ProHoster > Блог > ayelujara iroyin > Itusilẹ ti OpenSSH 8.5

Itusilẹ ti OpenSSH 8.5

Lẹhin oṣu marun ti idagbasoke, itusilẹ ti OpenSSH 8.5, imuse ṣiṣi ti alabara ati olupin fun ṣiṣẹ lori awọn ilana SSH 2.0 ati SFTP, ti gbekalẹ.

Awọn olupilẹṣẹ OpenSSH leti wa ti ifasilẹ awọn algoridimu ti n bọ nipa lilo awọn hashes SHA-1 nitori imunadoko ti awọn ikọlu ikọlu pẹlu ami-iṣaaju ti a fun (iye owo yiyan ijamba ni ifoju ni isunmọ $50 ẹgbẹrun). Ninu ọkan ninu awọn idasilẹ ti n bọ, wọn gbero lati mu nipasẹ aiyipada agbara lati lo algorithm Ibuwọlu oni nọmba “ssh-rsa”, eyiti o mẹnuba ninu RFC atilẹba fun ilana SSH ati pe o wa ni ibigbogbo ni iṣe.

Lati ṣe idanwo lilo ssh-rsa lori awọn eto rẹ, o le gbiyanju sisopọ nipasẹ ssh pẹlu aṣayan “-oHostKeyAlgorithms=-ssh-rsa”. Ni akoko kanna, piparẹ awọn ibuwọlu oni nọmba “ssh-rsa” nipasẹ aiyipada ko tumọ si ifasilẹ pipe ti lilo awọn bọtini RSA, nitori ni afikun si SHA-1, ilana SSH ngbanilaaye lilo awọn algoridimu iṣiro hash miiran. Ni pataki, ni afikun si “ssh-rsa”, yoo wa nibe ṣee ṣe lati lo awọn edidi “rsa-sha2-256” (RSA/SHA256) ati “rsa-sha2-512” (RSA/SHA512).

Lati dan iyipada si awọn algoridimu tuntun, OpenSSH 8.5 ni eto UpdateHostKeys ṣiṣẹ nipasẹ aiyipada, eyiti o fun laaye awọn alabara lati yipada laifọwọyi si awọn algoridimu igbẹkẹle diẹ sii. Lilo eto yii, ifaagun Ilana pataki kan ti ṣiṣẹ “[imeeli ni idaabobo]", gbigba olupin laaye, lẹhin ijẹrisi, lati sọ fun alabara nipa gbogbo awọn bọtini ogun ti o wa. Onibara le ṣe afihan awọn bọtini wọnyi ninu faili ~/.ssh/known_hosts, eyiti o fun laaye awọn bọtini ogun lati ni imudojuiwọn ati mu ki o rọrun lati yi awọn bọtini pada lori olupin naa.

Lilo UpdateHostKeys ti ni opin nipasẹ ọpọlọpọ awọn akiyesi ti o le yọkuro ni ọjọ iwaju: bọtini gbọdọ jẹ itọkasi ni UserKnownHostsFile ati pe ko lo ninu GlobalKnownHostsFile; bọtini gbọdọ wa labẹ orukọ kan; ijẹrisi bọtini ogun ko yẹ ki o lo; ni mọ_hosts iparada nipa ogun orukọ ko yẹ ki o ṣee lo; eto VerifyHostKeyDNS gbọdọ jẹ alaabo; Paramita UserKnownHostsFile gbọdọ ṣiṣẹ.

Awọn algoridimu ti a ṣe iṣeduro fun iṣiwa pẹlu rsa-sha2-256/512 ti o da lori RFC8332 RSA SHA-2 (atilẹyin niwon OpenSSH 7.2 ati lilo nipasẹ aiyipada), ssh-ed25519 (atilẹyin niwon OpenSSH 6.5) ati ecdsa-sha2-nistp256/384/521 based lori RFC5656 ECDSA (atilẹyin niwon OpenSSH 5.7).

