நான்கு மாத வளர்ச்சிக்குப் பிறகு
முக்கிய மாற்றங்கள்:
- பாதுகாப்பு மாற்றங்கள்:
- ssh-agent இல், SSH அங்கீகாரத்திற்காக உருவாக்கப்படாத FIDO விசைகளைப் பயன்படுத்தும் போது (விசை ஐடி "ssh:" சரத்துடன் தொடங்காது), SSH நெறிமுறையில் பயன்படுத்தப்படும் முறைகளைப் பயன்படுத்தி செய்தி கையொப்பமிடப்படுமா என்பதை இப்போது சரிபார்க்கிறது. இணைய அங்கீகார கோரிக்கைகளுக்கான கையொப்பங்களை உருவாக்க இந்த விசைகளைப் பயன்படுத்துவதற்கான திறனைத் தடுக்க FIDO விசைகளைக் கொண்ட தொலைநிலை ஹோஸ்ட்களுக்கு ssh-ஏஜென்ட்டைத் திருப்பிவிட இந்த மாற்றம் அனுமதிக்காது (தலைகீழ் வழக்கு, ஒரு உலாவி SSH கோரிக்கையில் கையொப்பமிடும்போது, முதலில் விலக்கப்படும். முக்கிய அடையாளங்காட்டியில் "ssh:" முன்னொட்டைப் பயன்படுத்துவதால்).
- ssh-keygen இன் ரெசிடென்ட் கீ ஜெனரேஷன் FIDO 2.1 விவரக்குறிப்பில் விவரிக்கப்பட்டுள்ள credProtect ஆட்-ஆனுக்கான ஆதரவை உள்ளடக்கியது, இது டோக்கனில் இருந்து குடியுரிமை விசையைப் பிரித்தெடுக்கும் எந்தவொரு செயலையும் செய்வதற்கு முன் PIN தேவைப்படுவதன் மூலம் விசைகளுக்கு கூடுதல் பாதுகாப்பை வழங்குகிறது.
- பொருந்தக்கூடிய மாற்றங்கள்:
- FIDO/U2F ஐ ஆதரிக்க, libfido2 நூலகத்தை குறைந்தபட்சம் பதிப்பு 1.5.0 ஐப் பயன்படுத்த பரிந்துரைக்கப்படுகிறது. பழைய பதிப்புகளைப் பயன்படுத்துவதற்கான திறன் ஓரளவு செயல்படுத்தப்பட்டது, ஆனால் இந்த விஷயத்தில், குடியுரிமை விசைகள், பின் கோரிக்கை மற்றும் பல டோக்கன்களை இணைப்பது போன்ற செயல்பாடுகள் கிடைக்காது.
- ssh-keygen இல், உறுதிப்படுத்தும் டிஜிட்டல் கையொப்பங்களைச் சரிபார்ப்பதற்குத் தேவையான அங்கீகரிப்புத் தரவு உறுதிப்படுத்தல் தகவலின் வடிவமைப்பில் சேர்க்கப்பட்டுள்ளது, FIDO விசையை உருவாக்கும் போது விருப்பமாகச் சேமிக்கப்படும்.
- FIDO டோக்கன்களை அணுகுவதற்கு OpenSSH லேயருடன் தொடர்பு கொள்ளும்போது பயன்படுத்தப்படும் API மாற்றப்பட்டுள்ளது.
- OpenSSH இன் போர்ட்டபிள் பதிப்பை உருவாக்கும்போது, உள்ளமைவு ஸ்கிரிப்டை உருவாக்குவதற்கும் அதனுடன் இணைந்த கோப்புகளை உருவாக்குவதற்கும் இப்போது ஆட்டோமேக் தேவைப்படுகிறது (வெளியிடப்பட்ட குறியீடு தார் கோப்பிலிருந்து உருவாக்கினால், கட்டமைப்பை மீண்டும் உருவாக்குவது தேவையில்லை).
- ssh மற்றும் ssh-keygen இல் பின் சரிபார்ப்பு தேவைப்படும் FIDO விசைகளுக்கான ஆதரவு சேர்க்கப்பட்டது. PIN உடன் விசைகளை உருவாக்க, "சரிபார்ப்பு-தேவை" விருப்பம் ssh-keygen இல் சேர்க்கப்பட்டுள்ளது. அத்தகைய விசைகள் பயன்படுத்தப்பட்டால், கையொப்பத்தை உருவாக்கும் செயல்பாட்டைச் செய்வதற்கு முன், பின் குறியீட்டை உள்ளிடுவதன் மூலம் பயனர்கள் தங்கள் செயல்களை உறுதிப்படுத்தும்படி கேட்கப்படுவார்கள்.
- sshd இல், "verify-required" விருப்பம், authorized_keys அமைப்பில் செயல்படுத்தப்படுகிறது, இது டோக்கனுடன் செயல்படும் போது பயனரின் இருப்பை சரிபார்க்க திறன்களைப் பயன்படுத்த வேண்டும். FIDO தரநிலை அத்தகைய சரிபார்ப்புக்கு பல விருப்பங்களை வழங்குகிறது, ஆனால் தற்போது OpenSSH பின் அடிப்படையிலான சரிபார்ப்பை மட்டுமே ஆதரிக்கிறது.
- sshd மற்றும் ssh-keygen ஆகியவை FIDO Webauthn தரநிலைக்கு இணங்க டிஜிட்டல் கையொப்பங்களைச் சரிபார்ப்பதற்கான ஆதரவைச் சேர்த்துள்ளன, இது FIDO விசைகளை இணைய உலாவிகளில் பயன்படுத்த அனுமதிக்கிறது.
- ssh இல் CertificateFile அமைப்புகளில்,
ControlPath, IdentityAgent, IdentityFile, LocalForward மற்றும்
RemoteForward ஆனது "${ENV}" வடிவத்தில் குறிப்பிடப்பட்டுள்ள சூழல் மாறிகளிலிருந்து மதிப்புகளை மாற்ற அனுமதிக்கிறது. - ssh மற்றும் ssh-agent ஆகியவை $SSH_ASKPASS_REQUIRE சூழல் மாறிக்கான ஆதரவைச் சேர்த்துள்ளன, இது ssh-askpass அழைப்பை இயக்க அல்லது முடக்கப் பயன்படும்.
- AddKeysToAgent கட்டளையில் ssh_config இல் ssh இல், ஒரு விசையின் செல்லுபடியாகும் காலத்தை கட்டுப்படுத்தும் திறன் சேர்க்கப்பட்டுள்ளது. குறிப்பிட்ட வரம்பு காலாவதியான பிறகு, விசைகள் தானாகவே ssh-agent இலிருந்து நீக்கப்படும்.
- scp மற்றும் sftp இல், "-A" கொடியைப் பயன்படுத்தி, நீங்கள் இப்போது வெளிப்படையாக ssh-agent ஐப் பயன்படுத்தி scp மற்றும் sftp க்கு திசைதிருப்பலை அனுமதிக்கலாம் (இயல்புநிலையாக திசைதிருப்பல் முடக்கப்பட்டுள்ளது).
- ssh அமைப்புகளில் '%k' மாற்றுக்கான ஆதரவு சேர்க்கப்பட்டது, இது ஹோஸ்ட் கீ பெயரைக் குறிப்பிடுகிறது. தனித்தனி கோப்புகளில் விசைகளை விநியோகிக்க இந்த அம்சத்தைப் பயன்படுத்தலாம் (எடுத்துக்காட்டாக, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
- stdin இலிருந்து நீக்கப்பட வேண்டிய விசைகளைப் படிக்க "ssh-add -d -" செயல்பாட்டைப் பயன்படுத்த அனுமதிக்கவும்.
- sshd இல், இணைப்பு சீரமைப்பு செயல்முறையின் தொடக்கமும் முடிவும் பதிவில் பிரதிபலிக்கிறது, இது MaxStartups அளவுருவைப் பயன்படுத்தி கட்டுப்படுத்தப்படுகிறது.
OpenSSH டெவலப்பர்கள் SHA-1 ஹாஷ்களைப் பயன்படுத்தி வரவிருக்கும் அல்காரிதம்களை நீக்குவதையும் நினைவு கூர்ந்தனர்.
OpenSSH இல் புதிய அல்காரிதங்களுக்கு மாற்றத்தை மென்மையாக்க, அடுத்த வெளியீடு இயல்பாகவே UpdateHostKeys அமைப்பை இயக்கும், இது தானாகவே வாடிக்கையாளர்களை மிகவும் நம்பகமான வழிமுறைகளுக்கு மாற்றும். RFC2 RSA SHA-256 அடிப்படையிலான rsa-sha512-8332/2 (OpenSSH 7.2 இலிருந்து ஆதரிக்கப்படுகிறது மற்றும் முன்னிருப்பாகப் பயன்படுத்தப்படுகிறது), ssh-ed25519 (OpenSSH 6.5 இலிருந்து ஆதரிக்கப்படுகிறது) மற்றும் ecdsa-sha2-n256 அடிப்படையில் இடம்பெயர்வுக்கான பரிந்துரைக்கப்பட்ட வழிமுறைகள் அடங்கும். RFC384 ECDSA இல் (OpenSSH 521 இலிருந்து ஆதரிக்கப்படுகிறது).
ஆதாரம்: opennet.ru