புரோஹோஸ்டர் > Блог > இணைய செய்தி > OpenSSH 8.4 வெளியீடு

OpenSSH 8.4 வெளியீடு

நான்கு மாத வளர்ச்சிக்குப் பிறகு வழங்கப்பட்டது OpenSSH 8.4 வெளியீடு, SSH 2.0 மற்றும் SFTP நெறிமுறைகளைப் பயன்படுத்தி வேலை செய்வதற்கான திறந்த கிளையன்ட் மற்றும் சர்வர் செயல்படுத்தல்.

முக்கிய மாற்றங்கள்:

  • பாதுகாப்பு மாற்றங்கள்:
    • ssh-agent இல், SSH அங்கீகாரத்திற்காக உருவாக்கப்படாத FIDO விசைகளைப் பயன்படுத்தும் போது (விசை ஐடி "ssh:" சரத்துடன் தொடங்காது), SSH நெறிமுறையில் பயன்படுத்தப்படும் முறைகளைப் பயன்படுத்தி செய்தி கையொப்பமிடப்படுமா என்பதை இப்போது சரிபார்க்கிறது. இணைய அங்கீகார கோரிக்கைகளுக்கான கையொப்பங்களை உருவாக்க இந்த விசைகளைப் பயன்படுத்துவதற்கான திறனைத் தடுக்க FIDO விசைகளைக் கொண்ட தொலைநிலை ஹோஸ்ட்களுக்கு ssh-ஏஜென்ட்டைத் திருப்பிவிட இந்த மாற்றம் அனுமதிக்காது (தலைகீழ் வழக்கு, ஒரு உலாவி SSH கோரிக்கையில் கையொப்பமிடும்போது, ​​முதலில் விலக்கப்படும். முக்கிய அடையாளங்காட்டியில் "ssh:" முன்னொட்டைப் பயன்படுத்துவதால்).
    • ssh-keygen இன் ரெசிடென்ட் கீ ஜெனரேஷன் FIDO 2.1 விவரக்குறிப்பில் விவரிக்கப்பட்டுள்ள credProtect ஆட்-ஆனுக்கான ஆதரவை உள்ளடக்கியது, இது டோக்கனில் இருந்து குடியுரிமை விசையைப் பிரித்தெடுக்கும் எந்தவொரு செயலையும் செய்வதற்கு முன் PIN தேவைப்படுவதன் மூலம் விசைகளுக்கு கூடுதல் பாதுகாப்பை வழங்குகிறது.
  • பொருந்தக்கூடிய மாற்றங்கள்:
    • FIDO/U2F ஐ ஆதரிக்க, libfido2 நூலகத்தை குறைந்தபட்சம் பதிப்பு 1.5.0 ஐப் பயன்படுத்த பரிந்துரைக்கப்படுகிறது. பழைய பதிப்புகளைப் பயன்படுத்துவதற்கான திறன் ஓரளவு செயல்படுத்தப்பட்டது, ஆனால் இந்த விஷயத்தில், குடியுரிமை விசைகள், பின் கோரிக்கை மற்றும் பல டோக்கன்களை இணைப்பது போன்ற செயல்பாடுகள் கிடைக்காது.
    • ssh-keygen இல், உறுதிப்படுத்தும் டிஜிட்டல் கையொப்பங்களைச் சரிபார்ப்பதற்குத் தேவையான அங்கீகரிப்புத் தரவு உறுதிப்படுத்தல் தகவலின் வடிவமைப்பில் சேர்க்கப்பட்டுள்ளது, FIDO விசையை உருவாக்கும் போது விருப்பமாகச் சேமிக்கப்படும்.
    • FIDO டோக்கன்களை அணுகுவதற்கு OpenSSH லேயருடன் தொடர்பு கொள்ளும்போது பயன்படுத்தப்படும் API மாற்றப்பட்டுள்ளது.
    • OpenSSH இன் போர்ட்டபிள் பதிப்பை உருவாக்கும்போது, ​​உள்ளமைவு ஸ்கிரிப்டை உருவாக்குவதற்கும் அதனுடன் இணைந்த கோப்புகளை உருவாக்குவதற்கும் இப்போது ஆட்டோமேக் தேவைப்படுகிறது (வெளியிடப்பட்ட குறியீடு தார் கோப்பிலிருந்து உருவாக்கினால், கட்டமைப்பை மீண்டும் உருவாக்குவது தேவையில்லை).
  • ssh மற்றும் ssh-keygen இல் பின் சரிபார்ப்பு தேவைப்படும் FIDO விசைகளுக்கான ஆதரவு சேர்க்கப்பட்டது. PIN உடன் விசைகளை உருவாக்க, "சரிபார்ப்பு-தேவை" விருப்பம் ssh-keygen இல் சேர்க்கப்பட்டுள்ளது. அத்தகைய விசைகள் பயன்படுத்தப்பட்டால், கையொப்பத்தை உருவாக்கும் செயல்பாட்டைச் செய்வதற்கு முன், பின் குறியீட்டை உள்ளிடுவதன் மூலம் பயனர்கள் தங்கள் செயல்களை உறுதிப்படுத்தும்படி கேட்கப்படுவார்கள்.
  • sshd இல், "verify-required" விருப்பம், authorized_keys அமைப்பில் செயல்படுத்தப்படுகிறது, இது டோக்கனுடன் செயல்படும் போது பயனரின் இருப்பை சரிபார்க்க திறன்களைப் பயன்படுத்த வேண்டும். FIDO தரநிலை அத்தகைய சரிபார்ப்புக்கு பல விருப்பங்களை வழங்குகிறது, ஆனால் தற்போது OpenSSH பின் அடிப்படையிலான சரிபார்ப்பை மட்டுமே ஆதரிக்கிறது.
  • sshd மற்றும் ssh-keygen ஆகியவை FIDO Webauthn தரநிலைக்கு இணங்க டிஜிட்டல் கையொப்பங்களைச் சரிபார்ப்பதற்கான ஆதரவைச் சேர்த்துள்ளன, இது FIDO விசைகளை இணைய உலாவிகளில் பயன்படுத்த அனுமதிக்கிறது.
  • ssh இல் CertificateFile அமைப்புகளில்,
    ControlPath, IdentityAgent, IdentityFile, LocalForward மற்றும்
    RemoteForward ஆனது "${ENV}" வடிவத்தில் குறிப்பிடப்பட்டுள்ள சூழல் மாறிகளிலிருந்து மதிப்புகளை மாற்ற அனுமதிக்கிறது.

  • ssh மற்றும் ssh-agent ஆகியவை $SSH_ASKPASS_REQUIRE சூழல் மாறிக்கான ஆதரவைச் சேர்த்துள்ளன, இது ssh-askpass அழைப்பை இயக்க அல்லது முடக்கப் பயன்படும்.
  • AddKeysToAgent கட்டளையில் ssh_config இல் ssh இல், ஒரு விசையின் செல்லுபடியாகும் காலத்தை கட்டுப்படுத்தும் திறன் சேர்க்கப்பட்டுள்ளது. குறிப்பிட்ட வரம்பு காலாவதியான பிறகு, விசைகள் தானாகவே ssh-agent இலிருந்து நீக்கப்படும்.
  • scp மற்றும் sftp இல், "-A" கொடியைப் பயன்படுத்தி, நீங்கள் இப்போது வெளிப்படையாக ssh-agent ஐப் பயன்படுத்தி scp மற்றும் sftp க்கு திசைதிருப்பலை அனுமதிக்கலாம் (இயல்புநிலையாக திசைதிருப்பல் முடக்கப்பட்டுள்ளது).
  • ssh அமைப்புகளில் '%k' மாற்றுக்கான ஆதரவு சேர்க்கப்பட்டது, இது ஹோஸ்ட் கீ பெயரைக் குறிப்பிடுகிறது. தனித்தனி கோப்புகளில் விசைகளை விநியோகிக்க இந்த அம்சத்தைப் பயன்படுத்தலாம் (எடுத்துக்காட்டாக, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • stdin இலிருந்து நீக்கப்பட வேண்டிய விசைகளைப் படிக்க "ssh-add -d -" செயல்பாட்டைப் பயன்படுத்த அனுமதிக்கவும்.
  • sshd இல், இணைப்பு சீரமைப்பு செயல்முறையின் தொடக்கமும் முடிவும் பதிவில் பிரதிபலிக்கிறது, இது MaxStartups அளவுருவைப் பயன்படுத்தி கட்டுப்படுத்தப்படுகிறது.

OpenSSH டெவலப்பர்கள் SHA-1 ஹாஷ்களைப் பயன்படுத்தி வரவிருக்கும் அல்காரிதம்களை நீக்குவதையும் நினைவு கூர்ந்தனர். பதவி உயர்வு கொடுக்கப்பட்ட முன்னொட்டுடன் மோதல் தாக்குதல்களின் செயல்திறன் (மோதலைத் தேர்ந்தெடுப்பதற்கான செலவு தோராயமாக 45 ஆயிரம் டாலர்கள் என மதிப்பிடப்பட்டுள்ளது). வரவிருக்கும் வெளியீடுகளில் ஒன்றில், பொது விசை டிஜிட்டல் சிக்னேச்சர் அல்காரிதம் “ssh-rsa” ஐப் பயன்படுத்தும் திறனை முன்னிருப்பாக முடக்க அவர்கள் திட்டமிட்டுள்ளனர், இது SSH நெறிமுறைக்கான அசல் RFC இல் குறிப்பிடப்பட்டுள்ளது மற்றும் நடைமுறையில் பரவலாக உள்ளது (பயன்பாட்டைச் சோதிக்க உங்கள் கணினியில் ssh-rsa இன், “-oHostKeyAlgorithms=-ssh-rsa”) விருப்பத்துடன் ssh வழியாக இணைக்க முயற்சி செய்யலாம்.

OpenSSH இல் புதிய அல்காரிதங்களுக்கு மாற்றத்தை மென்மையாக்க, அடுத்த வெளியீடு இயல்பாகவே UpdateHostKeys அமைப்பை இயக்கும், இது தானாகவே வாடிக்கையாளர்களை மிகவும் நம்பகமான வழிமுறைகளுக்கு மாற்றும். RFC2 RSA SHA-256 அடிப்படையிலான rsa-sha512-8332/2 (OpenSSH 7.2 இலிருந்து ஆதரிக்கப்படுகிறது மற்றும் முன்னிருப்பாகப் பயன்படுத்தப்படுகிறது), ssh-ed25519 (OpenSSH 6.5 இலிருந்து ஆதரிக்கப்படுகிறது) மற்றும் ecdsa-sha2-n256 அடிப்படையில் இடம்பெயர்வுக்கான பரிந்துரைக்கப்பட்ட வழிமுறைகள் அடங்கும். RFC384 ECDSA இல் (OpenSSH 521 இலிருந்து ஆதரிக்கப்படுகிறது).

ஆதாரம்: opennet.ru

கருத்தைச் சேர்