புரோஹோஸ்டர் > FIDO/U8.2F இரு-காரணி அங்கீகார டோக்கன்களுக்கான ஆதரவுடன் OpenSSH 2 வெளியீடு

FIDO/U8.2F இரு-காரணி அங்கீகார டோக்கன்களுக்கான ஆதரவுடன் OpenSSH 2 வெளியீடு

நான்கு மாத வளர்ச்சிக்குப் பிறகு வழங்கப்பட்டது வெளியீடு OpenSSH 8.2, SSH 2.0 மற்றும் SFTP நெறிமுறைகள் வழியாக வேலை செய்வதற்கான திறந்த கிளையன்ட் மற்றும் சர்வர் செயல்படுத்தல்.

OpenSSH 8.2 இன் வெளியீட்டில் ஒரு முக்கிய முன்னேற்றம் நெறிமுறையை ஆதரிக்கும் சாதனங்களைப் பயன்படுத்தி இரண்டு காரணி அங்கீகாரத்தைப் பயன்படுத்தும் திறன் ஆகும். யு 2 எஃப், கூட்டணியால் உருவாக்கப்பட்டது FIDO. யூ2எஃப் குறைந்த விலை ஹார்டுவேர் டோக்கன்களை உருவாக்கி பயனரின் உடல் இருப்பை சரிபார்க்க அனுமதிக்கிறது, அவர்களுடன் USB, புளூடூத் அல்லது NFC வழியாக தொடர்பு கொள்கிறது. இத்தகைய சாதனங்கள் இணையதளங்களில் இரு காரணி அங்கீகாரத்திற்கான வழிமுறையாக விளம்பரப்படுத்தப்படுகின்றன, ஏற்கனவே முக்கிய உலாவிகளால் ஆதரிக்கப்படுகின்றன மற்றும் யூபிகோ, ஃபீடியன், தீடிஸ் மற்றும் கென்சிங்டன் உள்ளிட்ட பல்வேறு உற்பத்தியாளர்களால் தயாரிக்கப்படுகின்றன.

பயனரின் இருப்பை உறுதிப்படுத்தும் சாதனங்களுடன் தொடர்பு கொள்ள, புதிய முக்கிய வகைகளான “ecdsa-sk” மற்றும் “ed25519-sk” ஆகியவை OpenSSH இல் சேர்க்கப்பட்டுள்ளன, அவை ECDSA மற்றும் Ed25519 டிஜிட்டல் சிக்னேச்சர் அல்காரிதம்களைப் பயன்படுத்தி SHA-256 ஹாஷுடன் இணைக்கப்பட்டுள்ளன. டோக்கன்களுடன் தொடர்புகொள்வதற்கான நடைமுறைகள் ஒரு இடைநிலை நூலகத்தில் வைக்கப்பட்டுள்ளன, இது PKCS#11 ஆதரவிற்கான நூலகத்தைப் போன்றே ஏற்றப்பட்டு நூலகத்தின் மேல் ரேப்பராக இருக்கும். லிப்ஃபிடோ2, இது USB வழியாக டோக்கன்களுடன் தொடர்புகொள்வதற்கான கருவிகளை வழங்குகிறது (FIDO U2F/CTAP 1 மற்றும் FIDO 2.0/CTAP 2 நெறிமுறைகள் ஆதரிக்கப்படுகின்றன). OpenSSH டெவலப்பர்களால் தயாரிக்கப்பட்ட இடைநிலை நூலகம் libsk-libfido2 சேர்க்கப்பட்டுள்ளது முக்கிய libfido2, அத்துடன் HID டிரைவர் OpenBSD க்கு.

ஒரு விசையை அங்கீகரித்து உருவாக்க, நீங்கள் அமைப்புகளில் “SecurityKeyProvider” அளவுருவைக் குறிப்பிட வேண்டும் அல்லது SSH_SK_PROVIDER சூழல் மாறியை அமைக்க வேண்டும், இது வெளிப்புற நூலகத்திற்கு செல்லும் பாதையை libsk-libfido2.so (ஏற்றுமதி SSH_SK_PROVIDER/libsk-libsk-libk. அதனால்). அடுக்கு நூலகத்திற்கான உள்ளமைக்கப்பட்ட ஆதரவுடன் openssh ஐ உருவாக்க முடியும் (--with-security-key-builtin), இந்த வழக்கில் நீங்கள் "SecurityKeyProvider=internal" அளவுருவை அமைக்க வேண்டும்.
அடுத்து நீங்கள் "ssh-keygen -t ecdsa-sk" ஐ இயக்க வேண்டும் அல்லது விசைகள் ஏற்கனவே உருவாக்கப்பட்டு கட்டமைக்கப்பட்டிருந்தால், "ssh" ஐப் பயன்படுத்தி சேவையகத்துடன் இணைக்கவும். நீங்கள் ssh-keygen ஐ இயக்கும் போது, ​​உருவாக்கப்பட்ட விசை ஜோடி “~/.ssh/id_ecdsa_sk” இல் சேமிக்கப்படும் மற்றும் மற்ற விசைகளைப் போலவே பயன்படுத்தலாம்.

