ProHoster > Blog > internet yangiliklari > OpenSSH 8.0 versiyasi

OpenSSH 8.0 versiyasi

Besh oylik rivojlanishdan keyin taqdim etildi reliz OpenSSH 8.0, SSH 2.0 va SFTP protokollari orqali ishlash uchun ochiq mijoz va server ilovasi.

Asosiy o'zgarishlar:

  • Kvant kompyuterida shafqatsiz kuch hujumlariga chidamli kalit almashinuv usulini eksperimental qo'llab-quvvatlash ssh va sshd-ga qo'shildi. Kvant kompyuterlari zamonaviy assimetrik shifrlash algoritmlari asosida tabiiy sonni tub omillarga ajratish muammosini hal qilishda tubdan tezroq va klassik protsessorlarda samarali hal etilmaydi. Taklif etilayotgan usul algoritmga asoslangan NTRU Prime Kvantdan keyingi kriptotizimlar uchun ishlab chiqilgan (ntrup4591761 funksiyasi) va X25519 elliptik egri kalit almashish usuli;
  • Sshd-da ListenAddress va PermitOpen direktivalari endi 2001 yilda IPv6 bilan ishlashni soddalashtirish uchun "host: port" ga muqobil sifatida joriy qilingan eski "host/port" sintaksisini qo'llab-quvvatlamaydi. Zamonaviy sharoitda IPv6 uchun "[::1]:22" sintaksisi o'rnatildi va "host/port" ko'pincha pastki tarmoqni (CIDR) ko'rsatish bilan chalkashtiriladi;
  • ssh, ssh-agent va ssh-add endi kalitlarni qo'llab-quvvatlaydi ECDSA PKCS # 11 tokenlarida;
  • Yangi NIST tavsiyalariga muvofiq, ssh-keygen-da standart RSA kalit hajmi 3072 bitgacha oshirildi;
  • ssh ssh_config da ko'rsatilgan PKCS11Provider direktivasini bekor qilish uchun "PKCS11Provider=none" sozlamasidan foydalanishga imkon beradi;
  • sshd sshd_config-dagi “ForceCommand=internal-sftp” cheklovi bilan bloklangan buyruqlarni bajarishga urinayotganda ulanish tugatilgan holatlarning jurnal ekranini taqdim etadi;
  • Ssh-da, yangi xost kalitining qabul qilinishini tasdiqlash so'rovi ko'rsatilganda, "ha" javobi o'rniga, endi kalitning to'g'ri barmoq izi qabul qilinadi (ulanishni tasdiqlash taklifiga javoban, foydalanuvchi uni qo'lda solishtirmaslik uchun bufer orqali alohida olingan ma'lumotnoma xesh);
  • ssh-keygen buyruq satrida bir nechta sertifikatlar uchun raqamli imzolarni yaratishda sertifikat tartib raqamini avtomatik ravishda oshirishni ta'minlaydi;
  • Scp va sftp ga ProxyJump sozlamasiga teng keladigan yangi "-J" opsiyasi qo'shildi;
  • Ssh-agent, ssh-pkcs11-helper va ssh-add-da, chiqishning axborot mazmunini oshirish uchun “-v” buyruq qatori opsiyasini qayta ishlash qo'shilgan (belgilanganida, bu parametr bolalar jarayonlariga o'tkaziladi, masalan, ssh-pkcs11-yordamchi ssh-agentdan chaqirilganda);
  • Raqamli imzo yaratish va tekshirish operatsiyalarini bajarish uchun ssh-agent kalitlarining mosligini tekshirish uchun ssh-add ilovasiga “-T” opsiyasi qo‘shildi;
  • sftp-server "lsetstat at openssh.com" protokoli kengaytmasini qo'llab-quvvatlaydi, bu SFTP uchun SSH2_FXP_SETSTAT operatsiyasini qo'llab-quvvatlaydi, ammo ramziy havolalarsiz;
  • Chown/chgrp/chmod buyruqlarini ramziy havolalardan foydalanmaydigan so'rovlar bilan bajarish uchun sftp-ga "-h" opsiyasi qo'shildi;
  • sshd PAM uchun $SSH_CONNECTION muhit o'zgaruvchisini sozlashni ta'minlaydi;
  • Sshd uchun ssh_config-ga “Match kanonik”ga o'xshash “Match final” moslashish rejimi qo'shildi, lekin xost nomini normallashtirishni yoqishni talab qilmaydi;
  • Ommaviy rejimda bajarilgan buyruqlar chiqishini tarjima qilishni o'chirish uchun sftp ga "@" prefiksi qo'shildi;
  • Buyruq yordamida sertifikat mazmunini ko'rsatganingizda
    "ssh-keygen -Lf /path/certificate" endi sertifikatni tekshirish uchun CA tomonidan ishlatiladigan algoritmni ko'rsatadi;

  • Cygwin muhiti uchun takomillashtirilgan qo'llab-quvvatlash, masalan, guruh va foydalanuvchi nomlarini katta-kichik harflarsiz taqqoslashni ta'minlash. Microsoft tomonidan taqdim etilgan OpenSSH portiga xalaqit bermaslik uchun Cygwin portidagi sshd jarayoni cygsshd ga o'zgartirildi;
  • Eksperimental OpenSSL 3.x filiali bilan qurish qobiliyati qo'shildi;
  • Yo'q qilingan zaiflik (CVE-2019-6111) scp yordam dasturini amalga oshirishda, bu tajovuzkor tomonidan boshqariladigan serverga kirishda maqsadli katalogdagi ixtiyoriy fayllarni mijoz tomonida qayta yozishga imkon beradi. Muammo shundaki, scp dan foydalanganda server mijozga qaysi fayl va kataloglarni yuborishni hal qiladi va mijoz faqat qaytarilgan ob'ekt nomlarining to'g'riligini tekshiradi. Mijoz tomonidan tekshirish faqat joriy katalogdan tashqariga sayohatni blokirovka qilish bilan chegaralanadi (“../”), lekin dastlab so'ralganlardan boshqacha nomlarga ega fayllarni uzatishni hisobga olmaydi. Rekursiv nusxa ko'chirishda (-r) fayl nomlaridan tashqari siz quyi kataloglar nomlarini ham xuddi shunday tarzda o'zgartirishingiz mumkin. Misol uchun, agar foydalanuvchi fayllarni uy katalogiga ko'chirsa, tajovuzkor tomonidan boshqariladigan server so'ralgan fayllar o'rniga .bash_aliases yoki .ssh/authorized_keys nomli fayllarni ishlab chiqishi mumkin va ular scp yordam dasturi tomonidan foydalanuvchining katalogiga saqlanadi. uy katalogi.

    Yangi versiyada scp yordam dasturi mijoz tomonidan amalga oshiriladigan so'ralgan va server tomonidan yuborilgan fayl nomlari o'rtasidagi yozishmalarni tekshirish uchun yangilandi. Bu niqobni qayta ishlash bilan bog'liq muammolarga olib kelishi mumkin, chunki niqobni kengaytirish belgilari server va mijoz tomonida boshqacha tarzda qayta ishlanishi mumkin. Agar bunday farqlar mijozning scp-dagi fayllarni qabul qilishni to'xtatishiga olib keladigan bo'lsa, mijoz tomonidan tekshirishni o'chirish uchun "-T" opsiyasi qo'shildi. Muammoni to'liq tuzatish uchun scp protokolini kontseptual qayta ishlash talab etiladi, uning o'zi allaqachon eskirgan, shuning uchun uning o'rniga sftp va rsync kabi zamonaviyroq protokollardan foydalanish tavsiya etiladi.

Manba: opennet.ru

a Izoh qo'shish