ProHoster > Blog > internet yangiliklari > OpenSSH 8.7 versiyasi

OpenSSH 8.7 versiyasi

To'rt oylik ishlab chiqishdan so'ng, SSH 8.7 va SFTP protokollari ustida ishlash uchun mijoz va serverning ochiq ilovasi bo'lgan OpenSSH 2.0 versiyasi taqdim etildi.

Asosiy o'zgarishlar:

  • An'anaviy SCP/RCP protokoli o'rniga SFTP protokolidan foydalangan holda scp-ga eksperimental ma'lumotlarni uzatish rejimi qo'shildi. SFTP ko'proq taxmin qilinadigan nomlarni qayta ishlash usullaridan foydalanadi va boshqa xost tomonida glob naqshlarini qobiq bilan qayta ishlashdan foydalanmaydi, bu esa xavfsizlik muammolarini keltirib chiqaradi. SFTP-ni scp-da yoqish uchun "-s" bayrog'i taklif qilingan, ammo kelajakda ushbu protokolga sukut bo'yicha o'tish rejalashtirilgan.
  • sftp-server scp uchun zarur bo'lgan ~/ va ~user/ yo'llarini kengaytirish uchun SFTP protokoliga kengaytmalarni amalga oshiradi.
  • Scp yordam dasturi ikkita masofaviy xostlar (masalan, "scp host-a:/path host-b:") o'rtasida fayllarni nusxalashda xatti-harakatlarni o'zgartirdi, bu endi sukut bo'yicha oraliq mahalliy xost orqali amalga oshiriladi, xuddi " -3” bayroq. Ushbu yondashuv keraksiz hisob ma'lumotlarini birinchi xostga o'tkazmaslik va qobiqdagi fayl nomlarining uch marta talqin qilinishini oldini olish imkonini beradi (manba, maqsad va mahalliy tizim tomonida) va SFTP-dan foydalanganda, masofaviy ulanishga kirishda barcha autentifikatsiya usullaridan foydalanishga imkon beradi. xostlar, va nafaqat interaktiv usullar. Eski xatti-harakatni tiklash uchun "-R" opsiyasi qo'shildi.
  • "-f" bayrog'iga mos keladigan ssh-ga ForkAfterAuthentication sozlamasi qo'shildi.
  • "-n" bayrog'iga mos keladigan ssh ga StdinNull sozlamasi qo'shildi.
  • Ssh-ga SessionType sozlamasi qo'shildi, bu orqali siz "-N" (sessiyasiz) va "-s" (quyi tizim) bayroqlariga mos rejimlarni o'rnatishingiz mumkin.
  • ssh-keygen sizga asosiy fayllarda kalit amal qilish oralig'ini belgilash imkonini beradi.
  • Sshsig imzosining bir qismi sifatida to'liq ochiq kalitni chop etish uchun ssh-keygen-ga "-Oprint-pubkey" bayrog'i qo'shildi.
  • Ssh va sshd-da mijoz ham, server ham qo'shtirnoqlar, bo'shliqlar va escape belgilar bilan ishlash uchun qobiqqa o'xshash qoidalardan foydalanadigan yanada cheklangan konfiguratsiya fayli tahlilchisidan foydalanishga ko'chirildi. Yangi tahlilchi, shuningdek, variantlarda argumentlarni o'tkazib yuborish (masalan, DenyUsers direktivasi endi bo'sh qolishi mumkin emas), yopilmagan tirnoq va bir nechta = belgilarni belgilash kabi ilgari qilingan taxminlarni e'tiborsiz qoldirmaydi.
  • Kalitlarni tekshirishda SSHFP DNS yozuvlaridan foydalanilganda, ssh endi faqat raqamli imzoning ma'lum bir turini o'z ichiga olganlarni emas, balki barcha mos yozuvlarni tekshiradi.
  • Ssh-keygen-da, -Ochallenge opsiyasi bilan FIDO kalitini yaratishda, libfido2 emas, balki 32 baytdan kattaroq yoki kichikroq chaqiruv ketma-ketliklaridan foydalanishga imkon beruvchi o'rnatilgan qatlam endi xeshlash uchun ishlatiladi.
  • Sshd-da, authorized_keys fayllaridagi muhit = "..." direktivalarini qayta ishlashda, birinchi moslik endi qabul qilinadi va 1024 ta muhit o'zgaruvchisi nomlari chegarasi mavjud.

OpenSSH ishlab chiquvchilari, shuningdek, ma'lum bir prefiks bilan to'qnashuv hujumlarining samaradorligi oshishi sababli SHA-1 xeshlaridan foydalangan holda algoritmlarning parchalanishi haqida ogohlantirdilar (to'qnashuvni tanlash narxi taxminan 50 ming dollarga baholanadi). Keyingi nashrda biz SSH protokoli uchun original RFCda eslatib o'tilgan va amalda keng qo'llanilgan "ssh-rsa" raqamli imzo algoritmining ochiq kalitidan foydalanish imkoniyatini sukut bo'yicha o'chirib qo'yishni rejalashtirmoqdamiz.

Tizimingizda ssh-rsa-dan foydalanishni sinab ko'rish uchun siz “-oHostKeyAlgorithms=-ssh-rsa” opsiyasi bilan ssh orqali ulanishga urinib ko'rishingiz mumkin. Shu bilan birga, "ssh-rsa" raqamli imzolarini sukut bo'yicha o'chirib qo'yish RSA kalitlaridan foydalanishdan butunlay voz kechishni anglatmaydi, chunki SHA-1 ga qo'shimcha ravishda SSH protokoli boshqa hash hisoblash algoritmlaridan foydalanishga imkon beradi. Xususan, "ssh-rsa" ga qo'shimcha ravishda "rsa-sha2-256" (RSA/SHA256) va "rsa-sha2-512" (RSA/SHA512) to'plamlaridan foydalanish mumkin bo'lib qoladi.

Yangi algoritmlarga o'tishni yumshatish uchun OpenSSH avval sukut bo'yicha UpdateHostKeys sozlamasini yoqdi, bu esa mijozlarga avtomatik ravishda ishonchliroq algoritmlarga o'tish imkonini beradi. Ushbu sozlamadan foydalanib, maxsus protokol kengaytmasi yoqilgan "[elektron pochta bilan himoyalangan]", serverga autentifikatsiyadan so'ng mijozni barcha mavjud xost kalitlari haqida xabardor qilish imkonini beradi. Mijoz ushbu kalitlarni ~/.ssh/known_hosts faylida aks ettirishi mumkin, bu esa xost kalitlarini yangilash imkonini beradi va serverdagi kalitlarni o'zgartirishni osonlashtiradi.

UpdateHostKeys-dan foydalanish kelajakda olib tashlanishi mumkin bo'lgan bir nechta ogohlantirishlar bilan cheklangan: kalit UserKnownHostsFile faylida havola qilinishi va GlobalKnownHostsFile faylida ishlatilmasligi kerak; kalit faqat bitta nom ostida bo'lishi kerak; xost kaliti sertifikatidan foydalanmaslik kerak; ma'lum_hostlarda xost nomi bo'yicha maskalardan foydalanmaslik kerak; VerifyHostKeyDNS sozlamalari o'chirilgan bo'lishi kerak; UserKnownHostsFile parametri faol bo'lishi kerak.

Migratsiya uchun tavsiya etilgan algoritmlar orasida RFC2 RSA SHA-256 asosidagi rsa-sha512-8332/2 (OpenSSH 7.2 dan beri qoʻllab-quvvatlanadi va sukut boʻyicha ishlatiladi), ssh-ed25519 (OpenSSH 6.5 dan beri qoʻllab-quvvatlanadi) va ecdsa-sha2-nistp256/384 asosida ishlaydi. RFC521 ECDSA da (OpenSSH 5656 dan beri qo'llab-quvvatlanadi).

Manba: opennet.ru

a Izoh qo'shish