ProHoster > Blog > ахбори интернет > Нашри OpenSSH 8.0

Нашри OpenSSH 8.0

Пас аз панҷ моҳи рушд пешниҳод карда мешавад релиз OpenSSH 8.0, як муштарӣ ва сервери кушода барои кор тавассути протоколҳои SSH 2.0 ва SFTP.

Тағйироти асосӣ:

  • Дастгирии таҷрибавӣ барои усули мубодилаи калидӣ, ки ба ҳамлаҳои бераҳмона дар компютери квантӣ тобовар аст, ба ssh ва sshd илова карда шудааст. Компютерҳои квантӣ дар ҳалли масъалаи таҷзия кардани адади натуралӣ ба омилҳои ибтидоӣ, ки дар асоси алгоритмҳои муосири рамзгузории асимметрӣ қарор доранд ва дар протсессори классикӣ самаранок ҳал карда намешаванд. Усули пешниҳодшуда ба алгоритм асос ёфтааст NTRU Prime (функсияи ntrup4591761), ки барои криптосистемаҳои пас аз квантӣ таҳия шудааст ва усули мубодилаи калидҳои каҷи эллиптикӣ X25519;
  • Дар sshd, дастурҳои ListenAddress ва PermitOpen дигар синтаксиси меросии "хост/порт"-ро, ки дар соли 2001 ҳамчун алтернатива ба "хост: порт" барои содда кардани кор бо IPv6 татбиқ шуда буд, дастгирӣ намекунанд. Дар шароити муосир синтаксиси "[::6]:1" барои IPv22 муқаррар шудааст ва "хост/порт" аксар вақт бо нишон додани зершабака (CIDR) омехта мешавад;
  • ssh, ssh-agent ва ssh-add ҳоло калидҳоро дастгирӣ мекунанд ECDSA дар PKCS # 11 нишонаҳо;
  • Дар ssh-keygen андозаи калиди RSA мувофиқи тавсияҳои нави NIST то 3072 бит зиёд карда шуд;
  • ssh имкон медиҳад, ки танзимоти "PKCS11Provider=none" барои бекор кардани дастури PKCS11Provider, ки дар ssh_config муайян шудааст;
  • sshd сабти сабти ҳолатҳоро ҳангоми қатъ шудани пайвастшавӣ ҳангоми кӯшиши иҷрои фармонҳои аз ҷониби маҳдудияти "ForceCommand=internal-sftp" дар sshd_config басташуда таъмин мекунад;
  • Дар ssh, ҳангоми намоиши дархост барои тасдиқи қабули калиди нави ҳост, ба ҷои ҷавоби "ҳа", изи ангуштони дурусти калид қабул карда мешавад (дар посух ба даъват барои тасдиқи пайвастшавӣ, корбар метавонад хэш истинод ба таври алоҳида гирифта тавассути силули мухобиротӣ, то ки ба таври дастӣ муқоиса карда нашавад);
  • ssh-keygen афзоиши автоматии рақами пайдарпайии сертификатро ҳангоми сохтани имзоҳои рақамӣ барои сертификатҳои сершумор дар сатри фармон таъмин мекунад;
  • Интихоби нави "-J" ба scp ва sftp илова карда шуд, ки ба танзимоти ProxyJump баробар аст;
  • Дар ssh-agent, ssh-pkcs11-helper ва ssh-add, коркарди опсияи сатри фармони "-v" барои зиёд кардани мундариҷаи иттилооти натиҷа илова карда шудааст (вақте ки муайян карда мешавад, ин хосият ба равандҳои кӯдак интиқол дода мешавад, барои Масалан, вақте ки ssh-pkcs11-helper аз ssh-agent даъват карда мешавад);
  • Опсияи "-T" ба ssh-add барои санҷиши мувофиқати калидҳо дар ssh-agent барои иҷрои амалиёти эҷод ва тафтиши имзои рақамӣ илова карда шудааст;
  • sftp-server дастгирии тамдиди протоколи "lsetstat at openssh.com" -ро амалӣ мекунад, ки дастгирии амалиёти SSH2_FXP_SETSTAT-ро барои SFTP илова мекунад, аммо бидуни истинодҳои рамзӣ;
  • Иловаи "-h" ба sftp барои иҷро кардани фармонҳои chown/chgrp/chmod бо дархостҳое, ки истинодҳои рамзӣ истифода намекунанд;
  • sshd танзими тағйирёбандаи муҳити $SSH_CONNECTION барои PAM таъмин мекунад;
  • Барои sshd, ба ssh_config ҳолати мувофиқати "Match final" илова карда шудааст, ки ба "Match canonical" шабоҳат дорад, аммо фаъол кардани нормалсозии номи мизбонро талаб намекунад;
  • Дастгирии иловагии пешоянди '@' ба sftp барои ғайрифаъол кардани тарҷумаи баромади фармонҳои дар реҷаи пакетӣ иҷрошаванда;
  • Вақте ки шумо мундариҷаи сертификатро бо истифода аз фармон намоиш медиҳед
    "ssh-keygen -Lf /path/certificate" ҳоло алгоритмеро нишон медиҳад, ки аз ҷониби CA барои тасдиқи сертификат истифода мешавад;

