Lëshimi i OpenSSH 8.5

Pas pesë muaj zhvillimi, u publikua versioni i OpenSSH 8.5, një implementim i hapur i klientit dhe serverit për të punuar me protokollet SSH 2.0 dhe SFTP.

Zhvilluesit e OpenSSH i kujtuan përdoruesit për kalimin e afërt të algoritmave që përdorin hash-in SHA-1 në statusin e algoritmave të vjetruar, për shkak të rritjes së efikasitetit të sulmeve të kolizionit me një prefiks të caktuar (kostoja për gjetjen e një kolizioni vlerësohet rreth 50,000 dollarëve). Në njërin nga lëshimet e ardhshme, planifikohet të çaktivizohet si parazgjedhje mundësia për të përdorur algoritmin e nënshkrimeve digjitale me çelësin publik "ssh-rsa", i cili përmendet në RFC origjinal për protokollin SSH dhe mbetet i përhapur gjerësisht në praktikë.

Për të kontrolluar përdorimin e ssh-rsa në sistemet tuaja, mund të provoni të lidheni përmes ssh me opsionin "-oHostKeyAlgorithms=-ssh-rsa". Megjithatë, çaktivizimi parazgjedhës i nënshkrimeve digjitale "ssh-rsa" nuk do të thotë një tërheqje të plotë nga përdorimi i çelësave RSA, pasi përveç SHA-1, protokolli SSH lejon përdorimin e algoritmave të tjerë për llogaritjen e hash-it. Në veçanti, përveç "ssh-rsa", do të mbetet e mundur të përdoren grupet "rsa-sha2-256" (RSA/SHA256) dhe "rsa-sha2-512" (RSA/SHA512).

Për të lehtësuar kalimin në algoritmet e reja në OpenSSH 8.5, konfigurimi UpdateHostKeys është aktivizuar si parazgjedhje, i cili lejon që klientët të kalojnë automatikisht në algoritme më të sigurta. Me këtë konfigurim aktivizohet një zgjerim i veçantë i protokollit «hostkeys@openssh.com», që e lejon serverin, pas përfundimit të autentifikimit, të informojë klientin për të gjithë çelësat e disponueshëm të hostit. Klienti mund t'i pasqyrojë këta çelës në skedarin e tij ~/.ssh/known_hosts, çka lehtëson organizimin e rinovimeve të çelësave të hostit dhe e thjeshton ndryshimin e çelësave. serveri.

Përdorimi i UpdateHostKeys është i kufizuar nga disa kushte, të cilat në të ardhmen mund të hiqen: çelësi duhej të përmendet në UserKnownHostsFile dhe të mos përdorej në GlobalKnownHostsFile; çelësi duhet të jetë prezent vetëm nën një emër; nuk duhet të aplikohet certifikata e çelësit të hostit; në known_hosts nuk duhet të përdoren maska sipas emrit të hostit; konfigurimi VerifyHostKeyDNS duhet të jetë i çaktivizuar; parameteri UserKnownHostsFile duhet të jetë aktivizuar.

Midishtë algoritmet e rekomanduara për migrim përfshijnë rsa-sha2-256/512 bazuar në RFC8332 RSA SHA-2 (mbështetet që nga OpenSSH 7.2 dhe përdoret si default), ssh-ed25519 (mbështetet që nga OpenSSH 6.5) dhe ecdsa-sha2-nistp256/384/521 bazuar në RFC5656 ECDSA (mbështetet që nga OpenSSH 5.7).

Ndryshime të tjera:

