புரோஹோஸ்டர் > Блог > இணைய செய்தி > OpenSSH 8.0 வெளியீடு

OpenSSH 8.0 வெளியீடு

ஐந்து மாத வளர்ச்சிக்குப் பிறகு வழங்கப்பட்டது வெளியீடு OpenSSH 8.0, SSH 2.0 மற்றும் SFTP நெறிமுறைகள் வழியாக வேலை செய்வதற்கான திறந்த கிளையன்ட் மற்றும் சர்வர் செயல்படுத்தல்.

முக்கிய மாற்றங்கள்:

  • குவாண்டம் கம்ப்யூட்டரில் ப்ரூட்-ஃபோர்ஸ் தாக்குதல்களை எதிர்க்கும் ஒரு முக்கிய பரிமாற்ற முறைக்கான சோதனை ஆதரவு ssh மற்றும் sshd இல் சேர்க்கப்பட்டுள்ளது. குவாண்டம் கம்ப்யூட்டர்கள் இயற்கையான எண்ணை முதன்மைக் காரணிகளாக சிதைக்கும் சிக்கலைத் தீர்ப்பதில் தீவிர வேகம் கொண்டவை, இது நவீன சமச்சீரற்ற குறியாக்க வழிமுறைகளுக்கு அடிகோலுகிறது மற்றும் கிளாசிக்கல் செயலிகளில் திறம்பட தீர்க்க முடியாது. முன்மொழியப்பட்ட முறை அல்காரிதம் அடிப்படையிலானது NTRU பிரைம் (செயல்பாடு ntrup4591761), பிந்தைய குவாண்டம் கிரிப்டோசிஸ்டம்களுக்காக உருவாக்கப்பட்டது, மற்றும் நீள்வட்ட வளைவு விசை பரிமாற்ற முறை X25519;
  • sshd இல், ListenAddress மற்றும் PermitOpen வழிகாட்டுதல்கள் 2001 இல் IPv6 உடன் பணிபுரிவதை எளிதாக்குவதற்கு "host:port" க்கு மாற்றாக செயல்படுத்தப்பட்ட மரபு "host/port" தொடரியலை ஆதரிக்காது. நவீன நிலைமைகளில், "[::6]:1" என்ற தொடரியல் IPv22 க்கு நிறுவப்பட்டுள்ளது, மேலும் "புரவலன்/போர்ட்" என்பது சப்நெட்டை (CIDR) குறிப்பதில் அடிக்கடி குழப்பமடைகிறது;
  • ssh, ssh-agent மற்றும் ssh-add இப்போது ஆதரவு விசைகள் ECDSA PKCS#11 டோக்கன்களில்;
  • ssh-keygen இல், புதிய NIST பரிந்துரைகளுக்கு இணங்க, இயல்புநிலை RSA விசை அளவு 3072 பிட்களாக அதிகரிக்கப்பட்டுள்ளது;
  • ssh_config இல் குறிப்பிடப்பட்டுள்ள PKCS11Provider கட்டளையை மேலெழுத, "PKCS11Provider=none" அமைப்பைப் பயன்படுத்த ssh அனுமதிக்கிறது;
  • sshd_config இல் உள்ள “ForceCommand=internal-sftp” கட்டுப்பாட்டால் தடுக்கப்பட்ட கட்டளைகளை இயக்க முயற்சிக்கும் போது, ​​இணைப்பு நிறுத்தப்படும் போது, ​​சூழ்நிலைகளின் பதிவு காட்சியை sshd வழங்குகிறது;
