ProHoster > Blog > litaba tsa inthanete > Ho lokolloa ha OpenSSH 8.5

Ho lokolloa ha OpenSSH 8.5

Kamora likhoeli tse hlano tsa nts'etsopele, ho lokolloa ha OpenSSH 8.5, ts'ebetsong e bulehileng ea moreki le seva bakeng sa ho sebetsa holim'a liprothokholo tsa SSH 2.0 le SFTP, e hlahisoa.

Bahlahisi ba OpenSSH ba re hopotse ka ho felisoa ho tlang ha li-algorithms tse sebelisang li-hashes tsa SHA-1 ka lebaka la ts'ebetso e ntseng e eketseha ea litlhaselo tsa likhohlano ka sehlomathiso se fanoeng (litšenyehelo tsa ho khetha ho thulana ho hakanngoa hoo e ka bang $ 50 sekete). Ho e 'ngoe ea litokollo tse tlang, ba rera ho thibela ka ho sa feleng bokhoni ba ho sebelisa "ssh-rsa" algorithm ea senotlolo sa sechaba sa dijithale, e boletsoeng ho RFC ea mantlha bakeng sa protocol ea SSH mme e ntse e atile ts'ebetsong.

Ho leka ts'ebeliso ea ssh-rsa lits'ebetsong tsa hau, u ka leka ho hokahanya ka ssh ka khetho ea "-oHostKeyAlgorithms=-ssh-rsa". Ka nako e ts'oanang, ho thibela "ssh-rsa" li-signature tsa digital ka ho sa feleng ha ho bolele ho tlohela ka ho feletseng tšebeliso ea linotlolo tsa RSA, kaha ho phaella ho SHA-1, protocol ea SSH e lumella tšebeliso ea li-algorithms tse ling tsa hash. Haholo-holo, ho phaella ho "ssh-rsa", ho tla lula ho khoneha ho sebelisa liphutheloana tsa "rsa-sha2-256" (RSA / SHA256) le "rsa-sha2-512" (RSA / SHA512).

Ho theola phetoho ho li-algorithms tse ncha, OpenSSH 8.5 e na le litlhophiso tsa UpdateHostKeys tse nolofalitsoeng ke kamehla, tse lumellang bareki ho fetohela ho li-algorithms tse tšepahalang haholoanyane. U sebelisa tlhophiso ena, katoloso e khethehileng ea protocol e nolofalitsoe "[imeile e sirelelitsoe]", ho lumella seva, kamora ho netefatsoa, ​​ho tsebisa moreki ka linotlolo tsohle tse teng tsa moamoheli. Moreki a ka hlahisa linotlolo tsena faeleng ea ~/.ssh/known_hosts, e lumellang linotlolo tsa moamoheli ho nchafatsoa le ho etsa hore ho be bonolo ho fetola linotlolo ho seva.

Tšebeliso ea UpdateHostKeys e lekanyelitsoe ke li-caveats tse 'maloa tse ka tlosoang nakong e tlang: senotlolo se tlameha ho boleloa ho UserKnownHostsFile mme se se ke sa sebelisoa ho GlobalKnownHostsFile; senotlolo se tlameha ho ba teng tlasa lebitso le le leng feela; setifikeiti sa senotlolo sa moamoheli ha sea lokela ho sebelisoa; ho tse tsebahalang_hosts limaske ka lebitso la moamoheli ha lia lokela ho sebelisoa; tlhophiso ea VerifyHostKeyDNS e tlameha ho koaloa; UserKnownHostsFile parameter e tlameha ho sebetsa.

Li-algorithms tse khothalelitsoeng tsa ho falla li kenyelletsa rsa-sha2-256/512 e thehiloeng ho RFC8332 RSA SHA-2 (e tšehelitsoe ho tloha OpenSSH 7.2 'me e sebelisoa ka mokhoa oa kamehla), ssh-ed25519 (e tšehelitsoe ho tloha OpenSSH 6.5) le ecdsa-sha2-nistp256/384 ho RFC521 ECDSA (e tšehelitsoe ho tloha ho OpenSSH 5656).