  • Ndryshimet e lidhura me sigurinĂ«:
    • NĂ« ssh-agent Ă«shtĂ« zgjidhur njĂ« dobĂ«si, e cila u shkaktua nga riçlirimi i njĂ« zone memorjeje tashmĂ« tĂ« çliruar (double-free). Problemi shfaqet qĂ« nga lĂ«shimi i OpenSSH 8.2 dhe potencialisht mund tĂ« shfrytĂ«zohet nĂ«se sulmuesi ka qasje nĂ« soketin ssh-agent nĂ« sistemin lokal. ShfrytĂ«zimi Ă«shtĂ« mĂ« i komplikuar, pasi qasja nĂ« soket kanĂ« vetĂ«m root dhe pĂ«rdoruesi origjinal. Scenari mĂ« i mundshĂ«m i sulmit Ă«shtĂ« ridrejtimi i agjentit nĂ« njĂ« llogari qĂ« Ă«shtĂ« nĂ«n kontrollin e sulmuesit, ose nĂ« njĂ« host, ku sulmuesi ka qasje root.
    • NĂ« sshd Ă«shtĂ« shtuar mbrojtja nga transmetimi i parametrave shumĂ« tĂ« mĂ«dhenj me emrin e pĂ«rdoruesit nĂ« nĂ«n-sistemin PAM, e cila lejon bllokimin e dobĂ«sive nĂ« modulat sistemike PAM (Pluggable Authentication Module). PĂ«r shembull, ky ndryshim parandalon pĂ«rdorimin e sshd si njĂ« vektor pĂ«r shfrytĂ«zimin e njĂ« dobĂ«sie sĂ« fundmi tĂ« zbuluar root nĂ« Solaris (CVE-2020-14871).
  • Ndryshimet qĂ« potencialisht mund tĂ« thyejnĂ« kompatibilitetin:
    • NĂ« ssh dhe sshd Ă«shtĂ« riparuar njĂ« metodĂ« eksperimentale pĂ«r shkĂ«mbimin e çelĂ«save, e cila Ă«shtĂ« e qĂ«ndrueshme kundĂ«r thyerjeve nga kompjuterĂ«t kuantikĂ«. KompjuterĂ«t kuantikĂ« zgjidhin shumĂ« mĂ« shpejt problemin e faktorizimit tĂ« numrave natyrorĂ« nĂ« faktorĂ«t e tyre tĂ« thjeshtĂ«, i cili Ă«shtĂ« nĂ« thelb tĂ« algoritmeve moderne asimetrike tĂ« enkriptimit dhe Ă«shtĂ« pĂ«rgjithĂ«sisht i pakapshĂ«m nĂ« procesorĂ«t klasikĂ«. Metoda e pĂ«rdorur bazohet nĂ« algoritmin NTRU Prime, i zhvilluar pĂ«r kriptosistemat post-kvant, dhe metodĂ«n e shkĂ«mbimit tĂ« çelĂ«save nĂ« bazĂ« tĂ« kurbave elliptike X25519. NĂ« vend tĂ« sntrup4591761x25519-sha512@tinyssh.org, metoda tani identifikohet si sntrup761x25519-sha512@openssh.com (algoritmi sntrup4591761 Ă«shtĂ« zĂ«vendĂ«suar me sntrup761).
    • NĂ« ssh dhe sshd Ă«shtĂ« ndryshuar rendi i njoftimit tĂ« algoritmeve tĂ« mundshĂ«m tĂ« nĂ«nshkrimit digjital. Tani, ED25519 ofrohet e para nĂ« vend tĂ« ECDSA.
    • NĂ« ssh dhe sshd, vendosja e parametrave tĂ« cilĂ«sisĂ« sĂ« shĂ«rbimit TOS/DSCP pĂ«r seancat interaktive tani bĂ«het para vendosjes sĂ« lidhjes TCP.
    • NĂ« ssh dhe sshd, Ă«shtĂ« ndĂ«rpritur mbĂ«shtetje pĂ«r enkriptimin rijndael-cbc@lysator.liu.se, i cili Ă«shtĂ« identik me aes256-cbc dhe Ă«shtĂ« pĂ«rdorur deri nĂ« miratimin e RFC-4253.
    • PĂ«r default, Ă«shtĂ« çaktivizuar parametri CheckHostIP, pĂ«rfitimi i tĂ« cilit Ă«shtĂ« i vogĂ«l, por pĂ«rdorimi e komplikon ndjeshĂ«m rotacionin e çelĂ«save pĂ«r hostet pas balancuesve tĂ« ngarkesĂ«s.
  • NĂ« sshd janĂ« shtuar cilĂ«simet PerSourceMaxStartups dhe PerSourceNetBlockSize pĂ«r tĂ« kufizuar intensitetin e nisjes sĂ« trajtuesve nĂ« lidhje me adresĂ«n e klientit. KĂ«to parametra lejojnĂ« menaxhim mĂ« tĂ« hollĂ«sishĂ«m tĂ« kufizimit tĂ« procesit tĂ« nisjes, krahasuar me cilĂ«simin e pĂ«rgjithshĂ«m MaxStartups.
  • NĂ« ssh dhe sshd Ă«shtĂ« shtuar njĂ« cilĂ«sim i ri LogVerbose, qĂ« lejon tĂ« rritet me forcĂ« niveli i informacionit tĂ« loguar pĂ«r debugimin, me mundĂ«sinĂ« e filtrimit sipas modeleve, funksioneve dhe skedave.
  • NĂ« ssh, kur pranohet njĂ« çelĂ«s i ri hosti, Ă«shtĂ« siguruar qĂ« tĂ« shfaqen tĂ« gjitha emrat e hosteve dhe IP-adresave, tĂ« asociuar me çelĂ«sin.
  • NĂ« ssh Ă«shtĂ« e lejuar tĂ« specifikohet opsioni UserKnownHostsFile=none pĂ«r tĂ« çtreguar pĂ«rdorimin e skedarit known_hosts gjatĂ« identifikimit tĂ« çelĂ«save tĂ« hostit.
  • NĂ« ssh_config pĂ«r ssh Ă«shtĂ« shtuar konfigurimi KnownHostsCommand, i cili lejon marrjen e tĂ« dhĂ«nave known_hosts nga daljeja e komandĂ«s sĂ« specifikuar.
  • NĂ« ssh_config pĂ«r ssh Ă«shtĂ« shtuar opsioni PermitRemoteOpen, i cili lejon kufizimin e destinacionit gjatĂ« pĂ«rdorimit tĂ« opsionit RemoteForward me SOCKS.
  • NĂ« ssh pĂ«r çelĂ«sat FIDO Ă«shtĂ« siguruar kĂ«rkesa e pĂ«rsĂ«ritur pĂ«r PIN nĂ« rast tĂ« dĂ«shtimit tĂ« operacionit me nĂ«nshkrimin dixhital pĂ«r shkak tĂ« PIN-it tĂ« pasaktĂ« dhe mungesĂ«s sĂ« kĂ«rkesĂ«s sĂ« PIN nga pĂ«rdoruesi (p.sh., kur nuk arriti tĂ« merrte tĂ« dhĂ«na tĂ« sakta biometrike dhe pajisja u rikthye nĂ« hyrjen manuale tĂ« PIN-it).
  • NĂ« sshd Ă«shtĂ« shtuar mbĂ«shtetje pĂ«r thirrje tĂ« tjera sistemore nĂ« mekanizmin e izolimit tĂ« procesit tĂ« bazuar nĂ« seccomp-bpf nĂ« platformĂ«n Linux.
  • U pĂ«rditĂ«sua utilitarja contrib/ssh-copy-id.

Burimi: opennet.ru

Bli njĂ« hosting tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, VPS VDS serverĂ« đŸ”„ Bli njĂ« hosting tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, VPS VDS serverĂ« | ProHoster