ProHoster > blog > habari za mtandao > Kutolewa kwa OpenSSH 8.4

Kutolewa kwa OpenSSH 8.4

Baada ya miezi minne ya maendeleo imewasilishwa kutolewa kwa OpenSSH 8.4, mteja wazi na utekelezaji wa seva kwa kufanya kazi kwa kutumia itifaki za SSH 2.0 na SFTP.

Mabadiliko kuu:

  • Mabadiliko ya usalama:
    • Katika wakala wa ssh, unapotumia funguo za FIDO ambazo hazikuundwa kwa uthibitishaji wa SSH (kitambulisho cha ufunguo hakianzi na kamba "ssh:"), sasa inakagua kuwa ujumbe utatiwa saini kwa kutumia njia zinazotumiwa katika itifaki ya SSH. Mabadiliko hayataruhusu wakala wa ssh kuelekezwa kwingine kwa seva pangishi za mbali ambazo zina funguo za FIDO ili kuzuia uwezo wa kutumia funguo hizi kutoa saini za maombi ya uthibitishaji wa wavuti (hali ya nyuma, wakati kivinjari kinaweza kusaini ombi la SSH, haijumuishwi mwanzoni. kwa sababu ya matumizi ya kiambishi awali cha "ssh:" katika kitambulisho cha ufunguo).
    • Uzalishaji wa ufunguo wa mkazi wa ssh-keygen unajumuisha usaidizi wa programu jalizi ya credProtect iliyofafanuliwa katika vipimo vya FIDO 2.1, ambayo hutoa ulinzi wa ziada kwa funguo kwa kuhitaji PIN kabla ya kutekeleza operesheni yoyote ambayo inaweza kusababisha kutoa ufunguo wa mkazi kutoka kwa tokeni.
  • Mabadiliko yanayoweza kuvunja utangamano:
    • Ili kutumia FIDO/U2F, inashauriwa kutumia maktaba ya libfido2 angalau toleo la 1.5.0. Uwezo wa kutumia matoleo ya zamani umetekelezwa kwa kiasi, lakini katika hali hii, utendakazi kama vile funguo za mkazi, ombi la PIN na kuunganisha tokeni nyingi hazitapatikana.
    • Katika ssh-keygen, data ya kithibitishaji inayohitajika ili kuthibitisha saini za kidijitali imeongezwa kwenye umbizo la maelezo ya uthibitishaji, ambayo huhifadhiwa kwa hiari wakati wa kutengeneza ufunguo wa FIDO.
    • API inayotumiwa wakati OpenSSH inaingiliana na safu ya kufikia tokeni za FIDO imebadilishwa.
    • Wakati wa kuunda toleo linalobebeka la OpenSSH, uundaji kiotomatiki sasa unahitajika ili kutengeneza hati ya kusanidi na faili zinazoandamana za muundo (ikiwa kujenga kutoka kwa faili ya msimbo iliyochapishwa ya tar, usanidi wa kuunda upya hauhitajiki).
  • Usaidizi ulioongezwa wa vitufe vya FIDO vinavyohitaji uthibitishaji wa PIN katika ssh na ssh-keygen. Ili kutengeneza vitufe kwa kutumia PIN, chaguo la "kuthibitisha-inahitajika" limeongezwa kwa ssh-keygen. Ikiwa funguo kama hizo zinatumiwa, kabla ya kufanya operesheni ya kuunda saini, mtumiaji anaombwa kuthibitisha vitendo vyao kwa kuingiza msimbo wa PIN.
  • Katika sshd, chaguo la "kuthibitisha-inahitajika" linatekelezwa katika mipangilio ya authorized_keys, ambayo inahitaji matumizi ya uwezo ili kuthibitisha uwepo wa mtumiaji wakati wa uendeshaji na ishara. Kiwango cha FIDO hutoa chaguo kadhaa kwa uthibitishaji kama huo, lakini kwa sasa OpenSSH inasaidia tu uthibitishaji unaotegemea PIN.
  • sshd na ssh-keygen zimeongeza usaidizi wa kuthibitisha sahihi za dijitali ambazo zinatii kiwango cha FIDO Webauthn, ambacho huruhusu vitufe vya FIDO kutumika katika vivinjari vya wavuti.
  • Katika ssh kwenye mipangilio ya ChetiFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward na
    RemoteForward inaruhusu uingizwaji wa thamani kutoka kwa vigeu vya mazingira vilivyobainishwa katika umbizo "${ENV}".

  • ssh na wakala wa ssh wameongeza usaidizi kwa utofauti wa mazingira wa $SSH_ASKPASS_REQUIRE, ambao unaweza kutumika kuwezesha au kuzima simu ya ssh-askpass.
  • Katika ssh katika ssh_config katika maagizo ya AddKeysToAgent, uwezo wa kuweka kikomo cha muda wa uhalali wa ufunguo umeongezwa. Baada ya muda uliowekwa kuisha, funguo hufutwa kiotomatiki kutoka kwa wakala wa ssh.
  • Katika scp na sftp, kwa kutumia bendera "-A", sasa unaweza kuruhusu kwa uwazi uelekezaji upya kwa scp na sftp kwa kutumia ssh-agent (kuelekeza upya kumezimwa kwa chaguo-msingi).
  • Usaidizi ulioongezwa wa uingizwaji wa '%k' katika mipangilio ya ssh, ambayo inabainisha jina la ufunguo wa mwenyeji. Kipengele hiki kinaweza kutumika kusambaza vitufe katika faili tofauti (kwa mfano, β€œUserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • Ruhusu matumizi ya operesheni ya "ssh-add -d -" kusoma vitufe kutoka kwa stdin ambavyo vinapaswa kufutwa.
  • Katika sshd, mwanzo na mwisho wa mchakato wa kupogoa unganisho huonyeshwa kwenye logi, iliyodhibitiwa kwa kutumia parameta ya MaxStartups.

Watengenezaji wa OpenSSH pia walikumbuka uondoaji ujao wa algoriti kwa kutumia heshi za SHA-1 kutokana na kukuza ufanisi wa mashambulizi ya mgongano na kiambishi awali (gharama ya kuchagua mgongano inakadiriwa kuwa takriban dola elfu 45). Katika moja ya matoleo yajayo, wanapanga kuzima kwa chaguo-msingi uwezo wa kutumia algoriti ya ufunguo wa saini ya dijiti ya "ssh-rsa", ambayo imetajwa katika RFC asili ya itifaki ya SSH na inasalia kuenea katika mazoezi (kujaribu matumizi. ya ssh-rsa kwenye mifumo yako, unaweza kujaribu kuunganisha kupitia ssh na chaguo "-oHostKeyAlgorithms=-ssh-rsa").

Ili kulainisha uhamishaji wa algoriti mpya katika OpenSSH, toleo lijalo litawezesha mpangilio wa UpdateHostKeys kwa chaguomsingi, ambao utahamisha wateja kiotomatiki hadi kwenye algoriti zinazotegemeka zaidi. Algoriti zinazopendekezwa za uhamaji ni pamoja na rsa-sha2-256/512 kulingana na RFC8332 RSA SHA-2 (inatumika tangu OpenSSH 7.2 na kutumiwa kwa chaguomsingi), ssh-ed25519 (inatumika tangu OpenSSH 6.5) na ecdsa-sha2-nistp256/384 kwenye RFC521 ECDSA (inatumika tangu OpenSSH 5656).

Chanzo: opennet.ru

Kuongeza maoni