ProHoster > Blog > ахбори интернет > Нашри OpenSSH 8.5

Нашри OpenSSH 8.5

Пас аз панҷ моҳи таҳия, нашри OpenSSH 8.5, татбиқи кушодаи муштарӣ ва сервер барои кор бо протоколҳои SSH 2.0 ва SFTP пешниҳод карда мешавад.

Таҳиягарони OpenSSH ба мо хотиррасон карданд, ки алгоритмҳои дарпешистода бо истифода аз хэшҳои SHA-1 аз сабаби зиёд шудани самаранокии ҳамлаҳои бархӯрд бо префикси додашуда (арзиши интихоби бархӯрд тақрибан 50 ҳазор доллар ҳисоб карда мешавад). Дар яке аз нашрҳои дарпешистода, онҳо нақша доранд, ки ба таври нобаёнӣ қобилияти истифодаи алгоритми имзои рақамии калиди ҷамъиятии "ssh-rsa", ки дар RFC-и аслии протоколи SSH зикр шудааст ва дар амал васеъ паҳн шудааст.

Барои санҷидани истифодаи ssh-rsa дар системаҳои худ, шумо метавонед кӯшиш кунед, ки тавассути ssh бо опсияи “-oHostKeyAlgorithms=-ssh-rsa” пайваст шавед. Ҳамзамон, ғайрифаъол кардани имзоҳои рақамии "ssh-rsa" ба таври нобаёнӣ маънои даст кашидан аз истифодаи калидҳои RSAро надорад, зеро ба ғайр аз SHA-1, протоколи SSH имкон медиҳад, ки дигар алгоритмҳои ҳисобкунии хэш истифода шаванд. Аз чумла, ба гайр аз «сш-рса» истифода бурдани бастахои «rsa-sha2-256» (RSA/SHA256) ва «rsa-sha2-512» (RSA/SHA512) имконпазир хохад монд.

Барои ҳамвор кардани гузариш ба алгоритмҳои нав, OpenSSH 8.5 дорои танзимоти UpdateHostKeys бо нобаёнӣ фаъол аст, ки ба мизоҷон имкон медиҳад, ки ба таври худкор ба алгоритмҳои боэътимодтар гузаранд. Бо истифода аз ин танзимот, тамдиди махсуси протокол фаъол карда мешавад "[почтаи электронӣ ҳифз карда шудааст]", ба сервер имкон медиҳад, ки пас аз тасдиқи аутентификатсия ба муштарӣ дар бораи ҳама калидҳои дастраси ҳост маълумот диҳад. Мизоҷ метавонад ин калидҳоро дар файли ~/.ssh/known_hosts инъикос намояд, ки имкон медиҳад калидҳои ҳост навсозӣ шаванд ва иваз кардани калидҳоро дар сервер осонтар кунад.

Истифодаи UpdateHostKeys бо якчанд огоҳӣ маҳдуд аст, ки метавонанд дар оянда хориҷ карда шаванд: калид бояд дар UserKnownHostsFile истинод карда шавад ва дар GlobalKnownHostsFile истифода нашавад; калид бояд танҳо бо як ном мавҷуд бошад; сертификати калиди мизбон набояд истифода шавад; дар unknown_hosts ниқобҳо бо номи ҳост набояд истифода шаванд; танзимоти VerifyHostKeyDNS бояд ғайрифаъол карда шавад; Параметри UserKnownHostsFile бояд фаъол бошад.

Алгоритмҳои тавсияшуда барои муҳоҷират иборатанд аз rsa-sha2-256/512 дар асоси RFC8332 RSA SHA-2 (аз OpenSSH 7.2 дастгирӣ мешавад ва бо нобаёнӣ истифода мешавад), ssh-ed25519 (аз OpenSSH 6.5 дастгирӣ мешавад) ва ecdsa-sha2-nistp256/384 дар RFC521 ECDSA (аз OpenSSH 5656 дастгирӣ карда мешавад).

