ProHoster > Blog > warta internét > OpenSSH 8.0 release

OpenSSH 8.0 release

Sanggeus lima bulan pangwangunan ditepikeun ngabebaskeun OpenSSH 8.0, klien kabuka sarta palaksanaan server pikeun digawé via SSH 2.0 jeung protokol SFTP.

Parobahan utama:

  • Pangrojong ékspérimén pikeun métode bursa konci anu tahan ka serangan brute-force dina komputer kuantum geus ditambahkeun kana ssh na sshd. Komputer kuantum sacara radikal leuwih gancang dina ngarengsekeun masalah decomposing hiji angka alam jadi faktor prima, nu underlies algoritma enkripsi asimétri modern jeung teu bisa éféktif direngsekeun dina prosesor klasik. Metodeu anu diusulkeun dumasar kana algoritma NTRU Perdana (fungsi ntrup4591761), dimekarkeun pikeun cryptosystems pos-kuantum, sarta kurva elliptic metoda bursa konci X25519;
  • Dina sshd, diréktif ListenAddress sareng PermitOpen henteu deui ngadukung sintaksis "host / port" warisan, anu dilaksanakeun dina 2001 salaku alternatif pikeun "host: port" pikeun nyederhanakeun damel sareng IPv6. Dina kaayaan modéren, sintaksis "[::6]:1" geus ditetepkeun pikeun IPv22, sarta "host / port" mindeng bingung jeung nunjukkeun subnet (CIDR);
  • ssh, ssh-agén sareng ssh-add ayeuna ngadukung konci ECDSA di PKCS # 11 tanda;
  • Dina ssh-keygen, standar ukuran konci RSA geus ngaronjat nepi ka 3072 bit, luyu jeung saran NIST anyar;
  • ssh ngamungkinkeun pamakéan setelan "PKCS11Provider = euweuh" pikeun override diréktif PKCS11Provider dieusian dina ssh_config;
  • sshd nyadiakeun tampilan log kaayaan nalika sambungan ieu terminated nalika nyobian sangkan ngaéksekusi paréntah diblokir ku "ForceCommand = internal-sftp" larangan dina sshd_config;
  • Dina ssh, nalika ningalikeun pamundut pikeun ngonfirmasi nampi konci host énggal, tibatan réspon "enya", sidik ramo anu leres tina konci ayeuna ditampi (nu ngaréspon kana uleman pikeun ngonfirmasi sambungan, pangguna tiasa nyalin éta. kapisah nampi Hash rujukan via clipboard, ku kituna henteu sacara manual ngabandingkeunana);
  • ssh-keygen nyadiakeun incrementing otomatis tina jumlah runtuyan sertipikat nalika nyieun tanda tangan digital pikeun sababaraha sertipikat dina garis paréntah;
  • Pilihan anyar "-J" geus ditambahkeun kana scp na sftp, sarua jeung setelan ProxyJump;
  • Dina ssh-agent, ssh-pkcs11-helper sareng ssh-add, pamrosésan pilihan baris paréntah "-v" parantos ditambahkeun pikeun ningkatkeun eusi inpormasi kaluaran (nalika dieusian, pilihan ieu diteruskeun kana prosés anak, pikeun conto, nalika ssh-pkcs11-helper disebut ti ssh-agén);
  • Pilihan "-T" geus ditambahkeun kana ssh-nambahkeun pikeun nguji kasaluyuan konci dina ssh-agén pikeun ngajalankeun kreasi signature digital sarta operasi verifikasi;
  • sftp-server implements rojongan pikeun "lsetstat di openssh.com" extension protokol, nu nambihan rojongan pikeun operasi SSH2_FXP_SETSTAT pikeun SFTP, tapi tanpa nuturkeun tumbu simbolis;
  • Ditambahkeun "-h" pilihan pikeun sftp pikeun ngajalankeun paréntah chown / chgrp / chmod kalayan pamundut anu henteu nganggo tautan simbolis;
  • sshd nyadiakeun setelan variabel lingkungan $ SSH_CONNECTION pikeun PAM;
  • Pikeun sshd, mode cocog "Cocok final" geus ditambahkeun kana ssh_config, nu sarupa jeung "Cocok canonical", tapi teu merlukeun normalisasi hostname sangkan diaktipkeun;
  • Ditambahkeun dukungan pikeun awalan '@' ka sftp pikeun nganonaktipkeun tarjamahan kaluaran paréntah anu dieksekusi dina modeu angkatan;
  • Nalika anjeun ningalikeun eusi sertipikat nganggo paréntah
    "ssh-keygen -Lf / jalur / sertipikat" ayeuna mintonkeun algoritma dipaké ku CA pikeun sangkan méré konfirmasi sertipikat;

  • Ningkatkeun dukungan pikeun lingkungan Cygwin, contona nyayogikeun perbandingan anu teu merhatikeun hal-hal tina grup sareng nami pangguna. Prosés sshd dina port Cygwin geus robah jadi cygsshd ulah gangguan jeung port OpenSSH-disadiakeun Microsoft;
  • Ditambahkeun kamampuhan pikeun ngawangun kalawan ékspérimén OpenSSL 3.x cabang;
  • Ngaleungitkeun karentanan (CVE-2019-6111) dina palaksanaan utilitas scp, anu ngamungkinkeun file sawenang dina diréktori target ditimpa dina sisi klien nalika ngaksés server anu dikontrol ku panyerang. Masalahna nyaéta nalika nganggo scp, server mutuskeun file sareng diréktori mana anu dikirim ka klien, sareng klien ngan ukur mariksa kabeneran nami obyék anu dipulangkeun. Pamariksaan sisi klien diwatesan ngan ukur ngahalangan perjalanan saluareun diréktori ayeuna ("../"), tapi henteu tumut kana transfer file nganggo nami anu béda ti anu dipénta. Dina kasus salinan rekursif (-r), salian ti nami file, anjeun ogé tiasa ngamanipulasi nami subdirektori dina cara anu sami. Contona, upami pamaké nyalin file ka diréktori imah, server dikawasa ku panyerang bisa ngahasilkeun file kalawan ngaran .bash_aliases atawa .ssh/authorized_keys tinimbang file dipénta, sarta aranjeunna bakal disimpen ku utilitas scp dina pamaké. diréktori imah.

    Dina sékrési énggal, utilitas scp parantos diropéa pikeun mariksa korespondensi antara nami file anu dipénta sareng anu dikirim ku server, anu dilakukeun dina sisi klien. Ieu tiasa nyababkeun masalah sareng pamrosésan topéng, sabab karakter ékspansi topéng tiasa diolah béda dina sisi server sareng klien. Upami bédana sapertos nyababkeun klien ngeureunkeun nampi file dina scp, pilihan "-T" parantos ditambah pikeun nganonaktipkeun pamariksaan sisi klien. Pikeun pinuh ngabenerkeun masalah, a reworking konseptual tina protokol scp diperlukeun, nu sorangan geus luntur, jadi eta disarankeun pikeun ngagunakeun protokol leuwih modern kayaning sftp na rsync gantina.

sumber: opennet.ru

Tambahkeun komentar