ProHoster > Blog > lajme në internet > Lëshimi i OpenSSH 8.4

Lëshimi i OpenSSH 8.4

Pas katër muajsh zhvillimi prezantuar lëshimi i OpenSSH 8.4, një implementim i hapur i klientit dhe serverit për të punuar duke përdorur protokollet SSH 2.0 dhe SFTP.

Ndryshimet kryesore:

  • Ndryshimet e sigurisë:
    • Në ssh-agent, kur përdorni çelësat FIDO që nuk janë krijuar për vërtetimin SSH (ID-ja e çelësit nuk fillon me vargun "ssh:"), ai tani kontrollon që mesazhi të nënshkruhet duke përdorur metodat e përdorura në protokollin SSH. Ndryshimi nuk do të lejojë që agjenti ssh të ridrejtohet te hostet në distancë që kanë çelësa FIDO për të bllokuar aftësinë për të përdorur këta çelësa për të gjeneruar nënshkrime për kërkesat e vërtetimit të uebit (rasti i kundërt, kur një shfletues mund të nënshkruajë një kërkesë SSH, fillimisht përjashtohet për shkak të përdorimit të prefiksit “ssh:” në identifikuesin e çelësit).
    • Gjenerimi i çelësit rezident të ssh-keygen përfshin mbështetje për shtesën credProtect të përshkruar në specifikimin FIDO 2.1, i cili siguron mbrojtje shtesë për çelësat duke kërkuar një PIN përpara se të kryeni ndonjë operacion që mund të rezultojë në nxjerrjen e çelësit rezident nga token.
  • Ndryshimet e mundshme të prishjes së përputhshmërisë:
    • Për të mbështetur FIDO/U2F, rekomandohet përdorimi i bibliotekës libfido2 të paktën versioni 1.5.0. Mundësia për të përdorur botimet e vjetra është zbatuar pjesërisht, por në këtë rast, funksione të tilla si çelësat e banimit, kërkesa për PIN dhe lidhja e shumë argumenteve nuk do të jenë të disponueshme.
    • Në ssh-keygen, të dhënat e vërtetuesit të nevojshëm për verifikimin e konfirmimit të nënshkrimeve dixhitale janë shtuar në formatin e informacionit të konfirmimit, opsionalisht i ruajtur kur gjenerohet një çelës FIDO.
    • API-ja e përdorur kur OpenSSH ndërvepron me shtresën për të hyrë në tokenat FIDO është ndryshuar.
    • Kur ndërtohet një version portativ i OpenSSH, automake tani kërkohet të gjenerojë skriptin e konfigurimit dhe skedarët e ndërtimit shoqërues (nëse ndërtohet nga një skedar kodi i botuar tar, konfigurimi rigjenerues nuk kërkohet).
  • Mbështetje e shtuar për çelësat FIDO që kërkojnë verifikim PIN në ssh dhe ssh-keygen. Për të gjeneruar çelësa me PIN, opsioni "verify-required" është shtuar në ssh-keygen. Nëse përdoren çelësa të tillë, përpara se të kryejë operacionin e krijimit të nënshkrimit, përdoruesit i kërkohet të konfirmojë veprimet e tij duke futur një kod PIN.
  • Në sshd, opsioni "verify-required" zbatohet në cilësimin e autorizuar_çelësat, i cili kërkon përdorimin e aftësive për të verifikuar praninë e përdoruesit gjatë operacioneve me token. Standardi FIDO ofron disa opsione për një verifikim të tillë, por aktualisht OpenSSH mbështet vetëm verifikimin e bazuar në PIN.
  • sshd dhe ssh-keygen kanë shtuar mbështetje për verifikimin e nënshkrimeve dixhitale që përputhen me standardin FIDO Webauthn, i cili lejon që çelësat FIDO të përdoren në shfletuesit e internetit.
  • Në ssh në cilësimet CertificateFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward dhe
    RemoteForward lejon zëvendësimin e vlerave nga variablat e mjedisit të specifikuara në formatin "${ENV}".

  • ssh dhe ssh-agent kanë shtuar mbështetje për variablin e mjedisit $SSH_ASKPASS_REQUIRE, i cili mund të përdoret për të aktivizuar ose çaktivizuar thirrjen ssh-askpass.
  • Në ssh në ssh_config në direktivën AddKeysToAgent, është shtuar aftësia për të kufizuar periudhën e vlefshmërisë së një çelësi. Pasi të ketë skaduar kufiri i specifikuar, çelësat fshihen automatikisht nga ssh-agent.
  • Në scp dhe sftp, duke përdorur flamurin "-A", tani mund të lejoni në mënyrë eksplicite ridrejtimin në scp dhe sftp duke përdorur ssh-agent (ridrejtimi është i çaktivizuar si parazgjedhje).
  • Mbështetje e shtuar për zëvendësimin '%k' në cilësimet ssh, që specifikon emrin e çelësit të hostit. Ky funksion mund të përdoret për të shpërndarë çelësat në skedarë të veçantë (për shembull, "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
  • Lejo përdorimin e operacionit "ssh-add -d -" për të lexuar çelësat nga stdin që do të fshihen.
  • Në sshd, fillimi dhe fundi i procesit të krasitjes së lidhjes pasqyrohet në regjistër, i rregulluar duke përdorur parametrin MaxStartups.

Zhvilluesit e OpenSSH kujtuan gjithashtu çmontimin e ardhshëm të algoritmeve që përdorin hash SHA-1 për shkak të promovimin efektiviteti i sulmeve të përplasjes me një prefiks të caktuar (kostoja e zgjedhjes së një përplasjeje vlerësohet në afërsisht 45 mijë dollarë). Në një nga publikimet e ardhshme, ata planifikojnë të çaktivizojnë si parazgjedhje aftësinë për të përdorur algoritmin e nënshkrimit të çelësit publik "ssh-rsa", i cili përmendet në RFC origjinale për protokollin SSH dhe mbetet i përhapur në praktikë (për të testuar përdorimin të ssh-rsa në sistemet tuaja, mund të provoni të lidheni nëpërmjet ssh me opsionin “-oHostKeyAlgorithms=-ssh-rsa”).

Për të qetësuar kalimin në algoritme të reja në OpenSSH, versioni tjetër do të mundësojë cilësimin UpdateHostKeys si parazgjedhje, i cili automatikisht do të migrojë klientët në algoritme më të besueshme. Algoritmet e rekomanduara për migrim përfshijnë rsa-sha2-256/512 bazuar në RFC8332 RSA SHA-2 (mbështetur që nga OpenSSH 7.2 dhe përdoret si parazgjedhje), ssh-ed25519 (mbështetur që nga OpenSSH 6.5) dhe ecdsa-sha2-nistp256/384 bazuar në RFC521 ECDSA (mbështetur që nga OpenSSH 5656).

Burimi: opennet.ru

Shto një koment