ProHoster > blog > habari za mtandao > Kutolewa kwa OpenSSH 8.7

Kutolewa kwa OpenSSH 8.7

Baada ya miezi minne ya maendeleo, kutolewa kwa OpenSSH 8.7, utekelezaji wazi wa mteja na seva kwa kufanya kazi juu ya itifaki za SSH 2.0 na SFTP, iliwasilishwa.

Mabadiliko kuu:

  • Hali ya majaribio ya kuhamisha data imeongezwa kwa scp kwa kutumia itifaki ya SFTP badala ya itifaki ya jadi ya SCP/RCP. SFTP hutumia mbinu zinazotabirika zaidi za kushughulikia majina na haitumii uchakataji wa ganda la mifumo ya globu kwenye upande wa seva pangishi, jambo ambalo huzua matatizo ya usalama. Ili kuwezesha SFTP katika scp, bendera "-s" imependekezwa, lakini katika siku zijazo imepangwa kubadili itifaki hii kwa default.
  • sftp-server hutumia viendelezi kwa itifaki ya SFTP kupanua ~/ na ~user/ njia, ambayo ni muhimu kwa scp.
  • Huduma ya scp imebadilisha tabia wakati wa kunakili faili kati ya seva pangishi mbili za mbali (kwa mfano, "scp host-a:/path host-b:"), ambayo sasa inafanywa kwa chaguo-msingi kupitia mwenyeji wa kati wa ndani, kama wakati wa kubainisha " -3" bendera. Njia hii hukuruhusu kuzuia kupitisha sifa zisizo za lazima kwa mwenyeji wa kwanza na tafsiri tatu za majina ya faili kwenye ganda (kwenye chanzo, marudio na upande wa mfumo wa ndani), na wakati wa kutumia SFTP, hukuruhusu kutumia njia zote za uthibitishaji wakati wa kufikia kijijini. majeshi, na sio tu njia zisizo za mwingiliano . Chaguo la "-R" limeongezwa ili kurejesha tabia ya zamani.
  • Imeongeza mpangilio wa ForkAfterAuthentication kwa ssh inayolingana na bendera ya "-f".
  • Imeongeza mpangilio wa StdinNull kwa ssh, inayolingana na bendera ya "-n".
  • Mpangilio wa SessionType umeongezwa kwa ssh, ambapo unaweza kuweka modi zinazolingana na bendera za "-N" (hakuna kipindi) na "-s" (mfumo mdogo).
  • ssh-keygen hukuruhusu kutaja muda muhimu wa uhalali katika faili muhimu.
  • Imeongeza bendera ya "-Oprint-pubkey" kwenye ssh-keygen ili kuchapisha ufunguo kamili wa umma kama sehemu ya sahihi ya sshsig.
  • Katika ssh na sshd, mteja na seva zote zimehamishwa ili kutumia kichanganuzi cha faili chenye vikwazo zaidi ambacho hutumia sheria zinazofanana na ganda kwa kushughulikia nukuu, nafasi, na herufi za kutoroka. Kichanganuzi kipya pia hakipuuzi mawazo yaliyotolewa hapo awali, kama vile kuacha hoja katika chaguo (kwa mfano, maagizo ya DenyUsers hayawezi tena kuachwa tupu), nukuu ambazo hazijafungwa, na kubainisha herufi nyingi =.
  • Unapotumia rekodi za DNS za SSHFP wakati wa kuthibitisha funguo, ssh sasa hukagua rekodi zote zinazolingana, si zile tu zilizo na aina mahususi ya sahihi dijitali.
  • Katika ssh-keygen, wakati wa kutengeneza ufunguo wa FIDO kwa chaguo la -Ochallenge, safu iliyojengewa ndani sasa inatumika kwa hashing, badala ya libfido2, ambayo inaruhusu matumizi ya msururu wa changamoto kubwa au ndogo kuliko baiti 32.
  • Katika sshd, wakati wa kuchakata mazingira="..." maagizo katika faili za authorized_keys, mechi ya kwanza sasa inakubaliwa na kuna kikomo cha majina 1024 ya kutofautisha mazingira.

Wasanidi wa OpenSSH pia walionya kuhusu mtengano wa algoriti kwa kutumia heshi za SHA-1 kutokana na ongezeko la ufanisi wa mashambulizi ya mgongano na kiambishi awali fulani (gharama ya kuchagua mgongano inakadiriwa kuwa takriban dola elfu 50). Katika toleo lijalo, tunapanga kuzima kwa chaguo-msingi uwezo wa kutumia algoriti ya ufunguo wa umma wa sahihi ya dijiti "ssh-rsa", ambayo ilitajwa katika RFC asili kwa itifaki ya SSH na inasalia kutumika sana katika mazoezi.

Ili kujaribu matumizi ya ssh-rsa kwenye mifumo yako, unaweza kujaribu kuunganisha kupitia ssh na chaguo la "-oHostKeyAlgorithms=-ssh-rsa". Wakati huo huo, kuzima saini za dijiti za "ssh-rsa" kwa chaguo-msingi haimaanishi kuachwa kabisa kwa matumizi ya funguo za RSA, kwani pamoja na SHA-1, itifaki ya SSH inaruhusu matumizi ya algorithms zingine za hesabu za hashi. Hasa, pamoja na "ssh-rsa", itabaki inawezekana kutumia vifurushi vya "rsa-sha2-256" (RSA/SHA256) na "rsa-sha2-512" (RSA/SHA512).

Ili kulainisha mpito kwa algoriti mpya, OpenSSH awali ilikuwa na mipangilio ya UpdateHostKeys iliyowezeshwa kwa chaguomsingi, ambayo inaruhusu wateja kubadili kiotomatiki hadi algoriti zinazotegemeka zaidi. Kutumia mpangilio huu, kiendelezi maalum cha itifaki kimewezeshwa "[barua pepe inalindwa]", kuruhusu seva, baada ya uthibitishaji, kumjulisha mteja kuhusu funguo zote za mwenyeji zinazopatikana. Kiteja kinaweza kuonyesha funguo hizi katika ~/.ssh/known_hosts faili yake, ambayo inaruhusu funguo za seva pangishi kusasishwa na kurahisisha kubadilisha vitufe kwenye seva.

Matumizi ya UpdateHostKeys yamepunguzwa na tahadhari kadhaa ambazo zinaweza kuondolewa katika siku zijazo: ufunguo lazima urejelewe katika UserKnownHostsFile na usitumike katika GlobalKnownHostsFile; ufunguo lazima uwepo chini ya jina moja tu; cheti cha ufunguo wa mwenyeji haipaswi kutumiwa; katika masks_wanaojulikana kwa jina la mwenyeji haipaswi kutumiwa; mpangilio wa VerifyHostKeyDNS lazima uzimishwe; Kigezo cha UserKnowHostsFile lazima kiwe amilifu.

Algoriti zinazopendekezwa za uhamiaji ni pamoja na rsa-sha2-256/512 kulingana na RFC8332 RSA SHA-2 (inatumika tangu OpenSSH 7.2 na kutumika kwa chaguomsingi), ssh-ed25519 (inatumika tangu OpenSSH 6.5) na ecdsa-sha2-nistp256/384 kwenye RFC521 ECDSA (inatumika tangu OpenSSH 5656).

Chanzo: opennet.ru

Kuongeza maoni