ஆறு மாத வளர்ச்சிக்குப் பிறகு, SSH 8.9 மற்றும் SFTP நெறிமுறைகளில் வேலை செய்வதற்கான திறந்த கிளையன்ட் மற்றும் சர்வர் செயலாக்கமான OpenSSH 2.0 வெளியீடு வழங்கப்பட்டது. sshd இன் புதிய பதிப்பு, அங்கீகரிக்கப்படாத அணுகலை அனுமதிக்கக்கூடிய பாதிப்பை சரிசெய்கிறது. அங்கீகரிப்புக் குறியீட்டில் உள்ள முழு எண் நிரம்பி வழிவதால் சிக்கல் ஏற்படுகிறது, ஆனால் குறியீட்டில் உள்ள பிற தருக்கப் பிழைகளுடன் இணைந்து மட்டுமே பயன்படுத்த முடியும்.
அதன் தற்போதைய வடிவத்தில், தனியுரிமை பிரிப்பு பயன்முறை இயக்கப்பட்டிருக்கும் போது பாதிப்பைப் பயன்படுத்த முடியாது, ஏனெனில் அதன் வெளிப்பாடு சிறப்பு பிரிப்பு கண்காணிப்பு குறியீட்டில் செய்யப்படும் தனி சோதனைகளால் தடுக்கப்படுகிறது. 2002 இலிருந்து OpenSSH 3.2.2 இலிருந்து பிரிவிலேஜ் பிரிப்பு பயன்முறை இயல்பாக இயக்கப்பட்டது, மேலும் 7.5 இல் வெளியிடப்பட்ட OpenSSH 2017 வெளியீட்டிலிருந்து கட்டாயமாக உள்ளது. கூடுதலாக, வெளியீடு 6.5 (2014) உடன் தொடங்கும் OpenSSH இன் போர்ட்டபிள் பதிப்புகளில், முழு எண் வழிதல் பாதுகாப்புக் கொடிகளைச் சேர்ப்பதன் மூலம் பாதிப்பு தடுக்கப்படுகிறது.
மற்ற மாற்றங்கள்:
- sshd இல் OpenSSH இன் போர்ட்டபிள் பதிப்பு, MD5 அல்காரிதம் (libxcrypt போன்ற வெளிப்புற நூலகங்களுடன் இணைக்க அனுமதிக்கிறது) கடவுச்சொற்களை ஹாஷிங் செய்வதற்கான சொந்த ஆதரவை நீக்கியுள்ளது.
- ssh, sshd, ssh-add, மற்றும் ssh-agent ஆகியவை ssh-agent இல் சேர்க்கப்படும் விசைகளை அனுப்புவதையும் பயன்படுத்துவதையும் கட்டுப்படுத்த ஒரு துணை அமைப்பை செயல்படுத்துகின்றன. ssh-agent இல் விசைகளை எப்படி, எங்கு பயன்படுத்தலாம் என்பதை தீர்மானிக்கும் விதிகளை அமைக்க துணை அமைப்பு உங்களை அனுமதிக்கிறது. எடுத்துக்காட்டாக, ஹோஸ்ட் scylla.example.org உடன் இணைக்கும் எந்தவொரு பயனரையும் அங்கீகரிக்க மட்டுமே பயன்படுத்தக்கூடிய ஒரு விசையைச் சேர்க்க, பயனர் ஹோஸ்ட் cetus.example.org க்கும், பயனர் மீடியாவை ஹோஸ்டுக்கு பர்ஸியஸ் செய்கிறார். ஒரு இடைநிலை புரவலன் scylla.example.org மூலம் திருப்பிவிடப்பட்டால், நீங்கள் பின்வரும் கட்டளையைப் பயன்படுத்தலாம்: $ ssh-add -h "[மின்னஞ்சல் பாதுகாக்கப்பட்டது]» \ -h «scylla.example.org» \ -h «scylla.example.org>[மின்னஞ்சல் பாதுகாக்கப்பட்டது]» \ ~/.ssh/id_ed25519
- ssh மற்றும் sshd இல், KexAlgorithms பட்டியலில் முன்னிருப்பாக ஒரு கலப்பின அல்காரிதம் சேர்க்கப்பட்டுள்ளது, இது முக்கிய பரிமாற்ற முறைகள் தேர்ந்தெடுக்கப்பட்ட வரிசையை தீர்மானிக்கிறது.[மின்னஞ்சல் பாதுகாக்கப்பட்டது]"(ECDH/x25519 + NTRU பிரைம்), குவாண்டம் கணினிகளில் தேர்வுக்கு எதிர்ப்பு. OpenSSH 8.9 இல், இந்த பேச்சுவார்த்தை முறை ECDH மற்றும் DH முறைகளுக்கு இடையே சேர்க்கப்பட்டது, ஆனால் அடுத்த வெளியீட்டில் இது முன்னிருப்பாக செயல்படுத்த திட்டமிடப்பட்டுள்ளது.
- ssh-keygen, ssh மற்றும் ssh-agent ஆகியவை பயோமெட்ரிக் அங்கீகாரத்திற்கான விசைகள் உட்பட, சாதன சரிபார்ப்புக்காகப் பயன்படுத்தப்படும் FIDO டோக்கன் விசைகளின் கையாளுதலை மேம்படுத்தியுள்ளன.
- அனுமதிக்கப்பட்ட பெயர் பட்டியல் கோப்பில் பயனர் பெயர்களை சரிபார்க்க ssh-keygen க்கு "ssh-keygen -Y match-principals" கட்டளை சேர்க்கப்பட்டது.
- ssh-add மற்றும் ssh-agent ஆகியவை பின் குறியீட்டால் பாதுகாக்கப்பட்ட FIDO விசைகளை ssh-agent க்கு சேர்க்கும் திறனை வழங்குகிறது (அங்கீகாரத்தின் போது PIN கோரிக்கை காட்டப்படும்).
- ssh-keygen கையொப்ப உருவாக்கத்தின் போது ஹாஷிங் அல்காரிதம் (sha512 அல்லது sha256) தேர்வு செய்ய அனுமதிக்கிறது.
- ssh மற்றும் sshd இல், செயல்திறனை மேம்படுத்த, பிணைய தரவு நேரடியாக உள்வரும் பாக்கெட்டுகளின் இடையகத்தில் படிக்கப்படுகிறது, ஸ்டேக்கில் உள்ள இடைநிலை இடையகத்தைத் தவிர்க்கிறது. பெறப்பட்ட தரவை சேனல் இடையகத்தில் நேரடியாக வைப்பது இதே வழியில் செயல்படுத்தப்படுகிறது.
- ssh இல், PubkeyAuthentication கட்டளையானது ஆதரிக்கப்படும் அளவுருக்களின் பட்டியலை விரிவுபடுத்தியுள்ளது (yes|no|unbound|host-bound) பயன்படுத்துவதற்கான நெறிமுறை நீட்டிப்பைத் தேர்ந்தெடுக்கும் திறனை வழங்குகிறது.
எதிர்கால வெளியீட்டில், பாரம்பரிய SCP/RCP நெறிமுறைக்குப் பதிலாக SFTP ஐப் பயன்படுத்த, scp பயன்பாட்டின் இயல்புநிலையை மாற்ற திட்டமிட்டுள்ளோம். SFTP மிகவும் யூகிக்கக்கூடிய பெயர் கையாளுதல் முறைகளைப் பயன்படுத்துகிறது மற்றும் மற்ற ஹோஸ்டின் பக்கத்தில் உள்ள கோப்பு பெயர்களில் குளோப் வடிவங்களின் ஷெல் செயலாக்கத்தைப் பயன்படுத்தாது, இது பாதுகாப்புச் சிக்கல்களை உருவாக்குகிறது. குறிப்பாக, SCP மற்றும் RCP ஐப் பயன்படுத்தும் போது, கிளையண்டிற்கு எந்த கோப்புகள் மற்றும் கோப்பகங்களை அனுப்ப வேண்டும் என்பதை சர்வர் தீர்மானிக்கிறது, மேலும் கிளையன்ட் திரும்பிய பொருள் பெயர்களின் சரியான தன்மையை மட்டுமே சரிபார்க்கிறது, இது கிளையன்ட் பக்கத்தில் சரியான சோதனைகள் இல்லாத நிலையில், அனுமதிக்கிறது கோரப்பட்டவற்றிலிருந்து வேறுபட்ட பிற கோப்பு பெயர்களை மாற்ற சேவையகம். SFTP நெறிமுறையில் இந்தச் சிக்கல்கள் இல்லை, ஆனால் “~/” போன்ற சிறப்புப் பாதைகளின் விரிவாக்கத்தை ஆதரிக்காது. இந்த வேறுபாட்டை நிவர்த்தி செய்ய, OpenSSH இன் முந்தைய வெளியீடு SFTP சேவையக செயலாக்கத்தில் ~/ மற்றும் ~user/ பாதைகளுக்கு புதிய SFTP நெறிமுறை நீட்டிப்பை அறிமுகப்படுத்தியது.
ஆதாரம்: opennet.ru