ProHoster > Blog > internet yangiliklari > OpenSSH 8.4 versiyasi

OpenSSH 8.4 versiyasi

To'rt oylik rivojlanishdan keyin taqdim etildi OpenSSH 8.4 ning chiqarilishi, SSH 2.0 va SFTP protokollari yordamida ishlash uchun ochiq mijoz va server ilovasi.

Asosiy o'zgarishlar:

  • Xavfsizlik o'zgarishlari:
    • Ssh-agentda SSH autentifikatsiyasi uchun yaratilmagan FIDO kalitlaridan foydalanganda (kalit identifikatori "ssh:" qatoridan boshlanmaydi), endi u xabarning SSH protokolida qo'llanilgan usullar yordamida imzolanishini tekshiradi. O'zgartirish ssh-agentni veb-autentifikatsiya so'rovlari uchun imzolarni yaratish uchun ushbu kalitlardan foydalanish imkoniyatini bloklash uchun FIDO kalitlariga ega bo'lgan masofaviy xostlarga yo'naltirilishiga ruxsat bermaydi (teskari holat, brauzer SSH so'rovini imzolashi mumkin bo'lsa, dastlab istisno qilinadi. kalit identifikatorida "ssh:" prefiksidan foydalanish tufayli).
    • ssh-keygen rezident kalitini yaratish FIDO 2.1 spetsifikatsiyasida tasvirlangan credProtect plaginini qo‘llab-quvvatlashni o‘z ichiga oladi, bu esa tokendan rezident kalitni chiqarishga olib kelishi mumkin bo‘lgan har qanday operatsiyani bajarishdan oldin PIN-kodni talab qilish orqali kalitlarni qo‘shimcha himoyalashni ta’minlaydi.
  • Muvofiqlikni buzish mumkin bo'lgan o'zgarishlar:
    • FIDO/U2F-ni qo'llab-quvvatlash uchun libfido2 kutubxonasidan kamida 1.5.0 versiyasidan foydalanish tavsiya etiladi. Eski nashrlardan foydalanish imkoniyati qisman amalga oshirildi, ammo bu holda rezident kalitlar, PIN-kod so‘rovi va bir nechta tokenlarni ulash kabi funksiyalar mavjud bo‘lmaydi.
    • Ssh-keygen-da, tasdiqlovchi raqamli imzolarni tekshirish uchun zarur bo'lgan autentifikatsiya ma'lumotlari tasdiqlash ma'lumotlari formatiga qo'shildi, ixtiyoriy ravishda FIDO kalitini yaratishda saqlanadi.
    • OpenSSH FIDO tokenlariga kirish uchun qatlam bilan oʻzaro aloqada boʻlganda foydalaniladigan API oʻzgartirildi.
    • OpenSSH ning portativ versiyasini yaratishda konfiguratsiya skriptini va unga hamroh bo'lgan tuzilish fayllarini yaratish uchun automake endi talab qilinadi (agar nashr etilgan kod tar faylidan tuzsa, konfiguratsiyani qayta tiklash shart emas).
  • Ssh va ssh-keygen-da PIN-kodni tekshirishni talab qiluvchi FIDO kalitlari uchun qo'shimcha yordam. PIN-kodli kalitlarni yaratish uchun ssh-keygen-ga “tasdiqlash kerak” opsiyasi qo'shildi. Agar bunday kalitlar ishlatilsa, imzo yaratish operatsiyasini bajarishdan oldin foydalanuvchidan PIN-kodni kiritish orqali o'z harakatlarini tasdiqlash so'raladi.
  • Sshd-da "tekshirish kerak" opsiyasi avtorizatsiyalangan_kalitlar sozlamalarida amalga oshiriladi, bu token bilan operatsiyalar paytida foydalanuvchining mavjudligini tekshirish uchun imkoniyatlardan foydalanishni talab qiladi. FIDO standarti bunday tekshirish uchun bir nechta variantlarni taqdim etadi, ammo hozirda OpenSSH faqat PIN-kodga asoslangan tekshirishni qo'llab-quvvatlaydi.
  • sshd va ssh-keygen FIDO kalitlaridan veb-brauzerlarda foydalanishga imkon beruvchi FIDO Webauthn standartiga mos keladigan raqamli imzolarni tekshirish uchun qo‘shimcha yordam berdi.
  • CertificateFile sozlamalarida ssh da,
    ControlPath, IdentityAgent, IdentityFile, LocalForward va
    RemoteForward "${ENV}" formatida ko'rsatilgan muhit o'zgaruvchilari qiymatlarini almashtirishga imkon beradi.

