ProHoster > Блог > ayelujara iroyin > Itusilẹ ti OpenSSH 8.0

Itusilẹ ti OpenSSH 8.0

Lẹhin osu marun ti idagbasoke gbekalẹ tu silẹ OpenSSH 8.0, alabara ṣiṣi ati imuse olupin fun ṣiṣẹ nipasẹ SSH 2.0 ati awọn ilana SFTP.

Awọn iyipada akọkọ:

  • Atilẹyin esiperimenta fun ọna paṣipaarọ bọtini kan ti o tako si awọn ikọlu ipa-ipa lori kọnputa kuatomu kan ti ṣafikun ssh ati sshd. Awọn kọnputa kuatomu yiyara ni iyara lati yanju iṣoro ti jijẹ nọmba adayeba sinu awọn ifosiwewe akọkọ, eyiti o wa labẹ awọn algoridimu fifi ẹnọ kọ nkan ti ode oni ati pe ko le yanju ni imunadoko lori awọn ilana iṣelọpọ. Ọna ti a dabaa da lori algorithm NTRU NOMBA (iṣẹ ntrup4591761), ti a ṣe idagbasoke fun awọn eto crypto-lẹhin-kuatomu, ati ọna paṣipaarọ bọtini elliptic ti tẹ X25519;
  • Ni sshd, GbọAddress ati awọn itọsọna PermitOpen ko ṣe atilẹyin sintasi “ogun/ibudo” ti ogún mọ, eyiti a ṣe imuse ni ọdun 2001 gẹgẹbi yiyan si “agbalejo: ibudo” lati rọrun ṣiṣẹ pẹlu IPv6. Ni awọn ipo ode oni, sintasi “[:: 6]: 1” ti fi idi mulẹ fun IPv22, ati “ogun / ibudo” nigbagbogbo ni idamu pẹlu afihan subnet (CIDR);
  • ssh, ssh-agent ati ssh-fikun ni bayi ṣe atilẹyin awọn bọtini ECDSA ni PKCS # 11 àmi;
  • Ni ssh-keygen, iwọn bọtini RSA aiyipada ti pọ si 3072 bits, ni ibamu pẹlu awọn iṣeduro NIST tuntun;
  • ssh ngbanilaaye lilo eto “PKCS11Provider=ko si” lati dojukọ itọsọna PKCS11 Olupese ti a sọ pato ninu ssh_config;
  • sshd n pese ifihan log ti awọn ipo nigbati asopọ ba ti pari nigbati o n gbiyanju lati ṣiṣẹ awọn aṣẹ ti dina nipasẹ ihamọ “ForceCommand=internal-sftp” ni sshd_config;
  • Ni ssh, nigbati o ba nfihan ibeere kan lati jẹrisi gbigba ti bọtini agbalejo tuntun, dipo idahun “bẹẹni”, itẹka ti o pe ti bọtini naa ti gba bayi (ni esi si ifiwepe lati jẹrisi asopọ naa, olumulo le daakọ naa hash itọkasi ti a gba lọtọ nipasẹ agekuru agekuru, ki o má ba ṣe afiwe pẹlu ọwọ);
  • ssh-keygen n pese alekun laifọwọyi ti nọmba ọkọọkan ijẹrisi nigba ṣiṣẹda awọn ibuwọlu oni nọmba fun awọn iwe-ẹri pupọ lori laini aṣẹ;
  • Aṣayan tuntun "-J" ti jẹ afikun si scp ati sftp, deede si eto ProxyJump;
  • Ni ssh-agent, ssh-pkcs11-oluranlọwọ ati ssh-add, ṣiṣe aṣayan laini aṣẹ “-v” ti ṣafikun lati mu akoonu alaye ti iṣelọpọ pọ si (nigbati pato, aṣayan yii ti kọja si awọn ilana ọmọ, fun apẹẹrẹ, nigbati ssh-pkcs11-oluranlọwọ ti a npe ni lati ssh-oluranlowo);
  • Aṣayan "-T" ti wa ni afikun si ssh-add lati ṣe idanwo ibamu ti awọn bọtini ni ssh-aṣoju fun ṣiṣe ẹda Ibuwọlu oni-nọmba ati awọn iṣẹ iṣeduro;
  • sftp-server ṣe atilẹyin fun “lsetstat at openssh.com” itẹsiwaju Ilana, eyiti o ṣafikun atilẹyin fun iṣẹ SSH2_FXP_SETSTAT fun SFTP, ṣugbọn laisi titẹle awọn ọna asopọ aami;
  • Ṣafikun aṣayan “-h” lati sftp lati ṣiṣẹ awọn pipaṣẹ chown/chgrp/chmod pẹlu awọn ibeere ti ko lo awọn ọna asopọ aami;
  • sshd n pese eto ti $SSH_CONNECTION oniyipada ayika fun PAM;
  • Fun sshd, ipo ibaamu “ipari ipari” kan ti ṣafikun si ssh_config, eyiti o jọra si “Match canonical”, ṣugbọn ko nilo isọdọtun orukọ olupin lati mu ṣiṣẹ;
  • Atilẹyin ti a ṣafikun fun ìpele '@' si sftp lati mu iyipada ti iṣẹjade ti awọn aṣẹ ṣiṣẹ ni ipo ipele;
  • Nigbati o ba ṣafihan awọn akoonu ti ijẹrisi nipa lilo aṣẹ
    "ssh-keygen -Lf / path/certificate" ni bayi ṣe afihan algorithm ti CA lo lati fidi ijẹrisi naa;

