ProHoster > Blog > ахбори интернет > Нашри OpenSSH 8.7

Нашри OpenSSH 8.7

Пас аз чаҳор моҳи таҳия, нашри OpenSSH 8.7, татбиқи кушодаи муштарӣ ва сервер барои кор бо протоколҳои SSH 2.0 ва SFTP пешниҳод карда шуд.

Тағйироти асосӣ:

  • Усули таҷрибавии интиқоли маълумот ба scp бо истифода аз протоколи SFTP ба ҷои протоколи анъанавии SCP/RCP илова карда шудааст. SFTP усулҳои пешгӯинашавандаи коркарди номҳоро истифода мебарад ва коркарди қабати намунаҳои глобро дар тарафи дигари мизбон истифода намебарад, ки мушкилоти амниятро ба вуҷуд меорад. Барои фаъол кардани SFTP дар scp, парчами "-s" пешниҳод шудааст, аммо дар оянда ба нақша гирифта шудааст, ки ба таври нобаёнӣ ба ин протокол гузаред.
  • sftp-server васеъшавиро ба протоколи SFTP барои васеъ кардани роҳҳои ~/ ва ~user/ амалӣ мекунад, ки барои scp зарур аст.
  • Барномаи scp рафторро ҳангоми нусхабардории файлҳо байни ду ҳости дурдаст тағир дод (масалан, "scp host-a:/path host-b:"), ки ҳоло ба таври нобаёнӣ тавассути хости фосилавии маҳаллӣ, ба мисли ҳангоми муайян кардани " -3" байрақ. Ин равиш ба шумо имкон медиҳад, ки аз интиқоли эътимодномаҳои нолозим ба ҳости аввал ва тафсири сегонаи номҳои файл дар қабат (дар манба, макони таъинот ва системаи маҳаллӣ) пешгирӣ кунед ва ҳангоми истифодаи SFTP, он ба шумо имкон медиҳад, ки ҳангоми дастрасӣ ба дурдаст ҳама усулҳои аутентификатсияро истифода баред. мизбонҳо, на танҳо усулҳои интерактивӣ. Опсияи "-R" барои барқарор кардани рафтори кӯҳна илова карда шудааст.
  • Танзимоти ForkAfterAuthentication ба ssh мувофиқи парчами "-f" илова карда шуд.
  • Танзимоти StdinNull ба ssh илова карда шуд, ки ба парчами "-n" мувофиқ аст.
  • Танзимоти SessionType ба ssh илова карда шуд, ки тавассути он шумо метавонед шеваҳои мувофиқро ба парчамҳои "-N" (бе сессия) ва "-s" (зерсистема) танзим кунед.
  • ssh-keygen ба шумо имкон медиҳад, ки фосилаи эътибори калидиро дар файлҳои калидӣ муайян кунед.
  • Ба ssh-keygen парчами "-Oprint-pubkey" илова карда шуд, то калиди пурраи умумиро ҳамчун як қисми имзои sshsig чоп кунад.
  • Дар ssh ва sshd, ҳам муштарӣ ва ҳам сервер барои истифодаи таҳлилгари файли конфигуратсияи маҳдудтар кӯчонида шуданд, ки барои коркарди иқтибосҳо, фосилаҳо ва аломатҳои фирорӣ қоидаҳои ба қабеҳ монандро истифода мебарад. Таҳлилгари нав инчунин пиндоштҳои қаблан додашударо нодида намегирад, ба монанди нодида гирифтани аргументҳо дар вариантҳо (масалан, дастури DenyUsers дигар холӣ мондан мумкин нест), нохунакҳои пӯшида ва муайян кардани аломатҳои сершумор =.
  • Ҳангоми истифодаи сабтҳои DNS SSHFP ҳангоми тасдиқи калидҳо, ssh акнун на танҳо сабтҳои мувофиқро, на танҳо сабтҳои дорои як намуди мушаххаси имзои рақамиро месанҷад.
  • Дар ssh-keygen, ҳангоми тавлиди калиди FIDO бо опсияи -Ochallenge, қабати дарунсохт акнун на барои хэшинг истифода мешавад, на libfido2, ки имкон медиҳад, ки пайдарпайии мушкилоти аз 32 байт калонтар ё хурдтар истифода шавад.
  • Дар sshd, ҳангоми коркарди директиваҳои муҳити = "..." дар файлҳои authorized_keys, мувофиқати аввал қабул карда мешавад ва маҳдудияти 1024 номи тағирёбандаи муҳити зист вуҷуд дорад.

