Lẹhin osu mẹta ti idagbasoke tu silẹ , alabara ṣiṣi ati imuse olupin fun ṣiṣẹ nipasẹ SSH 2.0 ati awọn ilana SFTP.
Itusilẹ tuntun ṣe afikun aabo lodi si ikọlu scp ti o fun laaye olupin laaye lati kọja awọn orukọ faili miiran ju awọn ti o beere lọ (ni idakeji si , ikọlu ko jẹ ki o ṣee ṣe lati yi itọsọna ti olumulo yan tabi iboju-boju glob pada). Ranti pe ni SCP, olupin naa pinnu iru awọn faili ati awọn ilana lati firanṣẹ si alabara, ati pe alabara nikan ṣayẹwo deede awọn orukọ ohun ti o pada. Ohun pataki ti iṣoro idanimọ ni pe ti ipe eto utimes ba kuna, lẹhinna awọn akoonu ti faili naa ni itumọ bi metadata faili.
Ẹya yii, nigbati o ba n sopọ si olupin ti o ṣakoso nipasẹ ikọlu, le ṣee lo lati ṣafipamọ awọn orukọ faili miiran ati akoonu miiran ninu FS olumulo nigba didakọ nipa lilo scp ni awọn atunto ti o ja si ikuna nigbati awọn ipe awọn akoko ba (fun apẹẹrẹ, nigbati awọn utimes ti ni idinamọ nipasẹ eto imulo SELinux tabi àlẹmọ ipe eto). O ṣeeṣe ti awọn ikọlu gidi ni ifoju pe o kere, nitori ninu awọn atunto aṣoju ipe utimes ko kuna. Ni afikun, ikọlu naa ko ni akiyesi - nigbati o ba n pe scp, aṣiṣe gbigbe data kan han.
Awọn iyipada gbogbogbo:
- Ni sftp, processing ti ariyanjiyan "-1" ti duro, ti o jọra si ssh ati scp, eyiti a ti gba tẹlẹ ṣugbọn aibikita;
- Ni sshd, nigba lilo IgnoreRhosts, awọn aṣayan mẹta wa bayi: "bẹẹni" - foju pa awọn rhosts / shosts, "rara" - ọwọ awọn rhosts / shosts, ati "ibọn-nikan" - gba ".shosts" ṣugbọn mu ".rhosts" ṣiṣẹ;
- Ssh ni bayi ṣe atilẹyin% iyipada TOKEN ni LocalFoward ati Awọn eto RemoteForward ti a lo lati ṣe atunṣe awọn sockets Unix;
- Gba laaye ikojọpọ awọn bọtini gbangba lati faili ti ko paro pẹlu bọtini ikọkọ ti ko ba si faili lọtọ pẹlu bọtini gbogbo eniyan;
- Ti libcrypto ba wa ninu eto, ssh ati sshd bayi nlo imuse ti chacha20 algorithm lati ile-ikawe yii, dipo imuse to ṣee gbe, eyiti o wa lẹhin iṣẹ;
- Ti ṣe imuse agbara lati da awọn akoonu ti atokọ alakomeji ti awọn iwe-ẹri ti fagile nigbati o ba n ṣiṣẹ pipaṣẹ “ssh-keygen -lQf /path”;
- Ẹya amudani n ṣe awọn itumọ ti awọn eto ninu eyiti awọn ifihan agbara pẹlu aṣayan SA_RESTART da iṣẹ ṣiṣe ti yan duro;
- Awọn iṣoro ti a yanju pẹlu apejọ lori awọn ọna ṣiṣe HP / UX ati AIX;
- Awọn iṣoro ti o wa titi pẹlu kikọ apoti iyanrin seccomp lori diẹ ninu awọn atunto Linux;
- Ilọsiwaju wiwa ikawe libfido2 ati ipinnu awọn ọran kikọ pẹlu aṣayan “-with-security-key-builtin”.
Awọn olupilẹṣẹ OpenSSH tun kilọ lekan si nipa ibajẹ ti n bọ ti awọn algoridimu nipa lilo awọn hashes SHA-1 nitori imunadoko awọn ikọlu ikọlu pẹlu asọtẹlẹ ti a fun (iye owo ti yiyan ijamba ni ifoju ni isunmọ 45 ẹgbẹrun dọla). Ninu ọkan ninu awọn idasilẹ ti n bọ, wọn gbero lati mu nipasẹ aiyipada agbara lati lo algoridimu Ibuwọlu oni nọmba ti gbogbo eniyan “ssh-rsa”, eyiti o mẹnuba ninu RFC atilẹba fun ilana SSH ati pe o wa ni ibigbogbo ni iṣe (lati ṣe idanwo lilo naa). ti ssh-rsa ninu awọn ọna ṣiṣe rẹ, o le gbiyanju sisopọ nipasẹ ssh pẹlu aṣayan “-oHostKeyAlgorithms = -ssh-rsa”).
Lati ṣe iyipada iyipada si awọn algoridimu tuntun ni OpenSSH, ni itusilẹ ọjọ iwaju eto UpdateHostKeys yoo ṣiṣẹ nipasẹ aiyipada, eyiti yoo gbe awọn alabara lọ laifọwọyi si awọn algoridimu igbẹkẹle diẹ sii. Awọn algoridimu ti a ṣe iṣeduro fun iṣiwa pẹlu rsa-sha2-256/512 ti o da lori RFC8332 RSA SHA-2 (atilẹyin niwon OpenSSH 7.2 ati lilo nipasẹ aiyipada), ssh-ed25519 (atilẹyin niwon OpenSSH 6.5) ati ecdsa-sha2-nistp256/384/521 orisun lori RFC5656 ECDSA (atilẹyin niwon OpenSSH 5.7).
Gẹgẹbi itusilẹ ti o kẹhin, “ssh-rsa” ati “diffie-hellman-group14-sha1” ti yọkuro lati inu atokọ CASigntureAlgorithms ti o ṣalaye awọn algoridimu laaye lati forukọsilẹ ni oni-nọmba awọn iwe-ẹri tuntun, nitori lilo SHA-1 ni awọn iwe-ẹri jẹ eewu afikun. nitori pe olukolu naa ni akoko ailopin lati wa ijamba fun ijẹrisi ti o wa tẹlẹ, lakoko ti akoko ikọlu lori awọn bọtini ogun jẹ opin nipasẹ akoko asopọ (LoginGraceTime).
orisun: opennet.ru