پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > OpenSSH 8.4 کی ریلیز

OpenSSH 8.4 کی ریلیز

چار ماہ کی ترقی کے بعد پیش کیا OpenSSH 8.4 کی ریلیز، SSH 2.0 اور SFTP پروٹوکول کا استعمال کرتے ہوئے کام کرنے کے لیے ایک کھلا کلائنٹ اور سرور کا نفاذ۔

اہم تبدیلیاں:

  • سیکورٹی تبدیلیاں:
    • ssh-agent میں، FIDO کیز کا استعمال کرتے وقت جو SSH تصدیق کے لیے نہیں بنائی گئی تھیں (کلیدی ID سٹرنگ "ssh:" سے شروع نہیں ہوتی ہے)، اب یہ چیک کرتا ہے کہ SSH پروٹوکول میں استعمال کیے گئے طریقوں کا استعمال کرتے ہوئے پیغام پر دستخط کیے جائیں گے۔ تبدیلی ssh-agent کو دور دراز کے میزبانوں پر ری ڈائریکٹ ہونے کی اجازت نہیں دے گی جن کے پاس FIDO کلیدیں ہیں تاکہ ویب تصدیق کی درخواستوں کے لیے دستخط پیدا کرنے کے لیے ان کلیدوں کو استعمال کرنے کی صلاحیت کو روکا جا سکے (الٹا معاملہ، جب براؤزر SSH درخواست پر دستخط کر سکتا ہے، ابتدائی طور پر خارج کر دیا جاتا ہے۔ کلیدی شناخت کنندہ میں "ssh:" سابقہ ​​کے استعمال کی وجہ سے)۔
    • ssh-keygen کی رہائشی کلید نسل میں FIDO 2.1 تفصیلات میں بیان کردہ credProtect ایڈ آن کے لیے تعاون شامل ہے، جو کسی بھی آپریشن کو انجام دینے سے پہلے PIN کی ضرورت کے ذریعے کلیدوں کے لیے اضافی تحفظ فراہم کرتا ہے جس کے نتیجے میں ٹوکن سے رہائشی کلید نکالی جا سکتی ہے۔
  • مطابقت کی تبدیلیوں کو ممکنہ طور پر توڑنا:
    • FIDO/U2F کو سپورٹ کرنے کے لیے، libfido2 لائبریری کو کم از کم ورژن 1.5.0 استعمال کرنے کی سفارش کی جاتی ہے۔ پرانے ایڈیشنوں کو استعمال کرنے کی صلاحیت کو جزوی طور پر نافذ کر دیا گیا ہے، لیکن اس صورت میں، رہائشی چابیاں، PIN کی درخواست، اور متعدد ٹوکنز کو جوڑنے جیسے افعال دستیاب نہیں ہوں گے۔
    • ssh-keygen میں، تصدیق کرنے والے ڈیجیٹل دستخطوں کی تصدیق کے لیے ضروری توثیق کار ڈیٹا کو تصدیقی معلومات کے فارمیٹ میں شامل کیا گیا ہے، FIDO کلید تیار کرتے وقت اختیاری طور پر محفوظ کیا جاتا ہے۔
    • FIDO ٹوکنز تک رسائی کے لیے OpenSSH پرت کے ساتھ تعامل کے وقت استعمال ہونے والا API تبدیل کر دیا گیا ہے۔
    • OpenSSH کے پورٹیبل ورژن کی تعمیر کرتے وقت، automake کو اب کنفیگر اسکرپٹ اور اس کے ساتھ موجود بلڈ فائلز بنانے کی ضرورت ہوتی ہے (اگر شائع شدہ کوڈ ٹار فائل سے بنانا ہو تو، کنفیگر کو دوبارہ تخلیق کرنے کی ضرورت نہیں ہے)۔
  • FIDO کیز کے لیے شامل کردہ سپورٹ جن کے لیے ssh اور ssh-keygen میں PIN کی تصدیق کی ضرورت ہوتی ہے۔ PIN کے ساتھ کیز بنانے کے لیے، ssh-keygen میں "verify-required" آپشن شامل کر دیا گیا ہے۔ اگر ایسی چابیاں استعمال کی جاتی ہیں تو، دستخط بنانے کے عمل کو انجام دینے سے پہلے، صارف کو پن کوڈ درج کرکے اپنے اعمال کی تصدیق کرنے کے لیے کہا جاتا ہے۔
  • sshd میں، "verify-required" آپشن کو authorized_keys کی ترتیب میں لاگو کیا جاتا ہے، جس کے لیے ٹوکن کے ساتھ آپریشنز کے دوران صارف کی موجودگی کی تصدیق کے لیے صلاحیتوں کے استعمال کی ضرورت ہوتی ہے۔ FIDO اسٹینڈرڈ اس طرح کی تصدیق کے لیے کئی اختیارات فراہم کرتا ہے، لیکن فی الحال OpenSSH صرف PIN پر مبنی تصدیق کو سپورٹ کرتا ہے۔
  • sshd اور ssh-keygen نے ڈیجیٹل دستخطوں کی تصدیق کے لیے تعاون شامل کیا ہے جو FIDO Webauthn کے معیار کے مطابق ہیں، جو FIDO کیز کو ویب براؤزرز میں استعمال کرنے کی اجازت دیتا ہے۔
  • سرٹیفکیٹ فائل کی ترتیبات میں ssh میں،
    ControlPath، IdentityAgent، IdentityFile، LocalForward اور
    RemoteForward فارمیٹ "${ENV}" میں بیان کردہ ماحولیاتی متغیرات سے اقدار کے متبادل کی اجازت دیتا ہے۔