Дигар тағйирот:

  • Тағироти амниятӣ:
    • Дар ssh-agent осебпазирие, ки дар натиҷаи дубора озод кардани майдони хотираи аллакай озодшуда (дучандон озод) ба вуҷуд омадааст, ислоҳ карда шуд. Ин масъала аз замони нашри OpenSSH 8.2 вуҷуд дорад ва эҳтимолан метавонад истифода шавад, агар ҳамлакунанда ба васлаки ssh-agent дар системаи маҳаллӣ дастрасӣ дошта бошад. Он чизе, ки истисморо мушкилтар мекунад, ин аст, ки танҳо реша ва корбари аслӣ ба васлаки дастрасӣ доранд. Сенарияи эҳтимолии ҳамла ин аст, ки агент ба ҳисобе, ки аз ҷониби ҳамлагар назорат мешавад ё ба ҳост, ки ҳамлакунанда дастрасии реша дорад, равона карда мешавад.
    • sshd аз гузаштани параметрҳои хеле калон бо номи корбар ба зерсистемаи PAM муҳофизат илова кардааст, ки ба шумо имкон медиҳад осебпазириро дар модулҳои системаи PAM (Pluggable Authentication Module) маҳкам кунед. Масалан, тағирот пешгирӣ мекунад, ки sshd ҳамчун вектор барои истифода аз осебпазирии решаи ба наздикӣ кашфшуда дар Solaris (CVE-2020-14871) истифода шавад.
  • Тағироти эҳтимолии вайрон кардани мутобиқат:
    • В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо [почтаи электронӣ ҳифз карда шудааст] метод теперь идентифицируется как [почтаи электронӣ ҳифз карда шудааст] (алгоритми sntrup4591761 бо sntrup761 иваз карда шудааст).
    • Дар ssh ва sshd тартиби эълон кардани алгоритмҳои имзои рақамии дастгирӣшаванда тағир дода шудааст. Ҳоло ба ҷои ECDSA аввал ED25519 пешниҳод карда мешавад.
    • Дар ssh ва sshd, танзими параметрҳои сифати хидматрасонии TOS/DSCP барои ҷаласаҳои интерактивӣ ҳоло пеш аз таъсиси пайвасти TCP анҷом дода мешавад.
    • Дастгирии рамзгузорӣ дар ssh ва sshd қатъ карда шудааст [почтаи электронӣ ҳифз карда шудааст], ки ба aes256-cbc шабеҳ аст ва пеш аз тасдиқи RFC-4253 истифода шудааст.
    • Бо нобаёнӣ, параметри CheckHostIP ғайрифаъол аст, ки фоидаи он ночиз аст, аммо истифодаи он гардиши калидҳоро барои ҳостҳо дар паси тавозуни сарборӣ ба таври назаррас мушкил мекунад.
  • Танзимоти PerSourceMaxStartups ва PerSourceNetBlockSize ба sshd илова карда шуданд, то шиддати оғозкунандаи коркардкунандагонро дар асоси суроғаи муштарӣ маҳдуд кунанд. Ин параметрҳо ба шумо имкон медиҳанд, ки дар муқоиса бо танзимоти умумии MaxStartups маҳдудияти оғози равандро дақиқтар назорат кунед.
  • Танзимоти нави LogVerbose ба ssh ва sshd илова карда шуд, ки ба шумо имкон медиҳад, ки сатҳи иттилооти ислоҳи ба сабт партофташуда бо қобилияти филтр кардани қолабҳо, функсияҳо ва файлҳо ба таври маҷбурӣ баланд бардошта шавад.
  • Дар ssh, ҳангоми қабули калиди нави ҳост, ҳама номҳои мизбон ва суроғаҳои IP, ки бо калид алоқаманданд, нишон дода мешаванд.
  • ssh ба UserKnownHostsFile=none имкон медиҳад, ки истифодаи файли unknown_hosts ҳангоми муайян кардани калидҳои ҳост ғайрифаъол кунад.
  • Танзимоти KnownHostsCommand ба ssh_config барои ssh илова карда шудааст, ки ба шумо имкон медиҳад, ки аз натиҷаи фармони муайян маълумотҳои unknown_hosts гиред.
  • Имконияти PermitRemoteOpen ба ssh_config барои ssh илова карда шуд, то ба шумо имкон диҳад, ки ҳангоми истифодаи опсияи RemoteForward бо SOCKS макони таъинотро маҳдуд кунед.
  • Дар ssh барои калидҳои FIDO, дархости такрории PIN дар сурати нокомии амалиёти имзои рақамӣ бо сабаби PIN-и нодуруст ва аз корбар дархост нашудани PIN (масалан, вақте ки маълумоти дурусти биометрӣ ба даст оварда нашуд ва дастгоҳ ба вуруди дастӣ PIN бозгашт).
  • sshd дастгирии зангҳои иловагии системаро ба механизми ҷудокунии равандҳои seccomp-bpf дар Linux илова мекунад.
  • Утилитаи contrib/ssh-copy-id нав карда шуд.

Манбаъ: opennet.ru

Илова Эзоҳ