ProHoster > Blog > warta internét > OpenSSH 8.4 release

OpenSSH 8.4 release

Sanggeus opat bulan pangwangunan ditepikeun sékrési OpenSSH 8.4, klien kabuka sarta palaksanaan server pikeun digawé maké SSH 2.0 jeung protokol SFTP.

Parobahan utama:

  • Parobahan kaamanan:
    • Dina ssh-agén, nalika nganggo konci FIDO anu henteu diciptakeun pikeun auténtikasi SSH (ID konci henteu dimimitian ku senar "ssh:"), ayeuna pariksa yén pesenna bakal ditandatanganan nganggo metode anu dianggo dina protokol SSH. Parobihan éta moal ngijinkeun ssh-agén dialihkeun ka host jauh anu gaduh konci FIDO pikeun meungpeuk kamampuan ngagunakeun konci ieu pikeun ngahasilkeun tanda tangan pikeun pamundut auténtikasi wéb (kasus sabalikna, nalika browser tiasa ngadaptarkeun pamundut SSH, mimitina teu kaasup. alatan pamakéan awalan "ssh:" dina identifier konci).
    • Generasi konci penduduk ssh-keygen kalebet dukungan pikeun tambihan credProtect anu dijelaskeun dina spésifikasi FIDO 2.1, anu nyayogikeun panyalindungan tambahan pikeun konci ku meryogikeun PIN sateuacan ngalakukeun operasi anu tiasa nyababkeun ékstrak konci penduduk tina token.
  • Parobahan kasaluyuan berpotensi megatkeun:
    • Pikeun ngarojong FIDO / U2F, disarankeun pikeun ngagunakeun perpustakaan libfido2 sahenteuna versi 1.5.0. Kamampuhan pikeun ngagunakeun édisi anu langkung lami parantos dilaksanakeun sawaréh, tapi dina hal ieu, fungsi sapertos konci penduduk, pamundut PIN, sareng nyambungkeun sababaraha token moal sayogi.
    • Dina ssh-keygen, data authenticator dipikabutuh pikeun verifying confirming tanda tangan digital geus ditambahkeun kana format inpormasi konfirmasi, optionally disimpen nalika ngahasilkeun konci FIDO.
    • API anu dianggo nalika OpenSSH berinteraksi sareng lapisan pikeun ngakses token FIDO parantos dirobih.
    • Nalika ngawangun vérsi portabel OpenSSH, automake ayeuna diperyogikeun pikeun ngahasilkeun skrip konpigurasikeun sareng file ngawangun anu disarengan (upami ngawangun tina file tar kode anu diterbitkeun, konfigurasi regenerasi henteu diperyogikeun).
  • Ditambahkeun dukungan pikeun konci FIDO anu peryogi verifikasi PIN dina ssh sareng ssh-keygen. Pikeun ngahasilkeun konci kalayan PIN, pilihan "verifikasi-diperlukeun" geus ditambahkeun kana ssh-keygen. Upami konci sapertos kitu dianggo, sateuacan ngalaksanakeun operasi nyiptakeun tanda tangan, pangguna dipenta pikeun ngonfirmasi tindakanna ku cara ngasupkeun kodeu PIN.
  • Dina sshd, pilihan "verifikasi-diperlukeun" dilaksanakeun dina setélan authorized_keys, anu meryogikeun panggunaan kamampuan pikeun pariksa ayana pangguna salami operasi sareng token. Standar FIDO nyayogikeun sababaraha pilihan pikeun verifikasi sapertos kitu, tapi ayeuna OpenSSH ngan ukur ngadukung verifikasi dumasar PIN.
  • sshd sareng ssh-keygen parantos nambihan dukungan pikeun pariksa tanda tangan digital anu saluyu sareng standar FIDO Webauthn, anu ngamungkinkeun konci FIDO dianggo dina browser wéb.
  • Dina ssh dina setélan CertificateFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward jeung
    RemoteForward ngamungkinkeun substitusi nilai tina variabel lingkungan dieusian dina format "${ENV}".

  • ssh sareng ssh-agén parantos nambihan dukungan pikeun variabel lingkungan $ SSH_ASKPASS_REQUIRE, anu tiasa dianggo pikeun ngaktipkeun atanapi nganonaktipkeun panggero ssh-askpass.
  • Dina ssh di ssh_config dina AddKeysToAgent diréktif, kamampuhan pikeun ngawatesan periode validitas konci geus ditambahkeun. Saatos wates anu ditetepkeun parantos kadaluwarsa, koncina otomatis dihapus tina ssh-agén.
  • Dina scp sareng sftp, nganggo bandéra "-A", anjeun ayeuna tiasa sacara eksplisit ngijinkeun alihan ka scp sareng sftp nganggo ssh-agent (redirection ditumpurkeun sacara standar).
  • Ditambahkeun dukungan pikeun substitusi '%k' dina setélan ssh, anu netepkeun nami konci host. Fitur ieu tiasa dianggo pikeun ngadistribusikaeun konci kana file anu misah (contona, "UserKnownHostsFile ~/.ssh/known_hosts.d/%k").
  • Ngidinan pamakean operasi "ssh-add -d -" pikeun maca konci tina stdin anu bakal dipupus.
  • Dina sshd, mimiti sareng ahir prosés pruning sambungan ditingali dina log, diatur nganggo parameter MaxStartups.

Pamekar OpenSSH ogé ngingetkeun decommissioning algoritma anu bakal datang nganggo hashes SHA-1 kusabab promosi Éféktivitas serangan tabrakan kalayan awalan anu dipasihkeun (biaya pikeun milih tabrakan diperkirakeun sakitar 45 rébu dolar). Dina salah sahiji sékrési anu bakal datang, aranjeunna ngarencanakeun pikeun nganonaktipkeun sacara standar kamampuan ngagunakeun algoritma tanda tangan digital konci umum "ssh-rsa", anu disebatkeun dina RFC asli pikeun protokol SSH sareng tetep nyebar dina praktékna (pikeun nguji panggunaan. tina ssh-rsa dina sistem anjeun, anjeun tiasa nyobian nyambungkeun via ssh sareng pilihan "-oHostKeyAlgorithm = -ssh-rsa").

Pikeun ngalancarkeun transisi ka algoritma anyar dina OpenSSH, sékrési salajengna bakal ngaktifkeun setélan UpdateHostKeys sacara standar, anu sacara otomatis bakal migrasi klien ka algoritma anu langkung dipercaya. Algoritma anu disarankeun pikeun migrasi kalebet rsa-sha2-256/512 dumasar kana RFC8332 RSA SHA-2 (dirojong saprak OpenSSH 7.2 sareng dianggo sacara standar), ssh-ed25519 (dirojong saprak OpenSSH 6.5) sareng ecdsa-sha2-nistp256/384/521. on RFC5656 ECDSA (dirojong saprak OpenSSH 5.7).

sumber: opennet.ru

Tambahkeun komentar