ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > OpenSSH విడుదల 8.0

OpenSSH విడుదల 8.0

ఐదు నెలల అభివృద్ధి తర్వాత సమర్పించారు విడుదల OpenSSH 8.0, SSH 2.0 మరియు SFTP ప్రోటోకాల్‌ల ద్వారా పని చేయడానికి ఓపెన్ క్లయింట్ మరియు సర్వర్ అమలు.

ప్రధాన మార్పులు:

  • క్వాంటం కంప్యూటర్‌పై బ్రూట్-ఫోర్స్ దాడులకు నిరోధకత కలిగిన కీ మార్పిడి పద్ధతికి ప్రయోగాత్మక మద్దతు ssh మరియు sshd లకు జోడించబడింది. క్వాంటం కంప్యూటర్‌లు సహజ సంఖ్యను ప్రధాన కారకాలుగా విడదీసే సమస్యను పరిష్కరించడంలో వేగంగా పని చేస్తాయి, ఇది ఆధునిక అసమాన ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను సూచిస్తుంది మరియు క్లాసికల్ ప్రాసెసర్‌లపై సమర్థవంతంగా పరిష్కరించబడదు. ప్రతిపాదిత పద్ధతి అల్గోరిథం మీద ఆధారపడి ఉంటుంది NTRU ప్రైమ్ (ఫంక్షన్ ntrup4591761), పోస్ట్-క్వాంటం క్రిప్టోసిస్టమ్స్ కోసం అభివృద్ధి చేయబడింది మరియు ఎలిప్టిక్ కర్వ్ కీ మార్పిడి పద్ధతి X25519;
  • sshdలో, ListenAddress మరియు PermitOpen ఆదేశాలు ఇకపై లెగసీ "హోస్ట్/పోర్ట్" సింటాక్స్‌కు మద్దతు ఇవ్వవు, ఇది IPv2001తో పని చేయడాన్ని సులభతరం చేయడానికి "host:port"కి ప్రత్యామ్నాయంగా 6లో అమలు చేయబడింది. ఆధునిక పరిస్థితులలో, IPv6 కోసం వాక్యనిర్మాణం “[::1]:22” స్థాపించబడింది మరియు “హోస్ట్/పోర్ట్” తరచుగా సబ్‌నెట్ (CIDR)ని సూచిస్తూ గందరగోళానికి గురవుతుంది;
  • ssh, ssh-agent మరియు ssh-add ఇప్పుడు మద్దతు కీలు ECDSA PKCS#11 టోకెన్లలో;
  • ssh-keygenలో, కొత్త NIST సిఫార్సులకు అనుగుణంగా డిఫాల్ట్ RSA కీ పరిమాణం 3072 బిట్‌లకు పెంచబడింది;
  • ssh ssh_configలో పేర్కొన్న PKCS11Provider డైరెక్టివ్‌ను భర్తీ చేయడానికి "PKCS11Provider=none" సెట్టింగ్‌ని ఉపయోగించడానికి అనుమతిస్తుంది;
  • sshd sshd_configలో “ForceCommand=internal-sftp” పరిమితి ద్వారా నిరోధించబడిన ఆదేశాలను అమలు చేయడానికి ప్రయత్నిస్తున్నప్పుడు కనెక్షన్ నిలిపివేయబడిన పరిస్థితుల యొక్క లాగ్ ప్రదర్శనను అందిస్తుంది;