Awọn iyipada miiran:

  • Awọn iyipada aabo:
    • Ailagbara ti o ṣẹlẹ nipasẹ tun-ọfẹ agbegbe iranti ti o ti ni ominira tẹlẹ (ọfẹ-meji) ti wa titi ni aṣoju ssh. Ọrọ naa ti wa lati igba itusilẹ OpenSSH 8.2 ati pe o le ṣee lo nilokulo ti ikọlu ba ni iraye si iho aṣoju ssh lori eto agbegbe. Ohun ti o mu ki ilokulo nira sii ni pe gbongbo nikan ati olumulo atilẹba ni iwọle si iho. Oju iṣẹlẹ ikọlu ti o ṣeese julọ ni pe a darí aṣoju naa si akọọlẹ kan ti o jẹ iṣakoso nipasẹ ikọlu, tabi si agbalejo nibiti ikọlu ti ni iwọle gbongbo.
    • sshd ti ṣafikun aabo lodi si gbigbe awọn aye titobi pupọ pẹlu orukọ olumulo si eto ipilẹ PAM, eyiti o fun ọ laaye lati dènà awọn ailagbara ninu awọn modulu eto PAM (Module Ijeri Pluggable). Fun apẹẹrẹ, iyipada ṣe idiwọ sshd lati ni lilo bi fekito lati lo nilokulo ailagbara root ti a ṣe awari laipẹ ni Solaris (CVE-2020-14871).
  • Awọn iyipada ibaramu ti o pọju:
    • В ssh и sshd переработан экспериментальный метод обмена ключами, стойкий к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Используемый метод основан на алгоритме NTRU Prime, разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519. Вместо [imeeli ni idaabobo] метод теперь идентифицируется как [imeeli ni idaabobo] (algoridimu sntrup4591761 ti rọpo nipasẹ sntrup761).
    • Ni ssh ati sshd, aṣẹ ninu eyiti a ti kede awọn algoridimu ibuwọlu oni nọmba ti a ti yipada. ED25519 ni bayi funni ni akọkọ dipo ECDSA.
    • Ni ssh ati sshd, ṣeto didara TOS/DSCP ti awọn aye iṣẹ fun awọn akoko ibaraenisepo ti wa ni bayi ṣaaju iṣeto asopọ TCP kan.
    • Atilẹyin Cipher ti dawọ duro ni ssh ati sshd [imeeli ni idaabobo], eyiti o jẹ aami si aes256-cbc ati pe a lo ṣaaju ki o to fọwọsi RFC-4253.
    • Nipa aiyipada, paramita CheckHostIP jẹ alaabo, anfani eyiti o jẹ aifiyesi, ṣugbọn lilo rẹ ṣe pataki yiyi bọtini fun awọn ọmọ-ogun lẹhin awọn iwọntunwọnsi fifuye.
  • PerSourceMaxStartups ati PerSourceNetBlockSize awọn eto ti jẹ afikun si sshd lati ṣe idinwo kikankikan ti awọn olutọju ifilọlẹ ti o da lori adirẹsi alabara. Awọn paramita wọnyi gba ọ laaye lati ṣakoso iṣakoso daradara ni opin lori awọn ifilọlẹ ilana, ni akawe si eto MaxStartups gbogbogbo.
  • Eto LogVerbose tuntun ti ni afikun si ssh ati sshd, eyiti o fun ọ laaye lati fi agbara mu ipele ti alaye ti n ṣatunṣe ti a sọ sinu akọọlẹ, pẹlu agbara lati ṣe àlẹmọ nipasẹ awọn awoṣe, awọn iṣẹ ati awọn faili.
  • Ni ssh, nigba gbigba bọtini agbalejo tuntun, gbogbo awọn orukọ ile-iṣẹ ati awọn adirẹsi IP ti o ni nkan ṣe pẹlu bọtini han.
  • ssh ngbanilaaye UserKnownHostsFile=ko si aṣayan lati mu lilo faili ti a mọ_hosts kuro nigbati o n ṣe idanimọ awọn bọtini ogun.
  • Eto KnownHostsCommand kan ti ṣafikun si ssh_config fun ssh, gbigba ọ laaye lati gba data_hosts ti a mọ lati iṣẹjade ti aṣẹ pàtó kan.
  • Ṣe afikun aṣayan PermitRemoteOpen kan si ssh_config fun ssh lati gba ọ laaye lati ni ihamọ opin irin ajo nigba lilo aṣayan RemoteForward pẹlu SOCKS.
  • Ni ssh fun awọn bọtini FIDO, ibeere PIN ti o tun wa ni a pese ni iṣẹlẹ ti ikuna iṣẹ ibuwọlu oni nọmba nitori PIN ti ko tọ ati olumulo ko ni itara fun PIN kan (fun apẹẹrẹ, nigbati data biometric to pe ko le gba ati pe ẹrọ ṣubu pada si titẹ sii PIN afọwọṣe).
  • sshd ṣe afikun atilẹyin fun awọn ipe eto afikun si ẹrọ ipinya ilana ipilẹ-seccomp-bpf lori Lainos.
  • IwUlO idaako/ssh-daakọ-id ti ni imudojuiwọn.

orisun: opennet.ru

Fi ọrọìwòye kun