Liphetoho tse ling:

  • Liphetoho tsa ts'ireletso:
    • Kotsi e bakoang ke ho lokolla sebaka sa memori se seng se lokolotsoe (mahala habeli) se lokisitsoe ho ssh-agent. Taba e bile teng ho tloha ha OpenSSH 8.2 e lokolloa mme e ka sebelisoa hampe haeba mohlaseli a ka fumana sokete ea ssh-agent tsamaisong ea lehae. Se etsang hore tlhekefetso e be thata le ho feta ke hore ke motso feela le mosebelisi oa pele ba nang le monyetla oa ho fumana sokete. Boemo bo ka bang teng ba tlhaselo ke hore moemeli o fetisetsoa akhaonteng e laoloang ke mohlaseli, kapa ho moamoheli moo mohlaseli a nang le phihlello ea metso.
    • sshd e ekelitse tšireletso khahlanong le ho fetisa litekanyo tse kholo haholo ka lebitso la mosebedisi ho PAM subsystem, e leng se u lumellang ho thibela bofokoli ho PAM (Pluggable Authentication Module) system modules. Mohlala, phetoho e thibela sshd ho sebelisoa joalo ka vector ho sebelisa ts'oaetso ea metso e sa tsoa sibolloa ho Solaris (CVE-2020-14871).
  • Liphetoho tse ka 'nang tsa senyeha tsa ho lumellana:
    • В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо [imeile e sirelelitsoe] метод теперь идентифицируется как [imeile e sirelelitsoe] (algorithm ea sntrup4591761 e nkeloe sebaka ke sntrup761).
    • Ho ssh le sshd, tatellano eo ho phatlalatsoang li-algorithms tsa signature tsa dijithale e fetotsoe. ED25519 e se e fanoa pele sebakeng sa ECDSA.
    • Ho ssh le sshd, ho beha TOS/DSCP boleng ba litekanyetso tsa lits'ebeletso bakeng sa linako tse kopanetsoeng hona joale ho etsoa pele ho theha khokahano ea TCP.
    • Tšehetso ea cipher e khaotsoe ho ssh le sshd [imeile e sirelelitsoe], e ts'oanang le aes256-cbc mme e sebelisitsoe pele RFC-4253 e amoheloa.
    • Ka nako e sa lekanyetsoang, parameter ea CheckHostIP e holofetse, molemo oa eona ha o na thuso, empa tšebeliso ea eona e thatafatsa ho potoloha ha bohlokoa bakeng sa mabotho a ka morao ho li-balancers tsa mojaro.
  • Litlhophiso tsa PerSourceMaxStartups le PerSourceNetBlockSize li kenyellelitsoe ho sshd ho fokotsa matla a ho qala libatli ho latela aterese ea moreki. Mekhahlelo ena e u lumella ho laola ka mokhoa o hlakileng moeli oa ho qala ts'ebetso, ha o bapisoa le maemo a akaretsang a MaxStartups.
  • Sebaka se secha sa LogVerbose se kenyelelitsoe ho ssh le sshd, e leng se u lumellang hore u phahamise ka matla boemo ba boitsebiso ba ho lokisa liphoso bo lahleloeng ka har'a log, ka bokhoni ba ho sefa ka li-templates, mesebetsi le lifaele.
  • Ho ssh, ha u amohela senotlolo se secha sa moamoheli, mabitso ohle a moamoheli le liaterese tsa IP tse amanang le senotlolo lia hlahisoa.
  • ssh e lumella UserKnownHostsFile=ha ho khetho e le 'ngoe ea ho thibela tšebeliso ea file e tsejoang_ea hosts ha u khetholla linotlolo tsa moamoheli.
  • Setlhophiso sa KnownHostsCommand se kenyellelitsoe ho ssh_config bakeng sa ssh, e u lumellang hore u fumane data ea known_hosts ho tsoa tlhahiso ea taelo e boletsoeng.
  • E kentse khetho ea PermitRemoteOpen ho ssh_config bakeng sa ssh ho u lumella ho thibela sebaka seo u eang ho sona ha u sebelisa khetho ea RemoteForward ka SOCKS.
  • Ho ssh bakeng sa linotlolo tsa FIDO, ho fanoa ka kopo ea PIN e pheta-phetoang ha ts'ebetso ea ho saena ea dijithale e hloleha ka lebaka la PIN e fosahetseng mme mosebelisi a sa khothaletsoe ho fumana PIN (mohlala, ha data e nepahetseng ea biometric e sa fumanehe le sesebelisoa se ile sa khutlela ho PIN ea letsoho).
  • sshd e eketsa ts'ehetso bakeng sa mehala e eketsehileng ea sistimi ho mokhoa oa ho itšehla thajana oa seccomp-bpf ho Linux.
  • Sesebelisoa sa contrib/ssh-copy-id se ntlafalitsoe.

Source: opennet.ru

Eketsa ka tlhaloso