Prohoster > Blog > tin tức mạng > Bản phát hành OpenSSH 8.0

Bản phát hành OpenSSH 8.0

Sau năm tháng phát triển trình bày giải phóng OpenSSH 8.0, một triển khai máy khách và máy chủ mở để làm việc thông qua giao thức SSH 2.0 và SFTP.

Sự thay đổi chính:

  • Hỗ trợ thử nghiệm cho phương thức trao đổi khóa có khả năng chống lại các cuộc tấn công vũ phu trên máy tính lượng tử đã được thêm vào ssh và sshd. Máy tính lượng tử hoàn toàn nhanh hơn trong việc giải quyết vấn đề phân tách số tự nhiên thành thừa số nguyên tố, vốn là nền tảng của các thuật toán mã hóa bất đối xứng hiện đại và không thể giải quyết một cách hiệu quả trên các bộ xử lý cổ điển. Phương pháp được đề xuất dựa trên thuật toán NTRU Prime (hàm ntrup4591761), được phát triển cho các hệ thống mật mã sau lượng tử và phương thức trao đổi khóa đường cong elip X25519;
  • Trong sshd, các lệnh ListenAddress và PermitOpen không còn hỗ trợ cú pháp "máy chủ/cổng" cũ, được triển khai vào năm 2001 như một giải pháp thay thế cho "máy chủ:cổng" để đơn giản hóa hoạt động với IPv6. Trong điều kiện hiện đại, cú pháp “[::6]:1” đã được thiết lập cho IPv22 và “host/port” thường bị nhầm lẫn với việc chỉ ra mạng con (CIDR);
  • ssh, ssh-agent và ssh-add hiện hỗ trợ các khóa ECDSA bằng mã thông báo PKCS#11;
  • Trong ssh-keygen, kích thước khóa RSA mặc định đã được tăng lên 3072 bit, theo khuyến nghị mới của NIST;
  • ssh cho phép sử dụng cài đặt "PKCS11Provider=none" để ghi đè chỉ thị PKCS11Provider được chỉ định trong ssh_config;
  • sshd cung cấp hiển thị nhật ký các tình huống khi kết nối bị chấm dứt khi cố gắng thực thi các lệnh bị chặn bởi hạn chế “ForceCommand=internal-sftp” trong sshd_config;
  • Trong ssh, khi hiển thị yêu cầu xác nhận chấp nhận khóa máy chủ mới, thay vì phản hồi “có”, dấu vân tay chính xác của khóa hiện đã được chấp nhận (để đáp lại lời mời xác nhận kết nối, người dùng có thể sao chép hàm băm tham chiếu được nhận riêng thông qua bảng ghi tạm, để không so sánh thủ công);
  • ssh-keygen cung cấp tính năng tự động tăng số thứ tự chứng chỉ khi tạo chữ ký số cho nhiều chứng chỉ trên dòng lệnh;
  • Tùy chọn mới "-J" đã được thêm vào scp và sftp, tương đương với cài đặt ProxyJump;
  • Trong ssh-agent, ssh-pkcs11-helper và ssh-add, việc xử lý tùy chọn dòng lệnh “-v” đã được thêm vào để tăng nội dung thông tin của đầu ra (khi được chỉ định, tùy chọn này sẽ được chuyển cho các tiến trình con, ví dụ: ví dụ: khi ssh-pkcs11-helper được gọi từ ssh-agent );
  • Tùy chọn “-T” đã được thêm vào ssh-add để kiểm tra tính phù hợp của các khóa trong ssh-agent để thực hiện các hoạt động xác minh và tạo chữ ký số;
  • sftp-server triển khai hỗ trợ cho tiện ích mở rộng giao thức “lsetstat tại openssh.com”, bổ sung hỗ trợ cho hoạt động SSH2_FXP_SETSTAT cho SFTP, nhưng không đi theo các liên kết tượng trưng;
  • Đã thêm tùy chọn "-h" vào sftp để chạy các lệnh chown/chgrp/chmod với các yêu cầu không sử dụng liên kết tượng trưng;
  • sshd cung cấp cài đặt biến môi trường $SSH_CONNECTION cho PAM;
  • Đối với sshd, chế độ so khớp “Kết hợp cuối cùng” đã được thêm vào ssh_config, tương tự như “Kết hợp chuẩn”, nhưng không yêu cầu bật chuẩn hóa tên máy chủ;
  • Đã thêm hỗ trợ cho tiền tố '@' vào sftp để tắt dịch đầu ra của các lệnh được thực thi ở chế độ hàng loạt;
  • Khi bạn hiển thị nội dung của chứng chỉ bằng lệnh
    "ssh-keygen -Lf /path/certificate" hiện hiển thị thuật toán được CA sử dụng để xác thực chứng chỉ;

  • Cải thiện hỗ trợ cho môi trường Cygwin, ví dụ như cung cấp so sánh không phân biệt chữ hoa chữ thường giữa tên nhóm và tên người dùng. Quá trình sshd trong cổng Cygwin đã được đổi thành cygsshd để tránh nhiễu với cổng OpenSSH do Microsoft cung cấp;
  • Đã thêm khả năng xây dựng bằng nhánh OpenSSL 3.x thử nghiệm;
  • Đã loại bỏ sự dễ bị tổn thương (CVE-2019-6111) trong quá trình triển khai tiện ích scp, cho phép ghi đè các tệp tùy ý trong thư mục đích ở phía máy khách khi truy cập vào máy chủ do kẻ tấn công kiểm soát. Vấn đề là khi sử dụng scp, máy chủ sẽ quyết định tệp và thư mục nào sẽ gửi cho máy khách và máy khách chỉ kiểm tra tính chính xác của tên đối tượng được trả về. Việc kiểm tra phía máy khách được giới hạn ở việc chỉ chặn việc di chuyển ra ngoài thư mục hiện tại (“../”), nhưng không tính đến việc chuyển các tệp có tên khác với tên được yêu cầu ban đầu. Trong trường hợp sao chép đệ quy (-r), ngoài tên file, bạn cũng có thể thao tác với tên thư mục con theo cách tương tự. Ví dụ: nếu người dùng sao chép tệp vào thư mục chính, máy chủ do kẻ tấn công kiểm soát có thể tạo ra các tệp có tên .bash_aliases hoặc .ssh/authorized_keys thay vì các tệp được yêu cầu và chúng sẽ được tiện ích scp lưu trong máy tính của người dùng. thư mục nhà.

    Trong bản phát hành mới, tiện ích scp đã được cập nhật để kiểm tra sự tương ứng giữa tên tệp được yêu cầu và tên được gửi bởi máy chủ, được thực hiện ở phía máy khách. Điều này có thể gây ra sự cố khi xử lý mặt nạ vì các ký tự mở rộng mặt nạ có thể được xử lý khác nhau ở phía máy chủ và máy khách. Trong trường hợp những khác biệt như vậy khiến máy khách ngừng chấp nhận tệp trong scp, tùy chọn “-T” đã được thêm vào để tắt tính năng kiểm tra phía máy khách. Để khắc phục hoàn toàn sự cố, cần phải làm lại khái niệm giao thức scp, bản thân giao thức này đã lỗi thời, vì vậy, thay vào đó, nên sử dụng các giao thức hiện đại hơn như sftp và rsync.

Nguồn: opennet.ru

Thêm một lời nhận xét