ProHoster > Blog > internet haberleri > OpenSSH 8.0 sürümü

OpenSSH 8.0 sürümü

Beş aylık geliştirme sürecinin ardından gönderilen serbest OpenSSH 8.0, SSH 2.0 ve SFTP protokolleri aracılığıyla çalışmaya yönelik açık bir istemci ve sunucu uygulaması.

Ana değişiklikler:

  • Kuantum bilgisayarındaki kaba kuvvet saldırılarına karşı dayanıklı bir anahtar değişim yöntemi için deneysel destek, ssh ve sshd'ye eklendi. Kuantum bilgisayarlar, modern asimetrik şifreleme algoritmalarının temelini oluşturan ve klasik işlemcilerde etkili bir şekilde çözülemeyen bir doğal sayıyı asal faktörlere ayırma sorununu çözmede çok daha hızlıdır. Önerilen yöntem algoritmaya dayanmaktadır. NTRU Başbakan (işlev ntrup4591761), kuantum sonrası şifreleme sistemleri için geliştirildi ve eliptik eğri anahtar değişim yöntemi X25519;
  • Sshd'de ListenAddress ve PermitOpen yönergeleri, IPv2001 ile çalışmayı kolaylaştırmak için 6 yılında "ana bilgisayar:bağlantı noktası"na alternatif olarak uygulanan eski "ana bilgisayar/bağlantı noktası" sözdizimini artık desteklememektedir. Modern koşullarda, IPv6 için "[::1]:22" sözdizimi oluşturulmuştur ve "ana bilgisayar/bağlantı noktası" genellikle alt ağı (CIDR) belirtmekle karıştırılır;
  • ssh, ssh-agent ve ssh-add artık anahtarları destekliyor ECDSA PKCS#11 belirteçlerinde;
  • Ssh-keygen'de, yeni NIST tavsiyelerine uygun olarak varsayılan RSA anahtar boyutu 3072 bit'e yükseltildi;
  • ssh, ssh_config'de belirtilen PKCS11Provider yönergesini geçersiz kılmak için "PKCS11Provider=none" ayarının kullanılmasına izin verir;
  • sshd, sshd_config'teki “ForceCommand=internal-sftp” kısıtlaması tarafından engellenen komutları yürütmeye çalışırken bağlantının sonlandırıldığı durumların günlük görüntüsünü sağlar;
  • Ssh'de, yeni bir ana bilgisayar anahtarının kabulünü onaylamak için bir istek görüntülenirken, "evet" yanıtı yerine artık anahtarın doğru parmak izi kabul edilir (bağlantıyı onaylama davetine yanıt olarak kullanıcı, anahtarı kopyalayabilir) manuel olarak karşılaştırmamak için pano aracılığıyla ayrı olarak alınan referans karması);
  • ssh-keygen, komut satırında birden fazla sertifika için dijital imzalar oluştururken sertifika sıra numarasının otomatik olarak artırılmasını sağlar;
  • Scp ve sftp'ye ProxyJump ayarına eşdeğer yeni bir "-J" seçeneği eklendi;
  • Ssh-agent, ssh-pkcs11-helper ve ssh-add'de, çıktının bilgi içeriğini artırmak için “-v” komut satırı seçeneğinin işlenmesi eklenmiştir (belirtildiğinde bu seçenek alt işlemlere aktarılır, örneğin, ssh-pkcs11-helper ssh-agent'tan çağrıldığında);
  • Dijital imza oluşturma ve doğrulama işlemlerini gerçekleştirmek için ssh-agent'taki anahtarların uygunluğunu test etmek amacıyla ssh-add'e “-T” seçeneği eklendi;
  • sftp-server, SFTP için SSH2_FXP_SETSTAT işlemine destek ekleyen ancak sembolik bağlantıları takip etmeyen "lsetstat at openssh.com" protokol uzantısı için destek uygular;
  • Sembolik bağlantılar kullanmayan isteklerle chown/chgrp/chmod komutlarını çalıştırmak için sftp'ye "-h" seçeneği eklendi;
  • sshd, PAM için $SSH_CONNECTION ortam değişkeninin ayarlanmasını sağlar;
  • Sshd için, ssh_config'e "Match canonical"e benzeyen ancak ana bilgisayar adı normalleştirmesinin etkinleştirilmesini gerektirmeyen bir "Match final" eşleştirme modu eklenmiştir;
  • Toplu modda yürütülen komutların çıktısının çevirisini devre dışı bırakmak için sftp'ye '@' öneki desteği eklendi;
  • Komutu kullanarak bir sertifikanın içeriğini görüntülediğinizde
    "ssh-keygen -Lf /path/certificate" artık CA tarafından sertifikayı doğrulamak için kullanılan algoritmayı görüntülüyor;

  • Cygwin ortamı için iyileştirilmiş destek; örneğin grup ve kullanıcı adlarının büyük/küçük harfe duyarlı olmayan bir şekilde karşılaştırılmasının sağlanması. Cygwin bağlantı noktasındaki sshd işlemi, Microsoft tarafından sağlanan OpenSSH bağlantı noktasına müdahaleyi önlemek için cygsshd olarak değiştirildi;
  • Deneysel OpenSSL 3.x şubesiyle derleme yeteneği eklendi;
  • elendi Güvenlik açığı (CVE-2019-6111), bir saldırgan tarafından kontrol edilen bir sunucuya erişilirken istemci tarafında hedef dizindeki rastgele dosyaların üzerine yazılmasına izin veren scp yardımcı programının uygulanmasında. Buradaki sorun, scp kullanıldığında sunucunun istemciye hangi dosya ve dizinleri göndereceğine karar vermesi ve istemcinin yalnızca döndürülen nesne adlarının doğruluğunu kontrol etmesidir. İstemci tarafı kontrolü, yalnızca geçerli dizinin (“../”) ötesine seyahatin engellenmesiyle sınırlıdır, ancak orijinal olarak talep edilenden farklı adlara sahip dosyaların aktarımını dikkate almaz. Özyinelemeli kopyalama (-r) durumunda, dosya adlarına ek olarak alt dizinlerin adlarını da benzer şekilde değiştirebilirsiniz. Örneğin, kullanıcı dosyaları ana dizine kopyalarsa, saldırgan tarafından kontrol edilen sunucu, istenen dosyalar yerine .bash_aliases veya .ssh/authorized_keys adlarında dosyalar üretebilir ve bunlar scp yardımcı programı tarafından kullanıcının dizinine kaydedilir. ana dizin.

    Yeni sürümde, scp yardımcı programı, istenen dosya adları ile sunucu tarafından gönderilen dosya adları arasındaki uyumu istemci tarafında kontrol edecek şekilde güncellendi. Maske genişletme karakterleri sunucu ve istemci tarafında farklı şekilde işlenebileceğinden, bu durum maske işlemede sorunlara neden olabilir. Bu tür farklılıkların istemcinin scp'de dosya kabul etmeyi durdurmasına neden olması durumunda, istemci tarafı denetimi devre dışı bırakmak için “-T” seçeneği eklenmiştir. Sorunu tamamen düzeltmek için, kendisi zaten güncelliğini kaybetmiş olan scp protokolünün kavramsal olarak yeniden işlenmesi gerekir, bu nedenle bunun yerine sftp ve rsync gibi daha modern protokollerin kullanılması önerilir.

Kaynak: opennet.ru

Yorum ekle