  • sshలో, కొత్త హోస్ట్ కీ యొక్క అంగీకారాన్ని నిర్ధారించడానికి అభ్యర్థనను ప్రదర్శిస్తున్నప్పుడు, “అవును” ప్రతిస్పందనకు బదులుగా, కీ యొక్క సరైన వేలిముద్ర ఇప్పుడు ఆమోదించబడుతుంది (కనెక్షన్‌ని నిర్ధారించే ఆహ్వానానికి ప్రతిస్పందనగా, వినియోగదారు కాపీ చేయవచ్చు క్లిప్‌బోర్డ్ ద్వారా విడిగా రిఫరెన్స్ హాష్‌ని స్వీకరించారు, తద్వారా దానిని మాన్యువల్‌గా పోల్చకూడదు);
  • ssh-keygen కమాండ్ లైన్‌లో బహుళ ధృవపత్రాల కోసం డిజిటల్ సంతకాలను సృష్టించేటప్పుడు సర్టిఫికేట్ సీక్వెన్స్ నంబర్‌ను ఆటోమేటిక్ ఇంక్రిమెంటింగ్ అందిస్తుంది;
  • ప్రాక్సీజంప్ సెట్టింగ్‌కి సమానమైన కొత్త ఐచ్ఛికం "-J" scp మరియు sftpకి జోడించబడింది;
  • ssh-agent, ssh-pkcs11-helper మరియు ssh-addలో, అవుట్‌పుట్ యొక్క సమాచార కంటెంట్‌ను పెంచడానికి “-v” కమాండ్ లైన్ ఎంపిక యొక్క ప్రాసెసింగ్ జోడించబడింది (పేర్కొన్నప్పుడు, ఈ ఎంపిక చైల్డ్ ప్రాసెస్‌లకు పంపబడుతుంది. ఉదాహరణకు, ssh-pkcs11-helper ssh-agent నుండి పిలిచినప్పుడు );
  • డిజిటల్ సిగ్నేచర్ క్రియేషన్ మరియు వెరిఫికేషన్ ఆపరేషన్‌లను నిర్వహించడానికి ssh-ఏజెంట్‌లోని కీల అనుకూలతను పరీక్షించడానికి “-T” ఎంపిక ssh-addకి జోడించబడింది;
  • sftp-server “lsetstat at openssh.com” ప్రోటోకాల్ పొడిగింపు కోసం మద్దతును అమలు చేస్తుంది, ఇది SFTP కోసం SSH2_FXP_SETSTAT ఆపరేషన్‌కు మద్దతును జోడిస్తుంది, కానీ సింబాలిక్ లింక్‌లను అనుసరించకుండా;
  • సింబాలిక్ లింక్‌లను ఉపయోగించని అభ్యర్థనలతో chown/chgrp/chmod ఆదేశాలను అమలు చేయడానికి sftpకి "-h" ఎంపిక జోడించబడింది;
  • sshd PAM కోసం $SSH_CONNECTION ఎన్విరాన్మెంట్ వేరియబుల్ సెట్టింగ్‌ను అందిస్తుంది;
  • sshd కోసం, ssh_configకి “మ్యాచ్ ఫైనల్” మ్యాచింగ్ మోడ్ జోడించబడింది, ఇది “మ్యాచ్ కానానికల్” మాదిరిగానే ఉంటుంది, కానీ హోస్ట్ పేరు సాధారణీకరణను ప్రారంభించాల్సిన అవసరం లేదు;
  • బ్యాచ్ మోడ్‌లో అమలు చేయబడిన ఆదేశాల అవుట్‌పుట్ యొక్క అనువాదాన్ని నిలిపివేయడానికి sftpకి '@' ఉపసర్గకు మద్దతు జోడించబడింది;
  • మీరు ఆదేశాన్ని ఉపయోగించి ప్రమాణపత్రం యొక్క కంటెంట్‌లను ప్రదర్శించినప్పుడు
    "ssh-keygen -Lf /path/certificate" ఇప్పుడు ప్రమాణపత్రాన్ని ధృవీకరించడానికి CA ఉపయోగించే అల్గారిథమ్‌ను ప్రదర్శిస్తుంది;

