புரோஹோஸ்டர் > Блог > இணைய செய்தி > OpenSSH 8.7 வெளியீடு

OpenSSH 8.7 வெளியீடு

После четырёх месяцев разработки представлен релиз OpenSSH 8.7, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

முக்கிய மாற்றங்கள்:

  • В scp добавлен экспериментальный режим передачи данных с использованием протокола SFTP вместо традиционно применяемого протокола SCP/RCP. В SFTP применяются более предсказуемые методы обработки имён и не используется обработка glob-шаблонов через shell на стороне другого хоста, создающая проблемы с безопасностью. Для включения SFTP в scp предложен флаг «-s», но в будущем планируется перейти на данный протокол по умолчанию.
  • В sftp-server реализованы расширения протокола SFTP для раскрытия путей ~/ и ~user/, что необходимо для scp.
  • В утилите scp изменено поведение при копировании файлов между двумя удалёнными хостами (например, «scp host-a:/path host-b:»), которое теперь по умолчанию производится через промежуточный локальный хост, как при указании флага «-3». Указанный подход позволяет избежать передачи лишних учётных данных на первый хост и тройной интерпретации имён файлов в shell (на стороне источника, приёмника и локальной системы), а также при использовании SFTP позволяет использовать все методы аутентификации при обращении к удалённым хостам, а не только неинтерактивные методы. Для восстановления старого поведения добавлена опция «-R».
  • В ssh добавлена настройка ForkAfterAuthentication, соответствующая флагу «-f».
  • В ssh добавлена настройка StdinNull, соответствующая флагу «-n».
  • В ssh добавлена настройка SessionType, через которую можно установить режимы, соответствующие флагам «-N» (без сеанса) и «-s» (subsystem).
  • В ssh-keygen в файлах с ключами разрешено указывать интервал действия ключа.
  • В ssh-keygen добавлен флаг «-Oprint-pubkey» для вывода полного открытого ключа в составе подписи sshsig.
  • В ssh и sshd, как клиент, так и сервер, переведены на использование более строгого парсера файла конфигурации, в котором используются похожие на shell правила обработки кавычек, пробелов и escape-символов. Новый парсер также не пропускает ранее имевшиеся допущения, такие как пропуск аргументов в опциях (например, теперь нельзя оставлять пустой директиву DenyUsers), незакрытые кавычки и указание нескольких символов «=».
  • При использовании DNS-записей SSHFP при верификации ключей, ssh теперь проверяет все совпавшие записи, а не только содержащие определённый тип цифровой подписи.
  • В ssh-keygen при генерации ключа FIDO с указанием опции -Ochallenge для хэширования теперь используется встроенная прослойка, а не средства libfido2, что позволяет использовать challenge-последовательности, размером больше или меньше 32 байт.
  • В sshd при обработке директивы environment=»…» в файлах authorized_keys теперь принимается первое совпадение и действует ограничение в 1024 имён переменных окружения.

Разработчики OpenSSH также предупредили о переводе в разряд устаревших алгоритмов, использующих хеши SHA-1, в связи с повышением эффективности коллизионных атак с заданным префиксом (стоимость подбора коллизии оценивается примерно в 50 тысяч долларов). В следующем выпуске планируется отключить по умолчанию возможность использования алгоритма цифровых подписей по открытому ключу «ssh-rsa», который упоминается в оригинальном RFC для протокола SSH и остаётся широко распространённым на практике.

உங்கள் கணினியில் ssh-rsa இன் பயன்பாட்டைச் சோதிக்க, “-oHostKeyAlgorithms=-ssh-rsa” விருப்பத்துடன் ssh வழியாக இணைக்க முயற்சி செய்யலாம். அதே நேரத்தில், "ssh-rsa" டிஜிட்டல் கையொப்பங்களை முன்னிருப்பாக முடக்குவது RSA விசைகளின் பயன்பாட்டை முழுமையாக கைவிடுவதாக அர்த்தமில்லை, ஏனெனில் SHA-1 க்கு கூடுதலாக, SSH நெறிமுறை மற்ற ஹாஷ் கணக்கீட்டு வழிமுறைகளைப் பயன்படுத்த அனுமதிக்கிறது. குறிப்பாக, “ssh-rsa” க்கு கூடுதலாக, “rsa-sha2-256” (RSA/SHA256) மற்றும் “rsa-sha2-512” (RSA/SHA512) தொகுப்புகளைப் பயன்படுத்த முடியும்.

Для сглаживания перехода на новые алгоритмы в OpenSSH ранее по умолчанию была включена настройка UpdateHostKeys, которая позволяет автоматически перевести клиентов на более надёжные алгоритмы. При помощи указанной настройки включается специальное расширение протокола «[மின்னஞ்சல் பாதுகாக்கப்பட்டது]", அங்கீகாரத்திற்குப் பிறகு, கிடைக்கக்கூடிய அனைத்து ஹோஸ்ட் விசைகளைப் பற்றியும் கிளையண்டிற்குத் தெரிவிக்க சேவையகத்தை அனுமதிக்கிறது. கிளையன்ட் இந்த விசைகளை அதன் ~/.ssh/known_hosts கோப்பில் பிரதிபலிக்க முடியும், இது ஹோஸ்ட் விசைகளை புதுப்பிக்க அனுமதிக்கிறது மற்றும் சர்வரில் விசைகளை மாற்றுவதை எளிதாக்குகிறது.

UpdateHostKeys இன் பயன்பாடு எதிர்காலத்தில் அகற்றப்படக்கூடிய பல எச்சரிக்கைகளால் வரையறுக்கப்பட்டுள்ளது: விசையானது UserKnownHostsFile இல் குறிப்பிடப்பட வேண்டும் மற்றும் GlobalKnownHostsFile இல் பயன்படுத்தப்படக்கூடாது; விசை ஒரே பெயரில் இருக்க வேண்டும்; ஹோஸ்ட் கீ சான்றிதழைப் பயன்படுத்தக்கூடாது; தெரிந்த_ஹோஸ்ட்களில் ஹோஸ்ட் பெயரின் முகமூடிகளைப் பயன்படுத்தக்கூடாது; VerifyHostKeyDNS அமைப்பு முடக்கப்பட்டிருக்க வேண்டும்; UserKnownHostsFile அளவுரு செயலில் இருக்க வேண்டும்.

RFC2 RSA SHA-256 அடிப்படையிலான rsa-sha512-8332/2 (OpenSSH 7.2 இலிருந்து ஆதரிக்கப்படுகிறது மற்றும் முன்னிருப்பாகப் பயன்படுத்தப்படுகிறது), ssh-ed25519 (OpenSSH 6.5 இலிருந்து ஆதரிக்கப்படுகிறது) மற்றும் ecdsa-sha2-n256 அடிப்படையில் இடம்பெயர்வுக்கான பரிந்துரைக்கப்பட்ட வழிமுறைகள் அடங்கும். RFC384 ECDSA இல் (OpenSSH 521 இலிருந்து ஆதரிக்கப்படுகிறது).

ஆதாரம்: opennet.ru

கருத்தைச் சேர்