विकासाच्या सहा महिन्यांनंतर OpenSSH 8.9 रिलीझ घोषित केले, ज्यात sshd मध्ये भेद्यता निश्चित करा जे संभाव्यपणे प्रमाणीकरणाशिवाय प्रवेशास अनुमती देऊ शकते. प्रमाणीकरण कोडमध्ये पूर्णांक ओव्हरफ्लोमुळे समस्या उद्भवली आहे, परंतु कोडमधील इतर तार्किक त्रुटींच्या संयोजनातच शोषण शक्य आहे.
सध्याच्या स्वरूपात, जेव्हा विशेषाधिकारांचे विभाजन सक्षम केले जाते तेव्हा असुरक्षिततेचे शोषण केले जाऊ शकत नाही, कारण त्याचे प्रकटीकरण डिव्हिजन-ऑफ-प्रिव्हिलेज ट्रॅकिंग कोडवर केलेल्या स्वतंत्र तपासणीद्वारे अवरोधित केले आहे.
सामायिक विशेषाधिकार मोड 2002 मध्ये OpenSSH 3.2.2 नुसार डीफॉल्टनुसार सक्षम करण्यात आला होता आणि 2017 च्या OpenSSH 7.5 च्या रिलीझपासून आवश्यक आहे. याव्यतिरिक्त, आवृत्ती 6.5 (2014) पासून OpenSSH च्या पोर्टेबल आवृत्त्यांमध्ये, पूर्णांक ओव्हरफ्लोपासून संरक्षण करण्यासाठी फ्लॅग्सच्या समावेशासह संकलित करून भेद्यता अवरोधित केली जाते.
ओपनएसएच 8.9 ची मुख्य नवीन वैशिष्ट्ये
सादर केलेल्या या नवीन आवृत्तीमध्ये आपण शोधू शकतो की एलOpenSSH ची पोर्टेबल आवृत्ती अंगभूत sshd समर्थन काढून टाकते MD5 अल्गोरिदम वापरून पासवर्ड हॅशिंगसाठी (libxcrypt सारख्या बाह्य लायब्ररीशी पुन्हा लिंक करण्याची परवानगी आहे)
ssh, sshd, ssh-add, आणि ssh-एजंट ssh-एजंटमध्ये जोडलेल्या किजचा फॉरवर्डिंग आणि वापर प्रतिबंधित करण्यासाठी सबसिस्टम लागू करतात.
उपप्रणाली ssh-agent मध्ये कळा कशा आणि कुठे वापरल्या जाऊ शकतात हे ठरवणारे नियम सेट करण्याची परवानगी देते. उदाहरणार्थ, कोणतीही वापरकर्ता होस्ट scylla.example.org शी कनेक्ट केल्यावरच प्रमाणीकृत करण्यासाठी वापरता येणारी की जोडण्यासाठी, वापरकर्ता पर्सियस होस्ट cetus.example.org शी कनेक्ट करतो आणि वापरकर्ता मेडिया होस्ट charybdis.example .org होस्टशी कनेक्ट करतो, मध्यवर्ती होस्ट scylla.example.org द्वारे पुनर्निर्देशित करत आहे.
En ssh आणि sshd, KexAlgorithms सूची, की एक्सचेंज पद्धती कोणत्या क्रमाने निवडल्या जातात हे ठरवते, बाय डीफॉल्ट हायब्रिड अल्गोरिदम जोडले आहे “sntrup761x25519-sha512@openssh.com» (ECDH/x25519 + NTRU प्राइम), जे क्वांटम कॉम्प्युटरमध्ये निवडण्यास प्रतिरोधक आहे. OpenSSH 8.9 मध्ये, ही वाटाघाटी पद्धत ECDH आणि DH पद्धतींमध्ये जोडली गेली होती, परंतु ती पुढील आवृत्तीमध्ये डीफॉल्टनुसार सक्षम करण्याची योजना आहे.
ssh-keygen, ssh आणि ssh-एजंटने FIDO टोकन की हाताळणे सुधारले आहे बायोमेट्रिक ऑथेंटिकेशनच्या कळांसह, डिव्हाइस पडताळणीसाठी वापरले जाते.
