ProHoster > FIDO/U2F இரு-காரணி அங்கீகார டோக்கன்களுக்கான ஆதரவுடன் OpenSSH 8.2 வெளியிடப்பட்டது.

FIDO/U2F இரு-காரணி அங்கீகார டோக்கன்களுக்கான ஆதரவுடன் OpenSSH 8.2 வெளியிடப்பட்டது.

நான்கு மாத வளர்ச்சிக்குப் பிறகு வழங்கப்பட்டது வெளியீடு OpenSSH 8.2, SSH 2.0 மற்றும் SFTP நெறிமுறைகள் வழியாக வேலை செய்வதற்கான திறந்த கிளையன்ட் மற்றும் சர்வர் செயல்படுத்தல்.

OpenSSH 8.2 வெளியீட்டில் ஒரு முக்கிய முன்னேற்றம் நெறிமுறையை ஆதரிக்கும் சாதனங்களுடன் இரண்டு-காரணி அங்கீகாரத்தைப் பயன்படுத்தும் திறன் ஆகும். யு 2 எஃப்கூட்டணியால் உருவாக்கப்பட்டது FIDOகுறைந்த விலை வன்பொருள் டோக்கன்களை உருவாக்குவதன் மூலம், பயனர்களின் இருப்பை USB, புளூடூத் அல்லது NFC வழியாக அவர்களுடன் தொடர்புகொள்வதன் மூலம் சரிபார்க்க U2F உதவுகிறது. இந்த சாதனங்கள் வலைத்தளங்களில் இரண்டு காரணி அங்கீகாரத்திற்கான வழிமுறையாக விளம்பரப்படுத்தப்படுகின்றன, ஏற்கனவே முக்கிய உலாவிகளால் ஆதரிக்கப்படுகின்றன, மேலும் யூபிகோ, ஃபீடியன், தீடிஸ் மற்றும் கென்சிங்டன் உள்ளிட்ட பல்வேறு உற்பத்தியாளர்களால் தயாரிக்கப்படுகின்றன.

பயனரின் இருப்பை உறுதிப்படுத்தும் சாதனங்களுடன் தொடர்பு கொள்ள, OpenSSH புதிய விசை வகைகளைச் சேர்த்துள்ளது, "ecdsa-sk" மற்றும் "ed25519-sk", இவை SHA-256 ஹாஷுடன் இணைந்து ECDSA மற்றும் Ed25519 டிஜிட்டல் கையொப்ப வழிமுறைகளைப் பயன்படுத்துகின்றன. டோக்கன்களுடன் தொடர்பு கொள்வதற்கான நடைமுறைகள் ஒரு இடைநிலை நூலகத்திற்கு நகர்த்தப்பட்டுள்ளன, இது PKCS#11 ஆதரவு நூலகத்தைப் போலவே ஏற்றப்பட்டு நூலகத்தைச் சுற்றி ஒரு ரேப்பராக செயல்படுகிறது. லிப்ஃபிடோ2, இது USB வழியாக டோக்கன்களுடன் தொடர்புகொள்வதற்கான வழிமுறைகளை வழங்குகிறது (FIDO U2F/CTAP 1 மற்றும் FIDO 2.0/CTAP 2 நெறிமுறைகள் ஆதரிக்கப்படுகின்றன). OpenSSH டெவலப்பர்களால் தயாரிக்கப்பட்ட libsk-libfido2 இடைநிலை நூலகம், சேர்க்கப்பட்டுள்ளது libfido2 இன் மைய அமைப்பில், அத்துடன் HID இயக்கி OpenBSDக்கு.

ஒரு சாவியை அங்கீகரித்து உருவாக்க, நீங்கள் அமைப்புகளில் "SecurityKeyProvider" அளவுருவைக் குறிப்பிட வேண்டும் அல்லது SSH_SK_PROVIDER சூழல் மாறியை அமைக்க வேண்டும், இது libsk-libfido2.so (export SSH_SK_PROVIDER=/path/to/libsk-libfido2.so) வெளிப்புற நூலகத்திற்கான பாதையைக் குறிப்பிடுகிறது. OpenSSH ஐ இடைநிலை நூலகத்திற்கான உள்ளமைக்கப்பட்ட ஆதரவுடன் உருவாக்க முடியும் (--with-security-key-builtin); இந்த விஷயத்தில், நீங்கள் "SecurityKeyProvider=internal" அளவுருவை அமைக்க வேண்டும்.
அடுத்து, "ssh-keygen -t ecdsa-sk" ஐ இயக்கவும் அல்லது, விசைகள் ஏற்கனவே உருவாக்கப்பட்டு உள்ளமைக்கப்பட்டிருந்தால், "ssh" ஐப் பயன்படுத்தி சேவையகத்துடன் இணைக்கவும். நீங்கள் ssh-keygen ஐ இயக்கும்போது, ​​உருவாக்கப்பட்ட விசை ஜோடி "~/.ssh/id_ecdsa_sk" இல் சேமிக்கப்படும், மேலும் மற்ற விசைகளைப் போலவே இதைப் பயன்படுத்தலாம்.

பொது விசை (id_ecdsa_sk.pub) சேவையகத்தில் உள்ள authorized_keys கோப்பிற்கு நகலெடுக்கப்பட வேண்டும். சேவையகம் டிஜிட்டல் கையொப்பத்தை மட்டுமே சரிபார்க்கிறது, அதே நேரத்தில் டோக்கன் தொடர்பு கிளையண்டில் நிகழ்கிறது (libsk-libfido2 சேவையகத்தில் நிறுவப்பட வேண்டியதில்லை, ஆனால் சேவையகம் "ecdsa-sk" விசை வகையை ஆதரிக்க வேண்டும்). உருவாக்கப்பட்ட தனிப்பட்ட விசை (id_ecdsa_sk) அடிப்படையில் ஒரு முக்கிய விளக்கமாகும், இது U2F டோக்கனில் சேமிக்கப்பட்ட ரகசிய வரிசையுடன் இணைந்தால் மட்டுமே உண்மையான விசையை உருவாக்குகிறது. ஒரு தாக்குபவர் id_ecdsa_sk விசையைப் பெற்றால், அங்கீகரிக்க அவர்களுக்கு வன்பொருள் டோக்கனை அணுக வேண்டியிருக்கும், இது இல்லாமல் id_ecdsa_sk கோப்பில் சேமிக்கப்பட்ட தனிப்பட்ட விசை பயனற்றது.

மேலும், முன்னிருப்பாக, அனைத்து முக்கிய செயல்பாடுகளுக்கும் (உருவாக்கம் மற்றும் அங்கீகாரம் இரண்டும்) பயனரின் உடல் இருப்பை உள்ளூர் உறுதிப்படுத்தல் தேவைப்படுகிறது, எடுத்துக்காட்டாக டோக்கனில் உள்ள ஒரு சென்சாரைத் தொடுவது, இணைக்கப்பட்ட டோக்கனைக் கொண்ட அமைப்புகளில் தொலைதூரத் தாக்குதல்களை நடத்துவதை கடினமாக்குகிறது. கூடுதல் பாதுகாப்பு அடுக்காக, ssh-keygen தொடக்கத்தின் போது விசைக் கோப்பை அணுகுவதற்கான கடவுச்சொல்லையும் அமைக்கலாம்.

OpenSSH இன் புதிய பதிப்பு, SHA-1 ஹாஷ்களைப் பயன்படுத்தும் வழிமுறைகளின் வரவிருக்கும் நீக்கத்தையும் அறிவித்தது, ஏனெனில் பதவி உயர்வு கொடுக்கப்பட்ட முன்னொட்டுடன் மோதல் தாக்குதல்களின் செயல்திறன் (மோதலைத் தேர்ந்தெடுப்பதற்கான செலவு தோராயமாக 45 ஆயிரம் டாலர்கள் என மதிப்பிடப்பட்டுள்ளது). வரவிருக்கும் வெளியீடுகளில் ஒன்றில், பொது விசை டிஜிட்டல் சிக்னேச்சர் அல்காரிதம் “ssh-rsa” ஐப் பயன்படுத்தும் திறனை முன்னிருப்பாக முடக்க அவர்கள் திட்டமிட்டுள்ளனர், இது SSH நெறிமுறைக்கான அசல் RFC இல் குறிப்பிடப்பட்டுள்ளது மற்றும் நடைமுறையில் பரவலாக உள்ளது (பயன்பாட்டைச் சோதிக்க உங்கள் கணினியில் ssh-rsa இன், “-oHostKeyAlgorithms=-ssh-rsa”) விருப்பத்துடன் ssh வழியாக இணைக்க முயற்சி செய்யலாம்.

OpenSSH இல் புதிய அல்காரிதங்களுக்கு மாற்றத்தை மென்மையாக்க, எதிர்கால வெளியீட்டில் UpdateHostKeys அமைப்பு இயல்பாகவே இயக்கப்படும், இது தானாகவே வாடிக்கையாளர்களை நம்பகமான வழிமுறைகளுக்கு மாற்றும். RFC2 RSA SHA-256 அடிப்படையிலான rsa-sha512-8332/2 (OpenSSH 7.2 இலிருந்து ஆதரிக்கப்படுகிறது மற்றும் முன்னிருப்பாகப் பயன்படுத்தப்படுகிறது), ssh-ed25519 (OpenSSH 6.5 இலிருந்து ஆதரிக்கப்படுகிறது) மற்றும் ecdsa-sha2-n256 அடிப்படையில் இடம்பெயர்வுக்கான பரிந்துரைக்கப்பட்ட வழிமுறைகள் அடங்கும். RFC384 ECDSA இல் (OpenSSH 521 இலிருந்து ஆதரிக்கப்படுகிறது).

OpenSSH 8.2 இன்னும் "ssh-rsa" ஐப் பயன்படுத்தி இணைப்பதை ஆதரிக்கிறது, ஆனால் இந்த வழிமுறை CASignatureAlgorithms பட்டியலிலிருந்து நீக்கப்பட்டுள்ளது, இது புதிய சான்றிதழ்களை டிஜிட்டல் முறையில் கையொப்பமிட அனுமதிக்கப்பட்ட வழிமுறைகளை வரையறுக்கிறது. இதேபோல், diffie-hellman-group14-sha1 வழிமுறை ஆதரிக்கப்படும் இயல்புநிலை விசை பரிமாற்ற வழிமுறைகளிலிருந்து நீக்கப்பட்டுள்ளது. சான்றிதழ்களில் SHA-1 ஐப் பயன்படுத்துவது கூடுதல் ஆபத்தைக் கொண்டுள்ளது என்பது குறிப்பிடத்தக்கது, ஏனெனில் ஒரு தாக்குபவர் ஏற்கனவே உள்ள சான்றிதழுக்கான மோதலைக் கண்டறிய வரம்பற்ற நேரத்தைக் கொண்டுள்ளார், அதே நேரத்தில் ஹோஸ்ட் விசைகள் மீதான தாக்குதல்கள் இணைப்பு நேர முடிவால் (LoginGraceTime) வரையறுக்கப்படுகின்றன.

ssh-keygen ஐ இயக்கும்போது, ​​OpenSSH 7.2 இலிருந்து ஆதரிக்கப்படும் rsa-sha2-512 வழிமுறை இப்போது முன்னிருப்பாகப் பயன்படுத்தப்படுகிறது, இது பழைய OpenSSH வெளியீடுகளை இயக்கும் அமைப்புகளில் OpenSSH 8.2-கையொப்பமிட்ட சான்றிதழ்களைச் செயலாக்க முயற்சிக்கும்போது பொருந்தக்கூடிய சிக்கல்களை உருவாக்கக்கூடும் (இந்தச் சிக்கலைச் சரிசெய்ய, கையொப்பத்தை உருவாக்கும் போது நீங்கள் "ssh-keygen -t ssh-rsa" ஐ வெளிப்படையாகக் குறிப்பிடலாம் அல்லது OpenSSH 5.7 இலிருந்து ஆதரிக்கப்படும் ecdsa-sha2-nistp256/384/521 வழிமுறைகளைப் பயன்படுத்தலாம்).

மற்ற மாற்றங்கள்:

