ПроХостер > блог > интернет вести > ОпенССХ 8.7 издање

ОпенССХ 8.7 издање

Након четири месеца развоја, представљено је издање ОпенССХ 8.7, отворене имплементације клијента и сервера за рад преко ССХ 2.0 и СФТП протокола.

Главне промене:

  • Експериментални режим преноса података је додат у сцп користећи СФТП протокол уместо традиционалног СЦП/РЦП протокола. СФТП користи предвидљивије методе руковања именима и не користи љуску обраду глоб образаца на страни другог хоста, што ствара безбедносне проблеме. Да би се омогућио СФТП у сцп-у, предложена је ознака „-с“, али се у будућности планира подразумевано пребацивање на овај протокол.
  • сфтп-сервер имплементира екстензије за СФТП протокол да прошири ~/ и ~усер/ путање, што је неопходно за сцп.
  • Сцп услужни програм је променио понашање приликом копирања датотека између два удаљена хоста (на пример, „сцп хост-а:/патх хост-б:“), што се сада подразумевано ради преко средњег локалног хоста, као када се наводи „ -3” застава. Овај приступ вам омогућава да избегнете прослеђивање непотребних акредитива првом хосту и троструко тумачење имена датотека у љусци (на страни извора, одредишта и локалног система), а када користите СФТП, омогућава вам да користите све методе аутентификације када приступате удаљеном домаћини, а не само неинтерактивне методе. Додата је опција "-Р" за враћање старог понашања.
  • Додато подешавање ФоркАфтерАутхентицатион на ссх које одговара заставици "-ф".
  • Додато подешавање СтдинНулл у ссх, које одговара заставици "-н".
  • СессионТипе поставка је додата у ссх, преко које можете поставити модове који одговарају ознакама „-Н“ (без сесије) и „-с“ (подсистем).
  • ссх-кеиген вам омогућава да одредите интервал ваљаности кључа у кључним датотекама.
  • Додата заставица „-Опринт-пубкеи“ у ссх-кеиген за штампање пуног јавног кључа као дела ссхсиг потписа.
  • У ссх и ссхд, и клијент и сервер су премештени да користе рестриктивнији парсер конфигурационих датотека који користи правила слична љусци за руковање наводницима, размацима и излазним знаковима. Нови парсер такође не занемарује претходно направљене претпоставке, као што је изостављање аргумената у опцијама (на пример, директива ДениУсерс више не може да остане празна), незатворене наводнике и навођење више знакова =.
  • Када користите ССХФП ДНС записе приликом верификације кључева, ссх сада проверава све подударне записе, а не само оне који садрже одређени тип дигиталног потписа.
  • У ссх-кеиген-у, када се генерише ФИДО кључ са опцијом -Оцхалленге, уграђени слој се сада користи за хеширање, а не либфидо2, што омогућава употребу изазовних секвенци већих или мањих од 32 бајта.
  • У ссхд-у, када се обрађују директиве енвиронмент="..." у фајловима аутхоризед_кеис, прво подударање је сада прихваћено и постоји ограничење од 1024 имена променљивих окружења.

ОпенССХ програмери су такође упозорили на декомпозицију алгоритама који користе СХА-1 хешове због повећане ефикасности колизијских напада са датим префиксом (цена избора колизије се процењује на приближно 50 хиљада долара). У следећем издању планирамо да подразумевано онемогућимо могућност коришћења алгоритма за дигитални потпис јавног кључа „ссх-рса“, који је поменут у оригиналном РФЦ-у за ССХ протокол и остаје широко коришћен у пракси.

Да бисте тестирали употребу ссх-рса на вашим системима, можете покушати да се повежете преко ссх-а са опцијом „-оХостКеиАлгоритхмс=-ссх-рса“. Истовремено, подразумевано онемогућавање дигиталних потписа „ссх-рса“ не значи потпуно одустајање од употребе РСА кључева, јер поред СХА-1, ССХ протокол дозвољава коришћење других алгоритама за израчунавање хеша. Конкретно, поред „ссх-рса“, остаће могуће користити пакете „рса-сха2-256“ (РСА/СХА256) и „рса-сха2-512“ (РСА/СХА512).

Да би се изгладио прелазак на нове алгоритме, ОпенССХ је претходно подразумевано омогућио подешавање УпдатеХостКеис, што омогућава клијентима да аутоматски пређу на поузданије алгоритме. Користећи ово подешавање, омогућена је посебна екстензија протокола “[емаил заштићен]“, омогућавајући серверу, након аутентификације, да обавести клијента о свим доступним кључевима хоста. Клијент може да одражава ове кључеве у својој ~/.ссх/кновн_хостс датотеци, што омогућава ажурирање кључева хоста и олакшава промену кључева на серверу.

Употреба УпдатеХостКеис-а је ограничена са неколико упозорења која могу бити уклоњена у будућности: кључ мора бити референциран у УсерКновнХостсФиле-у и не мора се користити у ГлобалКновнХостсФиле-у; кључ мора бити присутан само под једним именом; не треба користити сертификат кључа домаћина; у познатим_хостовима не треба користити маске по имену хоста; поставка ВерифиХостКеиДНС мора бити онемогућена; Параметар УсерКновнХостсФиле мора бити активан.

Препоручени алгоритми за миграцију укључују рса-сха2-256/512 заснован на РФЦ8332 РСА СХА-2 (подржан од ОпенССХ 7.2 и користи се подразумевано), ссх-ед25519 (подржан од ОпенССХ 6.5) и заснован на ецдса-сха2-нистп256/384 на РФЦ521 ЕЦДСА (подржано од ОпенССХ 5656).

Извор: опеннет.ру

Додај коментар