பொது விசை (id_ecdsa_sk.pub) அங்கீகரிக்கப்பட்ட_கீஸ் கோப்பில் உள்ள சேவையகத்திற்கு நகலெடுக்கப்பட வேண்டும். சேவையக பக்கத்தில், டிஜிட்டல் கையொப்பம் மட்டுமே சரிபார்க்கப்படுகிறது, மேலும் கிளையன்ட் பக்கத்தில் டோக்கன்களுடனான தொடர்பு செய்யப்படுகிறது (நீங்கள் சேவையகத்தில் libsk-libfido2 ஐ நிறுவ வேண்டியதில்லை, ஆனால் சேவையகம் "ecdsa-sk" கீ வகையை ஆதரிக்க வேண்டும்) . உருவாக்கப்பட்ட தனிப்பட்ட விசை (id_ecdsa_sk) அடிப்படையில் ஒரு முக்கிய கைப்பிடியாகும், இது U2F டோக்கன் பக்கத்தில் சேமிக்கப்பட்ட இரகசிய வரிசையுடன் இணைந்து உண்மையான விசையை உருவாக்குகிறது. id_ecdsa_sk விசை தாக்குபவர்களின் கைகளில் விழுந்தால், அங்கீகரிப்பிற்கு அவர் ஹார்டுவேர் டோக்கனையும் அணுக வேண்டும், அது இல்லாமல் id_ecdsa_sk கோப்பில் சேமிக்கப்பட்ட தனிப்பட்ட விசை பயனற்றது.

கூடுதலாக, முன்னிருப்பாக, விசைகளுடன் ஏதேனும் செயல்பாடுகளைச் செய்யும்போது (தலைமுறை மற்றும் அங்கீகாரத்தின் போது), பயனரின் உடல் இருப்புக்கான உள்ளூர் உறுதிப்படுத்தல் தேவைப்படுகிறது, எடுத்துக்காட்டாக, டோக்கனில் உள்ள சென்சாரைத் தொடுவது கடினம். இணைக்கப்பட்ட டோக்கனைக் கொண்ட கணினிகளில் தொலை தாக்குதல்களை மேற்கொள்ளுங்கள். பாதுகாப்பின் மற்றொரு வரிசையாக, முக்கிய கோப்பை அணுக ssh-keygen இன் தொடக்க கட்டத்தில் கடவுச்சொல்லையும் குறிப்பிடலாம்.

OpenSSH இன் புதிய பதிப்பானது SHA-1 ஹாஷ்களைப் பயன்படுத்தி வரவிருக்கும் அல்காரிதம்களை நீக்குவதையும் அறிவித்தது. பதவி உயர்வு கொடுக்கப்பட்ட முன்னொட்டுடன் மோதல் தாக்குதல்களின் செயல்திறன் (மோதலைத் தேர்ந்தெடுப்பதற்கான செலவு தோராயமாக 45 ஆயிரம் டாலர்கள் என மதிப்பிடப்பட்டுள்ளது). வரவிருக்கும் வெளியீடுகளில் ஒன்றில், பொது விசை டிஜிட்டல் சிக்னேச்சர் அல்காரிதம் “ssh-rsa” ஐப் பயன்படுத்தும் திறனை முன்னிருப்பாக முடக்க அவர்கள் திட்டமிட்டுள்ளனர், இது SSH நெறிமுறைக்கான அசல் RFC இல் குறிப்பிடப்பட்டுள்ளது மற்றும் நடைமுறையில் பரவலாக உள்ளது (பயன்பாட்டைச் சோதிக்க உங்கள் கணினியில் ssh-rsa இன், “-oHostKeyAlgorithms=-ssh-rsa”) விருப்பத்துடன் ssh வழியாக இணைக்க முயற்சி செய்யலாம்.

OpenSSH இல் புதிய அல்காரிதங்களுக்கு மாற்றத்தை மென்மையாக்க, எதிர்கால வெளியீட்டில் UpdateHostKeys அமைப்பு இயல்பாகவே இயக்கப்படும், இது தானாகவே வாடிக்கையாளர்களை நம்பகமான வழிமுறைகளுக்கு மாற்றும். RFC2 RSA SHA-256 அடிப்படையிலான rsa-sha512-8332/2 (OpenSSH 7.2 இலிருந்து ஆதரிக்கப்படுகிறது மற்றும் முன்னிருப்பாகப் பயன்படுத்தப்படுகிறது), ssh-ed25519 (OpenSSH 6.5 இலிருந்து ஆதரிக்கப்படுகிறது) மற்றும் ecdsa-sha2-n256 அடிப்படையில் இடம்பெயர்வுக்கான பரிந்துரைக்கப்பட்ட வழிமுறைகள் அடங்கும். RFC384 ECDSA இல் (OpenSSH 521 இலிருந்து ஆதரிக்கப்படுகிறது).

OpenSSH 8.2 இல், “ssh-rsa” ஐப் பயன்படுத்தி இணைக்கும் திறன் இன்னும் உள்ளது, ஆனால் CASignature Algorithms பட்டியலில் இருந்து இந்த வழிமுறை அகற்றப்பட்டது, இது புதிய சான்றிதழ்களை டிஜிட்டல் முறையில் கையொப்பமிட அனுமதிக்கப்படும் வழிமுறைகளை வரையறுக்கிறது. இதேபோல், diffie-hellman-group14-sha1 அல்காரிதம் ஆதரிக்கப்படும் இயல்புநிலை விசை பரிமாற்ற வழிமுறைகளில் இருந்து அகற்றப்பட்டது. சான்றிதழில் SHA-1ஐப் பயன்படுத்துவது கூடுதல் ஆபத்துடன் தொடர்புடையது என்பது குறிப்பிடத்தக்கது, ஏனெனில் தாக்குபவர் ஏற்கனவே உள்ள சான்றிதழுக்கான மோதலைத் தேட வரம்பற்ற நேரத்தைக் கொண்டிருப்பதால், ஹோஸ்ட் விசைகள் மீதான தாக்குதலின் நேரம் இணைப்பு நேரம் முடிவதால் வரையறுக்கப்படுகிறது (LoginGraceTime )

ssh-keygen ஐ இயக்குவது இப்போது rsa-sha2-512 அல்காரிதத்திற்கு இயல்புநிலையாக உள்ளது, இது OpenSSH 7.2 இலிருந்து ஆதரிக்கப்படுகிறது, இது பழைய OpenSSH வெளியீடுகளில் இயங்கும் கணினிகளில் OpenSSH 8.2 இல் கையொப்பமிடப்பட்ட சான்றிதழ்களைச் செயலாக்க முயற்சிக்கும்போது இணக்கத்தன்மை சிக்கல்களை உருவாக்கலாம் (எப்போது சிக்கலைச் சமாளிக்கும் போது. கையொப்பத்தை உருவாக்கினால், நீங்கள் வெளிப்படையாக “ssh-keygen -t ssh-rsa” ஐக் குறிப்பிடலாம் அல்லது OpenSSH 2 இலிருந்து ஆதரிக்கப்படும் ecdsa-sha256-nistp384/521/5.7 அல்காரிதம்களைப் பயன்படுத்தலாம்).

மற்ற மாற்றங்கள்:

  • sshd_config இல் ஒரு Include கட்டளை சேர்க்கப்பட்டுள்ளது, இது மற்ற கோப்புகளின் உள்ளடக்கங்களை உள்ளமைவு கோப்பின் தற்போதைய நிலையில் சேர்க்க உங்களை அனுமதிக்கிறது (கோப்பின் பெயரைக் குறிப்பிடும்போது குளோப் முகமூடிகளைப் பயன்படுத்தலாம்);
  • "no-touch-required" விருப்பம் ssh-keygen இல் சேர்க்கப்பட்டுள்ளது, இது விசையை உருவாக்கும் போது டோக்கனுக்கான அணுகலை உடல் ரீதியாக உறுதிப்படுத்த வேண்டிய அவசியத்தை முடக்குகிறது;
  • ஒரு PubkeyAuthOptions உத்தரவு sshd_config இல் சேர்க்கப்பட்டுள்ளது, இது பொது விசை அங்கீகாரம் தொடர்பான பல்வேறு விருப்பங்களை ஒருங்கிணைக்கிறது. தற்போது, ​​டோக்கன் அங்கீகரிப்புக்கான உடல் இருப்புச் சரிபார்ப்புகளைத் தவிர்க்க, "தொடுதல் தேவையில்லை" என்ற கொடி மட்டுமே ஆதரிக்கப்படுகிறது. ஒப்புமை மூலம், "no-touch-required" விருப்பம் authorized_keys கோப்பில் சேர்க்கப்பட்டது;
  • விசைகளை உருவாக்கும் போது கூடுதல் FIDO சான்றளிப்பு சான்றிதழ்களை எழுத அனுமதிக்க, ssh-keygen க்கு "-O எழுத்து-சான்றொப்பம்=/பாதை" விருப்பம் சேர்க்கப்பட்டது. OpenSSH இன்னும் இந்தச் சான்றிதழ்களைப் பயன்படுத்தவில்லை, ஆனால் அவை பின்னர் நம்பகமான வன்பொருள் அங்காடியில் வைக்கப்பட்டுள்ளதா என்பதைச் சரிபார்க்கப் பயன்படுத்தலாம்;
  • ssh மற்றும் sshd அமைப்புகளில், இப்போது IPQoS உத்தரவு வழியாக போக்குவரத்து முன்னுரிமைப் பயன்முறையை அமைக்க முடியும். LE DSCP (லோயர்-எஃபோர்ட் பெர்-ஹாப் பிஹேவியர்);
  • ssh இல், “AddKeysToAgent=yes” மதிப்பை அமைக்கும்போது, ​​விசையில் கருத்துப் புலம் இல்லை என்றால், அது ssh-agent இல் சேர்க்கப்படும், இது விசைக்கான பாதையைக் குறிக்கும். IN
    ssh-keygen மற்றும் ssh-agent ஆகியவையும் இப்போது PKCS#11 லேபிள்கள் மற்றும் X.509 பொருள் பெயரை நூலகப் பாதைக்குப் பதிலாக கீயில் உள்ள கருத்துகளாகப் பயன்படுத்துகின்றன;

  • DSAக்கான PEM மற்றும் ECDSA விசைகளை ssh-keygen க்கு ஏற்றுமதி செய்யும் திறன் சேர்க்கப்பட்டது;
  • FIDO/U2F டோக்கன் அணுகல் நூலகத்தை தனிமைப்படுத்தப் பயன்படும் புதிய இயங்கக்கூடிய, ssh-sk-helper சேர்க்கப்பட்டது;
  • zlib நூலக ஆதரவுடன் தொகுக்க ssh மற்றும் sshd க்கு “--with-zlib” உருவாக்க விருப்பம் சேர்க்கப்பட்டது;
  • RFC4253 இன் தேவைக்கு இணங்க, இணைப்பின் போது காட்டப்படும் பேனரில் MaxStartup வரம்புகளை மீறுவதால் அணுகல் தடுப்பது பற்றிய எச்சரிக்கை கொடுக்கப்பட்டுள்ளது. கண்டறிதலை எளிதாக்க, ps பயன்பாட்டைப் பயன்படுத்தும் போது தெரியும் sshd செயல்முறை தலைப்பு, தற்போது அங்கீகரிக்கப்பட்ட இணைப்புகளின் எண்ணிக்கை மற்றும் MaxStartup வரம்பின் நிலையைக் காட்டுகிறது;
  • ssh மற்றும் ssh-agent இல், $SSH_ASKPASS மூலம் குறிப்பிடப்பட்ட அழைப்பிதழை திரையில் காண்பிக்க ஒரு நிரலை அழைக்கும் போது, ​​அழைப்பிதழ் வகையுடன் ஒரு கொடி இப்போது கூடுதலாக அனுப்பப்படுகிறது: “உறுதிப்படுத்து” - உறுதிப்படுத்தல் உரையாடல் (ஆம்/இல்லை), “இல்லை ” - தகவல் செய்தி, “வெற்று” — கடவுச்சொல் கோரிக்கை;
  • குறிப்பிட்ட டிஜிட்டல் கையொப்பத்துடன் தொடர்புடைய பயனருக்கான அனுமதிக்கப்பட்ட-கையொப்பமிடுபவர்களின் கோப்பைத் தேட ssh-keygen க்கு "find-principals" என்ற புதிய டிஜிட்டல் கையொப்ப செயல்பாடு சேர்க்கப்பட்டது;
  • seccomp பொறிமுறையைப் பயன்படுத்தி லினக்ஸில் sshd செயல்முறை தனிமைப்படுத்தலுக்கான மேம்படுத்தப்பட்ட ஆதரவு: IPC கணினி அழைப்புகளை முடக்குகிறது, clock_gettime64(), clock_nanosleep_time64 மற்றும் clock_nanosleep() ஆகியவற்றை அனுமதிக்கிறது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்