Dört aylık geliştirme sürecinin ardından, SSH 8.7 ve SFTP protokolleri üzerinde çalışmaya yönelik bir istemci ve sunucunun açık uygulaması olan OpenSSH 2.0'nin piyasaya sürülmesi sunuldu.
Ana değişiklikler:
- Geleneksel SCP/RCP protokolü yerine SFTP protokolü kullanılarak scp'ye deneysel bir veri aktarım modu eklenmiştir. SFTP daha öngörülebilir ad işleme yöntemleri kullanır ve diğer ana bilgisayarın tarafında glob kalıplarının kabuk işlemesini kullanmaz; bu da güvenlik sorunları yaratır. Scp'de SFTP'yi etkinleştirmek için “-s” bayrağı önerildi ancak gelecekte varsayılan olarak bu protokole geçilmesi planlanıyor.
- sftp-server, scp için gerekli olan ~/ ve ~user/ yollarını genişletmek için SFTP protokolüne uzantılar uygular.
- Scp yardımcı programı, dosyaları iki uzak ana bilgisayar arasında kopyalarken (örneğin, "scp ana bilgisayar-a:/yol ana bilgisayar-b:") davranışı değiştirdi; bu, artık varsayılan olarak bir ara yerel ana bilgisayar aracılığıyla yapılıyor; " -3” bayrağı. Bu yaklaşım, gereksiz kimlik bilgilerinin ilk ana bilgisayara aktarılmasını ve kabuktaki dosya adlarının (kaynak, hedef ve yerel sistem tarafında) üçlü yorumlanmasını önlemenizi sağlar ve SFTP kullanırken, uzaktan erişim sırasında tüm kimlik doğrulama yöntemlerini kullanmanıza olanak tanır. ana bilgisayarlar ve yalnızca etkileşimli olmayan yöntemler değil. Eski davranışı geri yüklemek için "-R" seçeneği eklendi.
- "-f" bayrağına karşılık gelen ssh'ye ForkAfterAuthentication ayarı eklendi.
- "-n" bayrağına karşılık gelen StdinNull ayarı ssh'ye eklendi.
- Ssh'ye “-N” (oturum yok) ve “-s” (alt sistem) işaretlerine karşılık gelen modları ayarlayabileceğiniz bir SessionType ayarı eklendi.
- ssh-keygen, anahtar dosyalarında bir anahtar geçerlilik aralığı belirlemenize olanak tanır.
- Sshsig imzasının bir parçası olarak genel anahtarın tamamını yazdırmak için ssh-keygen'e "-Oprint-pubkey" bayrağı eklendi.
- Ssh ve sshd'de hem istemci hem de sunucu, tırnak işaretlerini, boşlukları ve çıkış karakterlerini işlemek için kabuk benzeri kurallar kullanan daha kısıtlayıcı bir yapılandırma dosyası ayrıştırıcısını kullanacak şekilde taşındı. Yeni ayrıştırıcı ayrıca seçeneklerdeki argümanların atlanması (örneğin, DenyUsers yönergesi artık boş bırakılamaz), kapatılmamış tırnak işaretleri ve birden fazla = karakterinin belirtilmesi gibi önceden yapılmış varsayımları da göz ardı etmez.
- Anahtarları doğrularken SSHFP DNS kayıtlarını kullanırken, ssh artık yalnızca belirli bir dijital imza türünü içerenleri değil, eşleşen tüm kayıtları kontrol ediyor.
- Ssh-keygen'de, -Ochallenge seçeneğiyle bir FIDO anahtarı oluştururken, 2 bayttan daha büyük veya daha küçük meydan okuma dizilerinin kullanılmasına izin veren libfido32 yerine yerleşik katman artık karma için kullanılıyor.
- Sshd'de, yetkili_keys dosyalarındaki ortam = "..." yönergeleri işlenirken artık ilk eşleşme kabul edilir ve 1024 ortam değişkeni adı sınırı vardır.
OpenSSH geliştiricileri ayrıca, belirli bir önekle çarpışma saldırılarının verimliliğinin artması nedeniyle SHA-1 karmalarını kullanan algoritmaların ayrışması konusunda da uyardı (bir çarpışma seçmenin maliyetinin yaklaşık 50 bin dolar olduğu tahmin ediliyor). Bir sonraki sürümde, SSH protokolü için orijinal RFC'de bahsedilen ve pratikte yaygın olarak kullanılmaya devam eden genel anahtar dijital imza algoritması "ssh-rsa"yı kullanma yeteneğini varsayılan olarak devre dışı bırakmayı planlıyoruz.
Sistemlerinizde ssh-rsa kullanımını test etmek için “-oHostKeyAlgorithms=-ssh-rsa” seçeneği ile ssh üzerinden bağlanmayı deneyebilirsiniz. Aynı zamanda, "ssh-rsa" dijital imzalarının varsayılan olarak devre dışı bırakılması, RSA anahtarlarının kullanımından tamamen vazgeçildiği anlamına gelmez, çünkü SSH protokolü, SHA-1'e ek olarak diğer karma hesaplama algoritmalarının kullanımına izin verir. Özellikle “ssh-rsa”ya ek olarak “rsa-sha2-256” (RSA/SHA256) ve “rsa-sha2-512” (RSA/SHA512) paketlerinin kullanılması mümkün olmaya devam edecek.
Yeni algoritmalara geçişi kolaylaştırmak için OpenSSH daha önce, istemcilerin otomatik olarak daha güvenilir algoritmalara geçmesine olanak tanıyan UpdateHostKeys ayarını varsayılan olarak etkinleştirmişti. Bu ayar kullanılarak özel bir protokol uzantısı etkinleştirilir "[e-posta korumalı]", kimlik doğrulama sonrasında sunucunun istemciyi mevcut tüm ana bilgisayar anahtarları hakkında bilgilendirmesine olanak tanır. İstemci bu anahtarları ~/.ssh/known_hosts dosyasına yansıtabilir, bu da ana bilgisayar anahtarlarının güncellenmesine olanak tanır ve sunucudaki anahtarların değiştirilmesini kolaylaştırır.
UpdateHostKeys'in kullanımı gelecekte kaldırılabilecek çeşitli uyarılarla sınırlıdır: anahtara UserKnownHostsFile'da başvurulmalı ve GlobalKnownHostsFile'da kullanılmamalıdır; anahtar yalnızca tek bir ad altında bulunmalıdır; ana bilgisayar anahtarı sertifikası kullanılmamalıdır; bilinen_anasistemlerde ana makine adına göre maskeler kullanılmamalıdır; VerifyHostKeyDNS ayarı devre dışı bırakılmalıdır; UserKnownHostsFile parametresi aktif olmalıdır.
Geçiş için önerilen algoritmalar arasında RFC2 RSA SHA-256'yi temel alan rsa-sha512-8332/2 (OpenSSH 7.2'den beri desteklenir ve varsayılan olarak kullanılır), ssh-ed25519 (OpenSSH 6.5'ten beri desteklenir) ve ecdsa-sha2-nistp256/384/521 tabanlı bulunur. RFC5656 ECDSA'da (OpenSSH 5.7'den beri desteklenmektedir).
Kaynak: opennet.ru