ProHoster > Blog > warta internét > OpenSSH 8.7 release

OpenSSH 8.7 release

Saatos opat bulan pangwangunan, sékrési OpenSSH 8.7, palaksanaan kabuka pikeun klien sareng server pikeun ngerjakeun protokol SSH 2.0 sareng SFTP, dibere.

Parobahan utama:

  • Modeu transfer data ékspérimén geus ditambahkeun kana scp maké protokol SFTP tinimbang protokol SCP/RCP tradisional. SFTP ngagunakeun métode penanganan ngaran leuwih bisa diprediksi sarta henteu ngagunakeun ngolah cangkang tina pola glob di sisi host séjén urang, nu nyiptakeun masalah kaamanan. Pikeun ngaktifkeun SFTP di scp, bendera "-s" parantos diajukeun, tapi ka hareupna direncanakeun pikeun ngalih ka protokol ieu sacara standar.
  • sftp-server implements ekstensi ka protokol SFTP rék dilegakeun ~ / jeung ~ pamaké / jalur, nu dipikabutuh pikeun scp.
  • Utilitas scp parantos ngarobih paripolah nalika nyalin file antara dua host jauh (contona, "scp host-a: / path host-b:"), anu ayeuna dilakukeun sacara standar ngalangkungan host lokal perantara, sapertos nalika netepkeun " -3" bandéra. Pendekatan ieu ngamungkinkeun anjeun pikeun ngahindarkeun kapercayaan anu teu dipikabutuh ka host munggaran sareng interpretasi tripel nami file dina cangkang (dina sumber, tujuan sareng sisi sistem lokal), sareng nalika nganggo SFTP, éta ngamungkinkeun anjeun ngagunakeun sadaya metode auténtikasi nalika ngaksés jarak jauh. host, sareng sanés ngan ukur metode non-interaktif. Pilihan "-R" geus ditambahkeun pikeun mulangkeun kabiasaan heubeul.
  • Ditambahkeun setelan ForkAfterAuthentication ka ssh pakait sareng bendera "-f".
  • Ditambahkeun setelan StdinNull ka ssh, pakait jeung bendera "-n".
  • Setélan SessionType geus ditambahkeun kana ssh, ngaliwatan nu Anjeun tiasa nyetel mode pakait jeung "-N" (euweuh sesi) jeung "-s" (subsistem) umbul.
  • ssh-keygen ngidinan Anjeun pikeun nangtukeun interval validitas konci dina file konci.
  • Ditambahkeun bendera "-Oprint-pubkey" ka ssh-keygen pikeun nyitak konci publik pinuh salaku bagian tina tanda tangan sshsig.
  • Dina ssh jeung sshd, duanana klien tur server geus dipindahkeun ka ngagunakeun parser file konfigurasi leuwih restrictive nu ngagunakeun aturan cangkang-kawas pikeun nanganan tanda petik, spasi, jeung karakter ngewa. Parser anyar ogé teu malire asumsi saméméhna dijieun, kayaning omitting argumen dina pilihan (contona, DenyUsers diréktif bisa euweuh ditinggalkeun kosong), tanda petik unclosed, sarta nangtukeun sababaraha = karakter.
  • Nalika nganggo rékaman DNS SSHFP nalika pariksa konci, ssh ayeuna pariksa sadaya rékaman anu cocog, sanés ngan ukur anu ngandung jinis tanda tangan digital khusus.
  • Dina ssh-keygen, nalika ngahasilkeun konci FIDO kalawan pilihan -Ochallenge, diwangun-di lapisan ayeuna dipaké pikeun hashing, tinimbang libfido2, nu ngidinan pamakéan runtuyan tantangan leuwih badag atawa leuwih leutik batan 32 bait.
  • Dina sshd, nalika ngolah lingkungan = "..." diréktif dina file authorized_keys, pertandingan kahiji ayeuna katampi sareng aya wates 1024 nami variabel lingkungan.

Pamekar OpenSSH ogé ngingetkeun ngeunaan dékomposisi algoritma anu ngagunakeun hashes SHA-1 kusabab paningkatan efisiensi serangan tabrakan kalayan awalan anu ditangtukeun (biaya pikeun milih tabrakan diperkirakeun sakitar 50 rébu dolar). Dina sékrési salajengna, urang ngarencanakeun pikeun nganonaktipkeun sacara standar kamampuan ngagunakeun algoritma tanda tangan digital konci umum "ssh-rsa", anu disebatkeun dina RFC asli pikeun protokol SSH sareng tetep seueur dianggo dina prakték.

Pikeun nguji pamakean ssh-rsa dina sistem anjeun, anjeun tiasa nyobian nyambungkeun via ssh nganggo pilihan "-oHostKeyAlgorithm=-ssh-rsa". Dina waktu nu sarua, nganonaktipkeun "ssh-rsa" tanda tangan digital sacara standar henteu hartosna a abandonment lengkep pamakéan konci RSA, saprak salian SHA-1, protokol SSH ngamungkinkeun pamakéan algoritma itungan Hash séjén. Khususna, salian "ssh-rsa", bakal tetep tiasa nganggo bundel "rsa-sha2-256" (RSA / SHA256) sareng "rsa-sha2-512" (RSA / SHA512).

Pikeun ngalancarkeun transisi ka algoritma anyar, OpenSSH saacanna ngagaduhan setelan UpdateHostKeys diaktipkeun sacara standar, anu ngamungkinkeun para klien sacara otomatis ngalih ka algoritma anu langkung dipercaya. Ngagunakeun setelan ieu, ekstensi protokol husus diaktipkeun "[email dijaga]", ngamungkinkeun server, sanggeus auténtikasi, pikeun nginpokeun ka klien ngeunaan sagala konci host sadia. Klién tiasa ngagambarkeun konci ieu dina file ~/.ssh/known_hosts na, anu ngamungkinkeun konci host diropéa sareng ngagampangkeun ngarobih konci dina server.

Pamakéan UpdateHostKeys diwatesan ku sababaraha caveats nu bisa dihapus dina mangsa nu bakal datang: konci kudu referenced dina UserKnownHostsFile sarta henteu dipaké dina GlobalKnownHostsFile; konci kudu hadir dina ngan hiji ngaran; sertipikat konci host henteu kedah dianggo; dina masker known_hosts ku ngaran host henteu kedah dianggo; setelan VerifyHostKeyDNS kudu ditumpurkeun; Parameter UserKnownHostsFile kedah aktip.

Algoritma anu disarankeun pikeun migrasi kalebet rsa-sha2-256/512 dumasar kana RFC8332 RSA SHA-2 (dirojong saprak OpenSSH 7.2 sareng dianggo sacara standar), ssh-ed25519 (dirojong saprak OpenSSH 6.5) sareng ecdsa-sha2-nistp256/384/521. on RFC5656 ECDSA (dirojong saprak OpenSSH 5.7).

sumber: opennet.ru

Tambahkeun komentar