Таҳиягарони OpenSSH инчунин дар бораи таҷзияи алгоритмҳо бо истифодаи хэшҳои SHA-1 бо сабаби баланд шудани самаранокии ҳамлаҳои бархӯрд бо префикси додашуда ҳушдор доданд (арзиши интихоби бархӯрд тақрибан 50 ҳазор доллар ҳисоб карда мешавад). Дар нашри навбатӣ, мо нақша дорем, ки ба таври нобаёнӣ қобилияти истифодаи калиди оммавии алгоритми имзои рақамии "ssh-rsa", ки дар RFC-и аслии протоколи SSH зикр шуда буд ва дар амал васеъ истифода мешавад.

Барои санҷидани истифодаи ssh-rsa дар системаҳои худ, шумо метавонед кӯшиш кунед, ки тавассути ssh бо опсияи “-oHostKeyAlgorithms=-ssh-rsa” пайваст шавед. Ҳамзамон, ғайрифаъол кардани имзоҳои рақамии "ssh-rsa" ба таври нобаёнӣ маънои даст кашидан аз истифодаи калидҳои RSAро надорад, зеро ба ғайр аз SHA-1, протоколи SSH имкон медиҳад, ки дигар алгоритмҳои ҳисобкунии хэш истифода шаванд. Аз чумла, ба гайр аз «сш-рса» истифода бурдани бастахои «rsa-sha2-256» (RSA/SHA256) ва «rsa-sha2-512» (RSA/SHA512) имконпазир хохад монд.

Барои ҳамвор кардани гузариш ба алгоритмҳои нав, OpenSSH қаблан танзимоти UpdateHostKeys-ро бо нобаёнӣ фаъол карда буд, ки ба мизоҷон имкон медиҳад, ки ба таври худкор ба алгоритмҳои боэътимодтар гузаранд. Бо истифода аз ин танзимот, тамдиди махсуси протокол фаъол карда мешавад "[почтаи электронӣ ҳифз карда шудааст]", ба сервер имкон медиҳад, ки пас аз тасдиқи аутентификатсия ба муштарӣ дар бораи ҳама калидҳои дастраси ҳост маълумот диҳад. Мизоҷ метавонад ин калидҳоро дар файли ~/.ssh/known_hosts инъикос намояд, ки имкон медиҳад калидҳои ҳост навсозӣ шаванд ва иваз кардани калидҳоро дар сервер осонтар кунад.

Истифодаи UpdateHostKeys бо якчанд огоҳӣ маҳдуд аст, ки метавонанд дар оянда хориҷ карда шаванд: калид бояд дар UserKnownHostsFile истинод карда шавад ва дар GlobalKnownHostsFile истифода нашавад; калид бояд танҳо бо як ном мавҷуд бошад; сертификати калиди мизбон набояд истифода шавад; дар unknown_hosts ниқобҳо бо номи ҳост набояд истифода шаванд; танзимоти VerifyHostKeyDNS бояд ғайрифаъол карда шавад; Параметри UserKnownHostsFile бояд фаъол бошад.

Алгоритмҳои тавсияшуда барои муҳоҷират иборатанд аз rsa-sha2-256/512 дар асоси RFC8332 RSA SHA-2 (аз OpenSSH 7.2 дастгирӣ мешавад ва бо нобаёнӣ истифода мешавад), ssh-ed25519 (аз OpenSSH 6.5 дастгирӣ мешавад) ва ecdsa-sha2-nistp256/384 дар RFC521 ECDSA (аз OpenSSH 5656 дастгирӣ карда мешавад).

Манбаъ: opennet.ru

Илова Эзоҳ