या नवीन आवृत्तीत इतर बदलांपैकी:
- परवानगी असलेल्या नावांच्या सूचीसह फाइलमधील वापरकर्तानावे तपासण्यासाठी ssh-keygen मध्ये "ssh-keygen -Y match-principals" कमांड जोडली.
- ssh-add आणि ssh-agent ssh-एजंटमध्ये PIN-संरक्षित FIDO की जोडण्याची क्षमता प्रदान करतात (प्रमाणीकरणाच्या वेळी पिन प्रॉम्प्ट प्रदर्शित केला जातो).
- ssh-keygen तुम्हाला स्वाक्षरी करताना हॅश अल्गोरिदम (sha512 किंवा sha256) निवडण्याची परवानगी देतो.
कार्यप्रदर्शन सुधारण्यासाठी, ssh आणि sshd नेटवर्क डेटा थेट इनकमिंग पॅकेट बफरमध्ये वाचतात, स्टॅकमधील इंटरमीडिएट बफरला बायपास करतात. चॅनेल बफरमध्ये प्राप्त डेटाचे थेट प्लेसमेंट त्याच प्रकारे लागू केले जाते. - ssh मध्ये, PubkeyAuthentication निर्देशाने कोणता प्रोटोकॉल विस्तार वापरायचा हे निवडण्याची क्षमता प्रदान करण्यासाठी समर्थित पॅरामीटर्सची सूची (होय|नाही|अनबाउंड|होस्ट-बाउंड) वाढवली आहे.
भविष्यातील आवृत्तीमध्ये, scp युटिलिटी बदलण्याची योजना आहे SFTP वापरण्यासाठी डीफॉल्ट लेगसी SCP/RCP प्रोटोकॉलऐवजी. SFTP अधिक अंदाज करण्यायोग्य नाव हाताळणी पद्धती वापरते आणि होस्टच्या दुसर्या बाजूला असलेल्या फाइलनावांवर ग्लोब पॅटर्नची शेल प्रक्रिया वापरत नाही, ज्यामुळे सुरक्षा समस्या निर्माण होतात.
विशेषतः, एससीपी आणि आरसीपी वापरताना, सर्व्हर क्लायंटला कोणत्या फायली आणि निर्देशिका पाठवायचा हे ठरवतो आणि क्लायंट फक्त परत आलेल्या वस्तूंच्या नावांची शुद्धता तपासतो, जी क्लायंटद्वारे योग्य तपासणी नसतानाही परवानगी देतो. सर्व्हरने विनंती केलेल्यांपेक्षा भिन्न असलेली इतर फाइल नावे हस्तांतरित करण्यासाठी. SFTP प्रोटोकॉलमध्ये या समस्या नाहीत, परंतु ते "~/" सारख्या विशेष पथांच्या विस्तारास समर्थन देत नाही.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास या नवीन आवृत्तीबद्दल, आपण तपशील तपासू शकता पुढील लिंकवर जाऊन.
लिनक्सवर ओपनएसएच 8.9 कसे स्थापित करावे?
त्यांच्या सिस्टमवर ओपनएसएचची ही नवीन आवृत्ती स्थापित करण्यात सक्षम होण्यास इच्छुक असलेल्यांसाठी, आता ते करू शकतात याचा स्त्रोत कोड डाउनलोड करणे आणि त्यांच्या संगणकावर संकलन करत आहे.
याचे कारण की नवीन आवृत्ती अद्याप मुख्य लिनक्स वितरणाच्या रिपॉझिटरीजमध्ये समाविष्ट केलेली नाही. स्त्रोत कोड मिळविण्यासाठी आपण त्यावरून करू शकता पुढील लिंक.
डाउनलोड पूर्ण झाले, आता आम्ही खालील आदेशासह पॅकेज अनझिप करणार आहोत.
tar -xvf openssh-8.9.tar.gz
आम्ही तयार केलेली निर्देशिका प्रविष्ट करतो:
cd openssh-8.9
Y आम्ही संकलित करू शकतो पुढील आज्ञा:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install