  • Imudara atilẹyin fun agbegbe Cygwin, fun apẹẹrẹ n pese lafiwe aibikita ọran ti ẹgbẹ ati awọn orukọ olumulo. Ilana sshd ni ibudo Cygwin ti yipada si cygsshd lati yago fun kikọlu pẹlu ibudo OpenSSH ti Microsoft ti pese;
  • Fi kun agbara lati kọ pẹlu esiperimenta OpenSSL 3.x eka;
  • Imukuro ailagbara (CVE-2019-6111) ni imuse ti ohun elo scp, eyiti ngbanilaaye awọn faili lainidii ninu itọsọna ibi-afẹde lati tun kọwe si ẹgbẹ alabara nigbati o wọle si olupin ti o ṣakoso nipasẹ ikọlu. Iṣoro naa ni pe nigba lilo scp, olupin pinnu iru awọn faili ati awọn ilana lati firanṣẹ si alabara, ati pe alabara nikan ṣayẹwo deede awọn orukọ ohun ti o pada. Ṣiṣayẹwo ẹgbẹ alabara ni opin si idinamọ irin-ajo nikan kọja itọsọna lọwọlọwọ (“../”), ṣugbọn ko ṣe akiyesi gbigbe awọn faili pẹlu awọn orukọ ti o yatọ si awọn ti o beere ni akọkọ. Ninu ọran ti didakọ atunṣe (-r), ni afikun si awọn orukọ faili, o tun le ṣe afọwọyi awọn orukọ ti awọn iwe-ipamọ ni ọna kanna. Fun apẹẹrẹ, ti olumulo ba daakọ awọn faili si itọsọna ile, olupin ti o ṣakoso nipasẹ ikọlu le gbe awọn faili pẹlu awọn orukọ .bash_aliases tabi .ssh/authorized_keys dipo awọn faili ti o beere, ati pe wọn yoo wa ni fipamọ nipasẹ ohun elo scp ni olumulo olumulo. ile liana.

    Ninu idasilẹ tuntun, ohun elo scp ti ni imudojuiwọn lati ṣayẹwo ifọrọranṣẹ laarin awọn orukọ faili ti o beere ati awọn ti olupin ranṣẹ, eyiti o ṣe ni ẹgbẹ alabara. Eyi le fa awọn iṣoro pẹlu sisẹ iboju-boju, nitori awọn ohun kikọ imugboroja iboju le ni ilọsiwaju ni oriṣiriṣi lori olupin ati awọn ẹgbẹ alabara. Ni irú awọn iyatọ bẹ fa ki alabara dawọ gbigba awọn faili ni scp, aṣayan “-T” ti ṣafikun lati mu ṣiṣe ayẹwo ẹgbẹ-alabara ṣiṣẹ. Lati ṣe atunṣe iṣoro naa ni kikun, atunṣe imọran ti ilana ilana scp ni a nilo, eyiti funrararẹ ti jẹ igba atijọ, nitorinaa o gba ọ niyanju lati lo awọn ilana igbalode diẹ sii bii sftp ati rsync dipo.

orisun: opennet.ru

Fi ọrọìwòye kun