  • sshd_config இல் Include டைரக்டிவ் சேர்க்கப்பட்டுள்ளது, இது மற்ற கோப்புகளின் உள்ளடக்கங்களை உள்ளமைவு கோப்பின் தற்போதைய நிலையில் சேர்க்க அனுமதிக்கிறது (கோப்பு பெயரைக் குறிப்பிடும்போது குளோப் முகமூடிகளைப் பயன்படுத்தலாம்);
  • "தொடுதல் தேவையில்லை" என்ற விருப்பம் ssh-keygen இல் சேர்க்கப்பட்டுள்ளது, இது ஒரு விசையை உருவாக்கும் போது டோக்கனை அணுகுவதற்கான இயற்பியல் உறுதிப்படுத்தலின் தேவையை முடக்குகிறது;
  • பொது விசை அங்கீகாரம் தொடர்பான பல்வேறு விருப்பங்களை ஒருங்கிணைக்கும் வகையில், PubkeyAuthOptions உத்தரவு sshd_config இல் சேர்க்கப்பட்டுள்ளது. தற்போது, ​​"no-touch-required" கொடி மட்டுமே ஆதரிக்கப்படுகிறது, இது டோக்கன் அங்கீகாரத்தின் போது இயற்பியல் இருப்பு சரிபார்ப்பைத் தவிர்க்க அனுமதிக்கிறது. இதேபோல், "no-touch-required" விருப்பம் authorized_keys கோப்பில் சேர்க்கப்பட்டுள்ளது.
  • "-O write-attestation=/path" விருப்பம் ssh-keygen இல் சேர்க்கப்பட்டுள்ளது, இது விசைகளை உருவாக்கும் போது கூடுதல் FIDO சான்றளிப்பு சான்றிதழ்களை எழுத அனுமதிக்கிறது. OpenSSH தற்போது இந்த சான்றிதழ்களைப் பயன்படுத்துவதில்லை, ஆனால் எதிர்காலத்தில் விசை நம்பகமான வன்பொருள் சேமிப்பகத்தில் சேமிக்கப்பட்டுள்ளதா என்பதைச் சரிபார்க்க அவற்றைப் பயன்படுத்தலாம்.
  • ssh மற்றும் sshd அமைப்புகளில், இப்போது IPQoS உத்தரவு வழியாக போக்குவரத்து முன்னுரிமை பயன்முறையை அமைக்க முடியும். LE DSCP (குறைந்த முயற்சியுடன் கூடிய ஹாப் நடத்தை);
  • ssh இல், "AddKeysToAgent=yes" மதிப்பை அமைக்கும் போது, ​​விசையில் கருத்து புலம் இல்லை என்றால், அது கருத்துரையாக குறிப்பிடப்பட்ட விசைக்கான பாதையுடன் ssh-agent இல் சேர்க்கப்படும்.
    ssh-keygen மற்றும் ssh-agent இப்போது நூலக பாதைக்குப் பதிலாக PKCS#11 லேபிள்களையும் X.509 பொருள் பெயரையும் விசையில் கருத்துகளாகப் பயன்படுத்துகின்றன;
  • DSA மற்றும் ECDSA விசைகளுக்கான PEM ஐ ssh-keygen க்கு ஏற்றுமதி செய்யும் திறன் சேர்க்கப்பட்டது;
  • FIDO/U2F டோக்கன்களுக்கான நூலக அணுகலைத் தனிமைப்படுத்தப் பயன்படுத்தப்படும் புதிய செயல்படுத்தக்கூடிய கோப்பு ssh-sk-helper சேர்க்கப்பட்டது;
  • zlib நூலக ஆதரவுடன் தொகுக்க ssh மற்றும் sshd இல் "--with-zlib" உருவாக்க விருப்பம் சேர்க்கப்பட்டது;
  • RFC 4253 இன் படி, MaxStartups வரம்பை மீறுவதால் அணுகல் தடுக்கப்படுவது குறித்த எச்சரிக்கை இப்போது இணைப்பு பேனரில் காட்டப்பட்டுள்ளது. நோயறிதலை எளிதாக்க, ps பயன்பாட்டைப் பயன்படுத்தி தெரியும் sshd செயல்முறை தலைப்பு, இப்போது தற்போது அங்கீகரிக்கப்பட்ட இணைப்புகளின் எண்ணிக்கையையும் MaxStartups வரம்பு நிலையையும் காட்டுகிறது.
  • ssh மற்றும் ssh-agent இல், $SSH_ASKPASS வழியாக குறிப்பிடப்பட்ட திரையில் ஒரு அழைப்பைக் காண்பிக்க ஒரு நிரலை அழைக்கும்போது, ​​அழைப்பிதழ் வகையுடன் ஒரு கொடி இப்போது கூடுதலாக அனுப்பப்படும்: “உறுதிப்படுத்து” — உறுதிப்படுத்தல் உரையாடல் (ஆம்/இல்லை), “எதுவுமில்லை” — தகவல் செய்தி, “வெற்று” — கடவுச்சொல் கோரிக்கை;
  • குறிப்பிட்ட டிஜிட்டல் கையொப்பத்துடன் தொடர்புடைய பயனருக்கான அனுமதிக்கப்பட்ட-கையொப்பமிட்டவர்கள் கோப்பைத் தேட, ssh-keygen இல் "find-principals" என்ற புதிய டிஜிட்டல் கையொப்ப செயல்பாடு சேர்க்கப்பட்டுள்ளது;
  • Улучшена поддержка изоляции процесса sshd в Linux при помощи механизма seccomp: запрещены системные вызовы IPC, разрешены clock_gettime64(), clock_nanosleep_time64 и clock_nanosleep().

ஆதாரம்: opennet.ru

DDoS பாதுகாப்பு, VPS VDS சர்வர்கள் கொண்ட தளங்களுக்கு நம்பகமான ஹோஸ்டிங் வாங்கவும் 🔥 DDoS பாதுகாப்புடன் கூடிய நம்பகமான இணையதள ஹோஸ்டிங், VPS, VDS சர்வர்களை வாங்குங்கள் | ProHoster