  • ssh اور ssh-agent نے $SSH_ASKPASS_REQUIRE ماحولیاتی متغیر کے لیے تعاون شامل کیا ہے، جو ssh-askpass کال کو فعال یا غیر فعال کرنے کے لیے استعمال کیا جا سکتا ہے۔
  • AddKeysToAgent ہدایت میں ssh_config میں ssh میں، کلید کی میعاد کو محدود کرنے کی صلاحیت شامل کی گئی ہے۔ مخصوص حد ختم ہونے کے بعد، ssh-agent سے چابیاں خود بخود حذف ہو جاتی ہیں۔
  • scp اور sftp میں، "-A" پرچم کا استعمال کرتے ہوئے، آپ اب واضح طور پر ssh-agent کا استعمال کرتے ہوئے scp اور sftp کو ری ڈائریکشن کی اجازت دے سکتے ہیں (ری ڈائریکشن بطور ڈیفالٹ غیر فعال ہے)۔
  • ssh سیٹنگز میں '%k' متبادل کے لیے سپورٹ شامل کیا گیا، جو میزبان کلید کا نام بتاتا ہے۔ اس خصوصیت کو علیحدہ فائلوں میں کلیدوں کو تقسیم کرنے کے لیے استعمال کیا جا سکتا ہے (مثال کے طور پر، "UserKnownHostsFile ~/.ssh/known_hosts.d/%k")۔
  • "ssh-add -d -" آپریشن کے استعمال کی اجازت دیں۔
  • sshd میں، کنکشن کی کٹائی کے عمل کا آغاز اور اختتام لاگ میں ظاہر ہوتا ہے، جو MaxStartups پیرامیٹر کے ذریعے ریگولیٹ ہوتا ہے۔

اوپن ایس ایس ایچ ڈویلپرز نے SHA-1 ہیشز کا استعمال کرتے ہوئے الگورتھم کے آنے والے ڈیکمیشن کو بھی یاد کیا اضافہ دیئے گئے سابقہ ​​کے ساتھ تصادم کے حملوں کی تاثیر (تصادم کے انتخاب کی لاگت کا تخمینہ تقریباً 45 ہزار ڈالر ہے)۔ آنے والی ریلیز میں سے ایک میں، وہ عوامی کلیدی ڈیجیٹل دستخطی الگورتھم "ssh-rsa" کو استعمال کرنے کی صلاحیت کو بطور ڈیفالٹ غیر فعال کرنے کا ارادہ رکھتے ہیں، جس کا تذکرہ SSH پروٹوکول کے لیے اصل RFC میں کیا گیا ہے اور عملی طور پر وسیع پیمانے پر رہتا ہے (استعمال کی جانچ کرنے کے لیے۔ آپ کے سسٹمز میں ssh-rsa کے، آپ ssh کے ذریعے آپشن "-oHostKeyAlgorithms=-ssh-rsa") کے ساتھ جڑنے کی کوشش کر سکتے ہیں۔

OpenSSH میں نئے الگورتھم کی منتقلی کو ہموار کرنے کے لیے، اگلی ریلیز UpdateHostKeys کی ترتیب کو بطور ڈیفالٹ فعال کرے گی، جو خود بخود کلائنٹس کو زیادہ قابل اعتماد الگورتھم میں منتقل کر دے گی۔ منتقلی کے لیے تجویز کردہ الگورتھم میں RFC2 RSA SHA-256 کی بنیاد پر rsa-sha512-8332/2 (OpenSSH 7.2 سے تعاون یافتہ اور بطور ڈیفالٹ استعمال کیا جاتا ہے)، ssh-ed25519 (OpenSSH 6.5 کے بعد سے تعاون یافتہ) اور ecdsa-sha2-nistp256/384/521 پر مبنی شامل ہیں۔ RFC5656 ECDSA پر (OpenSSH 5.7 سے تعاون یافتہ)۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں