После четырёх месяцев разработки представлен релиз OpenSSH 8.7, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.
ప్రధాన మార్పులు:
- В scp добавлен экспериментальный режим передачи данных с использованием протокола SFTP вместо традиционно применяемого протокола SCP/RCP. В SFTP применяются более предсказуемые методы обработки имён и не используется обработка glob-шаблонов через shell на стороне другого хоста, создающая проблемы с безопасностью. Для включения SFTP в scp предложен флаг «-s», но в будущем планируется перейти на данный протокол по умолчанию.
- В sftp-server реализованы расширения протокола SFTP для раскрытия путей ~/ и ~user/, что необходимо для scp.
- В утилите scp изменено поведение при копировании файлов между двумя удалёнными хостами (например, «scp host-a:/path host-b:»), которое теперь по умолчанию производится через промежуточный локальный хост, как при указании флага «-3». Указанный подход позволяет избежать передачи лишних учётных данных на первый хост и тройной интерпретации имён файлов в shell (на стороне источника, приёмника и локальной системы), а также при использовании SFTP позволяет использовать все методы аутентификации при обращении к удалённым хостам, а не только неинтерактивные методы. Для восстановления старого поведения добавлена опция «-R».
- В ssh добавлена настройка ForkAfterAuthentication, соответствующая флагу «-f».
- В ssh добавлена настройка StdinNull, соответствующая флагу «-n».
- В ssh добавлена настройка SessionType, через которую можно установить режимы, соответствующие флагам «-N» (без сеанса) и «-s» (subsystem).
- В ssh-keygen в файлах с ключами разрешено указывать интервал действия ключа.
- В ssh-keygen добавлен флаг «-Oprint-pubkey» для вывода полного открытого ключа в составе подписи sshsig.
- В ssh и sshd, как клиент, так и сервер, переведены на использование более строгого парсера файла конфигурации, в котором используются похожие на shell правила обработки кавычек, пробелов и escape-символов. Новый парсер также не пропускает ранее имевшиеся допущения, такие как пропуск аргументов в опциях (например, теперь нельзя оставлять пустой директиву DenyUsers), незакрытые кавычки и указание нескольких символов «=».
- При использовании DNS-записей SSHFP при верификации ключей, ssh теперь проверяет все совпавшие записи, а не только содержащие определённый тип цифровой подписи.
- В ssh-keygen при генерации ключа FIDO с указанием опции -Ochallenge для хэширования теперь используется встроенная прослойка, а не средства libfido2, что позволяет использовать challenge-последовательности, размером больше или меньше 32 байт.
- В sshd при обработке директивы environment=»…» в файлах authorized_keys теперь принимается первое совпадение и действует ограничение в 1024 имён переменных окружения.
Разработчики OpenSSH также предупредили о переводе в разряд устаревших алгоритмов, использующих хеши SHA-1, в связи с повышением эффективности коллизионных атак с заданным префиксом (стоимость подбора коллизии оценивается примерно в 50 тысяч долларов). В следующем выпуске планируется отключить по умолчанию возможность использования алгоритма цифровых подписей по открытому ключу «ssh-rsa», который упоминается в оригинальном RFC для протокола SSH и остаётся широко распространённым на практике.
మీ సిస్టమ్లలో ssh-rsa వినియోగాన్ని పరీక్షించడానికి, మీరు “-oHostKeyAlgorithms=-ssh-rsa” ఎంపికతో ssh ద్వారా కనెక్ట్ చేయడానికి ప్రయత్నించవచ్చు. అదే సమయంలో, డిఫాల్ట్గా “ssh-rsa” డిజిటల్ సంతకాలను నిలిపివేయడం అంటే RSA కీల వినియోగాన్ని పూర్తిగా వదిలివేయడం కాదు, ఎందుకంటే SHA-1తో పాటు, SSH ప్రోటోకాల్ ఇతర హాష్ లెక్కింపు అల్గారిథమ్లను ఉపయోగించడానికి అనుమతిస్తుంది. ప్రత్యేకించి, “ssh-rsa”తో పాటు, “rsa-sha2-256” (RSA/SHA256) మరియు “rsa-sha2-512” (RSA/SHA512) బండిల్లను ఉపయోగించడం సాధ్యమవుతుంది.
Для сглаживания перехода на новые алгоритмы в OpenSSH ранее по умолчанию была включена настройка UpdateHostKeys, которая позволяет автоматически перевести клиентов на более надёжные алгоритмы. При помощи указанной настройки включается специальное расширение протокола «[ఇమెయిల్ రక్షించబడింది]", ప్రామాణీకరణ తర్వాత, అందుబాటులో ఉన్న అన్ని హోస్ట్ కీల గురించి క్లయింట్కు తెలియజేయడానికి సర్వర్ని అనుమతిస్తుంది. క్లయింట్ ఈ కీలను దాని ~/.ssh/known_hosts ఫైల్లో ప్రతిబింబిస్తుంది, ఇది హోస్ట్ కీలను నవీకరించడానికి అనుమతిస్తుంది మరియు సర్వర్లో కీలను మార్చడాన్ని సులభతరం చేస్తుంది.
UpdateHostKeys యొక్క ఉపయోగం భవిష్యత్తులో తీసివేయబడే అనేక హెచ్చరికల ద్వారా పరిమితం చేయబడింది: కీ తప్పనిసరిగా UserKnownHostsFileలో సూచించబడాలి మరియు GlobalKnownHostsFileలో ఉపయోగించకూడదు; కీ తప్పనిసరిగా ఒకే పేరుతో ఉండాలి; హోస్ట్ కీ సర్టిఫికేట్ ఉపయోగించకూడదు; తెలిసిన_హోస్ట్లలో హోస్ట్ పేరుతో మాస్క్లను ఉపయోగించకూడదు; VerifyHostKeyDNS సెట్టింగ్ తప్పనిసరిగా నిలిపివేయబడాలి; UserKnownHostsFile పరామితి తప్పనిసరిగా సక్రియంగా ఉండాలి.
మైగ్రేషన్ కోసం సిఫార్సు చేయబడిన అల్గారిథమ్లలో RFC2 RSA SHA-256 ఆధారంగా rsa-sha512-8332/2 ఉన్నాయి (OpenSSH 7.2 నుండి మద్దతు ఉంది మరియు డిఫాల్ట్గా ఉపయోగించబడుతుంది), ssh-ed25519 (OpenSSH 6.5 నుండి మద్దతు ఉంది) మరియు ecdsa-sha2/n256 ఆధారిత RFC384 ECDSAలో (OpenSSH 521 నుండి మద్దతు ఉంది).
మూలం: opennet.ru