  • Дастгирии мукаммал барои муҳити Cygwin, масалан пешниҳоди муқоисаи новобаста аз ҳарфҳои номҳои гурӯҳ ва корбар. Раванди sshd дар бандари Cygwin ба cygsshd иваз карда шуд, то халал ворид накунад ба порти OpenSSH аз ҷониби Microsoft таъмин карда шавад;
  • Қобилияти сохтан бо филиали таҷрибавии OpenSSL 3.x илова карда шуд;
  • Бартараф карда шуд осебпазирӣ (CVE-2019-6111) дар татбиқи утилитаи scp, ки ба файлҳои худсарона дар директорияи мақсаднок имкон медиҳад, ки ҳангоми дастрасӣ ба сервере, ки ҳамлагар назорат мекунад, дар тарафи муштарӣ дубора навишта шавад. Мушкилот дар он аст, ки ҳангоми истифодаи scp сервер тасмим мегирад, ки кадом файлҳо ва директорияҳоро ба муштарӣ фиристад ва муштарӣ танҳо дурустии номи объектҳои баргардонидашударо тафтиш мекунад. Санҷиши аз ҷониби муштарӣ танҳо бо бастани сафар берун аз феҳристи ҷорӣ ("../") маҳдуд аст, аммо интиқоли файлҳоро бо номҳои аз номҳои аввал дархостшуда ба назар намегирад. Дар сурати нусхабардории рекурсивӣ (-r), ба ғайр аз номҳои файл, шумо инчунин метавонед номи зеркаталогҳоро низ ба ҳамин тарз идора кунед. Масалан, агар корбар файлҳоро ба директорияи хонагӣ нусхабардорӣ кунад, сервере, ки аз ҷониби ҳамлакунанда идора мешавад, метавонад ба ҷои файлҳои дархостшуда файлҳоро бо номҳои .bash_aliases ё .ssh/authorized_keys тавлид кунад ва онҳо аз ҷониби утилитаи scp дар феҳристи корбар захира карда мешаванд. директорияи хонагӣ.

    Дар нашри нав, утилитаи scp барои тафтиши мукотибаи байни номҳои файлҳои дархостшуда ва онҳое, ки аз ҷониби сервер фиристода мешаванд, ки дар тарафи муштарӣ иҷро карда мешаванд, нав карда шудааст. Ин метавонад бо коркарди ниқоб мушкилот ба бор орад, зеро аломатҳои васеъкунии ниқоб метавонанд дар тарафи сервер ва муштарӣ ба таври гуногун коркард карда шаванд. Агар чунин фарқиятҳо боиси қатъ шудани қабули файлҳо дар scp муштарӣ шаванд, имконоти "-T" барои хомӯш кардани санҷиши муштарӣ илова карда шудааст. Барои пурра ислоҳ кардани мушкилот, коркарди консептуалии протоколи scp лозим аст, ки худи он аллакай кӯҳна шудааст, аз ин рӯ тавсия дода мешавад, ки ба ҷои он протоколҳои муосиртаре ба мисли sftp ва rsync истифода шаванд.

Манбаъ: opennet.ru

Илова Эзоҳ