புரோஹோஸ்டர் > Блог > இணைய செய்தி > OpenSSH 8.5 வெளியீடு

OpenSSH 8.5 வெளியீடு

ஐந்து மாத வளர்ச்சிக்குப் பிறகு, SSH 8.5 மற்றும் SFTP நெறிமுறைகளில் வேலை செய்வதற்கான கிளையன்ட் மற்றும் சர்வரின் திறந்த செயலாக்கமான OpenSSH 2.0 வெளியீடு வழங்கப்படுகிறது.

OpenSSH டெவலப்பர்கள், கொடுக்கப்பட்ட முன்னொட்டுடன் மோதல் தாக்குதல்களின் அதிகரித்த செயல்திறன் காரணமாக SHA-1 ஹாஷ்களைப் பயன்படுத்தி அல்காரிதம்களின் வரவிருக்கும் செயலிழப்பை நினைவூட்டினர் (மோதலைத் தேர்ந்தெடுப்பதற்கான செலவு தோராயமாக $50 ஆயிரம் என மதிப்பிடப்பட்டுள்ளது). வரவிருக்கும் வெளியீடுகளில் ஒன்றில், "ssh-rsa" பொது விசை டிஜிட்டல் சிக்னேச்சர் அல்காரிதத்தைப் பயன்படுத்தும் திறனை முன்னிருப்பாக முடக்க அவர்கள் திட்டமிட்டுள்ளனர், இது SSH நெறிமுறைக்கான அசல் RFC இல் குறிப்பிடப்பட்டுள்ளது மற்றும் நடைமுறையில் பரவலாக உள்ளது.

உங்கள் கணினியில் ssh-rsa இன் பயன்பாட்டைச் சோதிக்க, “-oHostKeyAlgorithms=-ssh-rsa” விருப்பத்துடன் ssh வழியாக இணைக்க முயற்சி செய்யலாம். அதே நேரத்தில், "ssh-rsa" டிஜிட்டல் கையொப்பங்களை முன்னிருப்பாக முடக்குவது RSA விசைகளின் பயன்பாட்டை முழுமையாக கைவிடுவதாக அர்த்தமில்லை, ஏனெனில் SHA-1 க்கு கூடுதலாக, SSH நெறிமுறை மற்ற ஹாஷ் கணக்கீட்டு வழிமுறைகளைப் பயன்படுத்த அனுமதிக்கிறது. குறிப்பாக, “ssh-rsa” க்கு கூடுதலாக, “rsa-sha2-256” (RSA/SHA256) மற்றும் “rsa-sha2-512” (RSA/SHA512) தொகுப்புகளைப் பயன்படுத்த முடியும்.

புதிய அல்காரிதங்களுக்கு மாற்றத்தை மென்மையாக்க, OpenSSH 8.5 ஆனது UpdateHostKeys அமைப்பை இயல்புநிலையாக இயக்கியுள்ளது, இது வாடிக்கையாளர்கள் தானாக நம்பகமான வழிமுறைகளுக்கு மாற அனுமதிக்கிறது. இந்த அமைப்பைப் பயன்படுத்தி, ஒரு சிறப்பு நெறிமுறை நீட்டிப்பு இயக்கப்பட்டது "[மின்னஞ்சல் பாதுகாக்கப்பட்டது]", அங்கீகாரத்திற்குப் பிறகு, கிடைக்கக்கூடிய அனைத்து ஹோஸ்ட் விசைகளைப் பற்றியும் கிளையண்டிற்குத் தெரிவிக்க சேவையகத்தை அனுமதிக்கிறது. கிளையன்ட் இந்த விசைகளை அதன் ~/.ssh/known_hosts கோப்பில் பிரதிபலிக்க முடியும், இது ஹோஸ்ட் விசைகளை புதுப்பிக்க அனுமதிக்கிறது மற்றும் சர்வரில் விசைகளை மாற்றுவதை எளிதாக்குகிறது.

