ProHoster > Blog > ахбори интернет > Нашри OpenSSH 8.4

Нашри OpenSSH 8.4

Пас аз чор моҳи рушд пешниҳод карда мешавад нашри OpenSSH 8.4, як муштарӣ ва сервери кушода барои кор бо протоколҳои SSH 2.0 ва SFTP.

Тағйироти асосӣ:

  • Тағироти амниятӣ:
    • Дар ssh-agent, ҳангоми истифодаи калидҳои FIDO, ки барои тасдиқи SSH сохта нашудаанд (идентификатсияи калид бо сатри "ssh:" оғоз намешавад), он ҳоло тафтиш мекунад, ки паём бо истифода аз усулҳои дар протоколи SSH истифодашуда имзо карда мешавад. Тағйирот имкон намедиҳад, ки ssh-agent ба ҳостҳои дурдаст, ки калидҳои FIDO доранд, барои масдуд кардани қобилияти истифодаи ин калидҳо барои тавлиди имзоҳо барои дархостҳои аутентификатсияи веб (ҳолати баръакс, вақте ки браузер метавонад дархости SSH-ро имзо кунад, дар аввал истисно карда мешавад) бо сабаби истифодаи префикси "ssh:" дар идентификатори калид).
    • Насли калиди резидентии ssh-keygen дорои дастгирии иловаи credProtect мебошад, ки дар мушаххасоти FIDO 2.1 тавсиф шудааст, ки муҳофизати иловагии калидҳоро тавассути талаб кардани PIN пеш аз иҷрои ҳама гуна амалиёте, ки метавонад боиси истихроҷи калиди резидентӣ аз аломат гардад, таъмин мекунад.
  • Тағироти эҳтимолии вайрон кардани мутобиқат:
    • Барои дастгирии FIDO/U2F тавсия дода мешавад, ки китобхонаи libfido2 на камтар аз версияи 1.5.0 -ро истифода баред. Имконияти истифодаи нашрияҳои кӯҳна қисман иҷро шудааст, аммо дар ин ҳолат, функсияҳо ба монанди калидҳои резидентӣ, дархости PIN ва пайваст кардани аломатҳои сершумор дастрас нестанд.
    • Дар ssh-keygen, маълумоти аутентификатор барои тасдиқи имзоҳои рақамии тасдиқкунанда ба формати маълумоти тасдиқ илова карда шудааст, ки ихтиёран ҳангоми тавлиди калиди FIDO захира карда мешавад.
    • API-и истифодашуда ҳангоми ҳамкорӣ бо қабати OpenSSH барои дастрасӣ ба аломатҳои FIDO тағир дода шуд.
    • Ҳангоми сохтани версияи сайёри OpenSSH, ҳоло automake барои тавлиди скрипти конфигуратсия ва файлҳои сохтани ҳамроҳи он лозим аст (агар сохтан аз файли рамзи tar нашршуда, барқарорсозии конфигуратсия талаб карда намешавад).
  • Дастгирии иловашуда барои калидҳои FIDO, ки санҷиши PIN-ро дар ssh ва ssh-keygen талаб мекунанд. Барои тавлиди калидҳо бо PIN, ба ssh-keygen имконоти "тасдиқ кардан лозим" илова карда шудааст. Агар чунин калидҳо истифода шаванд, пеш аз анҷом додани амалиёти эҷоди имзо аз корбар хоҳиш карда мешавад, ки амали худро бо ворид кардани рамзи PIN тасдиқ кунад.
  • Дар sshd, опсияи "тафтиш-талаб" дар танзимоти authorized_keys амалӣ карда мешавад, ки истифодаи қобилиятҳоро барои тасдиқи ҳузури корбар ҳангоми амалиёт бо нишона талаб мекунад. Стандарти FIDO якчанд вариантҳоро барои чунин тафтиш пешниҳод мекунад, аммо дар айни замон OpenSSH танҳо тафтиши PIN-ро дастгирӣ мекунад.
  • sshd ва ssh-keygen барои тасдиқи имзоҳои рақамӣ, ки ба стандарти FIDO Webauthn мувофиқанд, дастгирӣ илова кардаанд, ки имкон медиҳад калидҳои FIDO дар браузерҳои веб истифода шаванд.
  • Дар ssh дар танзимоти CertificateFile,
    ControlPath, IdentityAgent, IdentityFile, LocalForward ва
    RemoteForward имкон медиҳад, ки арзишҳо аз тағирёбандаҳои муҳити дар формати "${ENV}" нишон додашуда иваз карда шаванд.

