ProHoster > Π‘Π»ΠΎΠ³ > wararka internetka > FurSSH 8.5

FurSSH 8.5

Shan bilood ka dib horumarinta, siideynta OpenSSH 8.5, oo ah hirgelinta furan ee macmiilka iyo server ka shaqeeya nidaamka SSH 2.0 iyo SFTP, ayaa la soo bandhigay.

Soosaarayaasha OpenSSH waxay ina xasuusiyeen joojinta soo socota ee algorithms-yada iyadoo la adeegsanayo SHA-1 hashes sababtoo ah kor u kaca hufnaanta weerarada isku dhaca ee leh horgale la bixiyay (kharashka xulashada isku dhaca waxaa lagu qiyaasay qiyaastii $50 kun). Mid ka mid ah siidaynta soo socota, waxay qorsheynayaan inay si caadi ah u joojiyaan awoodda isticmaalka "ssh-rsa" ee saxeexa dhijitaalka ah ee muhiimka ah algorithm, kaas oo lagu sheegay RFC asalka ah ee borotokoolka SSH oo weli ku baahsan ficil ahaan.

Si aad u tijaabiso isticmaalka ssh-rsa ee nidaamyadaaga, waxaad isku dayi kartaa inaad ku xidhid ssh ikhtiyaarka "-oHostKeyAlgorithms=-ssh-rsa". Isla mar ahaantaana, curyaaminta saxeexyada dhijitaalka ah ee "ssh-rsa" si caadi ah macnaheedu maaha in gebi ahaanba laga tagay isticmaalka furayaasha RSA, tan iyo marka lagu daro SHA-1, nidaamka SSH wuxuu ogolaanayaa isticmaalka algorithms xisaabinta xashiishka kale. Gaar ahaan, marka lagu daro "ssh-rsa", waxay ahaan doontaa suurtogalnimada isticmaalka "rsa-sha2-256" (RSA/SHA256) iyo "rsa-sha2-512" (RSA/SHA512).

Si loo fududeeyo u gudubka algorithms-yada cusub, OpenSSH 8.5 waxay leedahay dejinta UpdateHostKeys oo karti u leh si caadi ah, taas oo u oggolaanaysa macaamiisha inay si toos ah u beddelaan algorithms la isku halleyn karo. Isticmaalka goobtan, borotokool gaar ah ayaa la furayaa "[emailka waa la ilaaliyay]", u oggolaanaya server-ka, xaqiijinta ka dib, inuu u sheego macmiilka dhammaan furayaasha martida loo heli karo. Macmiilku wuxuu ka turjumi karaa furayaashan faylka ~/ .ssh/known_hosts, kaas oo u oggolaanaya furayaasha martida loo yahay in la cusboonaysiiyo oo fududeeya in la beddelo furayaasha server-ka.

Isticmaalka UpdateHostKeys waxaa xadiday dhowr digniinood oo laga yaabo in mustaqbalka laga saaro: furaha waa in lagu tixraacaa UserKnownHostsFile oo aan loo isticmaalin GlobalKnownHostsFile; furuhu waa inuu ku jiraa hal magac oo keliya; shahaadada furaha martigeliyaha waa in aan la isticmaalin; maaskaro-masgarasyada caanka ah ee magaca martida loo yahay waa in aan la isticmaalin; goobta VerifyHostKeyDNS waa in la naafo; Halbeegga UserKnownHostsFile waa inuu ahaadaa mid firfircoon.

Algorithms-yada lagu taliyay ee socdaalka waxaa ka mid ah rsa-sha2-256/512 oo ku salaysan RFC8332 RSA SHA-2 (la taageeray ilaa OpenSSH 7.2 oo si caadi ah loo isticmaalo), ssh-ed25519 (taageeray tan iyo OpenSSH 6.5) iyo ecdsa-sha2-nistp256/384/521 ku salaysan on RFC5656 ECDSA (taageeray ilaa OpenSSH 5.7).

Isbeddellada kale:

  • Isbeddellada amniga:
    • Nuglaanta ay sababtay dib u xoraynta aagga xusuusta ee hore u xorowday (laba-la'aan) ayaa lagu hagaajiyay wakiilka ssh-ka. Arrintu waxay jirtay tan iyo markii la siidaayay OpenSSH 8.2 waxaana suurtagal ah in laga faa'iidaysto haddii weeraryahanku galo godka wakiilka ssh ee nidaamka deegaanka. Maxaa ka dhigaya ka faa'iidaysiga mid aad u adag waa in xididka iyo isticmaalaha asalka ah oo kaliya ay helaan godka. Xaalada ugu badan ee weerarka ayaa ah in wakiilka loo weeciyo akoon uu gacanta ku hayo qofka weerarka soo qaaday, ama goobta martida loo yahay oo uu weeraryahanku xidid ku leeyahay.
    • sshd waxay ku dartay ilaalin ka hortag ah u gudbinta xuduudaha aadka u weyn ee leh magaca isticmaalaha nidaamka hoose ee PAM, kaas oo kuu ogolaanaya inaad xannibto dayacanka PAM (Module Xaqiijinta Pluggable). Tusaale ahaan, isbeddelku wuxuu ka hortagayaa sshd in loo isticmaalo sidii vector si looga faa'iidaysto nuglaanta xididka ee dhawaan la ogaaday ee Solaris (CVE-2020-14871).
  • Isbeddellada ku habboonaanta ee suurtogalka ah inay jebiyaan:
    • Π’ ssh ΠΈ sshd ΠΏΠ΅Ρ€Π΅Ρ€Π°Π±ΠΎΡ‚Π°Π½ ΡΠΊΡΠΏΠ΅Ρ€ΠΈΠΌΠ΅Π½Ρ‚Π°Π»ΡŒΠ½Ρ‹ΠΉ ΠΌΠ΅Ρ‚ΠΎΠ΄ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ, стойкий ΠΊ ΠΏΠΎΠ΄Π±ΠΎΡ€Ρƒ Π½Π° ΠΊΠ²Π°Π½Ρ‚ΠΎΠ²ΠΎΠΌ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π΅. ΠšΠ²Π°Π½Ρ‚ΠΎΠ²Ρ‹Π΅ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Ρ‹ ΠΊΠ°Ρ€Π΄ΠΈΠ½Π°Π»ΡŒΠ½ΠΎ быстрСС Ρ€Π΅ΡˆΠ°ΡŽΡ‚ Π·Π°Π΄Π°Ρ‡Ρƒ разлоТСния Π½Π°Ρ‚ΡƒΡ€Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ числа Π½Π° простыС ΠΌΠ½ΠΎΠΆΠΈΡ‚Π΅Π»ΠΈ, которая Π»Π΅ΠΆΠΈΡ‚ Π² основС соврСмСнных асиммСтричных Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠ² ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ΠΈ эффСктивно Π½Π΅ Ρ€Π΅ΡˆΠ°Π΅ΠΌΠ° Π½Π° классичСских процСссорах. Π˜ΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ ΠΌΠ΅Ρ‚ΠΎΠ΄ основан Π½Π° Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ΅ NTRU Prime, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½ΠΎΠΌ для постквантумных криптосистСм, ΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄Π΅ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΊΠ»ΡŽΡ‡Π°ΠΌΠΈ Π½Π° Π±Π°Π·Π΅ эллиптичСских ΠΊΡ€ΠΈΠ²Ρ‹Ρ… X25519. ВмСсто [emailka waa la ilaaliyay] ΠΌΠ΅Ρ‚ΠΎΠ΄ Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ идСнтифицируСтся ΠΊΠ°ΠΊ [emailka waa la ilaaliyay] (algorithmamka sntrup4591761 waxaa lagu bedelay sntrup761).
    • ssh iyo sshd, nidaamka saxeexa dhijitaalka ah ee la taageeray ayaa lagu dhawaaqay waa la bedelay. ED25519 hadda waa la bixiyaa marka hore halkii ECDSA.
    • ssh iyo sshd, dejinta tayada adeegyada TOS/DSCP ee kalfadhiyada isdhexgalka ayaa hadda la sameeyay ka hor inta aan la dhisin isku xirka TCP.
    • Taageerada cipher waa lagu joojiyay ssh iyo sshd [emailka waa la ilaaliyay], kaas oo la mid ah aes256-cbc oo la isticmaalay ka hor inta aan la ansixin RFC-4253.
    • Sida caadiga ah, cabbirka CheckHostIP waa naafo, faa'iidada taas oo aan la dayacin karin, laakiin isticmaalkeedu wuxuu si weyn u adkeynayaa wareegtada muhiimka ah ee martida loo yahay kuwa ka dambeeya culeyska culeyska.
  • PerSourceMaxStartups iyo PerSourceNetBlockSize settings ayaa lagu daray sshd si loo xaddido xoojinta hawl-wadeenada iyadoo lagu salaynayo ciwaanka macmiilka. Halbeegyadani waxay kuu oggolaanayaan inaad si fiican u xakamayso xaddidaadda bilaabista habsocodka, marka la barbar dhigo goobta guud ee MaxStartups.
  • Goob cusub oo LogVerbose ah ayaa lagu daray ssh iyo sshd, kaas oo kuu oggolaanaya inaad si xoog leh kor ugu qaaddo heerka khaladka macluumaadka ee lagu tuuray log, iyadoo awood u leh in lagu shaandheeyo qaab-dhismeedka, shaqooyinka iyo faylalka.
  • Gudaha ssh, marka la aqbalo furaha cusub ee martida, dhammaan magacyada martida loo yahay iyo cinwaannada IP ee la xidhiidha furaha ayaa la soo bandhigayaa.
  • ssh waxay u ogolaataa UserKnownHostsFile=ma jiro ikhtiyaar lagu joojin karo isticmaalka faylka loo yaqaan_hosts marka la aqoonsanayo furayaasha martida loo yahay.
  • Goobta KnownHostsCommand ayaa lagu daray ssh_config ee ssh, taas oo kuu oggolaanaysa inaad ka hesho xogta_hosts-ka ee soo-saarka amarka la cayimay.
  • Waxaa lagu daray PermitRemoteOpen ikhtiyaar si ssh_config loogu talagalay ssh si ay kuu oggolaato inaad xaddido meesha aad u socoto markaad isticmaalayso xulashada RemoteForward ee SOCKS.
  • Gudaha ssh ee furayaasha FIDO, codsi PIN soo noqnoqda ayaa la bixiyaa haddii ay dhacdo in saxeexa dhijitaalka ah uu fashilmo PIN khaldan oo isticmaalaha aan lagu soo jeedin PIN (tusaale ahaan, marka xogta biometric saxda ah la heli waayo iyo Qalabku wuxuu dib ugu dhacay lambarka sirta ah ee gacanta).
  • sshd wuxuu ku daraa taageerada wicitaanada nidaamka dheeriga ah habka go'doominta nidaamka ku saleysan seccomp-bpf ee Linux.
  • Wax ku biirinta/ssh-koobiye utility waa la cusboonaysiiyay.

Source: opennet.ru

Add a comment