OpenSSH 8.7 sisältää parannuksia SFTP: hen ja muihin

Neljän kuukauden kehityksen jälkeen OpenSSH 8.7: n uuden version julkaisu on esitelty missä kokeellinen tiedonsiirtotila on lisätty scp käyttäen SFTP -protokollaa perinteisesti käytetyn SCP / RCP -protokollan sijasta.

SFTP käytä ennustettavampaa tapaa käsitellä nimiä eikä se käytä globaalin kuoren malliprosessointia toisella isäntäpuolella, mikä aiheuttaa tietoturvaongelman. oletusarvo.

Toinen erottuva muutos on sftp-palvelin, joka toteuttaa SFTP-laajennuksia reittien laajentamiseksi ~ / ja ~ user /, joita tarvitaan scp: lle. Apuohjelma scp on muuttanut käyttäytymistä, kun tiedostoja kopioidaan kahden etäisännän välillä, joka tehdään nyt oletuksena paikallisen välittävän isännän kautta. Tämä lähestymistapa välttää tarpeettomien kirjautumistietojen siirtämisen ensimmäiselle isännälle ja tiedostojen nimien kolminkertaisen tulkinnan kuorissa (lähde-, kohde- ja paikallisen järjestelmän puolella) sekä SFTP: tä käytettäessä, joten voit käyttää kaikkia todennusmenetelmiä pääsy etäisännille eikä vain ei-vuorovaikutteisiin menetelmiin

Lisäksi, sekä ssh että sshd ovat siirtäneet sekä asiakkaan että palvelimen käyttämään tiedostojen jäsentäjää Kokoonpanon tiukempi käyttämällä kuorisääntöjä käsittelemään lainausmerkkejä, välilyöntejä ja paeta merkkejä.

Uusi jäsennin ei myöskään jätä huomiotta ohitettuja oletuksia, kuten argumenttien jättäminen pois vaihtoehdoista (esimerkiksi nyt et voi jättää DenyUsers -direktiiviä tyhjäksi), sulkemattomia lainausmerkkejä ja useita "=" -merkkejä.

Kun käytät avainten vahvistamiseen DNS SSHFP -tietueita, ssh tarkistaa nyt kaikki vastaavat tietueet, ei vain ne, jotka sisältävät tietyn tyyppisen digitaalisen allekirjoituksen. Kun ssh-keygenissa luodaan FIDO-avain -Ochallenge-vaihtoehdolla, sisäänrakennettua kerrosta käytetään nyt hajautukseen libfido2-työkalujen sijasta, jolloin voit käyttää haastosarjoja, jotka ovat suurempia tai pienempiä kuin 32 tavua. Sshd: ssä, kun ympäristö = "..." -direktiiviä käsitellään valtuutettujen avainten tiedostoissa, ensimmäinen vastaavuus on nyt hyväksytty ja 1024 ympäristömuuttujan nimen rajoitus on voimassa.

OpenSSH -kehittäjät myösvaroitti siirtymisestä vanhentuneiden algoritmien luokkaan käyttämällä SHA-1-hajautuksia, koska tietyn etuliitteen kanssa tapahtuvat törmäyshyökkäykset ovat tehokkaampia (törmäyksen valinnan kustannusten arvioidaan olevan noin 50 XNUMX dollaria).

Seuraavassa julkaisussa on tarkoitus poistaa käytöstä oletusarvoisesti mahdollisuus käyttää "ssh-rsa" julkisen avaimen digitaalista allekirjoitusalgoritmia, joka on mainittu SSH-protokollan alkuperäisessä RFC: ssä ja jota käytetään edelleen laajalti käytännössä.

Jos haluat testata ssh-rsa: n käyttöä järjestelmissä, voit yrittää muodostaa yhteyden ssh: n kautta vaihtoehdolla "-oHostKeyAlgorithms = -ssh-rsa". Samaan aikaan "ssh-rsa" -digitaalisten allekirjoitusten poistaminen käytöstä oletuksena ei tarkoita RSA-avainten käytön täydellistä hylkäämistä, koska SHA-1: n lisäksi SSH-protokolla sallii muiden algoritmien käytön tiivisteiden laskemiseen. Erityisesti "ssh-rsa": n lisäksi on mahdollista käyttää linkkejä "rsa-sha2-256" (RSA / SHA256) ja "rsa-sha2-512" (RSA / SHA512).

Helpottaaksesi siirtymistä uusiin algoritmeihin OpenSSH: ssa, UpdateHostKeys -asetus oli aiemmin oletusarvoisesti käytössä, jolloin voit vaihtaa asiakkaita automaattisesti luotettavampiin algoritmeihin.

Lopuksi, jos haluat tietää enemmän tästä uudesta versiosta, voit tutustua yksityiskohtiin siirtymällä seuraavaan linkkiin.

Kuinka asentaa OpenSSH 8.7 Linuxiin?

Niille, jotka ovat kiinnostuneita asentamaan tämän uuden OpenSSH-version järjestelmiinsä, toistaiseksi he voivat tehdä sen lataamalla tämän ja suorittavat kokoamisen tietokoneillaan.

Tämä johtuu siitä, että uutta versiota ei ole vielä sisällytetty tärkeimpien Linux-jakelujen arkistoihin. Voit hankkia lähdekoodin tekemällä sen seuraava linkki.

Valmis lataus, nyt aiomme purkaa paketin seuraavalla komennolla:

tar -xvf openssh-8.7.tar.gz

Annamme luodun hakemiston:

cd openssh-8.7

Y voimme koota seuraavat komennot:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.