  • ssh ва ssh-agent барои тағирёбандаи муҳити зисти $SSH_ASKPASS_REQUIRE дастгирӣ илова карданд, ки онро барои фаъол ё ғайрифаъол кардани занги ssh-askpass истифода бурдан мумкин аст.
  • Дар ssh дар ssh_config дар дастури AddKeysToAgent, қобилияти маҳдуд кардани мӯҳлати эътибори калид илова карда шудааст. Пас аз гузаштани мӯҳлати муқарраршуда, калидҳо аз ssh-agent ба таври худкор нест карда мешаванд.
  • Дар scp ва sftp, бо истифода аз парчами "-A", шумо акнун метавонед ба таври возеҳ масир ба scp ва sftp бо истифода аз ssh-agent иҷозат диҳед (ба таври пешфарз масир ғайрифаъол аст).
  • Дастгирии иловагии ивазкунии '%k' дар танзимоти ssh, ки номи калиди мизбонро муайян мекунад. Ин хусусиятро барои паҳн кардани калидҳо ба файлҳои алоҳида истифода бурдан мумкин аст (масалан, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • Иҷозат диҳед, ки амалиёти "ssh-add -d -" барои хондани калидҳо аз stdin, ки бояд ҳазф карда шаванд.
  • Дар sshd, оғоз ва анҷоми раванди буридани пайвастшавӣ дар гузориш инъикос карда мешавад, ки бо истифода аз параметри MaxStartups танзим карда мешавад.

Таҳиягарони OpenSSH инчунин аз бекоркунии дарпешистодаи алгоритмҳо бо истифода аз хэшҳои SHA-1 ёдовар шуданд. пешбарй кардан самаранокии ҳамлаҳои бархӯрд бо префикси додашуда (арзиши интихоби бархӯрд тақрибан 45 ҳазор доллар ҳисоб карда мешавад). Дар яке аз нашрҳои дарпешистода, онҳо нақша доранд, ки ба таври нобаёнӣ қобилияти истифодаи калиди оммавии алгоритми имзои рақамии "ssh-rsa", ки дар RFC-и аслии протоколи SSH зикр шудааст ва дар амал васеъ боқӣ мемонад (барои санҷиши истифодаи он) аз ssh-rsa дар системаҳои худ, шумо метавонед тавассути ssh бо интихоби "-oHostKeyAlgorithms = -ssh-rsa" пайваст шавед).

Барои ҳамвор кардани гузариш ба алгоритмҳои нав дар OpenSSH, версияи навбатӣ танзимоти UpdateHostKeys-ро ба таври нобаёнӣ фаъол мекунад, ки ба таври худкор муштариёнро ба алгоритмҳои боэътимодтар интиқол медиҳад. Алгоритмҳои тавсияшуда барои муҳоҷират иборатанд аз rsa-sha2-256/512 дар асоси RFC8332 RSA SHA-2 (аз OpenSSH 7.2 дастгирӣ карда мешавад ва бо нобаёнӣ истифода мешавад), ssh-ed25519 (аз OpenSSH 6.5 дастгирӣ мешавад) ва ecdsa-sha2-nistp256/384 дар RFC521 ECDSA (аз OpenSSH 5656 дастгирӣ карда мешавад).

Манбаъ: opennet.ru

Илова Эзоҳ