega e manatua ai (fa'alua-sa'oloto) ua fa'amauina i le ssh-agent. O le mataupu na i ai talu mai le tatalaina o OpenSSH 8.2 ma e mafai ona faʻaaogaina pe a mafai e se tagata osofaʻi ona maua le socket ssh-agent i luga o le lotoifale. O le a le mea e sili atu ai le faigata o le faʻaogaina o le naʻo le aʻa ma le tagata muamua e mafai ona maua le socket. O le fa'alavelave fa'afuase'i e ono osofa'ia o le fa'afo'i atu lea o le sooupu i se tala e pulea e le tagata osofa'i, po'o se 'au e maua ai a'a le tagata osofa'i.
    • sshd ua faʻaopoopoina le puipuiga mai le pasiina o taʻiala tetele ma le igoa faʻaoga i le PAM subsystem, lea e mafai ai ona e poloka faʻafitauli i totonu ole PAM (Pluggable Authentication Module) faʻaoga faʻaoga. Mo se faʻataʻitaʻiga, o le suiga e taofia ai le sshd mai le faʻaaogaina o se vete e faʻaogaina ai se faʻafitauli faʻaletonu i Solaris (CVE-2020-14871).
  • E ono motusia suiga o feso'ota'iga:
    • I totonu o le ssh ma le sshd, o se auala faʻataʻitaʻiga faʻatauga autu ua toe faʻaleleia e faʻasaʻo i le matemateina i luga o se komepiuta quantum. O komipiuta quantum e sili atu le vave i le foia o le faafitauli o le faʻaleagaina o se numera masani i mea taua, lea e faʻavaeina faʻaonaponei asymmetric encryption algorithms ma e le mafai ona foia lelei i luga o faiga masani. O le auala e faʻaaogaina e faʻavae i luga o le NTRU Prime algorithm, na fausia mo post-quantum cryptosystems, ma le X25519 elliptic curve key exchange method. Nai lo le [imeli puipuia] o le auala ua iloa nei o le [imeli puipuia] (o le sntrup4591761 algorithm ua suia i le sntrup761).
    • I le ssh ma le sshd, o le faʻatonuga o loʻo faʻasalalauina ai saini numera algorithms ua suia. ED25519 ua ofoina muamua nei nai lo le ECDSA.
    • I le ssh ma le sshd, o le setiina o le TOS / DSCP tulaga lelei o le auaunaga mo sauniga fefaʻasoaaʻi ua maeʻa nei aʻo leʻi faʻatuina se fesoʻotaʻiga TCP.
    • Ua le toe fa'aauauina le lagolago i le ssh ma le sshd [imeli puipuia], lea e tutusa ma le aes256-cbc ma sa faʻaaogaina aʻo leʻi faʻatagaina le RFC-4253.
    • Ona o le le mafai, o le CheckHostIP parameter ua le atoatoa, o le aoga o ia mea e faʻatauvaʻa, ae o lona faʻaogaina e matua faʻalavelaveina ai le suiga autu mo 'au i tua atu o paleni uta.
  • PerSourceMaxStartups ma PerSourceNetBlockSize faatulagaga ua faʻaopoopoina i le sshd e faʻatapulaʻa le malosi o le faʻalauiloaina o tagata e faʻatatau i le tuatusi o le kalani. O nei ta'iala e mafai ai e oe ona sili atu le pulea lelei o le tapula'a o fa'agasologa fa'agasologa, fa'atusatusa i le tulaga lautele MaxStartups.
  • Ua faʻaopoopoina se seti fou LogVerbose i le ssh ma le sshd, lea e mafai ai e oe ona faʻamalosia malosi le maualuga o faʻamatalaga faʻapipiʻi na lafoina i totonu o le ogalaau, faʻatasi ai ma le mafai ona faʻamama e ala i mamanu, galuega ma faila.
  • I le ssh, pe a talia se ki fou talimalo, o igoa uma ma tuatusi IP e fesoʻotaʻi ma le ki o loʻo faʻaalia.
  • ssh faʻatagaina le UserKnownHostsFile = leai se filifiliga e faʻamalo ai le faʻaogaina o le faila iloa_hosts pe a faʻamaonia ki talimalo.
  • O le KnownHostsCommand seti ua faʻaopoopoina i le ssh_config mo ssh, faʻatagaina oe e maua faʻamatalaga iloa_hosts mai le gaioiga o le faʻatonuga faʻapitoa.
  • Faʻaopoopoina se PermitRemoteOpen filifiliga i ssh_config mo ssh e faʻatagaina oe e faʻatapulaʻa le mea e alu i ai pe a faʻaaoga le RemoteForward filifiliga ma SOCKS.
  • I le ssh mo ki FIDO, e tuʻuina atu se talosaga PIN faifaipea pe a faʻaletonu le faʻaogaina o saini numera ona o se PIN le saʻo ma le tagata faʻaoga e le o faʻamalosia mo se PIN (mo se faʻataʻitaʻiga, pe a le mafai ona maua faʻamatalaga biometric saʻo ma le na toe pau le masini i le tusi tusi PIN).
  • sshd faʻaopoopoina le lagolago mo isi telefoni faʻapipiʻi i le seccomp-bpf-based process isolation mechanism i Linux.
  • Ua toe faafou le aoga contrib/ssh-copy-id.

puna: opennet.ru

Faaopoopo i ai se faamatalaga