ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > OpenSSH విడుదల 8.4

OpenSSH విడుదల 8.4

నాలుగు నెలల అభివృద్ధి తర్వాత సమర్పించారు OpenSSH 8.4 విడుదల, SSH 2.0 మరియు SFTP ప్రోటోకాల్‌లను ఉపయోగించి పని చేయడానికి ఓపెన్ క్లయింట్ మరియు సర్వర్ అమలు.

ప్రధాన మార్పులు:

  • భద్రతా మార్పులు:
    • ssh-agentలో, SSH ప్రమాణీకరణ కోసం సృష్టించబడని FIDO కీలను ఉపయోగిస్తున్నప్పుడు (కీ ID "ssh:" స్ట్రింగ్‌తో ప్రారంభం కాదు), ఇది ఇప్పుడు SSH ప్రోటోకాల్‌లో ఉపయోగించిన పద్ధతులను ఉపయోగించి సందేశం సంతకం చేయబడిందో లేదో తనిఖీ చేస్తుంది. వెబ్ ప్రామాణీకరణ అభ్యర్థనల కోసం సంతకాలను రూపొందించడానికి ఈ కీలను ఉపయోగించగల సామర్థ్యాన్ని నిరోధించడానికి FIDO కీలను కలిగి ఉన్న రిమోట్ హోస్ట్‌లకు ssh-ఏజెంట్‌ని దారి మళ్లించడానికి మార్పు అనుమతించదు (రివర్స్ కేస్, బ్రౌజర్ SSH అభ్యర్థనపై సంతకం చేయగలిగినప్పుడు, ప్రారంభంలో మినహాయించబడుతుంది. కీ ఐడెంటిఫైయర్‌లో “ssh:” ఉపసర్గ ఉపయోగం కారణంగా).
    • ssh-keygen యొక్క రెసిడెంట్ కీ జనరేషన్ FIDO 2.1 స్పెసిఫికేషన్‌లో వివరించిన credProtect యాడ్-ఆన్‌కు మద్దతును కలిగి ఉంటుంది, ఇది టోకెన్ నుండి రెసిడెంట్ కీని సంగ్రహించే ఏదైనా ఆపరేషన్ చేసే ముందు PIN అవసరం ద్వారా కీలకు అదనపు రక్షణను అందిస్తుంది.
  • అనుకూలత మార్పులను విచ్ఛిన్నం చేసే అవకాశం ఉంది:
    • FIDO/U2Fకి మద్దతివ్వడానికి, libfido2 లైబ్రరీని కనీసం వెర్షన్ 1.5.0ని ఉపయోగించమని సిఫార్సు చేయబడింది. పాత ఎడిషన్‌లను ఉపయోగించగల సామర్థ్యం పాక్షికంగా అమలు చేయబడింది, అయితే ఈ సందర్భంలో, రెసిడెంట్ కీలు, PIN అభ్యర్థన మరియు బహుళ టోకెన్‌లను కనెక్ట్ చేయడం వంటి విధులు అందుబాటులో ఉండవు.
    • ssh-keygenలో, డిజిటల్ సంతకాలను ధృవీకరించడానికి అవసరమైన ప్రామాణీకరణ డేటా నిర్ధారణ సమాచారం యొక్క ఆకృతికి జోడించబడింది, FIDO కీని రూపొందించేటప్పుడు ఐచ్ఛికంగా సేవ్ చేయబడుతుంది.
    • FIDO టోకెన్‌లను యాక్సెస్ చేయడానికి OpenSSH లేయర్‌తో పరస్పర చర్య చేసినప్పుడు ఉపయోగించే API మార్చబడింది.
    • OpenSSH యొక్క పోర్టబుల్ వెర్షన్‌ను నిర్మిస్తున్నప్పుడు, కాన్ఫిగర్ స్క్రిప్ట్ మరియు దానితో పాటు బిల్డ్ ఫైల్‌లను రూపొందించడానికి ఆటోమేక్ ఇప్పుడు అవసరం (ప్రచురితమైన కోడ్ టార్ ఫైల్ నుండి నిర్మిస్తే, రీజెనరేట్ కాన్ఫిగర్ అవసరం లేదు).
  • ssh మరియు ssh-keygenలో PIN ధృవీకరణ అవసరమయ్యే FIDO కీలకు మద్దతు జోడించబడింది. PINతో కీలను రూపొందించడానికి, “వెరిఫై-అవసరం” ఎంపిక ssh-keygenకి జోడించబడింది. అటువంటి కీలను ఉపయోగించినట్లయితే, సంతకం సృష్టి ఆపరేషన్ చేసే ముందు, వినియోగదారు PIN కోడ్‌ను నమోదు చేయడం ద్వారా వారి చర్యలను నిర్ధారించమని ప్రాంప్ట్ చేయబడతారు.
  • sshdలో, “వెరిఫై-అవసరం” ఎంపిక అధీకృత_కీల సెట్టింగ్‌లో అమలు చేయబడుతుంది, టోకెన్‌తో కార్యకలాపాల సమయంలో వినియోగదారు ఉనికిని ధృవీకరించడానికి సామర్థ్యాలను ఉపయోగించడం అవసరం. FIDO ప్రమాణం అటువంటి ధృవీకరణ కోసం అనేక ఎంపికలను అందిస్తుంది, అయితే ప్రస్తుతం OpenSSH PIN-ఆధారిత ధృవీకరణకు మాత్రమే మద్దతు ఇస్తుంది.
  • sshd మరియు ssh-keygenలు FIDO Webauthn ప్రమాణానికి అనుగుణంగా ఉండే డిజిటల్ సంతకాలను ధృవీకరించడానికి మద్దతును జోడించాయి, ఇది వెబ్ బ్రౌజర్‌లలో FIDO కీలను ఉపయోగించడానికి అనుమతిస్తుంది.
  • sshలో సర్టిఫికేట్ ఫైల్ సెట్టింగ్‌లలో,
    ControlPath, IdentityAgent, IdentityFile, LocalForward మరియు
    రిమోట్‌ఫార్వర్డ్ "${ENV}" ఫార్మాట్‌లో పేర్కొన్న ఎన్విరాన్‌మెంట్ వేరియబుల్స్ నుండి విలువల ప్రత్యామ్నాయాన్ని అనుమతిస్తుంది.

