ProHoster > Blog > lajme në internet > Lëshimi i OpenSSH 8.0

Lëshimi i OpenSSH 8.0

Pas pesë muajsh zhvillimi prezantuar lirimin OpenSSH 8.0, një implementim i hapur i klientit dhe serverit për të punuar nëpërmjet protokolleve SSH 2.0 dhe SFTP.

Ndryshimet kryesore:

  • Mbështetja eksperimentale për një metodë të shkëmbimit të çelësave që është rezistente ndaj sulmeve me forcë brutale në një kompjuter kuantik është shtuar në ssh dhe sshd. Kompjuterët kuantikë janë rrënjësisht më të shpejtë në zgjidhjen e problemit të zbërthimit të një numri natyror në faktorët kryesorë, i cili qëndron në themel të algoritmeve moderne të enkriptimit asimetrik dhe nuk mund të zgjidhet në mënyrë efektive në procesorët klasikë. Metoda e propozuar bazohet në algoritëm NTRU Kryeministri (funksioni ntrup4591761), i zhvilluar për kriptosistemet postkuantike dhe metodën e shkëmbimit të çelësave të kurbës eliptike X25519;
  • Në sshd, direktivat ListenAddress dhe PermitOpen nuk mbështesin më sintaksën e trashëguar "host/port", e cila u zbatua në 2001 si një alternativë ndaj "host:port" për të thjeshtuar punën me IPv6. Në kushtet moderne, sintaksa "[::6]:1" është krijuar për IPv22 dhe "host/port" shpesh ngatërrohet me treguesin e nënrrjetit (CIDR);
  • ssh, ssh-agent dhe ssh-add tani mbështesin çelësat ECDSA në shenjat PKCS#11;
  • Në ssh-keygen, madhësia e paracaktuar e çelësit RSA është rritur në 3072 bit, në përputhje me rekomandimet e reja të NIST;
  • ssh lejon përdorimin e cilësimit "PKCS11Provider=asnjë" për të anashkaluar direktivën PKCS11Provider të specifikuar në ssh_config;
  • sshd ofron një shfaqje regjistri të situatave kur lidhja ndërpritet kur tentohet të ekzekutojë komanda të bllokuara nga kufizimi “ForceCommand=internal-sftp” në sshd_config;
  • Në ssh, kur shfaqet një kërkesë për të konfirmuar pranimin e një çelësi të ri pritës, në vend të përgjigjes "po", tani pranohet shenja e saktë e gishtit të çelësit (në përgjigje të ftesës për të konfirmuar lidhjen, përdoruesi mund të kopjojë hash-i referencë i marrë veçmas përmes kujtesës së fragmenteve, në mënyrë që të mos e krahasoni manualisht);
  • ssh-keygen siguron rritje automatike të numrit të sekuencës së certifikatës kur krijoni nënshkrime dixhitale për certifikata të shumta në linjën e komandës;
  • Një opsion i ri "-J" është shtuar në scp dhe sftp, ekuivalent me cilësimin ProxyJump;
  • Në ssh-agent, ssh-pkcs11-helper dhe ssh-add, përpunimi i opsionit të linjës së komandës "-v" është shtuar për të rritur përmbajtjen e informacionit të daljes (kur specifikohet, ky opsion kalohet te proceset fëmijë, për shembull, kur ssh-pkcs11-helper thirret nga ssh-agent );
  • Opsioni "-T" është shtuar në ssh-add për të testuar përshtatshmërinë e çelësave në ssh-agent për kryerjen e operacioneve të krijimit dhe verifikimit të nënshkrimit dixhital;
  • sftp-server zbaton mbështetje për zgjerimin e protokollit "lsetstat at openssh.com", i cili shton mbështetje për operacionin SSH2_FXP_SETSTAT për SFTP, por pa ndjekur lidhje simbolike;
  • U shtua opsioni "-h" në sftp për të ekzekutuar komandat chown/chgrp/chmod me kërkesa që nuk përdorin lidhje simbolike;
  • sshd siguron vendosjen e ndryshores së mjedisit $SSH_CONNECTION për PAM;
  • Për sshd, një modalitet i përputhjes "Match final" është shtuar në ssh_config, i cili është i ngjashëm me "Match canonical", por nuk kërkon që të aktivizohet normalizimi i emrit të hostit;
  • Mbështetje e shtuar për prefiksin '@' në sftp për të çaktivizuar përkthimin e daljes së komandave të ekzekutuara në modalitetin batch;
  • Kur shfaqni përmbajtjen e një certifikate duke përdorur komandën
    "ssh-keygen -Lf /path/certificate" tani shfaq algoritmin e përdorur nga CA për të vërtetuar certifikatën;

  • Mbështetje e përmirësuar për mjedisin Cygwin, për shembull sigurimi i krahasimit të grupeve dhe emrave të përdoruesve të pandjeshëm ndaj rasteve. Procesi sshd në portën Cygwin është ndryshuar në cygsshd për të shmangur ndërhyrjen me portën OpenSSH të furnizuar nga Microsoft;
  • U shtua aftësia për të ndërtuar me degën eksperimentale OpenSSL 3.x;
  • Eleminuar cenueshmëria (CVE-2019-6111) në zbatimin e programit scp, i cili lejon që skedarët arbitrar në drejtorinë e synuar të mbishkruhen në anën e klientit kur hyni në një server të kontrolluar nga një sulmues. Problemi është se kur përdorni scp, serveri vendos se cilat skedarë dhe drejtori t'i dërgojë klientit, dhe klienti kontrollon vetëm korrektësinë e emrave të objekteve të kthyera. Kontrolli nga ana e klientit kufizohet vetëm në bllokimin e udhëtimeve përtej drejtorisë aktuale (../”), por nuk merr parasysh transferimin e skedarëve me emra të ndryshëm nga ata të kërkuar fillimisht. Në rastin e kopjimit rekurziv (-r), përveç emrave të skedarëve, mund të manipuloni edhe emrat e nëndirektorive në mënyrë të ngjashme. Për shembull, nëse përdoruesi kopjon skedarët në drejtorinë kryesore, serveri i kontrolluar nga sulmuesi mund të prodhojë skedarë me emrat .bash_aliases ose .ssh/authorized_keys në vend të skedarëve të kërkuar dhe ato do të ruhen nga programi scp në programin e përdoruesit drejtoria e shtëpisë.

    Në versionin e ri, programi scp është përditësuar për të kontrolluar korrespondencën midis emrave të skedarëve të kërkuar dhe atyre të dërguar nga serveri, i cili kryhet në anën e klientit. Kjo mund të shkaktojë probleme me përpunimin e maskës, pasi karakteret e zgjerimit të maskës mund të përpunohen ndryshe në anën e serverit dhe të klientit. Në rast se ndryshime të tilla bëjnë që klienti të ndalojë pranimin e skedarëve në scp, opsioni "-T" është shtuar për të çaktivizuar kontrollin nga ana e klientit. Për të korrigjuar plotësisht problemin, kërkohet një ripërpunim konceptual i protokollit scp, i cili në vetvete është tashmë i vjetëruar, kështu që rekomandohet të përdorni protokolle më moderne si sftp dhe rsync.

Burimi: opennet.ru

Shto një koment