UpdateHostKeys இன் பயன்பாடு எதிர்காலத்தில் அகற்றப்படக்கூடிய பல எச்சரிக்கைகளால் வரையறுக்கப்பட்டுள்ளது: விசையானது UserKnownHostsFile இல் குறிப்பிடப்பட வேண்டும் மற்றும் GlobalKnownHostsFile இல் பயன்படுத்தப்படக்கூடாது; விசை ஒரே பெயரில் இருக்க வேண்டும்; ஹோஸ்ட் கீ சான்றிதழைப் பயன்படுத்தக்கூடாது; தெரிந்த_ஹோஸ்ட்களில் ஹோஸ்ட் பெயரின் முகமூடிகளைப் பயன்படுத்தக்கூடாது; VerifyHostKeyDNS அமைப்பு முடக்கப்பட்டிருக்க வேண்டும்; UserKnownHostsFile அளவுரு செயலில் இருக்க வேண்டும்.

RFC2 RSA SHA-256 அடிப்படையிலான rsa-sha512-8332/2 (OpenSSH 7.2 இலிருந்து ஆதரிக்கப்படுகிறது மற்றும் முன்னிருப்பாகப் பயன்படுத்தப்படுகிறது), ssh-ed25519 (OpenSSH 6.5 இலிருந்து ஆதரிக்கப்படுகிறது) மற்றும் ecdsa-sha2-n256 அடிப்படையில் இடம்பெயர்வுக்கான பரிந்துரைக்கப்பட்ட வழிமுறைகள் அடங்கும். RFC384 ECDSA இல் (OpenSSH 521 இலிருந்து ஆதரிக்கப்படுகிறது).

மற்ற மாற்றங்கள்:

  • பாதுகாப்பு மாற்றங்கள்:
    • ஏற்கனவே விடுவிக்கப்பட்ட நினைவகப் பகுதியை (இரட்டை-இலவசம்) மீண்டும் விடுவிப்பதால் ஏற்படும் பாதிப்பு ssh-ஏஜெண்டில் சரி செய்யப்பட்டது. OpenSSH 8.2 வெளியிடப்பட்டதில் இருந்து சிக்கல் உள்ளது மற்றும் உள்ளூர் அமைப்பில் உள்ள ssh-ஏஜெண்ட் சாக்கெட்டைத் தாக்குபவர் அணுகினால் அது பயன்படுத்தப்படலாம். சுரண்டலை மிகவும் கடினமாக்குவது என்னவென்றால், ரூட் மற்றும் அசல் பயனருக்கு மட்டுமே சாக்கெட்டுக்கான அணுகல் உள்ளது. தாக்குபவர்களால் கட்டுப்படுத்தப்படும் கணக்கு அல்லது தாக்குபவர் ரூட் அணுகலைக் கொண்ட ஒரு ஹோஸ்டுக்கு ஏஜென்ட் திருப்பி விடப்படுவது பெரும்பாலும் தாக்குதல் சூழ்நிலையாகும்.
    • sshd ஆனது பயனர் பெயருடன் கூடிய மிகப் பெரிய அளவுருக்களை PAM துணை அமைப்பிற்கு அனுப்புவதிலிருந்து பாதுகாப்பைச் சேர்த்துள்ளது, இது PAM (Pluggable Authentication Module) கணினி தொகுதிகளில் உள்ள பாதிப்புகளைத் தடுக்க உங்களை அனுமதிக்கிறது. எடுத்துக்காட்டாக, Solaris (CVE-2020-14871) இல் சமீபத்தில் கண்டுபிடிக்கப்பட்ட ரூட் பாதிப்பைப் பயன்படுத்த sshd ஒரு திசையனாகப் பயன்படுத்தப்படுவதை இந்த மாற்றம் தடுக்கிறது.
  • பொருந்தக்கூடிய மாற்றங்கள்:
    • В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо [மின்னஞ்சல் பாதுகாக்கப்பட்டது] метод теперь идентифицируется как [மின்னஞ்சல் பாதுகாக்கப்பட்டது] (sntrup4591761 அல்காரிதம் sntrup761 ஆல் மாற்றப்பட்டது).
    • ssh மற்றும் sshd இல், ஆதரிக்கப்படும் டிஜிட்டல் சிக்னேச்சர் அல்காரிதம்கள் அறிவிக்கப்படும் வரிசை மாற்றப்பட்டுள்ளது. ECDSA க்கு பதிலாக ED25519 இப்போது முதலில் வழங்கப்படுகிறது.
    • ssh மற்றும் sshd இல், TCP இணைப்பை நிறுவுவதற்கு முன், ஊடாடும் அமர்வுகளுக்கான சேவை அளவுருக்களின் TOS/DSCP தரத்தை அமைப்பது இப்போது செய்யப்படுகிறது.
    • ssh மற்றும் sshd இல் சைஃபர் ஆதரவு நிறுத்தப்பட்டது [மின்னஞ்சல் பாதுகாக்கப்பட்டது], இது aes256-cbc ஐப் போன்றது மற்றும் RFC-4253 அங்கீகரிக்கப்படுவதற்கு முன்பு பயன்படுத்தப்பட்டது.
    • முன்னிருப்பாக, CheckHostIP அளவுரு முடக்கப்பட்டுள்ளது, இதன் நன்மை மிகக் குறைவு, ஆனால் அதன் பயன்பாடு சுமை பேலன்சர்களுக்குப் பின்னால் உள்ள ஹோஸ்ட்களுக்கான முக்கிய சுழற்சியை கணிசமாக சிக்கலாக்குகிறது.
  • கிளையன்ட் முகவரியின் அடிப்படையில் ஹேண்ட்லர்களைத் தொடங்குவதன் தீவிரத்தைக் கட்டுப்படுத்த PerSourceMaxStartups மற்றும் PerSourceNetBlockSize அமைப்புகள் sshd இல் சேர்க்கப்பட்டுள்ளன. இந்த அளவுருக்கள், பொதுவான MaxStartup அமைப்புகளுடன் ஒப்பிடும்போது, ​​செயல்முறை துவக்கங்களின் வரம்பை மிக நேர்த்தியாகக் கட்டுப்படுத்த உங்களை அனுமதிக்கின்றன.
  • ssh மற்றும் sshd இல் ஒரு புதிய LogVerbose அமைப்பு சேர்க்கப்பட்டுள்ளது, இது வார்ப்புருக்கள், செயல்பாடுகள் மற்றும் கோப்புகள் மூலம் வடிகட்டக்கூடிய திறனுடன் பதிவில் உள்ள பிழைத்திருத்தத் தகவலின் அளவை வலுக்கட்டாயமாக உயர்த்த உங்களை அனுமதிக்கிறது.
  • ssh இல், புதிய ஹோஸ்ட் விசையை ஏற்கும் போது, ​​விசையுடன் தொடர்புடைய அனைத்து ஹோஸ்ட்பெயர்கள் மற்றும் ஐபி முகவரிகள் காட்டப்படும்.
  • ssh ஆனது UserKnownHostsFile=எந்தவொரு விருப்பமும் ஹோஸ்ட் விசைகளை அடையாளம் காணும்போது தெரிந்த_hosts கோப்பின் பயன்பாட்டை முடக்க அனுமதிக்கிறது.
  • ஒரு KnownHostsCommand அமைப்பு ssh க்கான ssh_config இல் சேர்க்கப்பட்டுள்ளது, இது குறிப்பிட்ட கட்டளையின் வெளியீட்டில் இருந்து தெரிந்த_ஹோஸ்ட்ஸ் தரவைப் பெற உங்களை அனுமதிக்கிறது.
  • SOCKS உடன் RemoteForward விருப்பத்தைப் பயன்படுத்தும் போது இலக்கைக் கட்டுப்படுத்த அனுமதிக்கும் வகையில் ssh க்கு ssh_config க்கு PermitRemoteOpen விருப்பம் சேர்க்கப்பட்டது.
  • FIDO விசைகளுக்கான ssh இல், தவறான பின்னின் காரணமாக டிஜிட்டல் சிக்னேச்சர் செயலிழந்தால், பயனர் பின்னுக்குத் தூண்டப்படாமல் இருந்தால் (உதாரணமாக, சரியான பயோமெட்ரிக் தரவைப் பெற முடியாதபோது மற்றும் சாதனம் மீண்டும் கைமுறையான PIN உள்ளீட்டிற்குச் சென்றது).
  • sshd லினக்ஸில் seccomp-bpf-அடிப்படையிலான செயல்முறை தனிமைப்படுத்தல் பொறிமுறைக்கு கூடுதல் கணினி அழைப்புகளுக்கான ஆதரவைச் சேர்க்கிறது.
  • contrib/ssh-copy-id பயன்பாடு புதுப்பிக்கப்பட்டது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்