  • ssh మరియు ssh-agent $SSH_ASKPASS_REQUIRE ఎన్విరాన్‌మెంట్ వేరియబుల్‌కు మద్దతును జోడించాయి, ఇది ssh-askpass కాల్‌ని ప్రారంభించడానికి లేదా నిలిపివేయడానికి ఉపయోగించబడుతుంది.
  • AddKeysToAgent డైరెక్టివ్‌లోని ssh_configలోని sshలో, కీ యొక్క చెల్లుబాటు వ్యవధిని పరిమితం చేసే సామర్థ్యం జోడించబడింది. పేర్కొన్న పరిమితి గడువు ముగిసిన తర్వాత, ssh-agent నుండి కీలు స్వయంచాలకంగా తొలగించబడతాయి.
  • scp మరియు sftpలో, "-A" ఫ్లాగ్‌ని ఉపయోగించి, మీరు ఇప్పుడు ssh-agentని ఉపయోగించి scp మరియు sftpకి దారి మళ్లింపును స్పష్టంగా అనుమతించవచ్చు (డిఫాల్ట్‌గా దారి మళ్లింపు నిలిపివేయబడుతుంది).
  • ssh సెట్టింగ్‌లలో '%k' ప్రత్యామ్నాయానికి మద్దతు జోడించబడింది, ఇది హోస్ట్ కీ పేరును పేర్కొంటుంది. ఈ ఫీచర్ ప్రత్యేక ఫైల్‌లలోకి కీలను పంపిణీ చేయడానికి ఉపయోగించవచ్చు (ఉదాహరణకు, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • stdin నుండి తొలగించాల్సిన కీలను చదవడానికి "ssh-add -d -" ఆపరేషన్‌ని ఉపయోగించడానికి అనుమతించండి.
  • sshdలో, కనెక్షన్ కత్తిరింపు ప్రక్రియ యొక్క ప్రారంభం మరియు ముగింపు లాగ్‌లో ప్రతిబింబిస్తుంది, MaxStartups పరామితిని ఉపయోగించి నియంత్రించబడుతుంది.

OpenSSH డెవలపర్‌లు SHA-1 హ్యాష్‌లను ఉపయోగించి అల్గారిథమ్‌ల యొక్క రాబోయే ఉపసంహరణను కూడా గుర్తు చేసుకున్నారు ప్రమోషన్ ఇచ్చిన ఉపసర్గతో తాకిడి దాడుల ప్రభావం (తాకిడిని ఎంచుకోవడానికి అయ్యే ఖర్చు సుమారు 45 వేల డాలర్లుగా అంచనా వేయబడింది). రాబోయే విడుదలలలో ఒకదానిలో, వారు పబ్లిక్ కీ డిజిటల్ సిగ్నేచర్ అల్గారిథమ్ “ssh-rsa”ని ఉపయోగించే సామర్థ్యాన్ని డిఫాల్ట్‌గా నిలిపివేయాలని ప్లాన్ చేస్తున్నారు, ఇది SSH ప్రోటోకాల్ కోసం అసలు RFCలో పేర్కొనబడింది మరియు ఆచరణలో విస్తృతంగా ఉంది (ఉపయోగాన్ని పరీక్షించడానికి. మీ సిస్టమ్‌లలో ssh-rsa యొక్క, మీరు “-oHostKeyAlgorithms=-ssh-rsa” ఎంపికతో ssh ద్వారా కనెక్ట్ చేయడానికి ప్రయత్నించవచ్చు).

OpenSSHలో కొత్త అల్గారిథమ్‌లకు పరివర్తనను సులభతరం చేయడానికి, తదుపరి విడుదల డిఫాల్ట్‌గా UpdateHostKeys సెట్టింగ్‌ను ప్రారంభిస్తుంది, ఇది క్లయింట్‌లను మరింత విశ్వసనీయమైన అల్గారిథమ్‌లకు స్వయంచాలకంగా మైగ్రేట్ చేస్తుంది. మైగ్రేషన్ కోసం సిఫార్సు చేయబడిన అల్గారిథమ్‌లలో RFC2 RSA SHA-256 ఆధారంగా rsa-sha512-8332/2 ఉన్నాయి (OpenSSH 7.2 నుండి మద్దతు ఉంది మరియు డిఫాల్ట్‌గా ఉపయోగించబడుతుంది), ssh-ed25519 (OpenSSH 6.5 నుండి మద్దతు ఉంది) మరియు ecdsa-sha2/n256 ఆధారిత RFC384 ECDSAలో (OpenSSH 521 నుండి మద్దతు ఉంది).

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి