מעלדונג פון OpenSSH 8.7

נאָך פיר חדשים פון אַנטוויקלונג, די מעלדונג פון OpenSSH 8.7, אַן אָפֿן ימפּלאַמענטיישאַן פון אַ קליענט און סערווער פֿאַר ארבעטן איבער די SSH 2.0 און SFTP פּראָטאָקאָלס, איז געווען דערלאנגט.

הויפּט ענדערונגען:

• אַן יקספּערמענאַל דאַטן אַריבערפירן מאָדע איז צוגעלייגט צו סקפּ ניצן די SFTP פּראָטאָקאָל אַנשטאָט פון דעם טראדיציאנעלן SCP / RCP פּראָטאָקאָל. SFTP ניצט מער פּרידיקטאַבאַל נאָמען האַנדלינג מעטהאָדס און טוט נישט נוצן שאָל פּראַסעסינג פון גלאָב פּאַטערנז אויף די אנדערע באַלעבאָס זייַט, וואָס קריייץ זיכערהייט פּראָבלעמס. צו געבן SFTP אין סקפּ, די "-s" פאָן איז פארגעלייגט, אָבער אין דער צוקונפֿט עס איז פּלאַננעד צו באַשטימען צו דעם פּראָטאָקאָל דורך פעליקייַט.
• sftp-server ימפּלאַמאַנץ יקסטענשאַנז צו די SFTP פּראָטאָקאָל צו יקספּאַנד די ~/ און ~ באַניצער/ פּאַטס, וואָס איז נייטיק פֿאַר סקפּ.
• די סקפּ נוצן האט געביטן דעם נאַטור ווען קאַפּיינג טעקעס צווישן צוויי ווייַט מחנות (למשל, "scp host-a:/path host-b:"), וואָס איז איצט דורכגעקאָכט דורך פעליקייַט דורך אַ ינטערמידייט היגע באַלעבאָס, ווי ווען ספּעציפיצירן די " -3" פאָן. דער צוגאַנג אַלאַוז איר צו ויסמיידן ומנייטיק קראַדענטשאַלז צו דער ערשטער באַלעבאָס און דרייַיק ינטערפּריטיישאַן פון טעקע נעמען אין די שאָל (אויף דער מקור, דעסטיניישאַן און היגע סיסטעם זייַט), און ווען איר נוצן SFTP, עס אַלאַוז איר צו נוצן אַלע אָטענטאַקיישאַן מעטהאָדס ווען אַקסעסינג ווייַט. מחנות, און ניט נאָר ניט-ינטעראַקטיוו מעטהאָדס. די "-ר" אָפּציע איז צוגעלייגט צו ומקערן די אַלט נאַטור.
• צוגעגעבן ForkAfterAuthentication באַשטעטיקן צו ssh קאָראַספּאַנדינג צו די "-f" פאָן.
• צוגעגעבן סטדינולל באַשטעטיקן צו ssh, קאָראַספּאַנדינג צו די "-n" פאָן.
• א SessionType באַשטעטיקן איז צוגעלייגט צו ssh, דורך וואָס איר קענען שטעלן מאָדעס קאָראַספּאַנדינג צו די "-N" (קיין סעסיע) און "-s" (סובסיסטעם) פלאַגס.
• ssh-keygen אַלאַוז איר צו ספּעציפיצירן אַ שליסל גילטיקייַט מעהאַלעך אין שליסל טעקעס.
• צוגעגעבן "-Oprint-pubkey" פאָן צו ssh-keygen צו דרוקן די פול עפנטלעך שליסל ווי אַ טייל פון די sshsig כסימע.
• אין ssh און sshd, ביידע קליענט און סערווערס זענען אריבערגעפארן צו נוצן אַ מער ריסטריקטיוו קאַנפיגיעריישאַן טעקע פּאַרסער וואָס ניצט שאָל-ווי כּללים פֿאַר האַנדלינג קוואָטעס, ספּייסאַז און אַנטלויפן אותיות. דער נייַע פּאַרסער אויך נישט איגנאָרירן פריער געמאכט אַסאַמפּשאַנז, אַזאַ ווי אָומיטינג אַרגומענטן אין אָפּציעס (למשל, די דעניוסערס דירעקטיוו קענען ניט מער זיין ליידיק), אַנקלאָוזד קוואָטעס און ספּעציפיצירן קייפל = אותיות.
• ווען ניצן SSHFP DNS רעקאָרדס ווען וועראַפייינג שליסלען, ssh איצט טשעקס אַלע וואָס ריכטן רעקאָרדס, ניט נאָר יענע מיט אַ ספּעציפיש דיגיטאַל כסימע טיפּ.
• אין ssh-keygen, ווען דזשענערייטינג אַ FIDO שליסל מיט די -Ochallenge אָפּציע, די געבויט-אין שיכטע איז איצט געניצט פֿאַר כאַשינג, אלא ווי libfido2, וואָס אַלאַוז די נוצן פון אַרויסרופן סיקוואַנסיז גרעסער אָדער קלענערער ווי 32 ביטעס.
• אין sshd, ווען פּראַסעסינג ינווייראַנמענאַל = "..." דיירעקטיווז אין Authorized_keys טעקעס, דער ערשטער גלייַכן איז איצט אנגענומען און עס איז אַ שיעור פון 1024 ינווייראַנמענאַל וועריאַבאַלז נעמען.

די OpenSSH דעוועלאָפּערס אויך געווארנט וועגן די דיקאַמפּאָוזישאַן פון אַלגערידאַמז ניצן SHA-1 האַשעס רעכט צו דער געוואקסן עפעקטיווקייַט פון צונויפשטויס אנפאלן מיט אַ געגעבן פּרעפיקס (די פּרייַז פון סאַלעקטינג אַ צונויפשטויס איז עסטימאַטעד צו בעערעך 50 טויזנט דאָללאַרס). אין דער ווייַטער מעלדונג, מיר פּלאַן צו דיסייבאַל ביי פעליקייַט די פיייקייט צו נוצן די עפנטלעך שליסל דיגיטאַל כסימע אַלגערידאַם "ssh-rsa", וואָס איז געווען דערמאנט אין דער אָריגינעל RFC פֿאַר די SSH פּראָטאָקאָל און איז וויידלי געניצט אין פיר.

צו פּרובירן די נוצן פון ssh-rsa אויף דיין סיסטעמען, איר קענען פּרובירן קאַנעקטינג דורך ssh מיט די "-oHostKeyAlgorithms=-ssh-rsa" אָפּציע. אין דער זעלביקער צייט, דיסייבאַלינג "שש-רסאַ" דיגיטאַל סיגנאַטשערז דורך פעליקייַט טוט נישט מיינען אַ פולשטענדיק אַבאַנדאַניישאַן פון די נוצן פון RSA שליסלען, ווייַל אין אַדישאַן צו SHA-1, די SSH פּראָטאָקאָל אַלאַוז די נוצן פון אנדערע האַש כעזשבן אַלגערידאַמז. אין באַזונדער, אין אַדישאַן צו "שש-רסאַ", עס וועט בלייבן מעגלעך צו נוצן די "רסאַ-שאַ2-256" (RSA/SHA256) און "רסאַ-שאַ2-512" (RSA/SHA512) פּעקל.

צו גלאַט די יבערגאַנג צו נייַע אַלגערידאַמז, OpenSSH ביז אַהער האט די UpdateHostKeys באַשטעטיקן ענייבאַלד דורך פעליקייַט, וואָס אַלאַוז קלייאַנץ צו אויטאָמאַטיש באַשטימען צו מער פאַרלאָזלעך אַלגערידאַמז. ניצן דעם באַשטעטיקן, אַ ספּעציעל פּראָטאָקאָל פאַרלענגערונג איז ענייבאַלד "[אימעיל באשיצט]", אַלאַוינג די סערווער, נאָך אָטענטאַקיישאַן, צו מיטטיילן דעם קליענט וועגן אַלע בנימצא באַלעבאָס שליסלען. דער קליענט קענען פאַרטראַכטנ זיך די שליסלען אין זיין ~/.ssh/known_hosts טעקע, וואָס אַלאַוז דער באַלעבאָס שליסלען צו זיין דערהייַנטיקט און מאכט עס גרינגער צו טוישן שליסלען אויף די סערווער.

די נוצן פון UpdateHostKeys איז לימיטעד דורך עטלעכע קייוויאַץ וואָס קען זיין אַוועקגענומען אין דער צוקונפֿט: דער שליסל מוזן זיין רעפערענסט אין די UserKnownHostsFile און נישט געניצט אין די GlobalKnownHostsFile; דער שליסל מוזן זיין פאָרשטעלן בלויז אונטער איין נאָמען; אַ באַלעבאָס שליסל באַווייַזן זאָל ניט זיין געוויינט; אין באקאנט_האָסץ מאַסקס דורך באַלעבאָס נאָמען זאָל ניט זיין געוויינט; די VerifyHostKeyDNS באַשטעטיקן מוזן זיין פאַרקריפּלט; דער UserKnownHostsFile פּאַראַמעטער מוזן זיין אַקטיוו.

רעקאַמענדיד אַלגערידאַמז פֿאַר מייגריישאַן אַרייַננעמען rsa-sha2-256/512 באזירט אויף RFC8332 RSA SHA-2 (געשטיצט זינט OpenSSH 7.2 און געוויינט דורך פעליקייַט), ssh-ed25519 (געשטיצט זינט OpenSSH 6.5) און ecdsa-sha2-nistp256/384 באזירט אויף RFC521 ECDSA (געשטיצט זינט OpenSSH 5656).

מקור: opennet.ru