  • ssh va ssh-agent $SSH_ASKPASS_REQUIRE muhit o'zgaruvchisi uchun qo'shimcha qo'llab-quvvatladi, bu ssh-askpass chaqiruvini yoqish yoki o'chirish uchun ishlatilishi mumkin.
  • AddKeysToAgent direktivasidagi ssh_config-dagi ssh-ga kalitning amal qilish muddatini cheklash imkoniyati qo'shildi. Belgilangan cheklov muddati tugagandan so'ng, kalitlar ssh-agentdan avtomatik ravishda o'chiriladi.
  • scp va sftp-da "-A" bayrog'idan foydalanib, endi ssh-agent yordamida scp va sftp-ga qayta yo'naltirishga ruxsat berishingiz mumkin (qayta yo'naltirish sukut bo'yicha o'chirilgan).
  • Xost kalit nomini belgilaydigan ssh sozlamalarida "%k" o'rnini bosish uchun qo'shimcha yordam qo'shildi. Bu xususiyat kalitlarni alohida fayllarga tarqatish uchun ishlatilishi mumkin (masalan, “UserKnownHostsFile ~/.ssh/known_hosts.d/%k”).
  • Stdin-dan o'chirilishi kerak bo'lgan kalitlarni o'qish uchun "ssh-add -d -" operatsiyasidan foydalanishga ruxsat bering.
  • Sshd-da ulanishni kesish jarayonining boshlanishi va oxiri MaxStartups parametri yordamida tartibga solinadigan jurnalda aks ettiriladi.

OpenSSH ishlab chiquvchilari, shuningdek, SHA-1 xeshlaridan foydalangan holda algoritmlarning bo'lajak o'chirilishini eslashdi. rag'batlantirish berilgan prefiks bilan to'qnashuv hujumlarining samaradorligi (to'qnashuvni tanlash narxi taxminan 45 ming dollarga baholanadi). Kelgusi nashrlarning birida ular SSH protokoli uchun original RFCda eslatib o'tilgan va amalda keng tarqalgan (foydalanishni sinab ko'rish uchun) "ssh-rsa" raqamli imzo algoritmining ochiq kalitidan foydalanish imkoniyatini sukut bo'yicha o'chirib qo'yishni rejalashtirmoqdalar. Tizimingizda ssh-rsa dan foydalansangiz, “-oHostKeyAlgorithms=-ssh-rsa” opsiyasi bilan ssh orqali ulanishga harakat qilishingiz mumkin).

OpenSSH-da yangi algoritmlarga o'tishni yumshatish uchun keyingi versiya sukut bo'yicha UpdateHostKeys sozlamalarini yoqadi, bu esa mijozlarni ishonchliroq algoritmlarga avtomatik ravishda o'tkazadi. Migratsiya uchun tavsiya etilgan algoritmlar orasida RFC2 RSA SHA-256 asosidagi rsa-sha512-8332/2 (OpenSSH 7.2 dan beri qoʻllab-quvvatlanadi va sukut boʻyicha ishlatiladi), ssh-ed25519 (OpenSSH 6.5 dan beri qoʻllab-quvvatlanadi) va ecdsa-sha2-nistp256/384 asosida ishlaydi. RFC521 ECDSA da (OpenSSH 5656 dan beri qo'llab-quvvatlanadi).

Manba: opennet.ru

a Izoh qo'shish