  • ssh இல், புதிய புரவலன் விசையை ஏற்றுக்கொள்வதை உறுதிப்படுத்துவதற்கான கோரிக்கையைக் காண்பிக்கும் போது, ​​"ஆம்" பதிலுக்குப் பதிலாக, விசையின் சரியான கைரேகை இப்போது ஏற்றுக்கொள்ளப்படுகிறது (இணைப்பை உறுதிப்படுத்துவதற்கான அழைப்பிற்கு பதிலளிக்கும் வகையில், பயனர் நகலெடுக்கலாம் கிளிப்போர்டு வழியாக தனித்தனியாக குறிப்பு ஹாஷ் பெறப்பட்டது, அதனால் அதை கைமுறையாக ஒப்பிட வேண்டாம்);
  • கட்டளை வரியில் பல சான்றிதழ்களுக்கான டிஜிட்டல் கையொப்பங்களை உருவாக்கும் போது ssh-keygen சான்றிதழ் வரிசை எண்ணை தானாக அதிகரிப்பதை வழங்குகிறது;
  • "-J" என்ற புதிய விருப்பம் scp மற்றும் sftp இல் சேர்க்கப்பட்டுள்ளது, இது ProxyJump அமைப்பிற்கு சமமானது;
  • ssh-agent, ssh-pkcs11-helper மற்றும் ssh-add ஆகியவற்றில், வெளியீட்டின் தகவல் உள்ளடக்கத்தை அதிகரிக்க, “-v” கட்டளை வரி விருப்பத்தின் செயலாக்கம் சேர்க்கப்பட்டுள்ளது (குறிப்பிடப்பட்டால், இந்த விருப்பம் குழந்தை செயல்முறைகளுக்கு அனுப்பப்படும். உதாரணமாக, ssh-pkcs11-helper ssh-agent இலிருந்து அழைக்கப்படும் போது );
  • டிஜிட்டல் சிக்னேச்சர் உருவாக்கம் மற்றும் சரிபார்ப்பு செயல்பாடுகளைச் செய்வதற்கு ssh-ஏஜெண்டில் உள்ள விசைகளின் பொருத்தத்தை சோதிக்க ssh-add இல் “-T” விருப்பம் சேர்க்கப்பட்டுள்ளது;
  • sftp-server "lsetstat at openssh.com" நெறிமுறை நீட்டிப்புக்கான ஆதரவைச் செயல்படுத்துகிறது, இது SFTPக்கான SSH2_FXP_SETSTAT செயல்பாட்டிற்கான ஆதரவைச் சேர்க்கிறது, ஆனால் குறியீட்டு இணைப்புகளைப் பின்பற்றாமல்;
  • குறியீட்டு இணைப்புகளைப் பயன்படுத்தாத கோரிக்கைகளுடன் chown/chgrp/chmod கட்டளைகளை இயக்க sftp இல் "-h" விருப்பம் சேர்க்கப்பட்டது;
  • PAM க்கான $SSH_CONNECTION சூழல் மாறியின் அமைப்பை sshd வழங்குகிறது;
  • sshdக்கு, ssh_config இல் ஒரு “மேட்ச் ஃபைனல்” மேட்சிங் பயன்முறை சேர்க்கப்பட்டுள்ளது, இது “மேட்ச் கேனானிகல்” போன்றது, ஆனால் ஹோஸ்ட்பெயர் இயல்பாக்கம் செயல்படுத்தப்பட வேண்டிய அவசியமில்லை;
  • தொகுதி முறையில் செயல்படுத்தப்படும் கட்டளைகளின் வெளியீட்டின் மொழிபெயர்ப்பை முடக்க sftp க்கு '@' முன்னொட்டுக்கான ஆதரவு சேர்க்கப்பட்டது;
  • கட்டளையைப் பயன்படுத்தி சான்றிதழின் உள்ளடக்கங்களைக் காண்பிக்கும் போது
    "ssh-keygen -Lf /path/certificate" இப்போது சான்றிதழை சரிபார்க்க CA ஆல் பயன்படுத்தப்படும் அல்காரிதத்தைக் காட்டுகிறது;

  • Cygwin சூழலுக்கு மேம்படுத்தப்பட்ட ஆதரவு, எடுத்துக்காட்டாக குழு மற்றும் பயனர் பெயர்களின் கேஸ்-சென்சிட்டிவ் ஒப்பீட்டை வழங்குகிறது. மைக்ரோசாப்ட் வழங்கிய OpenSSH போர்ட்டில் குறுக்கிடுவதைத் தவிர்க்க, Cygwin போர்ட்டில் உள்ள sshd செயல்முறை cygsshd ஆக மாற்றப்பட்டுள்ளது;
  • சோதனை OpenSSL 3.x கிளையுடன் உருவாக்கும் திறனைச் சேர்த்தது;
  • நீக்கப்பட்டது பாதிப்பு (CVE-2019-6111) scp பயன்பாட்டை செயல்படுத்துகிறது, இது தாக்குபவரால் கட்டுப்படுத்தப்படும் சேவையகத்தை அணுகும்போது, ​​இலக்கு கோப்பகத்தில் உள்ள தன்னிச்சையான கோப்புகளை கிளையன்ட் பக்கத்தில் மேலெழுத அனுமதிக்கிறது. சிக்கல் என்னவென்றால், scp ஐப் பயன்படுத்தும் போது, ​​கிளையண்டிற்கு எந்த கோப்புகள் மற்றும் கோப்பகங்களை அனுப்ப வேண்டும் என்பதை சேவையகம் தீர்மானிக்கிறது, மேலும் கிளையன்ட் திரும்பிய பொருள் பெயர்களின் சரியான தன்மையை மட்டுமே சரிபார்க்கிறது. கிளையண்ட் பக்கச் சரிபார்ப்பு என்பது தற்போதைய கோப்பகத்திற்கு அப்பால் (“../”) பயணத்தைத் தடுப்பதற்கு மட்டுமே வரையறுக்கப்பட்டுள்ளது, ஆனால் முதலில் கோரப்பட்டவற்றிலிருந்து வேறுபட்ட பெயர்களைக் கொண்ட கோப்புகளின் பரிமாற்றத்தை கணக்கில் எடுத்துக்கொள்ளாது. சுழல்நிலை நகலெடுக்கும் விஷயத்தில் (-r), கோப்பு பெயர்களுக்கு கூடுதலாக, நீங்கள் துணை அடைவுகளின் பெயர்களையும் இதே வழியில் கையாளலாம். எடுத்துக்காட்டாக, பயனர் ஹோம் டைரக்டரியில் கோப்புகளை நகலெடுத்தால், தாக்குபவரால் கட்டுப்படுத்தப்படும் சேவையகம் கோரப்பட்ட கோப்புகளுக்குப் பதிலாக .bash_aliases அல்லது .ssh/authorized_keys என்ற பெயர்களைக் கொண்ட கோப்புகளை உருவாக்கலாம், மேலும் அவை பயனரின் scp பயன்பாட்டு மூலம் சேமிக்கப்படும். முகப்பு அடைவு.

    புதிய வெளியீட்டில், கோரப்பட்ட கோப்பு பெயர்களுக்கும் சேவையகத்தால் அனுப்பப்பட்டவற்றுக்கும் இடையிலான கடிதப் பரிமாற்றத்தைச் சரிபார்க்க scp பயன்பாடு புதுப்பிக்கப்பட்டது, இது கிளையன்ட் பக்கத்தில் செய்யப்படுகிறது. இது முகமூடி செயலாக்கத்தில் சிக்கல்களை ஏற்படுத்தலாம், ஏனெனில் முகமூடி விரிவாக்க எழுத்துக்கள் சேவையகம் மற்றும் கிளையன்ட் பக்கங்களில் வேறுபட்ட முறையில் செயலாக்கப்படலாம். அத்தகைய வேறுபாடுகள் கிளையன்ட் scp இல் கோப்புகளை ஏற்றுக்கொள்வதை நிறுத்தினால், கிளையன்ட் பக்க சரிபார்ப்பை முடக்க “-T” விருப்பம் சேர்க்கப்பட்டுள்ளது. சிக்கலை முழுமையாக சரிசெய்ய, scp நெறிமுறையின் கருத்தியல் மறுவேலை தேவைப்படுகிறது, அது ஏற்கனவே காலாவதியானது, எனவே அதற்கு பதிலாக sftp மற்றும் rsync போன்ற நவீன நெறிமுறைகளைப் பயன்படுத்த பரிந்துரைக்கப்படுகிறது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்