  • Cygwin పర్యావరణానికి మెరుగైన మద్దతు, ఉదాహరణకు సమూహం మరియు వినియోగదారు పేర్ల కేస్-సెన్సిటివ్ పోలికను అందించడం. మైక్రోసాఫ్ట్ సరఫరా చేసిన OpenSSH పోర్ట్‌తో జోక్యాన్ని నివారించడానికి Cygwin పోర్ట్‌లోని sshd ప్రక్రియ cygsshdకి మార్చబడింది;
  • ప్రయోగాత్మక OpenSSL 3.x శాఖతో నిర్మించగల సామర్థ్యం జోడించబడింది;
  • ఎలిమినేట్ చేయబడింది దుర్బలత్వం (CVE-2019-6111) scp యుటిలిటీ అమలులో ఉంది, ఇది దాడి చేసేవారిచే నియంత్రించబడే సర్వర్‌ని యాక్సెస్ చేస్తున్నప్పుడు క్లయింట్ వైపున ఓవర్‌రైట్ చేయడానికి టార్గెట్ డైరెక్టరీలోని ఏకపక్ష ఫైల్‌లను అనుమతిస్తుంది. సమస్య ఏమిటంటే, scpని ఉపయోగిస్తున్నప్పుడు, క్లయింట్‌కు ఏ ఫైల్‌లు మరియు డైరెక్టరీలను పంపాలో సర్వర్ నిర్ణయిస్తుంది మరియు క్లయింట్ తిరిగి వచ్చిన ఆబ్జెక్ట్ పేర్ల యొక్క ఖచ్చితత్వాన్ని మాత్రమే తనిఖీ చేస్తుంది. క్లయింట్ వైపు తనిఖీ అనేది ప్రస్తుత డైరెక్టరీ (“../”) దాటి ప్రయాణాన్ని నిరోధించడానికి మాత్రమే పరిమితం చేయబడింది, కానీ వాస్తవానికి అభ్యర్థించిన వాటికి భిన్నమైన పేర్లతో ఫైల్‌ల బదిలీని పరిగణనలోకి తీసుకోదు. రికర్సివ్ కాపీయింగ్ (-r) విషయంలో ఫైల్ పేర్లతో పాటు, మీరు సబ్ డైరెక్టరీల పేర్లను కూడా ఇదే విధంగా మార్చవచ్చు. ఉదాహరణకు, వినియోగదారు ఫైల్‌లను హోమ్ డైరెక్టరీకి కాపీ చేస్తే, దాడి చేసే వారిచే నియంత్రించబడే సర్వర్ అభ్యర్థించిన ఫైల్‌లకు బదులుగా .bash_aliases లేదా .ssh/authorized_keys పేర్లతో ఫైల్‌లను ఉత్పత్తి చేయగలదు మరియు అవి వినియోగదారు యొక్క scp యుటిలిటీ ద్వారా సేవ్ చేయబడతాయి. హోమ్ డైరెక్టరీ.

    కొత్త విడుదలలో, అభ్యర్థించిన ఫైల్ పేర్లు మరియు సర్వర్ ద్వారా పంపబడిన వాటి మధ్య అనురూపాన్ని తనిఖీ చేయడానికి scp యుటిలిటీ నవీకరించబడింది, ఇది క్లయింట్ వైపు ప్రదర్శించబడుతుంది. ఇది మాస్క్ ప్రాసెసింగ్‌తో సమస్యలను కలిగిస్తుంది, ఎందుకంటే మాస్క్ విస్తరణ అక్షరాలు సర్వర్ మరియు క్లయింట్ వైపులా విభిన్నంగా ప్రాసెస్ చేయబడవచ్చు. ఒకవేళ అటువంటి వ్యత్యాసాల కారణంగా క్లయింట్ scpలో ఫైల్‌లను అంగీకరించడం ఆపివేస్తే, క్లయింట్ వైపు తనిఖీని నిలిపివేయడానికి “-T” ఎంపిక జోడించబడింది. సమస్యను పూర్తిగా సరిచేయడానికి, scp ప్రోటోకాల్ యొక్క సంభావిత పునర్నిర్మాణం అవసరం, ఇది ఇప్పటికే పాతది, కాబట్టి బదులుగా sftp మరియు rsync వంటి ఆధునిక ప్రోటోకాల్‌లను ఉపయోగించమని సిఫార్సు చేయబడింది.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి