Teleport Changelog

변경 로그

16.2.1 (2024년 9월 5일)

설정에 의해 디버그 서비스가 꺼지지 않는 문제를 수정했습니다. Teleport Connect의 "내 컴퓨터 연결" 기능이 더 이상 "bind: invalid argument" 오류로 실패하지 않습니다. #46293
중복 세션 기록이 생성될 수 있는 문제를 해결했습니다. #46265
Connect에서 통합 리소스 보기에서 접근 요청을 생성할 때 리소스를 대량 선택할 수 있는 기능이 추가되었습니다. #46238
Teleport Terraform 제공자에 teleport_installer 리소스 지원이 추가되었습니다. #46200
로컬 인증 서비스가 있는 일부 시나리오에서 인증서 재발급이 실패할 수 있는 문제를 수정했습니다. #46184
OpenSSL을 3.0.15로 업데이트했습니다. #46180
Kubernetes에서 Teleport가 기본 클러스터 도메인이 아닌 것을 사용할 수 있도록 기능을 확장하여 cluster.local을 가정하는 것을 피할 수 있습니다. #46150
CockroachDB 감사 로그 저장소 백엔드에서 보존 기간 처리를 수정했습니다. #46147
터미널 크기 조정을 트리거한 당사자에게 리사이즈 이벤트가 다시 전송되는 것을 방지하여 잠재적인 리사이즈 루프를 피했습니다. #46066
특정 세션 기록을 재생하거나 내보내려 할 때 gzip: invalid header 오류가 발생하는 문제를 해결했습니다. #46035
프록시 서비스 인증서에 IP SANs가 포함되지 않은 경우 Teleport 서비스가 IAM, Azure 또는 TPM 방법을 사용하여 클러스터에 참여할 수 없는 버그를 수정했습니다. #46010
proxy_protocol이 활성화된 상태에서 TLS가 Teleport 프록시 이전에 종료될 때 연결이 무작위로 종료되는 것을 방지했습니다. #45992
서버, 애플리케이션 및 데스크톱 리소스에 대한 아이콘을 업데이트했습니다. #45990
teleport 통합 IAM 설정 명령 및 자동 디스커버리 IAM 권한에 대한 문서 참조에 eks:UpdateAccessEntry가 추가되었습니다. #45983
접근 요청 알림 라우팅 규칙에 ServiceNow 지원이 추가되었습니다. #45965
접근 요청 알림 라우팅 규칙에 PagerDuty 지원이 추가되었습니다. #45913
host_sudoers가 Teleport 프록시 서버의 sudoers 목록에 기록될 수 있는 문제를 수정했습니다(Teleport v14 및 v15에서 발생). #45958
대화형 세션이 종료 시 멈추는 문제를 해결했습니다. #45952
백포팅된 BPF가 있는 배포판에 대해 향상된 세션 기록의 커널 버전 확인을 수정했습니다. #45941
tsh ssh 및 tsh proxy ssh를 사용할 때 재로그인 시도를 건너뛸 수 있는 플래그를 추가했습니다. #45929
tctl get db_services 명령을 실행할 때 프로세스가 실행 중인 호스트 이름을 반환하도록 수정했습니다. #45909
새로운 접근 요청에서 선택된 역할/검토자를 모두 지우는 버튼을 추가했습니다. #45904
WebSocket 업그레이드가 페이로드를 다시 마스킹할 수 있는 MiTM 프록시에서 실패하는 문제를 수정했습니다. #45899
수동으로 생성된 데이터베이스에서 teleport.dev/db-admin 및 teleport.dev/db-admin-default-database 레이블을 무시하지 않고 데이터베이스 자동 사용자 프로비저닝을 구성하는 데 사용할 수 있도록 수정했습니다. #45891
가져온 CA 키에 대해 비RSA SSH 서명을 지원하도록 추가했습니다. #45890
tsh login 및 tsh status 출력에서 역할 목록을 잘라서 표시하도록 업데이트했습니다. #45581

16.2.0 (2024년 8월 26일)

Windows 데스크톱의 NLA 지원

Teleport는 이제 Active Directory 도메인의 일부인 Windows 호스트에 연결할 때 네트워크 수준 인증(NLA)을 지원합니다. NLA 지원은 현재 선택적 기능으로, 향후 릴리스에서 기본적으로 활성화될 예정입니다.

NLA를 활성화하려면 windows_desktop_service 인스턴스에서 TELEPORT_ENABLE_RDP_NLA 환경 변수를 yes로 설정하십시오. Windows 호스트가 NLA를 요구하도록 설정할 필요는 없습니다. Teleport 클라이언트는 서버가 NLA를 요구하지 않더라도 구성되면 NLA를 수행합니다.

자세한 내용은 Active Directory 문서에서 확인할 수 있습니다.

DocumentDB IAM 인증 지원

Teleport는 이제 AWS에서 최근에 출시된 IAM 사용자 및 역할로 DocumentDB에 인증할 수 있습니다.

웹 UI에서 조인 토큰 관리

이제 웹 UI에서 tctl 토큰 명령어 대신 조인 토큰을 관리할 수 있습니다.

접근 그래프에서 데이터베이스 접근 제어

데이터베이스 접근 사용자는 이제 접근 그래프에서 데이터베이스 객체와 해당 접근 경로를 볼 수 있습니다.

Logrotate 지원

Teleport는 로그 파일이 이름이 변경되었을 때 이를 감지하여 자동으로 로그 파일을 다시 열어 logrotate와 통합됩니다.

기타 개선 사항 및 수정

Windows 데스크톱 세션에서 로컬 디렉터리 공유 실패가 더 이상 치명적인 오류로 간주되지 않습니다. #45852
GCP에서 자동 등록된 인스턴스에 teleport.dev/project-id 레이블을 추가했습니다. #45820
AWS App Access 생성이 숫자로만 구성된 통합(AWS 계정 ID 등)에서 실패하는 문제를 해결했습니다. #45819
Slack 플러그인이 요청된 역할에 의해 허용된 로그인을 나열하도록 수정했습니다. #45759
새로운 EKS 클러스터 자동 등록 구성에서 임시 접근 항목이 teleport.dev/ 이름 공간 태그로 태그 지정됩니다. 기존 설정의 경우 동일한 동작을 얻으려면 통합 IAM 역할에 eks:TagResource 작업을 추가하십시오. #45725
Teleport Policy의 접근 그래프에 S3 버킷 태그를 가져오는 지원을 추가했습니다. 기존 구성의 경우, Teleport 접근 그래프 통합 역할에 s3:GetBucketTagging 권한이 수동으로 포함되어 있는지 확인하십시오. #45551
Teleport Terraform 제공자를 로컬에서 실행하기 쉽게 하기 위해 tctl terraform env 명령을 추가했습니다. #44690
Terraform 제공자에 기본 MachineID

지원을 추가했습니다. GitHub Actions, GitLab CI, CircleCI, GCP 또는 AWS와 같은 위임된 참여 방법이 있는 환경에서 tbot을 설정하지 않고도 Terraform 제공자를 실행할 수 있습니다. #44690

Terraform 제공자가 모든 자격 증명 소스를 순차적으로 시도하고 연결할 수 없을 때 더 실행 가능한 오류 메시지를 제공합니다. #44690
Terraform 제공자가 만료된 자격 증명을 찾으면 이제 30초 동안 멈추고 잠재적으로 오해의 소지가 있는 인증서 신뢰 오류를 보내는 대신 명확한 오류 메시지와 함께 빠르게 실패합니다. #44690
일부 엔터프라이즈 클러스터에서 클러스터가 0개의 접근 요청을 허용하는 월간 할당량이 있다는 잘못된 메시지를 표시하는 문제를 해결했습니다. #4923

16.1.8 (2024년 8월 23일)

보안 수정

[높음] SAML IdP의 저장된 XSS

SAML IdP에 서비스 제공자를 등록할 때 Teleport가 ACS 엔드포인트를 충분히 검증하지 않았습니다. 이로 인해 saml_idp_service_provider 리소스 작성 권한이 있는 Teleport 관리자가 XSS 페이로드를 포함한 악의적인 서비스 제공자를 구성할 수 있으며, 이 서비스 제공자에 접근하는 사용자의 세션을 손상시킬 수 있습니다.

참고: 이 취약점은 Teleport가 자체적으로 신원 제공자 역할을 하는 경우에만 적용됩니다. 상위 신원 제공자에 연결하기 위해 SAML만 사용하는 경우는 영향을 받지 않습니다. tctl get saml_idp_service_provider 명령을 사용하여 Teleport가 IdP로 작동하고 있는 서비스 제공자 애플리케이션이 등록되어 있는지 확인할 수 있습니다.

자체 호스팅 Teleport 고객 중 Teleport를 SAML 신원 제공자로 사용하는 경우, 인증 및 프록시 서버를 업그레이드할 것을 권장합니다. Teleport 에이전트(SSH, Kubernetes, 데스크톱, 애플리케이션, 데이터베이스 및 디스커버리)는 영향을 받지 않으므로 업데이트할 필요가 없습니다.

기타 수정 및 개선 사항

Teleport가 Teleport로 관리되지 않는 사용자의 그룹 할당을 수정할 수 있는 문제를 해결했습니다. 이를 위해, create_host_user_mode: keep로 생성된 호스트 사용자에 대한 마이그레이션이 필요할 수 있습니다. #45791
이제 터미널 탭을 오른쪽 클릭하여 Teleport Connect에서 터미널 셸을 변경할 수 있습니다. WSL(wsl.exe)이 설치된 경우 이를 사용할 수 있으며, Windows의 기본 셸은 powershell.exe 대신 pwsh.exe로 변경되었습니다. #45734
VPC, 서브넷, 보안 그룹을 선택할 수 있도록 웹 UI의 RDS 등록 흐름을 개선했습니다. #45688
로컬 tsh 프록시 인증서의 유효 기간을 제한할 수 있는 새로운 MFAVerificationInterval 옵션을 추가했습니다. #45686
tsh scp의 호스트 사용자 생성 문제를 해결했습니다. #45680
AWS 접근이 사용자의 이름이 64자를 초과할 경우 실패하는 문제를 수정했습니다. #45658
클러스터 전체의 SSH 연결 다이얼 시간 제한을 설정할 수 있도록 허용했습니다. #45650
라벨 또는 프록시 템플릿을 통해 연결할 때 수행되는 호스트 해상도의 성능을 개선했습니다. #45644
빈 TCP 앱 세션 기록을 제거했습니다. #45643
UI에서 "액세스 관리" 섹션을 숨기지 않는 FeatureHiding 플래그 문제를 수정했습니다. #45608
keep 모드에서 생성된 사용자가 insecure_drop이 되어 결과적으로 정리될 수 있는 문제를 수정했습니다. #45594
새로운 Postgres 연결에 대한 RBAC 우회 방지를 수정했습니다. #45554
tctl에서 Teleport 사용자를 대상으로 하는 맞춤형 알림을 생성할 수 있도록 허용했습니다. #45503
구성 파일을 사용하지 않을 때 기본적으로 디버그 서비스가 활성화되지 않는 문제를 수정했습니다. #45480
Machine ID spiffe-workload-api 서비스에 Envoy SDS 지원을 추가했습니다. #45460
tsh sessions ls 출력 개선. #45452
Discover UI에서 EKS 자동 디스커버리 설정 시 권한 오류로 인한 접근 항목 처리 문제를 수정했습니다. #45442
Discover UI에서 EKS 클러스터 등록 시 오류 메시지 표시 문제를 해결했습니다. #45415
GitHub Actions 및 SSH를 위한 "봇 만들기" 흐름을 수정했습니다. 이제 봇에게 해당 흐름에서 생성된 역할이 올바르게 부여되며, 예제 YAML이 올바르게 포맷됩니다. #45409
이전에 표시되지 않았던 비밀번호 없는 인증기(패스키)를 패스키로 표시하도록 수정했습니다. #45395
AWS 역할을 가정할 때 AWS STS 클라이언트가 초기화되지 않아 발생하는 패닉을 방지했습니다. #45382
tctl get all이 SAML 또는 OIDC 인증 커넥터를 반환하지 않는 문제를 수정했습니다. #45319
Opsgenie 플러그인 수신자를 Access Monitoring Rules 리소스 생성으로 동적으로 구성할 수 있도록 지원했습니다. #45307
지원되지 않는 버전으로 인해 연결이 거부된 출처의 탐색 가능성을 개선했습니다. #45278
Teleport Connect의 터미널에서 복사 및 붙여넣기 기능을 개선했습니다. Windows 및 Linux에서 Ctrl+Shift+C/V로 텍스트를 복사/붙여넣기할 수 있습니다(이 단축키는 keymap.terminalCopy/keymap.terminalPaste로 변경 가능). 마우스 오른쪽 클릭(terminal.rightClick)으로도 복사/붙여넣기가 가능하며(Windows에서 기본적으로 활성화), #45265
인증 서버의 백엔드 연결이 중단되었을 때 발생하는 패닉 문제를 수정했습니다. #45225
Teleport 클러스터와 연합하기 위해 다른 워크로드 신원 플랫폼이 사용할 수 있는 SPIFFE 호환 연합 번들 엔드포인트를 Proxy API에 추가했습니다. #44998
Access Monitoring Query 결과에 "CSV 다운로드" 버튼을 추가했습니다. #4899
Okta Sync에서 연결 오류로 인해 Okta 애플리케이션이 오류로 삭제되는 문제를 수정했습니다. #4885
Okta Sync에서 연결 실패 시 애플리케이션 및 그룹이 잘못 제거되는 문제를 해결했습니다. #4883
일부 엔터프라이즈 클러스터에서 클러스터가 0개의 접근 요청을 허용하는 월간 할당량이 있다는 잘못된 메시지를 표시하는 문제를 수정했습니다. #4923

16.1.0 (2024년 7월 15일)

새로운 로고

Teleport 로고가 새롭게 업데이트되었습니다. 이번 리프레시는 변화하는 브랜드에 맞춰 제품, 마케팅 사이트(goteleport.com), 브랜딩 콘텐츠, 굿즈 등에 반영될 예정입니다.

새로운 로고는 이번 릴리스부터 웹 UI에 적용되며, 마케팅 웹사이트는 2024년 7월 17일부터 업데이트됩니다.

데이터베이스 접근 세션 재생

PostgreSQL 쿼리 재생 기능이 추가되어, 데이터베이스 접근 사용자는 웹 UI 또는 tsh를 통해 세션을 다시 볼 수 있습니다.

기타 개선 사항 및 수정

Web UI에서 비대화형 Kube exec 세션의 "계단식" 텍스트 출력 수정. #44249
tsh vnet 또는 Teleport Connect로 VNet을 시작할 때 발생하는 관리자 프로세스 누수 수정. #44225
kube-agent-updater가 비공개 이미지의 해상도 문제를 처리하지 못하는 버그 수정. #44191
프록시 UI 설정에 대해 더 이상 show_resources 옵션이 필요하지 않음. #44181
teleport-cluster 차트가 자체 인그레스를 생성하지 않고 기존 인그레스를 사용할 수 있도록 수정. #44146
tsh login이 새 세션에 대한 정확한 상태 정보를 출력하도록 수정. #44143
tctl에서 "장치 신뢰 모드 _x_는 Teleport Enterprise가 필요합니다" 오류 수정. #44133
Linux 시스템에서 tbot을 서비스로 설치하기 위한 tbot install systemd 명령어 추가. #44083
tctl에서 Access List 멤버를 JSON 형식으로 나열하는 기능 추가. #44071
grpc를 v1.64.1로 업데이트 (GO-2024-2978 패치). #44067
Access Review 알림을 하나의 메시지로 묶어 웹 UI로 연결되는 링크 제공. #44034
Web UI에서 Notification Routing Rules로 구성된 알림을 잘못 차단하던 문제 수정. #44029
tsh ssh에서 프록시 템플릿을 준수하도록 수정. #44026
Linux RHEL 9에서 시작 시 발생하는 eBPF 오류 수정. #44023
Redshift 자동 사용자 비활성화/삭제 실패 문제 수정. #43968
Kubernetes 클러스터가 온라인 상태로 전환되는 지연 시간 감소. #43967
Teleport AMI가 정규 Teleport 패키지 설치처럼 /etc/default/teleport에서 환경 변수를 선택적으로 소싱하도록 수정. #43962
tbot이 Windows에서 컴파일될 수 있도록 수정. #43959
데이터베이스 세션 기록에 쿼리/명령 결과 정보가 포함된 새 이벤트 추가. #43955
이벤트 처리기 헬름 차트에서 전달할 이벤트 유형을 설정하고, 세션 유형을 건너뛸 수 있는 기능 추가. #43938
teleport-kube-agent 차트 값에서 구성된 extraLabels가 삭제 후 후크에 올바르게 전달되도록 수정. #43932
Opsgenie 플러그인에서 Teams 지원 추가. #43916
Machine ID 출력을 개별적으로 병렬 실행하여 하나의 실패한 출력이 다른 출력을 방해하지 않도록 하고, 다수의 출력 생성 시 성능을 개선. #43876
Web UI에서 SAML IdP 서비스 제공자 리소스를 업데이트할 수 있도록 수정. #4651
Web UI에서 Notification Routing Rules에 대한 YAML 편집기에서 따옴표가 없는 문자열로 인해 발생한 빈 조건 문제 수정. #4636
Teleport Enterprise는 이제 HTTP(S) 프록시 URL을 지정하기 위한 TELEPORT_REPORTING_HTTP(S)_PROXY 환경 변수를 지원합니다. #4568
Web UI에서 Access List 리뷰가 필요하다는 잘못된 알림 문제 수정. #4521

16.0.4 (2024년 7월 3일)

Cloud-Hosted 인스턴스의 인벤토리 목록 출력에서 제어 평면 서비스 생략. #43779
Go 도구체인을 v1.22.5로 업데이트. #43768
높은 동시 요청 부하를 처리하는 인증 서버의 CPU 사용량 감소. #43755
Machine ID가 Kubernetes exec 플러그인을 비활성화하여 kubeconfig를 디렉토리 대상으로 작성할 때 수동으로 disable_exec_plugin을 설정할 필요 없음. #43655
Ubuntu 24.04에서 Teleport Connect가 시작 시 충돌하는 문제를 AppArmor 프로파일 추가로 수정. #43653
tbot SSH 멀티플렉서에서 리프 클러스터에 다이얼링 지원 추가. #43634
Teleport가 cluster.local을 기본으로 가정하지 않고 비표준 클러스터 도메인을 사용할 수 있도록 기능 확장. #43631
kube 프록시에 대한 만료된 인증서 재발행 시 사용자 MFA 입력 대기. #43612
Machine ID의 SSH 멀티플렉서를 사용할 때 오류 진단 기능 개선. #43586

Enterprise:

Teleport Enterprise는 이제 HTTP(S) 프록시 URL을 지정하기 위한 TELEPORT_REPORTING_HTTP(S)_PROXY 환경 변수를 지원합니다.

16.0.3 (2024년 6월 27일)

이번 Teleport 릴리스는 Teleport Enterprise에 영향을 미치는 중간 수준의 보안 문제를 수정했으며, 기타 여러 업데이트와 개선 사항을 포함하고 있습니다.

보안 수정 사항

[중간 수준] SCIM 클라이언트가 특수하게 제작된 그룹을 사용하여 Teleport 시스템 역할을 덮어쓸 수 있는 문제를 수정했습니다. 이 문제는 Okta 통합과 SCIM 지원이 활성화된 Teleport Enterprise 배포에 영향을 미칩니다.

모든 고객에게 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

기타 업데이트 및 개선 사항

go-retryablehttp를 v0.7.7로 업데이트 (CVE-2024-6104 수정). #43474
Discover 설정 액세스 오류 수정. #43560
"관리 작업에 대한 MFA" 요구 사항 변경 여부를 설명하는 감사 이벤트 필드 추가. #43541
원격 포트 포워딩 유효성 검사 오류 수정. #43516
자체 호스팅 데이터베이스에 대한 시스템 CA 신뢰 지원 추가. #43493
SSH 및 Kubernetes 세션에 대한 웹 UI 오류 표시 추가. #43485
제거 후 업데이트의 정확한 인벤토리 보고 수정. #43454
tctl alerts ls가 남은 경고 TTL을 표시하도록 수정. #43436
Teleport Connect의 Access Request 목록에 대한 입력 검색 오류 수정. #43429
이벤트 핸들러에 Debug 설정 추가. #43408
로컬 인증이 비활성화된 경우에도 sso 사용자를 위한 헤드리스 인증 수정. #43361
이벤트 핸들러 헬름 차트에 대한 사용자 정의 CA 구성 추가. #43340
Teleport Connect의 VNet 패널이 사용자 정의 DNS 존과 리프 클러스터의 DNS 존을 나열하도록 업데이트. #43312
사용자가 추가 데이터베이스 연결을 할 수 없도록 방해하던 Database Access Controls 문제 수정. #43303
DisconnectCertExpiry가 false로 설정되어 있음에도 불구하고 인증서가 만료되면 gRPC 연결이 끊기는 문제 수정. #43290
Teleport Connect의 "내 컴퓨터 연결" 기능이 "bind: invalid argument" 오류로 실패하는 문제 수정. #43287
Jamf 또는 Discovery 서비스만 실행 중인 Teleport 인스턴스의 /readyz 엔드포인트가 건강하지 않은 상태로 남아있는 문제 수정. #43283
Teleport AMI에서 사용되는 teleport-acm systemd 유닛 파일에 누락된 [Install] 섹션 추가. #43257
curve25519-dalek에서 타이밍 변동성 패치. #43246
자동 SSH Access Request에 대한 요청 사유 설정 문제 수정. #43178
Teleport Connect에서 로그 순환 논리 개선. 이제 비번호 파일에 항상 최근 로그가 포함됩니다. #43161
데스크탑 액세스와 함께 AD 환경을 부트스트랩하기 위한 tctl desktop bootstrap 추가. #43150

Enterprise 전용 변경 사항 및 개선 사항

Teleport 업데이트 프로그램이 글로벌 버전 채널을 기본적으로 사용하지 않도록 수정하여 호환되지 않는 업데이트 방지.
Okta SCIM 통합에서 동기화 오류 수정.

16.0.1 (2024년 6월 17일)

auth_service 섹션이 비활성화된 경우 tctl이 구성 파일을 무시하고 대신 주어진 인증 파일이나 tsh 프로파일에서 자격 증명을 로드하도록 수정. #43115
서비스가 활성화되지 않은 경우 jamf_service 검증 건너뜀. #43095
v16.0.0의 amd64 Teleport 플러그인 이미지가 arm64 바이너리를 사용하는 문제 수정. #43084
Web UI에서 사용자 속성 편집 기능 추가. #43067
큰 시간 창에서 이벤트를 읽을 때 OOM 이벤트를 방지하기 위한 Firestore 제한 적용. #42966
인증된 모든 사용자가 클러스터 vnet_config를 읽을 수 있도록 허용. #42957
대규모 클러스터에서 매우 높은 부하 시 검색 및 레이블 기반 다이얼링 성능 개선. #42943

16.0.0 (06/13/24)

주요 변경 사항

Opsgenie 플러그인 주석

Opsgenie 플러그인 사용자는 이제 역할 주석에 teleport.dev/notify-services를 포함해야 Opsgenie에서 알림을 받을 수 있습니다. 자동 승인 흐름을 결정하는 데 사용되는 레이블은 이제 teleport.dev/schedules입니다. 설정 지침은 Opsgenie 플러그인 문서를 참조하세요.

Teleport Assist 제거됨

Teleport Assist 채팅이 Teleport 16에서 제거되었습니다.

DynamoDB 권한 요구 사항 변경

DynamoDB 백엔드를 사용하는 Teleport 클러스터는 이제 dynamodb:ConditionCheckItem 권한을 가져야 합니다. 필요한 모든 권한의 전체 목록은 dynamo 백엔드 IAM 정책 예제를 참조하세요.

두 번째 인증 요소 인증 유형 비활성화

두 번째 인증 요소 비활성화 지원이 제거되었습니다.

머신 ID 및 OpenSSH 클라이언트 구성 변경

사용자는 커스텀 ssh_config의 ProxyCommand를 새로운 더 성능이 좋은 tbot ssh-proxy-command를 사용하도록 수정해야 합니다. 자세한 내용은 v16 업그레이드 가이드를 참조하세요.

Teleport Connect의 기본 키보드 단축키 변경

Windows와 Linux에서는 기본 단축키가 기본 bash 또는 nano 단축키와 충돌했습니다 (예: Ctrl + E, Ctrl + K). 이러한 플랫폼에서는 기본 단축키가 Ctrl + Shift + * 조합으로 변경되었습니다. 또한 macOS에서 새 터미널을 여는 단축키를 Control + Shift + `로 업데이트했습니다. 현재 단축키 목록은 구성을 참조하세요.

15.0.0(xx/xx/24)

새로운 기능

이제 ARM64에서 FIPS 지원

이제 Teleport 15는 ARM64에서 FIPS를 준수하는 Linux 빌드를 제공합니다. 이제 사용자는 ARM64에서 FedRAMP/FIPS 모드로 텔레포트를 실행할 수 있습니다.

이제 ARM64용으로 강화된 AMI가 생산됩니다.

이제 Teleport 15는 ARM64에서 강화된 AWS AMI를 제공합니다.

스트리밍 세션 재생

Teleport 15 이전에는 'tsh play'와 웹 UI가 재생을 시작하기 전에 전체 세션 녹화를 다운로드해야 했습니다. 그 결과, 대용량 녹화물의 재생이 녹화물의 재생이 느리게 시작되고 브라우저에서 전혀 재생되지 않을 수 있었습니다.

Teleport 15에서는 세션 녹화가 인증 서버에서 스트리밍되므로 전체 세션이 시작되기 전에 전체 세션이 다운로드되고 압축이 풀리기 전에 재생이 시작됩니다.

또한, 이제 'tsh play'는 --속도 플래그를 지원하여 재생 속도를 조절할 수 있습니다. 재생 속도를 조정할 수 있습니다.

독립형 텔레포트 연산자

텔레포트 15 이전에는 텔레포트 쿠버네티스 오퍼레이터가 텔레포트 인증의 사이드카로 실행되어야 했다. 로 실행해야 했다. 텔레포트 클라우드에서 오퍼레이터를 사용할 수 없었고 또는 '텔레포트-클러스터' 헬름 차트와 함께 배포되지 않은 텔레포트 클러스터에 대해서는 오퍼레이터를 사용할 수 없었다.

텔레포트 15에서 텔레포트 오퍼레이터는 모든 텔레포트 클러스터의 리소스를 조정할 수 있다. 클러스터의 리소스를 조정할 수 있습니다. 이제 텔레포트 클라우드 사용자는 운영자를 사용하여 리소스를 관리할 수 있다.

텔레포트 클러스터` 차트와 함께 배포된 경우, 이제 오퍼레이터는 별도의 포드에서 별도의 파드에서 실행됩니다. 이렇게 하면 운영자가 준비되지 않은 경우에도 텔레포트의 가용성에 영향을 미치지 않습니다. 운영자가 준비되지 않은 경우

독립 실행형 오퍼레이터 가이드를 참조하세요. 에서 설치 지침을 확인하세요.

이제 텔레포트 오퍼레이터가 역할 v6 및 v7을 지원합니다.

Teleport 15부터 새로 지원되는 종류에는 리소스 버전이 포함됩니다. 예를 들어, '텔레포트 역할 v6' 및 '텔레포트 역할 v7' 종류를 사용하면 다음과 같이 할 수 있습니다. 텔레포트 역할 v6 및 v7을 만들 수 있습니다.

기존 종류는 텔레포트 15에서 변경되지 않고 유지되지만, 일관성을 위해 텔레포트 16에서는 텔레포트 16에서 이름이 변경됩니다.

기존 사용자 지정 리소스(CR) '텔레포트 역할'을 다음과 같이 마이그레이션하려면 텔레포트 역할을 텔레포트 역할V7`으로 마이그레이션하려면:

텔레포트와 운영자를 v15로 업그레이드합니다.
기존 TeleportRole CR에 teleport.dev/keep: "true"로 주석을 달아야 합니다.
텔레포트 역할` CR을 삭제합니다(주석 덕분에 텔레포트에서 역할은 삭제되지 않습니다).
같은 이름의 새 TeleportRoleV7 CR을 생성합니다.

변경 사항 및 사용 중단 중단

RDP 엔진에는 RemoteFX가 필요합니다.

텔레포트 15에는 RemoteFX 코덱을 활용하는 새로운 RDP 엔진이 포함되어 있습니다. 향상된 성능을 제공합니다. 이 기능을 사용하려면 추가 구성이 필요할 수 있습니다. 추가 구성이 필요할 수 있습니다.

로컬 사용자용 인증 패키지를 사용하는 경우, v15 설치 관리자에서 가 자동으로 RemoteFX를 활성화합니다.

또는 레지스트리를 업데이트하여 RemoteFX를 활성화할 수도 있습니다:

Set-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\Windows NT\Terminal Services' -Name 'ColorDepth' -Type DWORD -Value 5
Set-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\Windows NT\Terminal Services' -Name 'fEnableVirtualizedGraphics' -Type DWORD -Value 1

활성 디렉터리 환경의 일부인 Windows 호스트와 함께 텔레포트를 사용하는 경우 디렉터리 환경에 속하는 Windows 호스트와 함께 텔레포트를 사용하는 경우 그룹 정책을 통해 RemoteFX를 활성화해야 합니다.

컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > 원격 데스크톱 세션 호스트에서 원격 데스크톱 서비스 > 원격 데스크톱 세션 호스트에서 활성화합니다:

원격 세션 환경 > Windows Server 2008 R2용 RemoteFX > RemoteFX 구성
원격 세션 환경 > Windows Server 2008 R2 SP1용으로 설계된 RemoteFX 클라이언트에 대해 RemoteFX 인코딩 활성화
원격 세션 환경 > 최대 색 농도 제한

자세한 지침은 설정 가이드를 참조하세요. 이러한 변경 사항을 적용하려면 재부팅이 필요할 수 있습니다.

`TSH SSH`

여러 노드에서 tsh ssh로 명령을 실행하는 경우 각 출력 줄에 의 각 줄은 이제 작성된 노드의 호스트명으로 레이블이 지정됩니다. 사용자 여러 노드의 출력을 구문 분석해야 하는 사용자는 --log-dir 플래그( 를 전달하면 각 노드의 분리된 출력이 기록되는 디렉터리가 만들어집니다. 디렉토리를 생성합니다.

`drop` 호스트 사용자 생성 모드

텔레포트 15에서는 drop 호스트 사용자 생성 모드가 제거되었습니다. 대신 임시 사용자를 생성하지만 홈 디렉토리는 생성하지 않는 insecure-drop으로 대체되었습니다. 홈 디렉토리를 생성하지 않습니다. 홈 디렉터리 생성이 필요한 사용자는 사용자 추가/사용자 삭제로 감싸거나 로 감싸거나 PAM을 사용해야 합니다.

SSH에 대한 제한된 세션 제거

SSH의 제한된 세션 기능은 텔레포트 14부터 더 이상 사용되지 않으며, 텔레포트 15에서는 는 텔레포트 15에서 제거되었습니다. 네트워크 제한을 구현하는 것이 좋습니다. (iptables, 보안 그룹 등)을 구현하는 것이 좋습니다.

패키지는 더 이상 레거시 Debian 및 RPM 리포지토리에 게시되지 않습니다.

deb.releases.teleport.dev 및 rpm.releases.teleport.dev는 다음에서 더 이상 사용되지 않습니다. 텔레포트 11. Teleport 15부터는 더 이상 이러한 리포지토리에 데비안 및 RPM 패키지가 더 이상 이 리포지토리에 게시되지 않습니다. 텔레포트 14 및 이전 패키지는 계속 이 리포지토리에 해당 릴리스의 남은 수명 주기 동안 이 리포지토리에 계속 게시됩니다.

모든 사용자는 apt.releases.teleport.dev 및 yum.releases.teleport.dev 리포지토리로 전환하는 것이 좋습니다. 지침.

레거시 패키지 리포지토리는 텔레포트 14가 수개월 동안 지원을 중단한 후 2025년 중반에 종료됩니다. 가 수개월 동안 지원이 중단된 이후인 2025년 중반에 종료될 예정입니다.

컨테이너 이미지

텔레포트 15에는 텔레포트가 제공하는 컨테이너 이미지의 기본 보안과 편의성을 개선하기 위한 몇 가지 획기적인 및 텔레포트 제공 컨테이너 이미지의 사용성을 개선하기 위한 몇 가지 획기적인 변경 사항이 포함되어 있습니다.

"무거운" 컨테이너 이미지 제공 중단

15+에서 기본 보안을 강화하기 위해 Teleport는 더 이상 다음을 게시하지 않습니다. 셸과 풍부한 명령줄 환경을 포함하는 컨테이너 이미지 를 Elastic 컨테이너 레지스트리의 중력/텔레포트 이미지 리포지토리에 게시하지 않습니다. 대신, 모든 사용자는 텔레포트 12에서 도입된 배포되지 않는 이미지를 사용해야 합니다. 를 사용해야 합니다. 이 이미지는 다음에서 찾을 수 있습니다:

텔레포트 컨테이너에 셸이 필요한 사용자를 위해 "디버그" 이미지가 있습니다. 셸과 여러 CLI 도구를 포함한 BusyBox가 포함된 "디버그" 이미지를 사용할 수 있습니다. 찾기 에서 디버그 이미지를 찾아보세요:

프로덕션 환경에서는 디버그 컨테이너 이미지를 실행하지 마세요.

무거운 컨테이너 이미지는 남은 릴리스 수명 주기 동안 Teleport 13 및 14에 대해 계속 게시됩니다. 의 나머지 릴리스 수명 주기 동안 계속 게시됩니다.

헬름 클러스터 차트 FIPS 모드 변경 사항

텔레포트 클러스터 차트에서 더 이상 버전오버라이드와 extraArgs를 사용하여 FIPS 모드를 설정하지 않는다.

대신 다음 값 파일 구성을 사용해야 한다:

엔터프라이즈 이미지: public.ecr.aws/gravitational/teleport-ent-fips-distroless
인증:
  localAuth: false

다중 아키텍처 텔레포트 오퍼레이터 이미지

텔레포트 오퍼레이터 컨테이너 이미지는 더 이상 태그에 아키텍처 접미사(예: 14.2.1-amd64 및 14.2.1-arm)를 태그에 추가하여 게시하지 않습니다. 대신 멀티플랫폼을 지원하는 단일 태그만 게시됩니다(예: 15.0.0). 아키텍처 접미사가 붙은 텔레포트 오퍼레이터 이미지를 사용하는 경우, 접미사( 접미사를 제거하면 클라이언트가 플랫폼에 적합한 이미지를 자동으로 가져옵니다. 도커 풀 --플랫폼 <아키텍처>로 개별 아키텍처를 가져올 수 있습니다.

Quay.io 레지스트리

quay.io 컨테이너 레지스트리는 더 이상 사용되지 않으며 Teleport 12가 마지막으로 버전이 마지막으로 quay.io에 이미지를 게시합니다. Teleport 15가 출시됨에 따라 v12는 더 이상 더 이상 지원되지 않으며 새로운 컨테이너 이미지가 quay.io에 게시되지 않습니다.

Teleport 8+의 경우, 대체 컨테이너 이미지는 Teleport의 공개 ECR 레지스트리에서 찾을 수 있습니다.

이전에 지원되지 않는 컨테이너 이미지를 계속 사용하고자 하는 사용자는 Teleport 8에 의존하는 모든 quay.io 이미지를 다운로드하여 미러링해야 합니다. 2024년 7월 이전에 다른 곳에 미러링해야 합니다. 5월과 6월의 브라운아웃 이후, Teleport 는 7월 3일 수요일에 모든 Teleport quay.io 리포지토리에서 가져오기를 비활성화합니다, 2024.

Amazon AMI

Teleport 15에는 기본 보안을 개선하기 위한 몇 가지 획기적인 변경 사항이 포함되어 있습니다. 및 사용성을 개선하기 위한 몇 가지 획기적인 변경 사항이 포함되어 있습니다.

강화된 AMI

Teleport 제공 Amazon Linux 2023은 이전에는 x86_64/amd64만 지원했습니다. Teleport 15부터는 arm64 기반 AMI가 생산됩니다. 그러나 아키텍처를 포함하도록 AMI의 명명 체계가 변경되었습니다.

이전 명명 체계: teleport-oss-14.0.0-$TIMESTAMP
새 명명 체계: teleport-oss-15.0.0-x86_64-$TIMESTAMP

레거시 Amazon Linux 2 AMI

텔레포트가 제공하는 Amazon Linux 2 AMI는 더 이상 사용되지 않으며, 텔레포트 14는 이러한 레거시 AMI를 생성하는 이러한 레거시 AMI를 생성하는 마지막 버전입니다. Teleport 15가 출시되면, 오직 보다 강화된 최신 Amazon Linux 2023 AMI만 생산됩니다.

레거시 AMI는 Teleport 13과 14의 나머지 릴리즈 기간 동안 계속 게시됩니다. 나머지 릴리즈의 수명 주기 동안 계속 게시됩니다.

`windows_desktop_service`가 더 이상 NTAuth 스토어에 쓰지 않습니다.

Teleport 15에서는 Teleport의 사용자 CA를 주기적으로 게시하는 프로세스가 에 주기적으로 게시하는 프로세스가 제거되었습니다. 텔레포트가 이 단계를 수행할 필요는 없습니다. 이 단계는 설치 시 관리자가 수행해야 하므로 수행할 필요가 없습니다. 시간. 따라서 Teleport의 서비스 계정에서 보다 제한적인 권한을 사용할 수 있습니다.

AWS 클러스터 배포 업데이트 예시

Teleport 클러스터에 대한 AWS 테라폼 예제가 업데이트되었습니다. 최신 강화된 Amazon Linux 2023 AMI를 사용하도록 업데이트되었습니다. 또한 기본 아키텍처 및 인스턴스 유형이 ARM64/Graviton으로 변경되었습니다.

이러한 현대화의 결과로, 레거시 모니터링 스택 구성은 레거시 AMI에 사용되던 모니터링 스택 구성이 제거되었습니다.

`teleport-cluster` 헬름 차트 변경 사항

새로운 별도의 운영자 배포로 인해 운영자는 하위 차트에 의해 배포됩니다. 이로 인해 다음과 같은 중요한 변경 사항이 발생한다:

installCRDs가 operator.installCRDs로 대체되었다.
텔레포트 버전 오버라이드는 더 이상 운영자 버전을 설정하지 않으므로 다음을 수행해야 합니다. 운영자 버전을 재정의하려면 operator.teleportVersionOverride`를 사용해야 합니다.

참고: 버전 재정의는 위험하므로 권장하지 않습니다. 각 차트 버전 은 특정 텔레포트 및 운영자 버전을 실행하도록 설계되었습니다. 특정 텔레포트 버전을 특정 텔레포트 버전을 배포하려면 헬름의 --버전 X.Y.Z를 대신 사용하세요.

이제 운영자는 쿠버네티스 서비스어카운트 토큰을 사용하여 참여한다. 토큰의 유효성을 검사하려면 토큰의 유효성을 검사하려면 텔레포트 인증 서비스에 TokenReview API에 대한 액세스 권한이 있어야 한다. 이 차트는 rbac 생성을 비활성화하지 않는 한 v12부터 이를 구성합니다.

헬름 클러스터 차트 FIPS 모드 변경

텔레포트 클러스터 차트는 더 이상 버전오버라이드와 extraArgs를 사용하여 FIPS 모드를 설정하지 않는다.

대신 다음 값 파일 구성을 사용해야 한다:

엔터프라이즈 이미지: public.ecr.aws/gravitational/teleport-ent-fips-distroless
인증:
  localAuth: false

리소스 버전은 이제 Terraform 공급자에서 필수이며 변경할 수 없습니다.

텔레포트 15 버전부터 각 테라폼 리소스는 반드시 버전을 지정해야 합니다. 버전 15 이전에는 테라폼이 리소스 생성 시 사용 가능한 최신 버전을 선택했습니다. 이로 인해 동일한 매니페스트로 생성된 새 리소스가 다음과 같은 불일치가 발생했습니다. 이전 리소스가 동일한 동작을 보이지 않았기 때문입니다.

이제 리소스 버전은 변경할 수 없습니다. 리소스 버전을 변경하면 다음이 발생합니다. Terraform이 리소스를 삭제하고 다시 생성합니다. 이렇게 하면 올바른 기본값이 설정됩니다.

기존 리소스는 Terraform이 이미 해당 리소스의 버전을 가져왔기 때문에 계속 작동합니다. 그러나 새 리소스에는 명시적인 버전이 필요합니다.

기타 변경 사항

비밀번호 길이 증가

최소 비밀번호 길이가 12자로 늘어났습니다.

계정 잠금 간격 증가

계정 잠금 간격이 30분으로 늘어났습니다.

14.0.0 (09/20/23)

텔레포트 14에는 다음과 같은 새로운 주요 기능 및 개선 사항이 추가되었습니다:

액세스 목록
통합 리소스 보기
데이터베이스 액세스를 위한 ClickHouse 지원
고급 감사 로그
Kubernetes 앱 자동 검색
리소스별 확장된 Kubernetes RBAC
오라클 데이터베이스 액세스 감사 로깅 지원
향상된 PuTTY 지원
Terraform 배포 예제에서 TLS 라우팅 지원
Discord 및 ServiceNow 호스팅 플러그인
OSS 텔레포트에서 로컬 Windows 사용자를 위한 제한된 비밀번호 없는 액세스
머신 ID: 쿠버네티스 시크릿 대상

또한, 이번 릴리스에는 "주요 변경 사항"에 나열된 기존의 기능에 영향을 미치는 몇 가지 변경 사항이 포함되어 있습니다. 사용자는 업그레이드하기 전에 업그레이드하기 전에 검토하시기 바랍니다.

새로운 기능

고급 감사 로그

Teleport 14에는 Amazon S3 및 Athena로 구동되는 새로운 감사 로그가 지원됩니다. 를 통해 효율적인 검색, 정렬, 필터링 작업을 지원합니다. 텔레포트 Cloud 고객은 감사 로그가 자동으로 이 새로운 백엔드로 자동 마이그레이션됩니다.

문서를 참조하세요.

액세스 목록

텔레포트 14는 액세스 목록에 대한 기본 지원을 도입합니다. 장기 액세스를 대상으로 하는 단기 액세스 요청 시스템의 확장입니다. 관리자는 사용자를 액세스 목록에 추가하여 클러스터 내에서 장기 권한을 부여할 수 있습니다. 사용자를 추가할 수 있습니다.

이 기능은 개발 중이므로 향후 텔레포트 릴리스에서는 다음에 대한 지원이 추가될 예정입니다. 정기적인 감사 검토 및 액세스 목록과 Okta의 보다 긴밀한 통합에 대한 지원이 추가될 예정입니다.

기존 액세스 목록 설명서는 여기에서 확인할 수 있습니다.

통합 리소스 보기

Teleport 14의 웹 UI가 업데이트되어 모든 리소스를 하나의 통합 보기.

이는 사용자 지정이 가능한 텔레포트 환경을 지원하고 사용자 지정 가능한 텔레포트 환경을 지원하고 가장 중요한 리소스에 더 쉽게 액세스할 수 있도록 리소스에 더 쉽게 액세스할 수 있도록 설계되었습니다.

Kubernetes 앱 자동 검색

Teleport 14는 자동 검색 기능을 업데이트하여 웹 애플리케이션을 지원합니다. 애플리케이션을 지원하여 자동 검색 기능을 업데이트합니다. 쿠버네티스 클러스터에 연결되면(또는 헬름 차트로 배포된 경우), 텔레포트 검색 서비스는 자동으로 웹 애플리케이션을 찾아서 웹 애플리케이션을 자동으로 찾아서 앱 액세스와 함께 사용할 수 있도록 등록합니다.

문서 여기를 참조하세요.

리소스별 확장된 쿠버네티스 RBAC

텔레포트 14는 리소스 기반 액세스 요청을 확장하여 사용자 정의 파드보다 더 많은 쿠버네티스 리소스, 커스텀 리소스, 동사 등 더 많은 리소스를 지원한다. 이 기능을 사용하려면 역할 버전 v7이 필요하다.

지원되는 리소스의 전체 목록을 보려면 쿠버네티스 리소스 설명서를 참조한다. 리소스의 목록은 쿠버네티스 리소스 문서를 참조한다.

데이터베이스 액세스를 위한 ClickHouse 지원

텔레포트 14는 ClickHouse HTTP 및 네이티브(TCP) 프로토콜에 대한 데이터베이스 액세스 지원을 추가합니다. 프로토콜에 대한 데이터베이스 액세스를 지원한다. HTTP 프로토콜을 사용하는 경우 사용자의 쿼리 활동이 텔레포트 감사 로그에 텔레포트 감사 로그에 캡처됩니다.

ClickHouse와 텔레포트를 연결하는 방법 보기 [여기](문서/페이지/데이터베이스-액세스/등록-자체 호스팅 데이터베이스/클릭하우스-자체 호스팅.mdx).

오라클 데이터베이스 액세스 감사 로깅 지원

Teleport 14에서는 Oracle 통합을 위한 데이터베이스 액세스가 쿼리 감사 로깅 지원으로 업데이트됩니다.

구성 방법에 대한 설명서는 Oracle 가이드에서 참조하세요.

OSS 텔레포트에서 로컬 Windows 사용자의 비밀번호 없는 액세스 제한

Teleport 14에서는 로컬 Windows 사용자의 Windows 데스크톱에 대한 액세스가 커뮤니티 에디션으로 확장되었습니다. 텔레포트를 통해 사용자는 등록을 하고 엔터프라이즈 라이선스 없이 로컬 사용자와 함께 최대 5대의 데스크톱에 연결할 수 있습니다.

로컬 Windows 사용자와 함께 텔레포트를 사용하는 방법에 대한 자세한 내용은 문서를 참조하세요.

Discord 및 ServiceNow 호스팅 플러그인

Teleport 14에는 호스팅된 Discord 및 ServiceNow 플러그인에 대한 지원이 포함되어 있습니다. 텔레포트 클라우드 사용자는 Discord 및 ServiceNow 통합을 구성하여 액세스 요청 알림을 받을 수 있습니다. 요청 알림을 받도록 구성할 수 있습니다.

Discord 플러그인은 현재 사용 가능하며, ServiceNow는 14.0.1에서 제공될 예정입니다.

향상된 PuTTY 지원

이제 Windows의 tsh에서 tsh puttyconfig 명령이 지원됩니다. 잘 알려진 PuTTY 클라이언트 내부에 저장된 세션을 구성하여 연결할 수 있습니다. SSH 서비스 텔레포트.

자세한 내용은 문서를 참조하세요.

Terraform 배포 예시에서 TLS 라우팅 지원

이제 ha-autoscale-cluster 및 스타터 클러스터 Terraform 배포 예제에서 배포된 클러스터 내에서 TLS 라우팅을 활성화하기 위해 USE_TLS_ROUTING 변수를 지원합니다. 텔레포트 클러스터를 지원합니다.

머신 ID: 쿠버네티스 시크릿 대상

텔레포트 14에서는 이제 tbot이 다음과 같은 아티팩트를 작성하도록 구성할 수 있다. 자격 증명 및 구성 파일과 같은 아티팩트를 로컬 파일 시스템의 디렉터리가 아닌 디렉터리가 아닌 쿠버네티스 시크릿에 직접 쓰도록 구성할 수 있습니다. 이렇게 하면 다른 서비스에서 더 쉽게 tbot`이 출력하는 자격 증명을 더 쉽게 사용할 수 있습니다.

자세한 내용은 docs를 참조한다.

변경 사항 및 지원 중단

다음과 같은 잠재적으로 중단될 수 있는 변경 사항을 숙지하시기 바랍니다. 업그레이드하기 전에 텔레포트 14.

SSH 노드 개방 다이얼이 더 이상 지원되지 않습니다.

Teleport 14에서는 더 이상 클러스터에 등록되지 않은 OpenSSH 서버에 연결할 수 없습니다. 연결을 더 이상 허용하지 않습니다. 업데이트된 에이전트 없는 OpenSSH 통합 가이드를 참조하세요. 를 참조하여 클러스터의 인벤토리에 OpenSSH 노드를 등록하세요.

텔레포트 프록시에서 TELEPORT_UNSTABLE_UNLISTED_AGENT_DIALING=yes 환경 변수( 를 설정하여 일시적으로 개방형 다이얼 기능을 다시 활성화할 수 있습니다. 텔레포트 프록시에서 환경 변수는 텔레포트 15에서 제거됩니다.

프록시 프로토콜 기본값 변경

버전 14부터 Teleport는 사용자가 명시적으로 활성화 또는 비활성화하도록 요구합니다. proxy_service/auth_service 구성에서 프록시 프로토콜을 명시적으로 활성화 또는 비활성화해야 합니다. 프록시 프로토콜: 켜기|끄기 옵션을 사용해야 합니다.

프록시 프로토콜을 활성화한 상태에서 L4 로드밸런서 뒤에서 프록시를 실행하는 사용자는 를 활성화한 상태에서 L4 로드밸런서 뒤에서 프록시를 실행하는 사용자는 proxy_protocol: on을 설정해야 합니다. 텔레포트를 뒤에서 실행하지 않는 사용자 프록시 프로토콜이 활성화된 로드밸런서 뒤에서 텔레포트를 실행하지 않는 사용자는 보안상의 이유로 proxy_protocol: off를 를 명시적으로 비활성화해야 합니다.

기본적으로 Teleport는 프록시 회선을 허용하지만 IP 고정이 활성화된 상태에서는 연결을 차단합니다. IP 고정 사용자는 위에서 설명한 대로 명시적으로 프록시 프로토콜을 명시적으로 활성화/비활성화해야 합니다.

자세한 내용은 문서에서 확인하세요.

레거시 deb/rpm 패키지 리포지토리는 더 이상 사용되지 않습니다.

텔레포트 14는 레거시 패키지 저장소에 게시되는 마지막 릴리스입니다. 저장소에 게시되는 마지막 릴리스입니다. 텔레포트 15부터 패키지는 apt.teleport.dev에 있는 새로운 저장소에만 패키지가 게시됩니다.

모든 사용자는 apt.releases.teleport.dev 및 설치에 설명된 대로 yum.releases.teleport.dev 리포지토리로 전환할 것을 권장합니다. 지침.

`Cf-Access-Token` 헤더가 더 이상 앱 액세스 요청에 포함되지 않습니다.

텔레포트 14 버전부터 서명된 JWT 토큰이 포함된 Cf-Access-Token 헤더가 더 이상 모든 앱 액세스 요청에 기본적으로 포함되지 않습니다. 모든 요청에는 여전히 JWT 토큰이 포함된 Teleport-JWT-Assertion이 포함됩니다. 토큰을 포함합니다.

헤더에 JWT 토큰을 삽입하는 방법에 대한 자세한 내용은 문서를 참조하세요. 헤더 재작성]을 사용하여 헤더에 JWT 토큰을 삽입하는 방법에 대한 자세한 내용은 문서를 참조하세요.

tsh db CLI 명령 변경

텔레포트 14에서 tsh db 하위 명령은 기본값을 선택하려고 시도합니다. 사용자가 제공하지 않은 경우 --db-user 또는 --db-name 플래그의 기본값을 선택하려고 시도합니다. 허용된 db_users 및 db_names를 검사하여 기본값을 선택합니다.

tsh 프록시 db 명령에 대한 --cert-file 및 --key-file 플래그도 제거되었습니다. 인증된 로컬 데이터베이스 프록시를 여는 --tunnel 플래그 대신 데이터베이스 프록시를 여는 -- 터널 플래그가 제거되었습니다.

3.6 이전 MongoDB 버전은 더 이상 지원되지 않습니다.

Teleport 14에는 MongoDB 드라이버에 대한 업데이트가 포함되어 있습니다.

MongoDB 팀이 3.6 버전 이전 서버에 대한 지원을 중단함에 따라( 2021년 4월 30일에 EOL에 도달함), Teleport는 더 이상 이러한 이전 서버 버전도 더 이상 지원하지 않습니다.

`~/.tsh/environment`에 대한 심볼릭 링크가 더 이상 지원되지 않습니다.

텔레포트 14의 보안을 강화하기 위해, 홈에서 파일을 불러오는 경우 경로에 심볼릭 링크가 포함된 디렉터리에서 파일 로딩이 더 이상 허용되지 않습니다. 가장 가장 일반적으로 사용되는 사용 사례는 ~/.tsh/environment 파일에서 환경 변수를 불러오는 경우입니다. 경로에 심볼릭 링크가 포함되지 않는 한 이 방법은 여전히 정상적으로 작동합니다. 경로에 심볼릭 링크가 포함되지 않는 한 정상적으로 작동합니다.

더 이상 사용되지 않는 감사 이벤트

텔레포트 14에서는 trusted_cluster_token.create 감사 이벤트가 더 이상 사용되지 않습니다. 새로운 join_token.create 이벤트로 대체합니다. 새 이벤트는 조인 토큰이 생성될 때 발생하며 토큰이 생성될 때 새 이벤트가 발생하며, 이는 신뢰할 수 있는 클러스터 또는 기타 텔레포트 서비스에 대한 것입니다.

텔레포트 14에서는 신뢰할 수 있는 클러스터 조인 토큰이 생성될 때 두 이벤트를 모두 발생시킵니다. 텔레포트 15부터는 trusted_cluster_token.create 이벤트가 더 이상 발생하지 않습니다.

기타 변경 사항

DynamoDB 청구 모드의 기본값이 온디맨드입니다.

Teleport 14에서 새 DynamoDB 테이블을 생성할 때 이제 Teleport는 빌링 모드가 빌링 모드가 프로비저닝으로 설정되는 대신 '요청당 지불'로 설정됩니다. 모드로 설정된 상태로 생성됩니다.

이전 동작은 스토리지 구성에서 billing_mode 옵션을 설정하여 복원할 수 있습니다. 스토리지 구성에서 설정하면 이전 동작을 복원할 수 있습니다.

기본 역할 버전은 v7입니다.

텔레포트 14의 기본 역할 버전은 v7이며, 확장된 리소스별 쿠버네티스 RBAC를 지원할 수 있는 확장된 쿠버네티스 리소스별 RBAC을 지원할 수 있으며, kubernetes_resources 기본값을 와일드카드로 변경하여 사용자 경험을 개선한다.

역할 버전은 문서에서 확인할 수 있습니다.

자동 검색된 데이터베이스에 대한 더 엄격한 이름 유효성 검사

Teleport 14에서 db_service 구성을 통한 데이터베이스 검색은 생성된 데이터베이스와 동일한 이름 을 통해 생성된 데이터베이스와 동일한 이름 유효성 검사를 적용하며, 정적 구성 및 디스커버리 서비스`.

따라서 AWS, GCP 및 Azure의 데이터베이스 이름은 반드시 문자로 시작해야 하며 문자, 숫자 및 하이픈으로만 구성되어야 하며 문자 또는 숫자로 끝나야 합니다( 하이픈 없음).

액세스 요청 API 변경 사항

Teleport 14에는 액세스 요청을 제출하기 위한 새롭고 더욱 안전한 API가 도입되었습니다. 따라서 tsh 사용자는 액세스 요청을 제출하기 전에 클라이언트를 업그레이드하라는 메시지가 표시될 수 있습니다. 클라이언트를 업그레이드하라는 메시지가 표시될 수 있습니다.

데스크톱 검색 이름 변경

LDAP를 통해 검색된 데스크톱의 이름에 짧은 접미사가 추가되어 고유성을 보장합니다. 짧은 접미사가 추가됩니다. 사용자는 업그레이드 후 최대 1시간 동안 데스크톱이 중복( 접미사가 있든 없든 간에 업그레이드 후 최대 1시간 동안 중복 데스크톱이 표시됩니다. 데스크톱에 대한 연결은 영향을 받지 않으며 영향을 받지 않으며, 이전 기록은 1시간 후에 자연스럽게 만료됩니다.

머신 ID: 새 구성 스키마

Teleport 14는 Machine ID의 에이전트에 대한 새로운 구성 스키마(v2)를 도입합니다. tbot`. 새로운 스키마는 더 간단하고, 더 명시적이며, 더 확장 가능하도록 설계되었습니다:

버전: v2
온보딩:
 토큰: gcp-bot
 join_method: gcp
storage:
 유형: 메모리
auth_server: example.teleport.sh:443
출력
 - 유형: ID
   대상
     유형: 쿠버네티스_시크릿
     이름: 내-시크릿

 - 유형: 쿠버네티스
   쿠버네티스_클러스터: 내-클러스터
   대상
     유형: 디렉토리
     경로: ./k8s

 - 유형: 데이터베이스
   서비스: my-postgres-service
   데이터베이스: postgres
   사용자 이름: postgres
   대상
     유형: 디렉터리
     경로: ./db

 - 유형: 애플리케이션
   앱_이름: 내 앱
   대상
     유형: 디렉토리
     경로: ./app

tbot`은 여러 텔레포트 버전에 대해 v1 스키마를 계속 지원하지만 새로운 기능을 활용하려면 가능한 한 빨리 v2로 마이그레이션하는 것이 좋습니다. 머신 ID 기능을 활용하려면 최대한 빨리 마이그레이션하는 것이 좋습니다.

v2로 업그레이드하는 방법에 대한 자세한 내용과 안내는 문서를 참조하세요.

13.0.1 (05/xx/23)

헬름 차트
- 초대 토큰이 수동으로 생성될 때 잘못 재정의되는 문제를 수정했습니다. #26055

속보 변경 사항

다음과 같은 잠재적으로 혼란을 야기할 수 있는 변경 사항을 숙지하시기 바랍니다. 업그레이드 전 텔레포트 13.

텔레포트 쿠버네티스 에이전트 헬름 차트

텔레포트 13으로 업그레이드할 때, 텔레포트 쿠버네티스 에이전트 헬름 차트( 를 사용하여 텔레포트 토큰 시크릿을 수동으로 생성하는 사용자(secretName=<secretName>, 인증 토큰이 제공되지 않음)는 사용자는 다음 값을 설정해야 한다:

# 조인 토큰 시크릿 생성 및 이름을 관리합니다.
joinTokenSecret:
  # create는 헬름 차트에서 조인 토큰을 생성하고 관리할지 여부를 제어한다.
  # 비밀.
  거짓이면, 차트는 구성된 이름의 시크릿이 이미 설치 네임스페이스에 # 존재한다고 가정한다.
  # 설치 네임스페이스에 이미 존재한다고 가정한다.
  create: false
  텔레포트 조인 토큰을 저장할 # 시크릿의 이름.
  name: <시크릿이름>

헬름 차트 매개변수 secretName은 텔레포트 13에서 더 이상 사용되지 않으며 대신 joinTokenSecret.name으로 대체되었다. joinTokenSecret.create는 헬름 차트에서 조인 토큰 시크릿을 생성하고 관리할지 여부를 나타낸다. create가 거짓으로 설정하면, 차트는 구성된 이름의 시크릿이 이미 설치 네임스페이스에 있다고 가정한다. 설치 네임스페이스에 이미 존재한다고 가정한다.

13.0.0 (05/08/23)

텔레포트 13은 다음과 같은 주요 기능 및 개선 사항을 제공합니다:

(프리뷰) 자동 에이전트 업그레이드.
(미리 보기) 서버, Kubernetes 및 애플리케이션 액세스를 위한 ALB를 통한 TLS 라우팅.
(프리뷰, 엔터프라이즈 전용) Okta에서 애플리케이션 및 그룹을 애플리케이션 액세스로 가져오는 기능.
(프리뷰) 데이터베이스 액세스를 위한 AWS OpenSearch 지원.
(프리뷰) Teleport에서 기본적으로 OpenSSH 노드에 대한 액세스 보기 및 제어.
Teleport Connect에 대한 클러스터 간 검색.
Kubernetes Access 성능 개선.
macOS용 범용 바이너리(Apple Silicon 포함).
Access 관리 UI에서 간소화된 RDS 온보딩 흐름.
웹 UI용 라이트 테마.

(미리 보기) 자동 에이전트 업그레이드

텔레포트 13에서 사용자는 apt/yum을 통해 배포된 텔레포트 에이전트가 자동으로 업그레이드되도록 구성할 수 있습니다. 리포지토리 또는 헬름 차트를 통해 배포된 텔레포트 에이전트를 자동으로 업그레이드하도록 설정할 수 있다.

(프리뷰) 서버, Kubernetes 및 애플리케이션 액세스를 위한 ALB를 통한 TLS 라우팅

텔레포트 13은 서버, 쿠버네티스, 그리고 배포된 클러스터에 대해 단일 포트 TLS 라우팅 모드 지원을 추가한다. 애플리케이션 레이어 로드 밸런서 뒤에 배포된 클러스터를 위한 애플리케이션 액세스 뒤에 배포된 클러스터를 위한 단일 포트 TLS 라우팅 모드 지원이 추가되었습니다.

(프리뷰, 엔터프라이즈 전용) 애플리케이션 및 그룹을 Okta에서 애플리케이션 액세스로 가져오는 기능.

Teleport 13에서 사용자는 Okta에서 앱 및 그룹을 가져와서 Teleport를 사용할 수 있습니다. 액세스 요청을 사용하여 단기간 액세스를 요청할 수 있습니다. 이 기능은 Teleport Enterprise 에디션에서만 사용할 수 있습니다.

(프리뷰) 데이터베이스 액세스를 위한 AWS OpenSearch 지원

이제 데이터베이스 액세스 사용자가 AWS OpenSearch 데이터베이스에 연결할 수 있습니다.

(프리뷰) 텔레포트에서 기본적으로 OpenSSH 노드에 대한 액세스 보기 및 제어

Teleport 13에서 사용자는 OpenSSH 노드를 리소스로서 클러스터에 리소스로 등록할 수 있습니다.

이렇게 하면 사용자는 웹 UI에서 tsh ls를 사용하여 OpenSSH 노드를 볼 수 있고 를 사용하여 노드에 대한 액세스를 제어할 수 있습니다.

업데이트된 OpenSSH 통합 가이드를 참조하세요.

텔레포트 커넥트를 위한 클러스터 간 교차 검색

이제 Teleport Connect에 새로운 검색 환경이 추가되어 모든 클러스터에서 리소스를 검색하고 리소스를 검색하고 연결할 수 있습니다.

쿠버네티스 액세스 성능 개선

텔레포트 13에서는 텔레포트 프록시가 쿠버네티스 액세스를 처리하는 방식이 개선되었습니다. 자격 증명을 처리하는 방식을 개선했다.

사용자는 Kubernetes와 상호 작용할 때 더 나은 성능을 경험할 수 있다. 클러스터와 상호 작용할 때 더 나은 성능을 경험할 수 있습니다.

macOS용 유니버설 바이너리(애플 실리콘 포함).

텔레포트 13 바이너리(텔레포트 커넥트 포함)는 유니버설 아키텍처를 가지며 아키텍처를 가지며 인텔과 ARM macOS 시스템 모두에서 기본적으로 실행된다.

Access 관리 UI의 간소화된 RDS 온보딩 흐름

Teleport 13 Access Management UI를 사용하여 RDS 데이터베이스를 연결할 때 사용자는 다음과 같이 할 수 있습니다. AWS 계정을 연결하고 추가할 RDS 데이터베이스를 선택할 수 있습니다. 세부 정보를 수동으로 입력하지 않아도 됩니다.

새 플로우를 사용해 보려면 클러스터의 웹 UI 대시보드에서 리소스 관리 UI( 를 사용하여 RDS 데이터베이스를 추가하세요.

웹 UI용 라이트 테마

Teleport의 웹 UI에는 선택적 조명 테마가 포함되어 있습니다.

밝은 테마는 기본적으로 활성화되어 있지만 오른쪽 상단 사용자 설정 메뉴를 통해 어두운 테마로 다시 변경할 수 있습니다. 를 통해 어두운 테마로 다시 변경할 수 있습니다.

데스크톱 액세스 녹화 내보내기

이제 Windows 데스크톱 세션의 세션 녹화본을 비디오 형식으로 내보내 오프라인에서 재생할 수 있습니다.

조정된 세션의 SFTP

텔레포트 13에는 조정된 세션에서 파일을 전송할 수 있는 기능이 추가되었습니다. 이 기능을 사용하려면 세션 시작자와 진행자가 모두 웹 UI를 통해 가 웹 UI를 통해 세션에 참여해야 합니다.

주요 변경 사항

업그레이드하기 전에 다음과 같은 잠재적으로 혼란을 야기할 수 있는 변경사항을 숙지하시기 바랍니다. 을 숙지한 후 업그레이드하세요.

기본 세션 참여 모드

Teleport 13은 SSH 및 Kubernetes 세션에 참여할 때 기본적으로 옵저버(읽기 전용) 모드로 설정됩니다. 세션에 참여할 때 기본적으로 옵저버(읽기) 모드를 사용합니다. 이전 버전의 Teleport는 기본적으로 SSH 세션의 경우 피어 모드로 설정되고 그리고 Kubernetes 세션의 경우 중재자 모드였습니다. 기본 조인 모드를 재정의하려면, tsh join와 함께 --mode 플래그를 지정합니다.

CA 로테이션 사용 중단

Teleport 13에서는 다음을 사용하여 모든 인증 기관을 순환하는 지원이 제거됩니다. tctl auth rotate --type=all. 이제 type` 플래그가 필요하며, 이는 한 번에 하나의 CA만 한 번에 하나의 CA만 회전하도록 하여, 회전하는 동안 클러스터 안정성을 높입니다. 회전합니다.

토큰 API 변경 사항

기본 30분 만료는 더 이상 YAML을 통해 생성된 토큰에 적용되지 않습니다. 리소스 파일을 통해 생성된 토큰에는 더 이상 적용되지 않습니다. 만료를 강제 적용하려면 토큰의 메타데이터.만료 필드에 설정해야 합니다. tctl 노드 추가 및 tctl 토큰 추가를 사용하여 생성한 토큰의 경우 를 사용하여 생성된 토큰은 기본 만료 기간인 30일이 계속 적용됩니다.

또한, 텔레포트의 API 모듈 사용자는 'CreateToken' 및 UpsertToken RPC는 이제 더 이상 사용되지 않고 CreateTokenV2 및 UpsertTokenV2로 대체되었습니다. 새로운 V2 변형에는 더 이상 기본 만료가 없으므로, 원하는 경우 토큰을 만료하려면 TTL을 설정해야 합니다.

기존 RPC는 텔레포트 13에서 계속 지원되며, 텔레포트 14에서는 완전히 제거됩니다. 텔레포트 14에서는 완전히 제거됩니다.

향상된 사용자 인증

텔레포트 13에서는 존재하지 않는 역할을 참조하는 사용자 생성 또는 업데이트가 거부됩니다. 역할. 일부 상황에서는 이전 버전의 텔레포트에서 다음과 같이 할 수 있습니다. 사용자를 만들고 유효하지 않은 역할을 할당할 수 있었습니다. Teleport 13에서는 이 오류가 발생했습니다.

Quay.io 레지스트리

Quay.io 레지스트리는 텔레포트 11과 텔레포트 13부터 더 이상 사용되지 않습니다, 텔레포트 컨테이너 이미지는 더 이상 이 레지스트리에 게시되지 않습니다.

사용자는 공용 ECR 레지스트리를 사용해야 합니다.

헬름 차트는 기본적으로 '배포되지 않은' 기반 컨테이너 이미지를 사용합니다.

텔레포트 13부터 헬름 차트 '텔레포트-클러스터'와 '텔레포트-큐브-에이전트' 는 기본적으로 배포되지 않는 텔레포트 이미지를 배포한다. 이러한 이미지는 더 얇고 더 슬림하고 안전하지만 더 적은 도구를 포함한다(예: bash나 apt를 사용할 수 없습니다.)

데비안 기반 이미지는 더 이상 사용되지 않으며 Teleport 14에서 제거될 예정입니다. 차트 이미지는 설정을 통해 데비안 기반 이미지로 되돌릴 수 있습니다:

image: "public.ecr.aws/gravitational/teleport"

디버깅을 위해 "디버그" 이미지를 사용할 수 있으며, 여기에는 셸과 일반적인 POSIX 실행 파일이 포함된 BusyBox가 포함되어 있습니다, 셸과 대부분의 일반적인 POSIX 실행 파일을 포함합니다: public.ecr.aws/gravitational/teleport-distroless-debug.

12.3.0 (05/01/23)

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

데스크톱 액세스
- Windows 사용자 자동 생성을 위한 지원이 추가되었습니다. #25348
CLI
- 비-SSH 프로토콜에 대한 tsh의 MFA 권한 거부 오류 수정. #25430
테라폼
- HA 테라폼에서 AccessControlListNotSupported 오류 수정. #25335
장치 신뢰
- 장치 신뢰 감사 이벤트가 설명형 유형을 갖도록 업데이트. #25320

12.2.5 (04/28/23)

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

인증
- 사용자가 30개 이상의 팀에 소속되어 있는 경우 Github SSO가 실패하는 문제를 수정했습니다. #25098
- "필수" 하드웨어 키 정책이 있는 'tsh 로그인'에서 "정책이 충족되지 않음" 오류를 반환하는 문제를 수정했습니다. #24956
- 장치 신뢰 로깅 및 오류 보고가 개선되었습니다. #24912
- WebAuthn 사용 시 RPID 변경 감지 및 경고. #25289
액세스 관리
- 엔터프라이즈 클러스터용 macOS에서 설치 스크립트 실행 관련 문제 수정. #25076
서버 액세스
- 헤드리스 tsh ssh를 rsync -rsh에서 사용할 때 작동하지 않는 문제를 수정했습니다. #25242
- 헤드리스 tsh ssh가 사용자에게 MFA를 묻는 문제를 수정했습니다. #25187
- 세션별 MFA를 사용하여 공개 주소를 통해 tsh ssh에 연결하지 못하는 문제를 수정했습니다. #25223
- 일부 대상 경로에서 tsh scp가 실패하는 문제를 수정했습니다. #24861
- 헤드리스 tsh ssh에 명시적인 사용자 이름 필요. #25112
- 안정적인 순서를 보장하기 위해 자동 사용자 프로비저닝이 역할 이름별로 sudoers 줄을 정렬하도록 업데이트. #24792
- 환경 변수를 인식하도록 tsh 명령어를 업데이트. #24470
데이터베이스 액세스
- 별도의 MySQL 리스너를 인식하지 못하는 tsh db env 및 tsh db config 문제 수정. #24827
쿠버네티스 액세스
- 기본 컨텍스트 이름을 재정의할 수 있도록 tsh kube login에 --set-context 플래그를 추가했다. #25253
IdP
- SAML IdP가 제대로 비활성화되지 않는 문제를 수정했다. #25309
IP 고정
- 프록시 프로토콜 v2가 활성화된 로드 밸런서와의 상호 운용성 문제 수정. #25302
CLI
- 'tsh 로그인' 후 클러스터 알림이 가끔 표시되지 않는 문제를 수정했습니다. #25300
AMI
- 시작 스크립트가 AWS 메타데이터에서 잠금을 획득하지 못하는 문제를 수정했습니다. #25296
HSM
- YubiHSM2 SDK 버전 2023.1을 사용할 때 활성 HSM 키가 실수로 삭제되는 문제가 수정되었습니다. #25208
성능 및 확장성
- MFA 의식의 성능 개선. #24804

12.2.4 (04/18/23)

이번 텔레포트 릴리스에는 여러 개선 사항과 버그 수정이 포함되어 있습니다.

자동 검색
- 검색 서비스에 대한 검색 그룹을 지정하는 기능이 추가되었습니다. #24716
CLI
- 일부 Windows 시스템에서 tsh 성능 개선. #24573
- 텔레포트 구성` 오류/경고 보고가 개선되었습니다. #24676
- 텔레포트 버전명령에--raw` 플래그를 추가했습니다. #24772
구성
- 프록시가 역방향 터널을 통해 클러스터에 가입하려고 시도하지 못하도록 한다. #24668
서버 액세스
- SFTP를 통해 파일을 복사할 때 과도한 감사 로깅 문제가 수정되었습니다. #24831
- 와일드카드 패턴을 인식하지 못하는 tsh scp 문제 수정. #24831
- 최대 세션이 1로 설정된 경우 tsh scp가 실패하는 문제 수정. #24831
- 파일 복사가 비활성화되었을 때 tsh scp의 오류 보고가 개선되었습니다. #24831
쿠버네티스 액세스
- tctl auth sign이 kube_public_addr`을 존중하지 않는 문제를 수정했다. #24516
- 포트 포워딩을 사용할 때 메모리 누수를 수정했다. #24763
- 포트 포워딩 사용 시 로그 스팸을 줄였다. #24658
데이터베이스 액세스
- 더 많은 AWS 데이터베이스를 지원하도록 teleport db configure 업데이트. #24494
성능 및 확장성
- 대규모 클러스터에서 썬더링 허드 효과 감소. #24719
웹 UI
- 세션별 MFA가 활성화된 경우 리프 클러스터에서 파일을 다운로드하는 문제 수정. #24768

12.2.3 (04/13/23)

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

CLI
- tsh ssh에서 잠재적인 패닉을 수정했습니다. #24490
성능 및 확장성
- tsh ssh 지연 시간 개선. #24371
쿠버네티스 액세스
- 진행자가 액세스 권한이 없는 클러스터에서 세션에 참여하는 문제를 수정했습니다. #23993
보안
- SSO 사용자에 대한 IP 고정 지원 추가. #24541

12.2.2 (04/12/23)

이번 텔레포트 릴리스에는 여러 가지 개선사항과 버그 수정이 포함되어 있습니다.

서버 액세스
- EC2 설치 스크립트에 대한 MajorVersion 템플릿 변수가 복원되었습니다. #24434
- 메모리 잠금을 허용하기 위해 헤드리스 tsh 모드에 --mlock 플래그를 추가했습니다. #24410
- EC2 설치 스크립트가 오류시 자동으로 실패하는 문제를 수정했습니다. #24034
데이터베이스 액세스
- AWS 데이터베이스 엔진 이름이 인식되지 않을 때 로그 스팸이 감소했습니다. #24413
머신 ID
- 올바른 ID를 기록하여 갱신 후 메시지 개선. #24246
쿠버네티스 액세스
- 실행 명령에서 잘못된 상태가 반환되는 문제 수정. #24155
프록시 피어링
- 프록시 피어링으로 에이전트 재연결 속도가 개선되었다. #24141
헬름 차트
- 보안 컨텍스트와 노드 셀렉터`가 잡 훅으로 전파되지 않는 문제를 수정했다. #24134
- v12 업그레이드 후 proxyListenerMode가 비어있을 때 TLS 라우팅이 비활성화되는 문제를 수정했다. #24426

12.2.1 (04/04/23)

이번 텔레포트 릴리스에는 몇 가지 새로운 기능과 개선사항이 포함되어 있습니다.

서버 액세스
- 헤드리스 SSO를 tsh ls, tsh ssh, tsh scp에 대한 지원이 추가되었습니다. #23360
데이터베이스 액세스
- 오라클 데이터베이스에 대한 연결 지원 추가. #23892
중재 세션
- 웹 UI를 통해 조정된 세션에 참여할 때 발생하는 문제를 수정했습니다. #24018
헬름 차트
- 텔레포트 클러스터차트에이미지풀시크릿` 지원을 추가했다. #24017
보안
- 쿠버네티스 및 데이터베이스 액세스에 IP 고정 지원 추가. #23418
툴링
- 1.20.3으로 업그레이드. #24062

12.1.5 (03/30/23)

이번 텔레포트 릴리스에는 2가지 보안 수정과 여러 가지 개선 및 버그 수정이 포함되어 있습니다.

[높음] SSH 터널링에서 OS 인증 우회

SSH 포트 포워딩 연결을 설정할 때 텔레포트가 지정된 OS 주체의 유효성을 충분히 확인하지 않았습니다.

이로 인해 유효한 클러스터 자격 증명을 가진 공격자가 다음을 수행할 수 있습니다. 존재하지 않는 Linux 사용자를 사용하여 노드에 대한 TCP 터널을 설정할 수 있습니다.

연결 시도는 감사 로그에 "포트" 감사 이벤트로 표시됩니다. (코드 T3003I)로 나타나며 '사용자' 필드에 텔레포트 사용자 이름이 포함됩니다.

[높음] 쿠버네티스 액세스의 텔레포트 인증 우회

쿠버네티스 액세스 요청을 승인할 때, 텔레포트가 대상 쿠버네티스를 적절하게 검증하지 않았다. 대상 쿠버네티스 클러스터의 유효성을 검사하지 않았습니다.

이로 인해 공격자가 유효한 쿠버네티스 에이전트 자격 증명 또는 조인 토큰을 가지고 있는 경우 또는 조인 토큰을 가지고 있는 공격자가 텔레포트를 속여 다른 쿠버네티스 클러스터로 요청을 전달하도록 다른 쿠버네티스 클러스터로 요청을 전달하도록 속일 수 있습니다.

모든 쿠버네티스 요청은 감사 로그에 "kube.request" 감사 이벤트(코드 T3009I)로 나타나며 Kubernetes 클러스터 메타데이터를 포함합니다.

기타 개선 및 수정

AMI
- AMI에서 TLS 라우팅 모드 구성에 대한 지원이 추가되었다. #23678
애플리케이션 액세스
- ALB 뒤에서 애플리케이션 액세스에 대한 지원 추가. #23054
- 경우에 따라 앱 액세스 요청이 리프의 공개 주소로 리디렉션되는 문제 수정. #23220
- 로그 노이즈 감소. #23365
- AWS tsh 프록시에서 명령을 지정하는 기능 추가. #23835
부트스트랩
- 프로비저닝 토큰 지원 추가. #23474
CLI
- 리소스 명령어에 tctl에 app_server 지원 추가. #23136
- tctl` 명령 출력에 연도 표시. #23371
- Windows에서 tsh가 webauthn.dll 누락에 대한 오류를 보고하는 문제를 수정했습니다. #23161
- 내부 로그인을 표시하지 않도록 tsh status를 업데이트했습니다. #23411
- tsh kube sessions명령에--cluster` 플래그를 추가. #23825
- 데이터베이스 리소스 생성 시 잘못된 TLS 모드 문제를 수정했다. #23808
데이터베이스 액세스
- 데이터베이스 액세스에서 진행 중인 PostgreSQL 요청 취소에 대한 지원이 추가되었습니다. #23467
- 쿼리 감사 이벤트의 상태가 항상 '성공: 거짓'인 문제를 수정했습니다. #23274
데스크톱 액세스
- 설치 스크립트가 무력화되도록 업데이트되었습니다. #23176
헬름 차트
- 사전 배포 작업에 대한 리소스 제한 및 요청을 설정하는 기능 추가. #23126
인프라
- 분산 텔레포트 컨테이너 이미지 도입. #22814
쿠버네티스 액세스
- 원격 클러스터에서 tsh kube 자격 증명이 실패하는 문제 수정. #23354
- 잘못된 프로파일을 로드하는 tsh kube credentials 문제를 수정했다. #23716
머신 ID
- CLI 파라미터를 사용하여 메모리 백엔드를 지정하는 기능이 추가되었다. #23495
- Azure 위임 조인에 대한 지원 추가. #23391
- 깃랩 위임 조인에 대한 지원이 추가되었다. #23191
- 신뢰할 수 있는 클러스터에 대한 지원 추가. #23390
- FIPS 지원 추가. #23850
프록시 피어링
- 로드 밸런서 뒤에서 실행할 때 프록시 피어링 문제 수정. #23506
리버스 터널
- 프록시 프로토콜이 활성화된 터널 포트를 통해 리프 클러스터에 가입할 때 발생하는 문제를 수정했습니다. #23487
- 역방향 터널 포트를 통한 에이전트 가입 관련 문제를 수정했다. #23332
성능 및 확장성
- 대규모 클러스터에서 tsh ls -R 성능 개선. #23596
- 세션 환경 변수를 설정할 때 성능이 개선되었다. #23834
서버 액세스
- 성공적인 SFTP 전송이 0이 아닌 코드를 반환하는 문제를 수정했습니다. #23729
SSO
- 사용자 지정 URL에서 Github Enterprise SSO가 작동하지 않는 문제를 수정했습니다. #23568
텔레포트 연결
- 구성 사용자 지정에 대한 지원이 추가되었습니다. #23197
- Windows Server 2019에서 응답하지 않는 터미널을 수정했습니다. #22996
툴링
- 전자를 22.3.2로 업데이트했습니다. #23048
- Go를 1.20.2로 업데이트했습니다. #22997
- Rust를 1.68.0으로 업데이트했습니다. #23101
웹 UI
- 파일 복사 시 MFA 지원 추가. #23195
- 파일 다운로드 시 "모호한 노드" 오류 수정. #23152
- 로그인 후 웹 UI에서 간헐적으로 발생하는 "클라이언트 연결이 닫히는 중" 오류를 수정했습니다. #23733

12.1.1

이번 텔레포트 릴리스에는 여러 가지 개선사항과 버그 수정이 포함되어 있습니다.

액세스 관리의 연결 테스터가 세션별 MFA에서 작동하지 않는 문제가 수정되었습니다. #22918, #22943
조정된 세션을 사용할 때 쿠버네티스 액세스 패닉을 수정했다. #22930
TLS 라우팅 모드에서 잘못된 포트를 보고하는 tsh db config를 수정했다. #22889
자동 사용자 프로비저닝이 활성화되지 않은 상태에서도 텔레포트가 항상 OS 그룹 검사를 수행하는 문제를 수정했습니다. #22805
많은 파일 설명자를 사용하는 시스템에서 데스크톱 액세스가 충돌하는 문제를 수정했습니다. #22798
예기치 않은 리소스에서 teleport start --bootstrap 명령이 실패하는 문제를 수정했습니다. #22721
새 버전을 설치하기 전에 설치 스크립트가 리포지토리 메타데이터를 새로 고치지 않는 문제를 수정했습니다. #22585
'tctl auth export'를 통해 데이터베이스 CA를 DER 형식으로 내보내는 기능이 추가되었습니다. #22896
프록시 멀티플렉서에서 로그 스팸 감소. #22802
엔터프라이즈 클러스터에 엔터프라이즈 바이너리를 사용하도록 EC2 자동 검색 설치 스크립트 업데이트. #22769
Go를 v1.19.7로 업그레이드. #22725
유휴 연결 처리 개선. #22908, #22893
시작 시 쿠버네티스 서비스 레이블 유효성 검사 개선. #22777
프록시를 사용할 수 없을 때 tsh login 오류 보고가 개선되었다. #22763

12.1.0

이번 텔레포트 릴리스에는 여러 가지 개선사항과 버그 수정이 포함되어 있습니다.

텔레포트가 SAML IdP로 작동하는 기능이 추가되었습니다(Enterprise 에디션만 해당).
메모리 누수 문제를 해결하기 위해 Go를 v1.19.6으로 다운그레이드했습니다. #22691
'-p' 플래그 없이 복사된 파일 권한을 재정의하는 tsh scp 관련 문제를 수정했습니다. #22609
원격 클러스터 가져오기 성능이 개선되었습니다. #22575

12.0.5

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

경우에 따라 tsh가 HTTPS_PROXY를 준수하지 않는 문제를 수정했습니다. #22492
헬름 차트 스크래치 모드에서 구성 유효성 검사 관련 문제를 수정했다. #22423
Azure VM에 대한 IAM 조인 지원이 추가되었다. #22204
애저 VM에 대한 자동 검색 지원이 추가되었다. #22521
IAM 조인을 위한 ap-southeast-4 AWS 리전에 대한 지원 추가. #22486
프록시 구성에서 웹 터미널 스크롤백 길이를 지정하는 기능이 추가되었습니다. #22422
PuTTY의 winadj 채널 요청에 대한 지원이 추가되었습니다. #22420
런타임 트레이스 프로파일을 생성할 수 있는 --trace-profile 플래그를 tsh에 추가했습니다. #22406
ARM64 아키텍처에 대한 향상된 세션 녹화 지원을 추가했습니다. #22550
모든 심각도에 대한 경고를 승인할 수 있도록 tctl alert ack 업데이트. #22582
해당 로그인만 표시하도록 Windows 데스크톱 액세스를 업데이트했습니다. #22333
쿠벡틀`을 사용할 때 쿠버네티스 접근 성능이 개선되었다. #22508
대규모 클러스터에 연결할 때 텔레포트 커넥트 성능이 개선되었다. #22316
대규모 클러스터에서 성능 및 확장성이 개선되었다. #21495

12.0.4

이번 텔레포트 릴리스에는 여러 보안 수정, 개선 및 버그 수정이 포함되어 있습니다.

보안 수정

악성 SQL Server 패킷이 프록시 충돌을 일으킬 수 있는 문제를 수정했습니다. #21638
진행자가 퇴장할 때 세션이 즉시 일시 중지되지 않고 잠시 지연된 후 종료되는 문제를 수정했습니다. #21974

기타 개선 및 버그 수정

세션 종료 후 고아가 되는 자식 프로세스 문제를 수정했습니다. #22222
활성 액세스 요청이 있는 파드를 볼 수 없는 문제를 수정했습니다. #22196
원격 클러스터 상태가 항상 올바르게 업데이트되지 않는 문제를 수정했다. #22088
데이터베이스 서비스에서 하트비트 오류가 수정되었다. #22087
애플리케이션 서비스 재시작 중 애플리케이션이 일시적으로 사라지는 문제를 수정했습니다. #21807
인증 서비스와 프록시 서비스 구성 간에 일부 헬름 값이 실수로 공유되는 문제를 수정했다. #21768
액세스 관리 인터페이스의 데스크톱 액세스 흐름 관련 문제를 수정했다. #21756
Windows의 텔레포트 연결에서 "액세스 거부" 오류가 수정되었습니다. #21720
세션별 MFA가 활성화된 경우 무작위 탭이 필요한 데이터베이스 GUI 클라이언트 연결 문제가 수정되었습니다. #21661
리프 클러스터에서 조정된 세션이 작동하지 않는 문제를 수정했습니다. #21612
쿠버네티스 로그인 지침 UI에서 --request-id 플래그가 누락되는 문제를 수정했다. #21445
전체 IAM 역할 ARN을 사용할 때 AWS 리소스에 연결하는 문제를 수정했다. #21251
명시적으로 '인증 유형'을 설정하지 않으면 local_auth: false 설정이 무시되는 문제를 수정했습니다. #22215
장치 신뢰에 대한 tctl 리소스 명령을 추가했습니다. #22157
tsh proxy aws에서 역할 가정에 대한 지원을 추가했다. #21990
보안 키 탭 성공에 대한 초기 피드백을 tsh에 추가. #21780
장치 잠금 지원 추가. #21751
텔레포트-큐브-에이전트` 헬름 차트에 보안 컨텍스트 지원을 추가했다. #21535
클라이언트 버전을 --client 플래그를 통해서만 표시하도록 tsh version 명령어를 업데이트했다. #22167
엔터프라이즈 클러스터에 엔터프라이즈 패키지를 사용하도록 설치 스크립트를 업데이트했다. #22109
deb/rpm 리포지토리를 사용하도록 설치 스크립트 업데이트. #22108
보안 컨텍스트를 사용하도록 헬름 차트에서 프록시 초기화 컨테이너를 업데이트했다. #22064
디버그 로그와 함께 타임스탬프를 포함하도록 tsh를 업데이트했다. #21996
사용자의 인증서 TTL과 일치하는 TTL로 자격 증명을 가져오도록 AWS 액세스를 업데이트했습니다. #21994
Go 툴체인을 1.20.1로 업데이트. #21931
클러스터 이름이 필요하지 않도록 tsh kube login --all을 업데이트했다. #21765
더 많은 유스케이스를 지원하도록 teleport db configure create 명령이 업데이트되었다. #21690
etcd 백엔드가 있는 대규모 클러스터에서 성능이 개선되었다. #21905, #21496

12.0.2

이번 텔레포트 릴리스에는 보안 수정과 여러 가지 개선 및 버그 수정이 포함되어 있습니다.

OpenSSL 업데이트

OpenSSL을 1.1.1t로 업데이트했습니다. #21425

기타 수정 및 개선

유효한 포트 번호를 허용하지 않는 액세스 관리자 인터페이스 문제를 수정했습니다. #21651
프록시 재시작 후 일부 애플리케이션 액세스 요청이 실패하는 문제를 수정했습니다. #21615
잘못된 역할 템플릿 네임스페이스가 클러스터 잠금을 유발하는 문제를 수정했습니다. #21573
텔레포트 커넥트에서 가끔 로그인한 사용자를 인식하지 못하는 문제를 수정했습니다. #21467
웹 UI 탐색에서 뒤로 버튼이 작동하지 않는 문제를 수정했습니다. #21236
웹 UI SSH 플레이어에 스크롤 막대가 있는 문제를 수정했습니다. #20868
tsh 요청 검색 --종류=팟 명령에 대한 지원이 추가되었습니다. #21456
동적 리소스 매칭을 위해 플래그가 필요하도록 tsh db configure create를 업데이트했습니다. #21395
데이터베이스 서비스 재시작 후 재연결 안정성이 개선되었다. #21635
쿠버네티스 서비스 재시작 후 재연결 안정성 개선.#21617
tsh ls -R 성능이 개선되었다. #21577
원격 경로가 지정되지 않은 경우 tsh scp 오류 메시지가 개선되었다. #21373
리소스 이름 변경 시도 시 오류 메시지가 개선되었습니다. #21179
향상된 세션 녹화 사용 시 CPU 사용량 감소. #21437

12.0.1

텔레포트 12는 다음과 같은 주요 기능 및 개선 사항을 제공합니다:

장치 신뢰(프리뷰, 엔터프라이즈만 해당)
로컬 사용자를 위한 비밀번호 없는 Windows 액세스(프리뷰, Enterprise만 해당)
Kubernetes 액세스를 위한 포드별 RBAC(프리뷰)
애플리케이션 액세스를 위한 Azure 및 GCP CLI 지원(프리뷰)
데이터베이스 액세스에서 더 많은 데이터베이스 지원:
- AWS DynamoDB
- AWS Redshift 서버리스
- PostgreSQL/MySQL용 AWS RDS 프록시
- Azure SQLServer 자동 검색
- Azure 플렉서블 서버
리팩터링된 헬름 차트(미리 보기)
Server Access에서 SHA1에 대한 지원 중단
서명/공증된 macOS 바이너리

디바이스 신뢰(프리뷰, 엔터프라이즈만 해당)

Teleport 12에는 곧 출시될 기기 신뢰 기능의 미리 보기가 포함되어 있습니다. 관리자는 텔레포트 액세스가 인증되고 신뢰할 수 있는 기기에서 텔레포트 액세스를 수행하도록 요구할 수 있습니다.

이 미리 보기 릴리스에는 macOS와 tsh 또는 Teleport와 같은 기본 클라이언트가 필요합니다. Connect와 같은 기본 클라이언트가 필요합니다. 이러한 클라이언트는 macOS의 보안 인클레이브를 활용하여 Teleport CA에서 발생하는 기기 문제를 해결합니다. 문제를 해결하여 신뢰할 수 있는 장치로서의 신원을 증명합니다. 장치임을 증명합니다.

웹 UI(데스크톱 액세스, 애플리케이션 액세스)가 필요한 텔레포트 기능은 현재 지원되지 않습니다.

로컬 사용자를 위한 암호 없는 Windows 액세스(프리뷰, 엔터프라이즈만 해당)

Teleport 12는 암호 없는 인증서 기반 인증을 Windows에 제공합니다. 데스크톱에 암호 없는 인증서 기반 인증을 제공합니다. 이 기능을 사용하려면 를 사용하려면 각 Windows 데스크톱에 Teleport 패키지를 설치해야 합니다.

쿠버네티스 액세스를 위한 포드별 RBAC(프리뷰)

텔레포트 12는 쿠버네티스 클러스터의 개별 파드에 대한 액세스 제어를 지원하도록 RBAC를 확장한다. 개별 파드에 대한 액세스 제어를 지원합니다. 파드 RBAC는 기존 텔레포트 RBAC 기능과 통합된다. 역할 템플릿 및 액세스 요청과 같은 기존 텔레포트 RBAC 기능과 통합된다.

애플리케이션 액세스를 위한 Azure 및 GCP CLI 지원(프리뷰)

텔레포트 12에서 관리자는 다음을 통해 Azure 및 GCP API와 상호 작용할 수 있다. tsh az및tsh gcloudCLI 명령을 사용하여 애플리케이션 서비스 또는 로컬 애플리케이션 프록시를 통해 표준az및gcloud` 도구를 사용할 수 있습니다.

데이터베이스 액세스에서 더 많은 데이터베이스 지원

Teleport 12의 데이터베이스 액세스는 AWS 호스팅 데이터베이스에 대한 새로운 통합 기능을 제공합니다. DynamoDB(이제 감사 로그 지원 포함), Redshift 서버리스 및 PostgreSQL/MySQL용 RDS 프록시.

Azure에서 데이터베이스 액세스는 SQLServer 자동 검색 및 Azure에 대한 지원을 추가합니다. PostgreSQL/MySQL용 Flexible Server를 지원합니다.

리팩터링된 헬름 차트(미리보기)

"텔레포트 클러스터" 헬름 차트는 텔레포트에서 상당한 리팩터링을 거쳤습니다. 12에서 상당한 리팩터링을 거쳐 더 나은 확장성과 UX를 제공한다. 이제 프록시와 인증이 분리되어 배포할 수 있으며, 새로운 "스크래치" 차트 모드를 통해 사용자 정의된 텔레포트 구성.

"사용자 지정" 모드 사용자는 마이그레이션 가이드를 따라야 한다.

서버 액세스에서 SHA1에 대한 지원 중단

텔레포트 12 클러스터에 연결하는 최신 OpenSSH 클라이언트는 더 이상 더 이상 사용되지 않는 "sha" 알고리즘을 포함하도록 "PubAcceptedKeyTypes" 해결 방법을 사용할 필요가 없습니다.

서명/공증된 macOS 바이너리

텔레포트 12 다윈 바이너리를 다운로드하는 사용자에게 더 이상 신뢰할 수 없는 소프트웨어 경고를 받지 않게 됩니다.

tctl 편집

tctl은 이제 편집 하위 명령을 지원하므로 선호하는 텍스트 편집기에서 직접 리소스를 직접 편집할 수 있습니다.

주요 변경 사항

다음과 같이 업무에 지장을 줄 수 있는 변경사항을 숙지하시기 바랍니다. 텔레포트 12를 업그레이드하기 전에 확인하세요.

헬름 차트

텔레포트 클러스터 헬름 차트는 텔레포트 12에서 크게 변경되었습니다. To "사용자 정의" 모드로 배포된 이전 버전의 헬름 차트에서 업그레이드하려면, 따라 마이그레이션 가이드를 참조한다.

또한, 쿠버네티스 1.23 이상에 설치할 때 PSP는 차트에서 제거된다. 이상에서는 쿠버네티스의 PSP 사용 중단/제거를 고려하여 차트에서 PSP가 제거된다.

tctl auth export

tctl auth export 명령은 개인 키를 내보낼 때만 --키 플래그를 전달할 때만 개인키를 내보낸다. 이전에는 인증서와 개인 키를 함께 를 함께 출력했습니다.

데스크톱 액세스

Windows 데스크톱 세션에서는 기본적으로 배경 무늬를 비활성화하여 성능을 개선합니다. 이전 동작으로 복원하려면 show_desktop_wallpaper: true를 추가하세요. 를 추가하세요.

11.3.2

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

애플리케이션 액세스 후 SSO 앱에 액세스할 때 발생하는 회귀 문제를 수정했습니다. #21049
'tsh scp'의 회귀 성능 문제를 수정했습니다. #20953
tsh 프록시 aws --endpoint-url이 작동하지 않는 문제 수정. #20880
대규모 데이터 세트에서 MongoDB 쿼리가 실패하는 문제를 수정했다. #21113
웹 UI에서 직접 노드 다이얼 관련 문제를 수정했습니다. #20928
새로운 CDN 위치에서 바이너리를 다운로드하도록 설치 스크립트 업데이트. #21057
하드웨어 지원 키를 사용할 때 플러그를 뽑은 장치를 감지하도록 tsh를 업데이트했습니다. #20949
명시적으로 --db-user가 필요하도록 Elasticsearch 액세스를 업데이트했습니다. (#20695) #20919
Rust를 1.67.0으로 업데이트. #20883

11.3.1

이번 텔레포트 릴리스에는 보안 수정과 여러 가지 개선 및 버그 수정이 포함되어 있습니다.

조정된 세션

조정된 세션이 Ctrl+C에서 연결 해제되지 않던 문제를 수정했습니다. #20588

기타 수정 및 개선 사항

엔터프라이즈 에디션에서 노드 설치 스크립트가 OSS 바이너리를 다운로드하는 문제를 수정했습니다. #20816
쿠버네티스 동적 자격 증명을 갱신할 때 여러 번 갱신하지 못하게 하는 회귀를 수정했습니다. #20788
Ctrl-C를 존중하지 않는 tctl auth sign 문제를 수정했다. #20773
가끔씩 tsh 로그인에서 발생하는 키 증명 오류를 수정했습니다. #20712
잘못된 클러스터 이름으로 액세스 요청을 생성할 수 있는 문제를 수정했습니다. #20674
RHEL 인스턴스에 대한 EC2 자동 검색 설치 스크립트 관련 문제가 수정되었다. #20604
윈도우에서 오라클 MySQL 클라이언트와의 연결 문제가 수정되었다. #20599
원격 인증 서버에 대해 tctl auth sign --format kubernetes를 사용하는 문제를 수정했다. #20571
애저 SQL 서버 액세스에서 패닉을 수정했다. #20483
웹 UI에서 모더레이티드 세션에 대한 지원 추가. #20796
SSO 사용자를 위한 로그인 규칙 지원이 추가되었습니다. #20743, #20738, #20737, #20629
알림을 승인하는 기능이 추가되었습니다. #20692
Windows 액세스에 client_idle_timeout_message 지원 추가. #20617
텔레포트-클러스터` 헬름 차트에 파드모니터 지원을 추가했다. #20564
텔레포트-큐브-에이전트` 헬름 차트에서 원시 구성 전달에 대한 지원을 추가했다. #20449
텔레포트-클러스터` 헬름 차트에 nodeSelector 필드를 추가했다. #20441
느린 클라이언트를 위한 쿠버네티스 접근 안정성이 개선되었다. #20517
프록시 인증서를 매일 다시 로드하도록 teleport-cluster 헬름 차트 업데이트. #20503

11.2.3

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있다.

'tsh 로그인'이 비밀번호 없이 기본값으로 설정되고 --auth 및 --mfa-mode 플래그를 무시하는 문제를 수정했습니다. #20474
tsh aws`를 통한 AWS 콘솔 액세스와 관련된 회귀 문제를 수정했습니다. #20437
비-TLS 라우팅 모드에서 MariaDB에 연결하는 문제를 수정했습니다. #20409
EC2 자동 검색에서 *:* 선택기를 수정했습니다. #20390
이벤트 검색 API에서 알 수 없는 이벤트의 처리가 개선되었습니다. #20329
역할 템플릿에서 다중 변환에 대한 지원 추가. #20296
클러스터를 다시 만들지 않고도 신뢰할 수 있는 클러스터의 역할 매핑을 업데이트하는 기능이 추가되었습니다. #20286
텔레포트-큐브-에이전트헬름 차트에dnsConfig` 지원을 추가했다. #20107

11.2.2

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있다.

세션별 MFA로 웹 UI를 통해 리프 클러스터 노드에 연결할 때 발생하는 문제를 수정했습니다. #20238
접근 거부 오류로 이어지는 max_kubernetes_connections 관련 문제를 수정했다. #20174
헬름 제거후kube-agent` 헬름 차트가 상태를 남기는 문제를 수정했다. #20169
RDS 데이터베이스 리소스 업데이트 후 X.509 문제를 수정했다. #20099
추가 헤더가 누락된 일부 tsh HTTP 요청 문제를 수정했다. #20071
자동 검색 구성 유효성 검사가 개선되었다. #20288
정상 종료 안정성이 개선되었다. #20225
애플리케이션 액세스 인증 흐름 개선. #20165
프록시가 주기적인 작업에 캐시를 사용하도록 하여 인증 부하 감소. #20153
Rust를 1.66.1로 업데이트. #20201
서명 및 공증을 위해 macOS 바이너리를 업데이트. #20305

11.2.1

이번 텔레포트 릴리스에는 여러 가지 개선사항과 버그 수정이 포함되어 있습니다.

프록시의 TLS 인증서를 주기적으로 다시 로드하는 지원 추가 #20040
사용자의 SID를 쿼리할 때 적절한 필드를 사용하여 데스크톱 인증서 생성 개선 #20022
적절한 역할이 없는 사용자에 대해 신뢰할 수 있는 클러스터 화면을 숨기도록 웹 UI 업데이트 #1494
"유효하지 않은 무기명 토큰" 메시지를 표시하는 문제 수정 #20102
봇이 IAM 조인을 사용할 수 없는 문제 수정 #20011
IAM 조인 사용 시 머신 ID 인증서가 제공된 TTL을 존중하지 않는 문제 수정 #20001
Go 1.19.5로 업데이트 #20084

11.2.0

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

머신 ID GitHub 작업

또한, 워크플로에서 사용할 수 있는 GitHub 액션 세트를 발표하게 되어 기쁘게 생각합니다. 워크플로에서 사용할 수 있는 GitHub 액션 세트를 발표하게 되어 기쁩니다.

개별 리포지토리를 방문하여 자세한 내용을 알아보고 사용 사례를 살펴보세요:

더 자세한 가이드는 다음을 참조하세요. 문서 사용 가이드를 참조하세요. GitHub 액션으로 텔레포트하기.

데스크톱 액세스를 위한 보안 인증서 매핑

올해 말, Windows는 인증서에서 Active Directory 사용자로 더 강력한 매핑을 요구하기 시작할 것입니다. 보다 강력한 매핑을 요구하기 시작할 예정입니다. 이러한 변화를 예상하여 Teleport 11.2.0은 새로운 요구 사항을 준수합니다. 새로운 요구 사항을 준수합니다.

*경고: 이 기능을 사용하려면 Teleport 자체 서비스 계정에서도 강력한 매핑을 사용해야 합니다. 이 요구 사항을 지원하려면 이제 새로운 보안 식별자 (sid) 필드를 Windows 데스크톱 서비스의 LDAP 구성에 새로 설정해야 합니다. 서비스 계정의 SID는 다음 PowerShell 스니펫을 실행하여 서비스 계정의 SID를 찾을 수 있습니다. (svc-teleport를 사용 중인 서비스 계정의 이름으로 바꾸세요):

Get-AdUser -Identity svc-teleport | SID 선택

기타 개선 및 버그 수정

웹 UI에 개선된 데이터베이스 조인 플로우 추가 #1487
Windows 데스크톱 인증서에 대한 보안 인증서 매핑 지원 추가 #19737
대용량 파일이 손상될 수 있는 데스크톱 디렉터리 공유 관련 문제 수정 #1472
세션 종료 후 데스크톱 액세스 사용자에게 오류가 표시될 수 있는 문제 수정 #1470
부적절한 형식의 YAML로 인해 데이터베이스 에이전트가 참여하지 못하는 문제 수정 #19958
텔레포트의 무기명 토큰에 로컬 스토리지 대신 세션 스토리지를 사용하도록 웹 UI 업데이트 #1470
SAML/OIDC 경로에 속도 제한 추가 #19950
리버스 터널을 통해 리프 클러스터 데스크톱에 연결하는 문제 수정 #19945
11.1.4에서 데이터베이스 액세스와 하위 호환성 문제 수정 #19940
쿠버네티스 클러스터에 대한 액세스 요청이 부적절하게 캐시된 자격 증명을 사용하던 문제 수정 #19912
ARM64 빌드에서 CentOS 7에 대한 지원 추가 #19895
인증되지 않은 경로에 속도 제한 추가 #19869
텔레포트 커넥트 액세스 요청에 추천 검토자 및 요청 가능한 역할 추가 #19846
모든 노드가 tsh로 나열되는 문제 수정 #19821
텔레포트 클러스터 헬름 차트에서 gcp.credentialSecretName을 옵션으로 설정 #19803
최대 크기 제한을 초과하는 감사 이벤트가 기록되지 않는 문제를 수정했다 #19736.
일부 사용자가 데스크톱 녹화를 재생할 수 없는 문제 수정 #19709
데이터베이스 추가 시 AWS 계정 ID 유효성 검사 추가(#19638) #19702
애플리케이션 액세스를 통한 DynamoDB 요청에 대한 새로운 감사 이벤트 추가 #19667
인증 서버가 추적을 위해 구성되지 않은 경우에도 tsh 추적을 내보낼 수 있는 기능 추가 #19583
텔레포트 커넥트 외부에서 사용할 수 있도록 텔레포트 커넥트에 내장된 tsh 바이너리 연결 지원 추가 #1488

11.1.4

이번 텔레포트 릴리스에는 여러 가지 보안 수정, 개선, 버그 수정이 포함되어 있습니다.

*참고: 이번 텔레포트 릴리스에는 데이터베이스 액세스 에이전트와의 이전 버전과의 호환성에 영향을 미치는 문제가 포함되어 있습니다. 데이터베이스 액세스 사용자인 경우 11.2.0 버전을 건너뛰고 버전 11.2.0으로 바로 넘어가는 것이 좋습니다.

[중요] SSH TCP 터널링에서 RBAC 바이패스

직접-tcpip 채널을 설정할 때, 텔레포트가 충분히 검증하지 않은 RBAC.

이로 인해 유효한 클러스터 자격 증명을 보유한 공격자가 다음을 수행할 수 있습니다. 액세스 권한이 없는 노드에 TCP 터널을 설정할 수 있습니다.

연결 시도는 감사 로그에 "포트" 감사 이벤트로 표시되며 (코드 T3003I)로 나타나며 '사용자' 필드에 텔레포트 사용자 이름이 포함됩니다.

높음] 애플리케이션 액세스 세션 하이재킹

애플리케이션 액세스 요청을 수락할 때, 텔레포트가 클라이언트 자격 증명을 충분히 검증하지 않았습니다. 클라이언트 자격 증명을 충분히 확인하지 않았습니다.

이로 인해 유효한 활성 애플리케이션 세션의 소유자인 공격자가 유효한 애플리케이션 세션 ID를 가진 공격자가 세션 소유자를 사칭하여 이 애플리케이션에 제한된 시간 동안 제한된 시간 동안.

동일한 앱에서 여러 개의 "cert.create" 감사 이벤트(코드 TC000I)의 존재 "route_to_app.session_id" 필드에 있는 세션 ID는 다음과 같은 시도를 나타낼 수 있습니다. 기존 사용자의 애플리케이션 세션을 가장합니다.

[중간] SSH IP 피닝 우회

사용자 인증서를 발급할 때 텔레포트가 클라이언트 자격 증명에 IP 제한이 있는지 확인하지 않았습니다.

이로 인해 IP 제한이 있는 유효한 클라이언트 자격 증명을 소유한 공격자가 자격 증명을 다시 발급받을 수 있습니다. 제한이 있는 유효한 클라이언트 자격 증명을 보유한 공격자가 IP 제한 없이 자격 증명을 재발급할 수 있습니다.

"cert.create" 감사 이벤트(코드 TC000I)에 해당되는 IP 제한이 있는 사용자에 대한 "user.login" 감사 이벤트(코드 T1000I 또는 T1101I)가 있는 경우 역할은 IP 제한 없이 인증서를 발급했음을 나타낼 수 있습니다.

[낮음] 웹 API 세션 캐싱

웹 UI를 통해 로그아웃한 후에도 사용자의 세션이 캐시된 상태로 유지될 수 있습니다. 텔레포트의 프록시에 캐시되어 제한된 시간 동안 리소스에 계속 액세스할 수 있습니다. 창에 계속 액세스할 수 있습니다.

기타 개선 및 버그 수정

데스크톱 접속 시 사각형이 왜곡되는 문제를 수정했습니다. #19545
데스크톱 액세스에서 LDAP 검색 페이지 매김 관련 문제를 수정했습니다. #19533
부모 프로세스의 OOM 점수를 상속하는 SSH 세션 관련 문제 수정. #19521
웹 UI에서 모호한 호스트 확인 문제를 수정했습니다. #19513
Windows 10에서 데스크톱 액세스 사용 관련 문제 수정. #19504
세션 시작이벤트가세션 실행` 이벤트로 덮어쓰이는 문제를 수정했습니다. #19497
tsh login --format kubernetes`가 SNI 정보를 설정하지 않는 문제를 수정했다. #19433
업스트림 웹 서버가 HTTP/2를 사용하는 경우 앱 액세스를 통해 웹소켓이 작동하지 않는 문제를 수정했다. #19423
안전하지 않은 모드에서의 TLS 라우팅을 수정했습니다. #19410
데이터베이스 액세스에서 ElastiCache 7.0.4에 연결할 때 발생하는 문제 수정. #19400
인증 정보 확인 전에 설명자 URL을 호출하는 SAML 커넥터 유효성 검사 관련 문제 수정. #19317
데이터베이스 액세스에서 "redis" 엔진이 등록되지 않았다고 불평하는 문제를 수정했습니다. #19251
'disconnect_expired_cert' 및 'require_session_mfa' 설정이 서로 충돌하는 문제를 수정했습니다. #19178
MongoDB URI를 확인할 수 없는 경우 시작 실패를 수정했습니다. #18984
텔레포트 커넥트에서 액세스 요청에 대한 리소스 이름을 추가했습니다. #19549
깃허브 엔터프라이즈 조인 메서드에 대한 지원을 추가했습니다. #19518
접근 요청 TTL을 제공하는 기능을 추가했습니다. #19385
새로운 instance.join 및 bot.join 감사 이벤트 추가. #19343
쿠버네티스 접근에서 웹소켓 프로토콜을 통한 포트 포워드에 대한 지원이 추가되었다. #19181
tsh ls -R의 지연 시간 단축. #19482
비밀번호 프롬프트를 비활성화하도록 데스크톱 액세스 구성 스크립트 업데이트. #19427
1.19.4로 이동 업데이트. #19127
특성을 역할로 변환할 때 성능이 개선되었습니다. #19170
텔레포트 커넥트에서 만료된 데이터베이스 인증서의 처리가 개선되었습니다. #19096

11.1.2

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

이전 우분투 인스턴스에서 EC2 검색이 텔레포트를 설치하지 못하는 문제가 수정되었습니다. #18965
자동으로 생성된 Linux 사용자에 대한 그룹을 정리할 때 로그 스팸 문제가 수정되었습니다. #18990
tctl windows_desktops ls`가 JSON 및 YAML 형식의 결과를 생성하지 않는 문제를 수정했습니다. #19016
프록시 녹화 모드에서 웹 SSH 세션 관련 문제를 수정했습니다. #19021
손상된 세션 녹화 처리가 개선되었습니다. #19040

11.1.1

이번 텔레포트 릴리스에는 보안 수정과 여러 가지 개선 및 버그 수정이 포함되어 있습니다.

안전하지 않은 TOTP MFA 시드 제거

사용자의 컴퓨터에 물리적으로 액세스하고 파일 시스템에 대한 원시 액세스 권한을 가진 공격자가 파일 시스템에 대한 물리적 액세스 권한을 가진 공격자가 잠재적으로 시드 QR 코드를 복구할 수 있는 문제를 수정했습니다.

#18917

기타 개선 및 수정

macOS에서 텔레포트 연결이 작동하지 않던 문제를 수정했습니다. #18921
구글 클라우드에서 클라우드 HSM에 대한 지원을 추가했습니다. #18835
세션.*감사 이벤트에서버_호스트명`을 추가했습니다. #18832
웹 UI에서 접근 요청 시 역할을 지정하는 기능 추가. #18868
etcd 백엔드에서 오류 보고가 개선되었다. #18822
세션 기록 업로드 실패 로그에 업로드 및 세션 ID를 포함하도록 개선. #18872

11.1.0

이번 텔레포트 릴리스에는 여러 가지 개선사항과 버그 수정이 포함되어 있습니다.

텔레포트 엔터프라이즈 에디션에서 자체 호스팅 Github 엔터프라이즈 SSO 커넥터에 대한 지원이 추가되었습니다. #18521, #18687
AWS CLI 액세스를 통한 DynamoDB에 대한 감사 이벤트 추가. #18035
쿠버네티스 오퍼레이터에 인증 커넥터 지원 추가. #18350
데스크탑 액세스 디렉터리 공유에 대한 감사 이벤트 추가. #18398
데스크톱 액세스를 위한 신뢰할 수 있는 클러스터 지원 추가. #18666
조정된 세션 필터에서 user.spec 구문에 대한 지원이 추가되었습니다. #18455
쿠버네티스 액세스에 GKE 자동 검색에 대한 지원이 추가되었다. #18396
데스크톱 액세스에 FIPS 지원 추가. #18743
텔레포트 디스커버리 부트스트랩` 명령어를 추가했다. #18641
tctl 명령에 대한 올바른 리소스로 windows_desktops를 추가. #18816
허용된 사용자를 포함하도록 tsh db ls JSON 및 YAML 출력을 업데이트했습니다. #18543
동일한 쿠버네티스 구성에서 여러 클러스터를 병합할 수 있도록 tctl auth sign --format kubernetes를 업데이트했다. #18525
웹 UI SSH 성능이 개선되었다. #18797, #18839
JSON 및 YAML 형식의 tsh play 출력 개선. #18825
경우에 따라 RDS 자동 검색이 시작되지 않는 문제를 수정했습니다. #18590
웹 UI를 사용하여 새 서버를 추가하려고 할 때 "null의 속성을 읽을 수 없음" 오류가 수정되었습니다. webapps#1356
웹 UI에서 애플리케이션 목록 페이지 매김 문제를 수정했습니다. #18601
데이터베이스 액세스를 통해 MongoDB 명령이 가끔 실패하는 문제를 수정했습니다. #18738
앱 액세스에서 자동으로 가져온 클라우드 레이블이 RBAC에서 사용되지 않는 문제를 수정했습니다. #18642
모든 참가자가 연결을 끊은 후에도 Kubernetes 세션이 지속되는 문제를 수정했습니다. #18684
인증 서버가 다운되어 조정되지 않은 새로운 SSH 세션을 설정하는 데 영향을 미치는 문제를 수정했다. #18441
SELinux가 활성화된 경우 SSH 세션 시작과 관련된 문제를 수정했습니다. #18810
템플릿화된 역할 이름으로 SAML 커넥터를 만들 수 없는 문제를 수정했습니다. #18766

11.0.3

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

U2F 디바이스 유효성 검사 관련 문제가 수정되었습니다. #17876
리프 클러스터 노드에 연결할 수 없는 tsh ssh -J를 수정했습니다. #18268
클라이언트가 GSS 암호화를 요청할 때 데이터베이스 연결이 실패하는 문제를 수정했다. #17811
헬름 차트에서 텔레포트 버전을 v10으로 설정하면 구성이 유효하지 않게 되는 문제를 수정했다. #18008
텔레포트 쿠버네티스 리소스 이름이 빌트인 리소스와 충돌하는 문제를 수정했다. #17717
잘못된 MS 팀즈 플러그인 시스템드 서비스 파일 관련 문제를 수정했다. 18028
OpenSSH 7.x 서버에 연결하지 못하는 문제를 수정했습니다. #18248
애플리케이션 액세스 요청에서 추가 후행 물음표 관련 문제를 수정했습니다. #17955
Chrome에서 애플리케이션 액세스 웹소켓 요청이 가끔 실패하는 문제를 수정했습니다. #18002
동일한 출력 디렉토리를 동시에 사용하는 여러 'tbot'의 문제를 수정했습니다. #17999
일부 커널에서 tbot이 버전을 구문 분석하지 못하는 문제를 수정했습니다. #18298
v9 노드가 v11 인증 서버에서 실행될 때 발생하는 패닉을 수정했습니다. #18383
세션 간에 클라이언트 자격 증명을 캐싱하는 쿠버네티스 프록시 관련 문제를 수정했다. #18109
경우에 따라 에이전트가 프록시에 다시 연결할 수 없는 문제를 수정했다. #18149
원격 터널 연결이 제대로 닫히지 않는 문제를 수정했습니다. #18224
머신 ID에 CircleCI 지원을 추가했습니다. #17996
텔레포트 및 오퍼레이터에 대한 arm 및 arm64 도커 이미지 지원을 추가했습니다. #18222
데이터베이스 액세스에 PostgreSQL 및 MySQL RDS 프록시 지원 추가. #18045
데이터베이스 액세스 거부 오류 메시지가 개선되었습니다. #17856
세션이 잠긴 경우 데스크톱 액세스 오류가 개선되었습니다. #17549
개인 키 정책 오류에 대한 웹 UI 처리 개선. #17991
활성 세션 수가 많은 클러스터에서 메모리 사용량이 개선되었습니다. #18051
tsh proxy ssh가 HTTPS_PROXY를 지원하도록 업데이트. #18295
새 CA를 가져오도록 Azure 호스트 데이터베이스를 업데이트했습니다. #18172
기본 사용자, 그룹 및 네임스페이스 제공을 지원하도록 tsh kube login 업데이트. #18185
모든 유형의 활성 세션을 포함하도록 웹 UI 세션 목록 업데이트. #18229
진행 중인 TCP 애플리케이션 액세스 연결을 종료하도록 사용자 잠금을 업데이트했습니다. #18187
인증 서버가 제공될 때 v2 구성을 생성하도록 teleport configure 명령을 업데이트했습니다. #17914
모든 시스템 서비스 파일이 최대 열린 파일 제한을 설정하도록 업데이트했다. #17961

11.0.1

이번 텔레포트 릴리스에는 보안 수정과 여러 버그 수정이 포함되어 있습니다.

중재된 세션에서 SFTP 차단

텔레포트가 조정된 세션에서 SFTP 프로토콜을 차단하지 않았습니다.

#17727

기타 수정

자동 생성된 사용자에 대해 상담원 전달이 작동하지 않는 문제를 수정했습니다. #17586
애플리케이션 액세스 시 "특성 누락" 오류를 수정했습니다. #17737
IAM 가입 시 연결 누수 문제를 수정했습니다. #17737
"tsh db ls"에서 패닉을 수정했습니다. #17780
Windows에서 "tsh mfa add"가 OTP QR 코드 이미지를 표시하지 않는 문제를 수정했습니다. #17703
'tctl rm windows_desktop/<이름>'이 모든 데스크톱을 제거하는 문제를 수정했습니다. #17732
클러스터 모드에서 Redis 7.0에 연결하는 문제를 수정했다. #17849
SSH 세션 종료 후 "사용자 계정 데이터베이스를 열 수 없음" 오류가 수정되었습니다. #17825
하드웨어 지원 개인키 사용 시 tctl UX 개선. #17681
tsh mfa add 오류 보고 개선. #17580

11.0.0

텔레포트 11에는 다음과 같은 새로운 주요 기능 및 개선사항이 추가되었습니다:

서버 액세스를 위한 하드웨어 지원 개인키 지원(기업 전용).
서버 액세스를 위해 더 이상 사용되지 않는 SCP 프로토콜을 SFTP로 대체.
헬름 차트에 대한 영구 저장소 요구 사항 제거.
쿠버네티스 액세스를 위한 EKS/AKS 클러스터의 자동 검색 및 등록.
서버 및 데이터베이스 액세스를 위한 더욱 풍부한 Azure 통합.
AWS 키스페이스를 포함한 데이터베이스 액세스를 위한 Cassandra 및 Scylla 지원.
머신 ID를 위한 GitHub Actions 및 Terraform 지원.
Teleport Connect에 대한 액세스 요청 및 파일 업로드/다운로드 지원.

하드웨어 지원 개인 키(Enterprise 전용)

Teleport 11 클라이언트(예: tsh 또는 Connect)는 개인 키 저장 지원 파일 시스템 대신 유비키 장치에 저장하는 것을 지원하여 자격증명 유출 공격을 방지하는 데 도움이 됩니다.

이 기능을 활성화하는 방법은 문서에서 확인하세요:

하드웨어 지원 개인 키는 기업 전용 기능이며 현재 서버 액세스에만 지원됩니다.

SFTP 프로토콜

Teleport 11에는 다음과 같은 많은 IDE에서 사용하는 SFTP 프로토콜에 대한 서버 측 지원이 추가되었습니다. 원격 시스템에서 파일을 탐색, 복사 및 원격 시스템에서 파일을 편집할 때 사용합니다.

다음 가이드에서는 IDE를 사용하여 다음을 통해 원격 시스템에 연결하는 방법을 설명합니다. 텔레포트:

또한 Teleport 11 클라이언트는 내부적으로 파일 전송에 SFTP 프로토콜을 사용합니다. 프로토콜을 사용합니다. 서버 측 scp는 여전히 지원되므로 기존 클라이언트는 영향을 받지 않습니다.

헬름 차트 퍼시스턴트 스토리지

텔레포트 11에서는 사용자가 더 이상 퍼시스턴트 스토리지를 사용할 필요가 없다. 헬름 차트를 배포할 때 영구 저장소를 사용할 필요가 없다. 쿠버네티스에서 실행할 때, 텔레포트 서비스는 이제 자신의 아이덴티티를 신원을 쿠버네티스 시크릿에 저장하므로 영구 저장소나 정적 조인 토큰을 사용할 필요가 없다. 스토리지 또는 정적 조인 토큰을 사용할 필요가 없다.

기존 배포의 경우, 이 변경 사항에는 배포에서 다음과 같이 마이그레이션이 포함됩니다. 스테이트풀셋으로 마이그레이션해야 하며, 이는 헬름을 텔레포트 11로 업그레이드하는 동안 자동으로 수행된다.

EKS/AKS 검색

텔레포트 11은 AWS Elastic의 자동 검색 및 등록에 대한 지원을 추가한다. 쿠버네티스 서비스(EKS) 및 애저 쿠버네티스 서비스(AKS) 클러스터의 자동 검색 및 등록을 지원합니다.

Azure 통합

Teleport 11은 여러 영역에서 Azure 지원을 개선합니다.

이제 Azure VM에서 실행 중인 Teleport 에이전트가 자동으로 Azure 태그를 가져와서 리소스에 레이블을 지정합니다.

이제 Teleport 데이터베이스 액세스는 Azure에서 호스팅되는 PostgreSQL 및 MySQL 데이터베이스에 대한 자동 검색을 지원합니다. Azure 가이드를 참조하세요. 자세한 내용을 참조하세요.

또한, 이제 Teleport 데이터베이스 액세스는 Azure에서 호스팅되는 Azure 호스트에 대해 Azure AD 관리형 ID 인증을 사용합니다.

카산드라/실라DB

Teleport 11에서는 데이터베이스 액세스에서 Cassandra 및 ScyllaDB 데이터베이스에 대한 지원이 추가됩니다. Access. 여기에는 AWS 키스페이스에 대한 지원이 포함됩니다.

머신 ID

텔레포트 11은 GitHub에서 머신 ID 에이전트의 비밀 없는 가입을 지원합니다. 액션 워크플로우에서 비밀 없는 가입을 지원합니다. 자세한 내용은 가이드를 참조하세요: TODO

또한 GitHub 워크플로 환경 내에서 Teleport 바이너리를 설정할 수 있도록 를 설정하기 위한 GitHub 액션도 출시했습니다. 이에 대한 자세한 내용은 텔레포트 GitHub 액션 리포지토리에서 확인할 수 있습니다:

https://github.com/gravitational/teleport-actions

또한 텔레포트 테라폼 플러그인은 이제 머신 ID 봇 및 봇 토큰 생성을 지원합니다.

Windows의 ### tsh MFA

tsh 11은 Windows Hello를 통한 MFA 및 비밀번호 없는 로그인 및 FIDO2 장치.

텔레포트 연결

Teleport Connect에 액세스 요청 및 파일 업로드/다운로드 지원이 추가되었습니다.

주요 변경 사항

다음과 같은 잠재적으로 혼란을 야기할 수 있는 변경 사항을 숙지해 주세요. 업그레이드 전 텔레포트 11.

Github 외부 SSO 제거

Teleport 11부터 GitHub SAML SSO는 다음 버전에서만 사용할 수 있습니다. 엔터프라이즈 에디션에서만 사용할 수 있습니다. SAML이 없는 GitHub SSO는 계속 OSS에서 작동합니다. Teleport.

OSS 텔레포트와 함께 GitHub SSO를 계속 사용하려면 GitHub 조직에서 SAML SSO를 비활성화해야 합니다. 를 사용 중지해야 합니다. OSS Teleport 사용자는 계속 GitHub SSO를 사용할 수 있습니다. 를 계속 사용할 수 있습니다.

Terraform OIDC 커넥터 redirect_url 유형을 배열로 변경했습니다.

텔레포트 플러그인 11에서, 다음을 통해 생성된 OIDC 커넥터의 redirect_url 속성은 을 통해 생성된 Terraform 모듈의 redirect_url 속성은 배열을 기대합니다:

redirect_url = [ "http://example.com" ]입니다.

사용되지 않는 Quay.io 레지스트리

Teleport 11부터 컨테이너 레지스트리로서의 Quay.io는 더 이상 사용되지 않습니다. 고객은 새로운 AWS ECR 레지스트리를 사용하여 Teleport Docker 이미지를 가져와야 합니다.

Quay.io 레지스트리 지원은 향후 릴리스에서 제거될 예정입니다.

사용되지 않는 이전 deb/rpm 리포지토리

Teleport 11에서는 이전 deb/rpm 리포지토리(deb.releases.teleport.dev 및 rpm.releases.teleport.dev)는 더 이상 사용되지 않습니다. 고객은 새로운 리포지토리(apt.releases.teleport.dev 및 yum.releases.teleport.dev)를 사용해서 텔레포트 설치를 해야 합니다.

이전 deb/rpm 리포지토리에 대한 지원은 향후 릴리스에서 제거될 예정입니다.

텔레포트-큐브-에이전트 헬름 차트를 스테이트풀셋으로 변경했다.

텔레포트 11 에이전트는 이제 헬름 차트를 통해 배포될 때 쿠버네티스 시크릿에 신원을 저장한다. 헬름 차트를 통해 배포되므로 퍼시스턴트 스토리지 또는 정적 조인 토큰을 사용할 필요가 없다. 또는 정적 조인 토큰을 사용할 필요가 없다. 이 변경으로 인해, 텔레포트 에이전트는 이제 항상 퍼시스턴트 스토리지의 사용 여부와 관계없이 스테이트풀셋의 일부로 배포됩니다. 사용 여부에 관계없이 항상 스테이트풀셋의 일부로 배포된다.

쿠버네티스 디플로이먼트로 배포된 기존 에이전트(즉, 퍼시스턴트 스토리지 없이 퍼시스턴트 스토리지가 없는) 기존 에이전트는 텔레포트 11 헬름 업그레이드 중에 텔레포트 11 헬름 업그레이드.

포스트그레SQL 백엔드 제거

성능 및 확장성 문제로 인해 프리뷰 포스트그레SQL 백엔드가 삭제되었다. 우려로 인해 삭제되었다.

32비트 ARM 및 386 아키텍처에 대한 데스크톱 액세스 지원이 제거되었습니다.

ARM 및 386 아키텍처에서 데스크톱 액세스에 대한 32비트 지원이 제거되었습니다. 이러한 디바이스의 성능 문제로 인해 제거되었습니다.

또한 이러한 빌드의 바이너리 크기가 줄어들어 리소스가 제한된 소규모 디바이스에 약간 더 리소스가 제한된 소규모 장치에 더 편리합니다.

10.0.0

텔레포트 10은 다음과 같은 새로운 기능을 제공하는 주요 릴리스입니다.

플랫폼:

비밀번호 없는 기능(미리 보기)
리소스 액세스 요청(미리 보기)
프록시 피어링(미리 보기)

서버 액세스:

IP 기반 제한(미리 보기)
자동 사용자 프로비저닝(미리 보기)

데이터베이스 액세스:

Microsoft SQL Server 데이터베이스 액세스에 대한 감사 로깅
스노우플레이크 데이터베이스 액세스(미리 보기)
ElastiCache/MemoryDB 데이터베이스 액세스(미리보기)

텔레포트 연결:

서버 및 데이터베이스 액세스를 위한 텔레포트 연결(미리보기)

머신 ID:

머신 ID 데이터베이스 액세스 지원(미리 보기)

비밀번호 없음(미리 보기)

Teleport 10은 클러스터에 비밀번호 없는 지원을 도입합니다. 비밀번호 없이 사용하려면 를 사용하려면 상주 자격 증명으로 보안 키를 등록하거나 Touch ID와 같은 기본 제공 인증자를 사용할 수 있습니다.

문서를 참조하세요.

리소스 액세스 요청(미리보기)

텔레포트 10은 특정 리소스에 대한 접근 요청을 허용하도록 적시 접근 요청을 확장합니다. 요청을 허용합니다. 이를 통해 사용자에게 워크플로에 필요한 최소한의 권한만 권한을 부여할 수 있습니다.

적시 액세스 요청은 Teleport Enterprise Edition에서만 사용할 수 있습니다.

프록시 피어링(미리 보기)

프록시 피어링을 사용하면 상담원 연결 수에 따른 부하 증가 없이도 로드의 증가 없이 텔레포트 배포를 확장할 수 있습니다. 이는 프록시 서비스가 인접한 프록시를 통해 원하는 에이전트로 클라이언트 연결을 터널링하고 프록시를 통해 원하는 에이전트로 클라이언트 연결을 터널링하고 에이전트 연결 수를 프록시 수에서 분리함으로써 이루어집니다.

프록시 피어링은 다음 구성을 통해 사용 설정할 수 있습니다:

auth_service:
  터널_전략:
    유형: 프록시 피어링
    에이전트_연결_수: 1

proxy_service:
  PEER_LISTEN_ADDR: 0.0.0.0:3021

이 기능을 사용하려면 프록시 서버와 peer_listen_addr 간의 네트워크 연결이 필요합니다. 에 대한 프록시 서버 간의 네트워크 연결이 필요합니다.

프록시 피어링은 텔레포트 엔터프라이즈 에디션에서만 사용할 수 있습니다.

IP 기반 제한(미리보기)

Teleport 10에는 SSH 인증서에 소스 IP를 고정하는 새로운 역할 옵션이 도입되었습니다. 인증서에 소스 IP를 고정하는 새로운 역할 옵션이 도입되었습니다. 이 옵션을 사용하면 인증서를 요청하는 데 사용된 소스 IP가 가 인증서에 포함되며, SSH 서버는 다른 IP로부터의 연결 시도를 거부합니다. 연결을 거부합니다. 이렇게 하면 유효한 자격 증명이 디스크에서 유출되거나 디스크에서 유출되어 다른 환경으로 복사되는 공격으로부터 보호합니다.

IP 기반 제한은 Teleport Enterprise Edition에서만 사용할 수 있습니다.

자동 사용자 프로비저닝(미리 보기)

Teleport 10은 로그인 시 Linux 호스트 사용자를 자동으로 생성하도록 구성할 수 있습니다. 로그인 시 Linux 호스트 사용자를 자동으로 생성하도록 구성할 수 있습니다. 사용자를 특정 Linux 그룹에 추가하고 적절한 "sudoer" 권한을 할당할 수 있습니다.

자동 사용자 프로비저닝 구성에 대해 자세히 알아보려면 다음을 참조하세요. 문서를 참조하세요.

Microsoft SQL Server 데이터베이스 액세스에 대한 감사 로깅

Teleport 9에서는 Microsoft SQL에 대한 데이터베이스 액세스 지원 프리뷰가 도입되었습니다. 사용자 쿼리에 대한 감사 로깅이 포함되지 않은 데이터베이스 액세스 지원 프리뷰를 도입했습니다. Teleport 10에서는 사용자의 쿼리와 준비된 문을 캡처하여 감사 로그에 전송하며, 다른 지원되는 데이터베이스 프로토콜과 유사하게 다른 지원되는 데이터베이스 프로토콜과 유사합니다.

SQL Server용 Teleport 데이터베이스 액세스는 프리뷰 모드로 유지되며, 향후 릴리스에서 더 많은 UX 개선 사항이 향후 릴리스에서 제공될 예정입니다.

가이드를 참조하여 다음과 같이 설정하세요. SQL Server에 대한 액세스 권한을 설정하세요.

Snowflake 데이터베이스 액세스(미리보기)

Teleport 10에서는 데이터베이스 액세스에 스노우플레이크가 지원됩니다. 관리자는 다음을 수행할 수 있습니다. 텔레포트를 통해 사용자의 Snowflake 데이터베이스에 대한 액세스를 설정할 수 있습니다. 역할 기반 액세스 제어 및 감사와 같은 표준 데이터베이스 액세스 기능 쿼리 활동을 포함한 로깅과 같은 표준 데이터베이스 액세스 기능을 사용할 수 있습니다.

다음 안내에 따라 Snowflake 데이터베이스를 Teleport에 연결하세요. 문서를 참조하세요.

Elasticache/MemoryDB 데이터베이스 액세스(미리보기)

Teleport 9는 데이터베이스 액세스에 Redis 프로토콜 지원을 추가했습니다. Teleport 10에서는 이 통합을 개선하여 AWS 호스팅 Elasticache와 일부 배포 구성에서 자동 검색 및 자동 자격 증명 관리를 포함하여 배포 구성.

이에 대한 자세한 내용은 문서.

서버 및 데이터베이스 액세스를 위한 텔레포트 연결(미리 보기)

Teleport Connect는 그래픽 macOS 애플리케이션입니다. 텔레포트 리소스에 대한 액세스를 간소화합니다. Teleport Connect 10은 서버 액세스 및 데이터베이스 액세스를 지원합니다. 다른 프로토콜과 Windows 지원은 향후 릴리스에서 제공될 예정입니다.

다운로드 페이지의 macOS 탭에서 Teleport Connect 설치 프로그램을 받으세요: https://goteleport.com/download/.

머신 ID 데이터베이스 액세스 지원(미리 보기)

Teleport 10에서는 머신 ID에 데이터베이스 액세스 지원이 추가되었습니다. 애플리케이션 은 머신 ID를 사용하여 텔레포트로 보호되는 데이터베이스에 액세스할 수 있습니다.

데이터베이스 액세스를 위한 Machine ID 가이드는 다음에서 찾을 수 있습니다. 문서.

주요 변경 사항

다음과 같이 업무에 지장을 줄 수 있는 변경 사항을 숙지하시기 바랍니다. 업그레이드 전 텔레포트 10.

인증 서비스 버전 확인

이제 Teleport 10 에이전트가 인증 서비스에서 가 하나 이상의 주요 버전보다 뒤처져 있는 것을 감지하면 시작을 거부합니다. '--skip-version-check' 플래그를 사용하여 버전 확인을 건너뛸 수 있습니다.

컴포넌트 호환성 보장에 대한 자세한 내용은 문서를 참조하세요.

리버스 터널용 HTTP_PROXY

이제 역방향 터널 연결은 HTTP_PROXY 환경 변수를 존중합니다. 이로 인해 역방향 터널 에이전트가 HTTP 프록시가 있는 경우 연결을 다시 설정하지 못할 수 있습니다. 텔레포트 프록시 서비스에 대한 연결을 허용하지 않는 경우 역방향 터널 에이전트가 연결을 다시 설정하지 못할 수 있습니다.

이 문제는 문서 를 참조하세요.

새 APT 리포지토리

Teleport 10에서는 이제 다음을 지원하는 새로운 APT 리포지토리로 마이그레이션했습니다. 여러 릴리스 채널, Teleport 버전 및 OS 배포를 지원합니다. 새로운 리포지토리는 6.2.31부터 Teleport 버전으로 다시 채워졌습니다. 로 업그레이드할 것을 권장합니다. 이전 리포지토리는 당분간 유지될 예정입니다. 당분간 유지될 예정입니다.

설치 지침을 참조하세요.

"tctl access ls" 제거

클러스터 내 사용자 서버 액세스에 대한 정보를 반환하는 tctl access ls 명령이 정보를 반환하는 명령이 제거되었습니다. 계속 사용하려면 이전 tctl 버전을 사용하세요. 를 계속 사용하세요.

세션 참여 권한 완화

이전 버전의 텔레포트에서는 사용자가 세션에 참여하려면 노드/쿠버네티스 파드에 대한 전체 액세스 권한이 필요했다. Teleport 10에서는 이 요구 사항이 완화되었습니다. 조인 세션은 기본적으로 거부되지만 이제 join_sessions 문만 세션 조인 RBAC에 대해 확인됩니다.

조정된 세션 가이드를 참조하세요. 자세한 내용을 참조하세요.

GitHub 커넥터

GitHub 인증 커넥터의 teams_to_logins 필드는 더 이상 사용되지 않고 새로운 팀_투_역할` 필드가 사용되지 않습니다. 이전 필드는 향후 릴리스에서 제거될 예정입니다.

FIPS AWS 엔드포인트 텔레포트

이제 Teleport 10은 시작 시 --fips 플래그를 사용하면 자동으로 AWS S3 및 DynamoDB에 대한 FIPS 엔드포인트 를 자동으로 사용합니다. 일반 엔드포인트를 사용하려면 use_fips_endpoint=false 연결 엔드포인트 옵션을 사용하여 FIPS 모드에서 텔레포트에 일반 엔드포인트를 사용할 수 있습니다, 예를 들어

s3://bucket/path?region=us-east-1&use_fips_endpoint=false

S3/DynamoDB 백엔드를 참조하세요. 문서에서 자세한 내용을 확인하세요.

9.3.9

이번 텔레포트 릴리스에는 보안 수정과 여러 가지 개선 및 버그 수정이 포함되어 있습니다.

모더레이티드 세션에서 인증 우회

세션을 시작하기 전에 사용자의 역할을 확인할 때, 텔레포트에서 다음과 같은 문제가 발생할 수 있습니다. 에 따라 세션을 중재 없이 진행하도록 잘못 허용할 수 있었습니다. 백엔드에서 받은 주문 역할에 따라 세션이 중재 없이 진행되도록 허용할 수 있습니다.

기타 개선 및 수정

세션별 MFA가 키 누름을 삼키는 문제를 수정했습니다. #13822
이제 허용된 사용자를 표시하는 tsh db ls -R 관련 문제를 수정했습니다. #13626
데스크톱 액세스에서 수직 및 수평 스크롤을 수정했습니다. #13905
잘못된 쿼리 필터로 인해 tsh 재로그인이 강제되는 문제를 수정했습니다. #13747
TLS 라우팅 및 프록시 점프 관련 문제 수정. #13928
특정 시나리오에서 MongoDB 연결 시간 초과 문제를 수정했습니다. #13859
요청된 역할이 비어 있는 상태에서 머신 ID 인증서를 갱신하는 문제를 수정했습니다. #13893
Windows 데스크톱에 LDAP 특성 레이블이 지정되지 않는 문제를 수정했습니다. #13681
데스크톱 액세스 스트리밍이 제대로 종료되지 않는 문제를 수정했습니다. #14024
use_fips_endpoint 연결 옵션을 사용하여 S3 및 DynamoDB에 FIPS 엔드포인트를 사용할 수 있는 기능이 추가되었습니다. #13703
설정에서 CA 핀을 파일 경로로 지정하는 기능을 추가했습니다. #13089
루트 프록시 재시작 후 재연결 안정성이 개선되었습니다. #13967
인증 클라이언트 연결 실패 시 오류 메시지가 개선되었습니다. #13835

9.3.7

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

AWS EC2 점검으로 인한 시작 지연 문제가 수정되었습니다. #13167
모든 클러스터와 프로필에 걸쳐 리소스를 표시하는 tsh ls -R이 추가되었습니다. #13313
포트 포워딩 중 tsh가 "사용 중인 주소" 오류를 올바르게 보고하지 않는 문제를 수정했습니다. #13679
두 가지 잠재적 패닉을 수정했습니다. #13590, #13655
최신 우분투 버전에서 향상된 세션 녹화가 작동하지 않는 문제를 수정했습니다. #13650
데이터베이스 서비스에 데이터베이스가 포함되지 않은 경우 CA 로테이션 관련 문제를 수정했습니다. #13517
"잘못된 채널 이름 rdpsnd" 오류로 데스크톱 액세스 연결이 실패하는 문제를 수정했습니다. #13450
테라폼 구성에서 IMDSv2를 활성화할 때 잘못된 텔레포트 구성 문제가 수정되었습니다. #13537

9.3.6

이번 텔레포트 릴리스에는 여러 개선 사항과 버그 수정이 포함되어 있습니다.

데스크톱 액세스에 유니코드 클립보드 지원이 추가되었습니다. #13391
이전 서버에서 액세스 요청을 가져올 때 발생하는 이전 버전과의 호환성 문제를 수정했습니다. #13490
애플리케이션 액세스 요청이 주기적으로 500 오류와 함께 실패하는 문제를 수정했습니다. #13469
애플리케이션을 표시할 때 페이지 매김 관련 문제를 수정했습니다. #13451
머신 ID에서 파일 설명자 누출을 수정했습니다. #13386

9.3.5

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

이전 서버에서 액세스 요청을 가져올 때 발생하는 이전 버전과의 호환성 문제를 수정했습니다. #13428
데이터베이스 액세스와 함께 Microsoft SQL Server 관리 스튜디오 사용 관련 문제를 수정했습니다. #13337
OpenSSH 클라이언트와의 상호 운용성을 개선하기 위해 tsh proxy ssh -J에 대한 지원을 추가했습니다. #13311
헬름 차트에 보안 컨텍스트를 제공하는 기능을 추가했다. #13286
AWS 테라폼 배포를 참조하기 위한 애플리케이션 및 데이터베이스 액세스 지원 추가. #13383
프록시를 통한 인증 서버 다이얼링의 안정성이 개선되었다. #13399
접근 거부 시도를 로깅하여 kubectl exec 감사를 개선했다. #12831, #13400

9.3.4

이번 텔레포트 릴리스에는 여러 보안, 버그 수정 및 개선 사항이 포함되어 있다.

상담원 전달에서 에스컬레이션 공격 방지

노드에서 상담원 전달을 설정할 때 텔레포트가 유닉스 소켓 생성을 안전한 방식으로 처리하지 않았습니다.

이로 인해 잠재적 공격자가 텔레포트가 임의의 파일 권한을 공격자의 사용자로 변경할 수 있는 기회를 제공했을 수 있습니다.

웹소켓 CSRF

웹소켓 요청을 처리할 때, 텔레포트가 제공된 베어러 토큰이 올바른 사용자를 위해 생성되었는지 확인하지 않았습니다.

이로 인해 악의적인 낮은 권한의 텔레포트 사용자가 소셜 엔지니어링 공격을 통해 동일한 텔레포트 클러스터에서 더 높은 권한의 액세스 권한을 획득할 수 있었습니다.

액세스 요청의 서비스 거부

텔레포트가 액세스 요청을 수락할 때 최대 요청 이유 크기를 적용하지 않았습니다.

이로 인해 악의적인 공격자가 매우 큰 요청 사유를 가진 액세스 요청을 생성하여 DoS 공격을 수행할 수 있습니다.

중재된 세션에서의 인증 우회

조정된 세션을 초기화할 때, 진행자가 참여하기 전에 참가자의 입력을 삭제하지 않았습니다.

이로 인해 진행자가 참가자가 실행한 악성 명령을 차단하지 못할 수 있었습니다.

기타 수정

세션별 MFA가 활성화되어 있을 때 발생하는 stdin 하이재킹 문제를 수정했습니다. #13212
AWS EC2에서 실행할 때 자동 태그 가져오기 지원이 추가되었습니다. #12593
OIDC 커넥터에서 여러 리디렉션 URL을 사용할 수 있는 기능이 추가되었습니다. #13046
Windows에서 tsh를 사용할 때 ANSI 이스케이프 시퀀스가 깨지는 문제를 수정했습니다. #13221
마지막 명령이 실패한 경우 종료 시 tsh ssh가 추가 오류를 출력하는 문제를 수정했습니다. #12903
MySQL 프록시에서 프록시 프로토콜 v2에 대한 지원이 추가되었습니다. #12993
Go v1.17.11로 업그레이드. #13104
LDAP 속성에 기반한 윈도우 데스크톱 라벨링 추가. #13238
역할이 많은 사용자에 대한 리소스를 나열할 때 성능이 개선되었습니다. #13263

9.3.2

이번 텔레포트 릴리스에는 두 가지 버그 수정이 포함되어 있습니다.

머신 ID의 tsh 버전 확인 관련 문제를 수정했습니다. #13037
AWS에서 실행되지 않을 때 데이터베이스 에이전트에서 AWS 관련 로그 스팸을 수정했습니다. #12984

9.3.0

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

tctl이 TELEPORT_HOME` 환경 변수를 고려하지 않는 문제를 수정했습니다. #12738
데이터베이스 액세스 시 Redis AUTH 명령이 항상 사용자를 인증하지 않는 문제를 수정했습니다. #12754
텔레포트가 더 이상 사용되지 않는 U2F 구성으로 시작되지 않는 문제를 수정했습니다. #12826
리프 클러스터에 대해 허용된 사용자를 표시하지 않는 tsh db ls 문제를 수정했습니다. #12853
존재하지 않는 데이터 디렉터리가 주어졌을 때 teleport configure가 실패하는 문제를 수정했다. #12806
디버그 로그를 출력하지 않는 tctl 문제를 수정했다. #12920
기본 CA 풀을 사용할 때 쿠버네티스 액세스가 작동하지 않는 문제를 수정했다. #12874
TLS 라우팅 모드에서 머신 ID가 작동하지 않는 문제를 수정했다. #12990
대규모 클러스터에서 연결 성능이 개선되었습니다. #12832
대규모 클러스터에서 메모리 사용량 개선. #12724

주요 변경 사항

Teleport 9.3.0은 최소 GLIBC 요구사항을 2.18로 낮추고, 데스크톱 액세스에 더 많은 데스크톱 액세스를 위한 보안 암호 제품군을 적용합니다.

이러한 변경 사항으로 인해 Windows를 실행하는 데스크톱을 사용하는 데스크톱 액세스 사용자는 Server 2012R2를 실행하는 데스크톱 액세스 사용자는 추가 구성을 수행하여 Windows에서 가 호환되는 암호 제품군을 사용하도록 설정해야 합니다.

Windows Server 2016 이상을 실행하는 Windows 데스크톱은 계속 정상적으로 작동합니다. 정상적으로 작동하며 추가 구성이 필요하지 않습니다.

9.2.4

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

이전 인증 서버에 연결된 에이전트와의 호환성 문제가 수정되었습니다. #12728
TLS 라우팅 엔드포인트 광고 기본 설정이 'h2'보다 'http/1.1'로 설정되는 문제를 수정했습니다. #12749
다중 프록시 재시작 안정성 개선. #12632, #12488, #12689
PuTTY와의 호환성 개선. #12662
글로벌 tsh 구성 파일 /etc/tsh.yaml에 대한 지원 추가. #12626
tbot configure` 명령 추가. #12576
텔레포트 클라우드에서 데스크톱 액세스가 작동하지 않는 문제를 수정했습니다. #12781
대규모 클러스터에서 웹 UI 성능 개선. #12637
데이터베이스 액세스를 통한 MySQL 저장 프로시저 실행 관련 문제 수정. #12734

9.2.3

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

역방향 터널 연결에서 HTTP_PROXY가 실수로 존중되던 문제를 수정했습니다. #12335
tctl 토큰 추가명령에--format` 플래그를 추가했습니다. #12588
세션 업로드와 관련된 하위 호환성 문제를 수정했다. #12535
헬름 차트에서 커스텀 모드의 지속성 지원을 추가했다. #12218
인증서에서 사용자 이름을 존중하지 않는 포스트그레SQL 백엔드 문제를 수정했다. #12553
쿠버네티스 액세스를 통해 kubectl cp 및 kubectl exec가 작동하지 않는 문제를 수정했다. #12541
클라우드 데이터베이스의 동적 등록 로직 관련 문제를 수정했다. #12451
자동 애플리케이션 추가 스크립트가 클러스터에 가입하지 못하는 문제를 수정했다. #12539
PAM이 활성화된 경우 tctl이 충돌하는 문제를 수정했다. #12572
헬름 차트에서 우선순위 클래스 및 추가 레이블 설정에 대한 지원이 추가되었다. #12568
앱 액세스 JWT 토큰에 iat 클레임이 포함되지 않는 문제를 수정했다. #12589
재작성된 헤더에 앱 액세스 JWT 토큰을 삽입하는 기능이 추가되었다. #12589
데스크톱 액세스는 LDAP를 통해 검색된 데스크톱에 대해 teleport.dev/ou 레이블을 자동으로 추가합니다. #12502
머신 ID가 tctl 및 tsh와 호환되는 ID 파일을 생성하도록 업데이트되었습니다. #12500
내부 빌드 인프라를 Go 1.17.10으로 업데이트. #12607
노드 수가 많은 클러스터에서 프록시 메모리 사용량을 개선했다. #12573

9.2.1

이번 텔레포트 릴리스에는 개선 사항과 몇 가지 버그 수정이 포함되어 있습니다.

토큰 제거를 지원하도록 tctl rm 명령이 업데이트되었습니다. #12439
요청당 과금 모드에서 DynamoDB 백엔드를 사용할 때 텔레포트가 시작되지 않던 문제를 수정했습니다. #12461
쿠버네티스 포트 포워딩이 작동하지 않는 문제를 수정했다. #12468
쿠버네티스에서 데이터베이스 자동 검색을 사용할 때 IAM 정책 제한 관련 문제를 수정했다. #12457

9.2.0

이번 Teleport 릴리스에는 여러 가지 개선 사항, 보안 및 버그 수정이 포함되어 있습니다.

U2F 패싯의 유효성이 제대로 검증되지 않던 문제를 수정했습니다. #12208
SQLite 권한 강화. #12360
OIDC 콜백이 email_verified 클레임을 확인하지 않는 문제를 수정했습니다. #12360
동시 쿠버네티스 연결을 제한하기 위한 max_kubernetes_connections 역할 옵션을 추가했다. #12360
요청당 지불형 DynamoDB 모드에서 텔레포트가 시작되지 않는 문제를 수정했다. #12360
보안 심볼릭 링크 커널 지원이 누락된 경우 머신 ID의 장황함을 줄였습니다. #12423
CockroachDB 연결에서 tsh proxy db 터널 모드가 작동하지 않는 문제 수정. #12400
머신 ID에서 데이터베이스 액세스 인증서에 대한 지원이 추가되었습니다. #12195
특정 시나리오에서 종료/재시작 안정성이 개선되었습니다. #12393
웹 UI에서 클릭 가능한 레이블에 대한 지원 추가. #12422

9.1.3

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

일부 MySQL 클라이언트가 MySQL 8.0 서버에 연결할 수 없던 문제가 수정되었습니다. #12340
SSH 세션이 멈출 수 있는 여러 조건을 수정했습니다. #12286
리프 클러스터에 대해 tsh db ls가 실패하는 문제를 수정했습니다. #12320
텔레포트의 내부 캐시가 잠재적으로 비정상적으로 될 수 있는 시나리오를 수정했습니다. #12251, #12002
새 애플리케이션 액세스 세션을 열 때 성능이 개선되었습니다. #12300
텔레포트 구성` 명령에 플래그를 추가했습니다. #12267
CA 로테이션 안정성이 개선되었다. #12333
TLS 라우팅 사용 시 mongosh 인증서 확인 관련 문제 수정. #12363

9.1.2

이번 텔레포트 릴리스에는 두 가지 버그 수정이 포함되어 있습니다.

쿠버네티스에서 텔레포트 파드가 준비되지 않는 문제를 수정했다. #12243
호스트 UUID 생성 실패 후 재시작 시 텔레포트 프로세스가 충돌하는 문제를 수정했다. #12222

9.1.1

이번 텔레포트 릴리스에는 여러 버그 수정 및 개선 사항이 포함되어 있습니다.

역방향 터널 연결이 실수로 HTTP_PROXY를 준수하기 시작하던 회귀 문제를 수정했습니다. #12035
SSH 서버에서 잠재적인 교착 상태를 수정했습니다. #12122
쿠버네티스 서비스가 준비 상태를 보고하지 않는 문제를 수정했다. #12152
점프클라우드 ID 공급자와 관련된 문제를 수정했다. #11936
파이어스토어 백엔드에서 많은 레코드를 삭제하는 문제를 수정했다. #12177

9.1.0

텔레포트 9.1은 몇 가지 새로운 기능, 보안 및 버그 수정이 포함된 마이너 릴리스입니다.

보안

텔레포트 빌드 인프라가 Go v1.17.9를 사용하도록 업데이트되어 CVE-2022-24675, CVE-2022-28327 및 CVE-2022-27536을 수정했습니다.

SQL 백엔드(미리 보기)

이제 텔레포트 사용자는 인증 서버 데이터 저장을 위해 PostgreSQL 또는 CockroachDB를 사용할 수 있습니다.

자세한 내용은 문서를 참조하세요.

서버 측 필터링 및 페이지 매김

이제 리소스 검색 및 필터링이 서버에서 처리되어 tsh, pagination을 사용한 쿼리의 tsh, tctl 또는 웹 UI를 사용한 쿼리의 효율성이 향상되었습니다.

웹 UI는 서버 측 페이지 매김을 활용하여 리소스를 더 빠르게 로드합니다. 또한 웹 UI는 쿼리를 검색어에 포함시켜 북마크 검색을 지원합니다. URL에 포함시켜 검색을 북마크할 수 있습니다.

기타 개선 및 수정

만료된 자격 증명을 새로 고친 후 stdin이 무시되는 문제를 수정했습니다. #11847
일부 명령에 ID 파일을 사용할 때 호스트 로그인이 필요한 tsh 관련 문제를 수정했습니다. #11793
비보안 모드에서 일반 HTTP를 통한 프록시 호출에 대한 지원이 추가되었습니다. #11403
세션 출력 정지를 유발할 수 있는 여러 문제를 수정했습니다. #11853
선택적 gRPC 클라이언트/서버 지연 메트릭을 추가했습니다. #11773
TLS 비보안 모드에서 자체 호스팅 데이터베이스에 연결할 때 발생하는 문제를 수정했습니다. #11758
잘못된 인증 커넥터 이름 사용 시 오류 메시지가 개선되었습니다. #11884
여러 중재 세션 안정성 개선. #11803, #11890
인증 터널 모드를 tsh proxy db 명령에 추가. #11808
웹 로그아웃 시 애플리케이션 세션이 삭제되지 않는 문제를 수정했습니다. #11956
추가 명령에 대한 지원을 포함하도록 MySQL 감사 로깅을 개선했습니다. #11949
텔레포트 서비스 재시작의 안정성이 개선되었습니다. #11795
Okta OIDC 인증 커넥터가 작동하지 않는 문제를 수정했습니다. #11718
모든 tsh 명령에 json 및 yaml 형식에 대한 지원이 추가되었습니다. #12050
사용자를 생성할 때 kubernetes_users, kubernetes_groups, db_names, db_users 및 aws_role_arns 특성 설정에 대한 지원을 추가했다. #12133
잠재적인 CA 로테이션 패닉을 수정했습니다. #12004
허용된 데이터베이스 사용자 이름을 표시하도록 tsh db ls를 업데이트했습니다. #11942
OIDC 클라이언트에서 고루틴 누수를 수정했다. #12078

9.0.4

이번 텔레포트 릴리스에는 여러 가지 개선 및 수정 사항이 포함되어 있습니다.

라벨 키에 :가 허용되지 않던 문제를 수정했습니다. #11563
쿠버네티스 액세스에서 잠재적인 패닉을 수정했다. #11614
텔레포트_커넥트_투_노드_시도_총` 프로메테우스 메트릭을 추가했다. #11629
다중 CA 로테이션 안정성 개선. #11658
콘솔 플레이어 Ctrl-C 및 Ctrl-D 기능 수정. #11559
기존 상태의 노드가 새 클러스터에 가입하는 경우 로깅이 개선되었습니다. #11751
포스트그레SQL/콕크로치DB 백엔드 미리보기가 추가되었다. #11667
이전 버전과 새 tsh 버전 간의 CA 로딩 호환성 문제 수정. #11663
로거가 JSON 구성을 따르지 않는 문제를 수정했습니다. #11655
프록시 프로토콜 v2에 대한 지원 추가. #11722
다수의 tsh 플레이어 안정성 문제 수정. #11491
세션 업로더로 인한 네트워크 사용률 개선. #11698
원격 클러스터 인벤토리 북키핑이 개선되었습니다. #11707

9.0.3

이번 텔레포트 릴리스에는 여러 가지 수정 사항이 포함되어 있습니다.

tctl이 TELEPORT_HOME 환경 변수를 무시하는 문제를 수정했습니다. #11561
여러 중재 세션 안정성 문제를 수정했습니다. #11494
tsh 구성 파일이 없을 때 오류와 함께 tsh 버전이 종료되는 문제를 수정했습니다. #11571
tsh가 프록시 호스트를 존중하지 않는 문제를 수정했습니다. #11496
쿠버네티스 포워더가 HTTP 프록시를 고려하는 문제를 수정했다. #11462
에이전트 재연결 시도를 방해하는 오래된 DynamoDB 인증 서비스 문제를 수정했다. #11598

9.0.2

이번 텔레포트 릴리스에는 여러 가지 기능, 개선 사항 및 버그 수정이 포함되어 있습니다.

사용자별 'tsh' 구성 환경설정에 대한 지원이 추가되었습니다. #10336
OSS에서 역할 부트스트랩에 대한 지원이 추가되었습니다. #11175
tsh에 HTTP_PROXY 지원 추가. #10209
잘못된 명령줄 호출에 대한 사용 정보를 포함하도록 오류 메시지 tsh 및 tctl 표시를 개선했습니다. #11174
모든 리소스에서 일관성을 유지하도록 tctl <자원> ls 출력을 개선했습니다. #9519
CA 로테이션, 정상 재시작 및 안정성과 관련된 여러 문제를 수정했습니다. #10706 #11074 #11283
MOTD가 항상 표시되지 않던 문제를 수정했습니다. #10735
인증서 확장자가 tctl auth sign에 포함되지 않는 문제를 수정했습니다. #10949
웹 UI에서 발생할 수 있는 패닉을 수정했습니다. #11389

9.0.1

이번 텔레포트 릴리스에는 여러 가지 개선 사항과 버그 수정이 포함되어 있습니다.

Ctrl-C로 세션이 멈추는 문제를 수정했습니다. #11188
알 수 없는 감사 이벤트 처리가 개선되었습니다. #11064
동적으로 등록된 앱의 공개 주소 계산이 개선되었습니다. #11139
500 오류를 반환하는 tsh aws ecr 수정. #11108
특정 사용자 삭제 관련 문제를 수정했습니다. #11131
파일 구성에서 머신 ID가 토큰을 감지하지 못하는 문제를 수정했습니다. #11206

9.0.0

텔레포트 9.0은 주요 릴리스입니다:

텔레포트 데스크톱 액세스 GA
텔레포트 머신 ID 미리보기
Teleport 데이터베이스 액세스에 다양한 추가 기능
서버 및 쿠버네티스 액세스를 위한 모더레이티드 세션

데스크톱 액세스는 클립보드 공유, 세션 녹화 및 세션별 MFA.

텔레포트 머신 ID 미리보기는 머신에 대한 ID 기반 액세스를 확장합니다. 가장 서비스용 SSH 및 X.509 인증서를 발급, 갱신 및 관리하는 가장 쉬운 방법입니다. 계정, 마이크로서비스, CI/CD 자동화 및 기타 모든 형태의 머신 간 액세스를 위한 머신 간 액세스를 위한 가장 쉬운 방법입니다.

데이터베이스 액세스는 자체 호스팅 Redis 지원, RDS MariaDB(10.6 이상) 지원, Redshift 클러스터에 대한 자동 검색, 자동 IAM 구성 GA 개선. 또한, 이번 릴리스에서는 AD 인증이 포함된 Microsoft SQL Server 를 미리 보기에 추가합니다.

중재된 세션을 사용하면 중재자가 참석해야 하는 세션을 만들 수 있습니다. 세션을 만들 수 있습니다. 이 기능은 다음을 통해 특정 세션에 대해 선택적으로 사용하도록 설정할 수 있습니다. RBAC을 통해 특정 세션에 대해 선택적으로 활성화할 수 있으며 세션별 MFA와 함께 사용할 수 있습니다.

데스크톱 액세스

클립보드 지원

이제 데스크톱 액세스는 로컬 워크스테이션과 원격 Windows 데스크톱 간에 텍스트 복사 및 붙여넣기를 로컬 워크스테이션과 원격 Windows 데스크톱 간에 텍스트 복사 및 붙여넣기를 지원합니다. 이 기능을 사용하려면 Chromium 기반 브라우저가 필요하며 RBAC를 통해 비활성화할 수 있습니다.

세션 녹화

이제 데스크톱 세션이 SSH 세션과 함께 녹화 및 저장되며, Teleport의 웹 인터페이스에서 확인할 수 있습니다. 텔레포트의 웹 인터페이스에서 볼 수 있습니다. 데스크톱 세션 녹화 기능은 Teleport 8.1에 도입된 세션용 RBAC 기능과 완벽하게 호환됩니다.

세션별 MFA

이제 세션별 MFA 설정이 데스크톱 세션에 적용됩니다. 이를 통해 클러스터 관리자가 데스크톱 세션을 열기 전에 추가 MFA "탭"을 요구할 수 있습니다. 세션. 이 기능을 사용하려면 WebAuthn 장치가 필요합니다.

머신 ID(미리보기)

머신 ID를 사용하면 머신/봇/서비스 계정 사용자를 만들 수 있습니다. SSH 및 X.509 인증서를 자동으로 발급, 갱신 및 관리하여 기계 간 액세스를 쉽게 머신 간 액세스를 용이하게 합니다.

Machine ID는 수명이 짧은 인증서를 프로그래밍 방식으로 발급 및 갱신하는 서비스입니다. 인증서를 모든 서비스 계정(예: CI/CD 서버)에 프로그래밍 방식으로 발급하고 갱신하는 서비스입니다. 자격 증명을 가져옵니다. 이를 통해 세분화된 역할 기반 액세스 제어 및 감사가 가능합니다.

머신 ID로 할 수 있는 몇 가지 작업은 다음과 같습니다:

머신은 CI/CD 파이프라인을 위해 수명이 짧은 SSH 인증서를 검색할 수 있습니다.
머신은 데이터베이스 또는 애플리케이션에 사용하기 위해 수명이 짧은 X.509 인증서를 검색할 수 있습니다. 애플리케이션에 사용할 수 있습니다.
머신에 대한 역할 기반 액세스 제어 및 잠금을 구성하세요.
감사 로그에서 액세스 이벤트를 캡처하세요.

머신 ID 시작 가이드

데이터베이스 액세스

Redis

이제 데이터베이스 액세스를 사용하여 자체 호스팅된 Redis 인스턴스 또는 Redis 클러스터에 연결하고 텔레포트 감사 로그에서 Redis 명령을 볼 수 있습니다. 우리는 몇 주 내에 AWS Elasticache에 대한 지원을 추가할 예정입니다.

[자체 호스팅 Redis 가이드](문서/페이지/데이터베이스-액세스/등록-자체 호스팅 데이터베이스/redis.mdx)

SQL Server(미리보기)

Teleport 9에는 데이터베이스 액세스를 위한 Active 데이터베이스 액세스를 위한 Active Directory 인증을 지원합니다. 쿼리 감사 로깅 활동의 감사 로깅은 프리뷰 릴리스에 포함되어 있지 않으며, 이후 9.x 릴리스에서 이후 9.x 릴리스에서 구현될 예정입니다.

SQL Server 가이드

RDS MariaDB

Teleport 9에서는 자동 검색 및 AWS RDS 연결로 MariaDB 지원이 업데이트됩니다. IAM 인증을 사용하는 MariaDB 데이터베이스. IAM 인증을 지원하는 최소 MariaDB 버전은 10.6입니다.

업데이트된 RDS 가이드

기타 개선 사항

또한 Teleport 9는 자동 검색을 확장하여 Redshift 데이터베이스를 지원하며 다음을 지원합니다. 데이터베이스 액세스 시작 환경을 간소화하는 두 가지 새로운 명령이 추가되었습니다: 데이터베이스 서비스 구성을 생성하는 "teleport db config create", 그리고 AWS에서 실행 중인 데이터베이스 서비스에 대한 IAM 권한을 구성하는 "teleport db configure bootstrap" 데이터베이스 서비스에 대한 IAM 권한을 구성합니다.

CLI 명령 참조:

조정된 세션

조정된 세션을 사용하면 Teleport 관리자는 다음을 허용하는 정책을 정의할 수 있습니다. 사용자가 다른 사용자를 SSH 또는 쿠버네티스 세션에 옵저버, 중재자 또는 피어로 참관자, 중재자 또는 피어로 초대할 수 있습니다.

조정된 세션 가이드

주요 변경 사항

CentOS 6

CentOS 6 지원은 Teleport 8에서 더 이상 사용되지 않으며 현재 제거되었습니다.

데스크톱 액세스

데스크톱 액세스는 이제 X.509 클라이언트 인증서를 사용하여 LDAP에 인증합니다. 'password_file' 구성 옵션에 대한 지원이 제거되었습니다.

8.0.0

Teleport 8.0은 새로운 기능, 개선 사항 및 버그 수정이 포함된 Teleport의 주요 릴리스입니다.

새로운 기능

Windows 데스크톱 액세스 미리보기

텔레포트 8.0에는 Windows 데스크톱 액세스 기능의 미리보기가 포함되어 있습니다. 최신 웹 브라우저를 통해 Windows 데스크톱에 비밀번호 없이 로그인할 수 있습니다.

텔레포트 사용자는 다음을 실행하는 Active Directory에 등록된 Windows 호스트에 연결할 수 있습니다. Windows 10, Windows Server 2012 R2 및 최신 Windows 버전.

이 기능을 직접 사용해 보려면 시작 가이드를 참조하세요.

에서 데스크톱 액세스 디자인을 검토하세요:

TLS 라우팅

TLS 라우팅 모드에서는 모든 클라이언트 연결이 TLS로 래핑되고 단일 텔레포트 프록시 포트에서 멀티플렉싱됩니다.

다음 인증 서비스 구성을 포함하여 TLS 라우팅을 사용하도록 설정할 수 있습니다:

auth_service:
  프록시 리스너 모드: 멀티플렉스
  ...

프록시 구성 버전을 v2로 설정하면 레거시 리스너가 생성되지 않도록 생성되지 않도록 합니다:

버전: v2
proxy_service:
  ...

AWS CLI

텔레포트 애플리케이션 액세스는 AWS 콘솔 지원을 CLI 로 확장합니다. 사용자는 다음을 수행할 수 있습니다. tsh apps login을 사용하여 AWS 콘솔에 로그인하고 tsh aws` 명령을 사용하여 를 사용하여 AWS API와 상호 작용할 수 있습니다.

자세한 내용은 문서를 참조하세요.

애플리케이션 및 데이터베이스 동적 등록

동적 등록을 통해 사용자는 정적 YAM을 업데이트할 필요 없이 애플리케이션과 데이터베이스를 관리할 수 있습니다. 정적 YAML 구성을 업데이트하거나 애플리케이션을 다시 시작할 필요 없이 애플리케이션 및 데이터베이스를 관리할 수 있습니다. 데이터베이스 에이전트를 재시작할 필요 없이 관리할 수 있습니다.

다음에 대한 동적 등록 가이드를 참조하세요. 앱 및 데이터베이스를 참조하세요.

RDS 자동 검색

RDS 자동 검색을 사용하면 텔레포트 데이터베이스 에이전트가 자동으로 AWS 계정에서 RDS 인스턴스 및 Aurora 클러스터를 자동으로 검색할 수 있습니다.

업데이트 참조 RDS 가이드를 참조하세요. 자세한 내용을 참조하세요.

WebAuthn

WebAuthn 지원을 통해 Teleport 사용자는 최신 2단계 인증 옵션을 사용할 수 있습니다, 최신 세컨드 팩터 옵션을 사용할 수 있습니다.

또한 Teleport 웹 UI에는 새로운 세컨드 팩터 관리 도구가 포함되어 있습니다, 사용자가 웹 브라우저를 통해 세컨드 팩터 장치를 구성하고 업데이트할 수 있습니다. 웹 브라우저.

마지막으로, 특정 권한 작업에 대한 추가 세컨드 요소 확인(세컨드 요소의 역할 편집)을 요구하여 UI의 보안이 더욱 강화되었습니다. 확인(예: 세컨드 팩터의 역할 편집 등)을 추가로 요구함으로써 더욱 안전해졌습니다. 확인 등).

개선 사항

데이터베이스에 CockroachDB에 대한 지원이 추가되었습니다. 액세스. #8505
대규모 클러스터에서 로그인 중 네트워크 사용률 감소. #8471
메트릭을 추가하고 리소스 전파를 위한 네트워크 사용률을 표시하는 tctl top 기능 추가 네트워크 사용률을 표시하는 기능을 추가했다. #8338 #8603 #8491
계정 복구 및 취소 지원 추가. #6769
데이터베이스 액세스에 세션별 MFA 지원 추가. #8270
프로파일별 kubeconfig에 대한 지원 추가. #7840

수정

다음을 사용하는 웹 애플리케이션 관련 문제 수정 이벤트소스 를 사용하는 웹 애플리케이션의 문제를 수정했습니다. #8359
대화형 세션이 항상 종료 코드 0을 반환하는 문제를 수정했습니다. #8081
부트스트랩 로직에서 JWT 서명자가 생략되던 문제를 수정했습니다. #8119

주요 변경 사항

CentOS 6

CentOS 6 지원은 Teleport 8에서 더 이상 사용되지 않으며 Teleport 9에서 제거됩니다.

Teleport 8은 약 9개월 동안 보안 패치를 계속 받을 수 있습니다. 이후에는 EOL이 됩니다. 사용자는 해당 기간 내에 CentOS 7로 업그레이드하는 것이 좋습니다. 기간에 업그레이드하는 것이 좋습니다.

종속성 업데이트

Teleport 8에 새로운 런타임 종속성이 추가되었습니다. Rust가 빌드 체인에 포함되었습니다. 텔레포트 8을 사용하려면 텔레포트를 실행하는 시스템에 libgcc_s.so와 libm.so가 가 설치되어 있어야 합니다.

배포되지 않은](https://github.com/GoogleContainerTools/distroless) 컨테이너 이미지 사용자는 컨테이너 이미지 사용자는 gcr.io/distroless/cc-debian11 이미지를 사용하여 텔레포트를 실행하는 것이 좋습니다.

FROM gcr.io/distroless/cc-debian11

알파인 사용자는 이미 사용 중인 libgcc 패키지와 함께 glibc 호환성 레이어에 추가하여 설치하는 것이 좋습니다.

apk --update --no-cache 추가 libgcc

데이터베이스 액세스 인증서

Go 1.17에서 GODEBUG=x509ignoreCN=0 플래그가 제거됨에 따라 데이터베이스 액세스 사용자는 는 더 이상 제시된 인증서의 공통 이름 필드에 호스트 이름이 포함된 데이터베이스에 연결할 수 없습니다. 필드에 호스트 이름이 포함된 데이터베이스에 연결할 수 없습니다. 사용자는 다음을 권장합니다. 호스트 이름을 포함하도록 데이터베이스 인증서를 업데이트합니다. 대신 주체 대체 이름 확장자에 호스트 이름을 포함하도록 데이터베이스 인증서를 업데이트하는 것이 좋습니다.

Github 이슈 구독 #7636을 구독하여 해결 방법으로 TLS 확인 수준을 제어하는 기능을 추가합니다.

역할 변경

새 클러스터에는 더 이상 기본 'admin' 역할이 없으며, 더 작은 범위의 역할인 액세스, 감사, 편집자`의 세 가지 작은 범위의 역할로 대체되었습니다.

7.0.0

텔레포트 7.0은 새로운 기능, 개선 사항 및 버그 수정이 포함된 텔레포트의 주요 릴리스입니다.

새로운 기능

몽고DB

텔레포트 데이터베이스 액세스에 MongoDB 지원을 추가했습니다. #6600.

자세한 내용은 MongoDB를 사용한 데이터베이스 액세스를 참조하세요.

클라우드 SQL MySQL

데이터베이스 액세스 텔레포트에 GCP Cloud SQL MySQL에 대한 지원이 추가되었습니다. #7302

자세한 내용은 Cloud SQL MySQL 가이드를 참조하세요.

AWS 콘솔

텔레포트 애플리케이션 액세스에 AWS 콘솔에 대한 지원이 추가되었습니다. #7590

이제 텔레포트 애플리케이션 액세스가 ID 페더레이션을 사용하여 사용자를 AWS 관리 콘솔에 자동으로 로그인할 수 있습니다. 자세한 내용은 AWS 관리 콘솔 가이드를 참조하세요.

제한된 세션

SH 세션 단위로 네트워크 트래픽(IPv4 및 IPv6)을 차단하는 기능이 추가되었습니다. 커널 5.8 이상이 필요한 BPF 툴을 사용하여 구현되었습니다. #7099

향상된 세션 녹화

향상된 세션 녹화를 업데이트하여 더 이상 bcc-tools와 같은 외부 컴파일러를 설치할 필요가 없도록 했습니다. 커널 5.8 이상이 필요한 BPF 툴을 사용하여 구현되었습니다. #6027

개선 사항

인증서가 만료될 때 데이터베이스 액세스 인증서를 종료하는 기능을 추가했습니다. #5476
사용자 지정 연결 해제 및 MOTD 메시지와 같은 추가 FedRAMP 규정 준수 제어가 추가되었습니다. #6091 #7396
텔레포트 API를 사용하여 감사 로그 및 세션 녹화를 내보내는 기능이 추가되었습니다. #6731 #7360
클러스터를 부분적으로 구성하는 기능을 추가했습니다. #5857 rfd #28
호스트 단위로 포트 포워딩을 비활성화하는 기능을 추가했습니다. #6989
홈 디렉토리를 tsh로 구성하는 기능을 추가했다. #7035
'tsh config'를 사용하여 OpenSSH 클라이언트 구성 스니펫을 생성하는 기능을 추가. #7437
기본 포트 감지를 tsh에 추가 #6374
역할이 많은 사용자를 위한 웹 UI의 성능 개선. #7588

수정

etcd 사용자에게 영향을 줄 수 있는 메모리 누수를 수정했습니다. #7631
사용자가 프록시에 여러 개의 공개 주소를 정의한 경우 'tsh 로그인'이 실패할 수 있는 문제를 수정했습니다. #7368

주요 변경 사항

세션 녹화 기능 개선

향상된 세션 녹화가 CO-RE BPF 실행 파일을 사용하도록 업데이트되었습니다. 따라서 배포가 훨씬 간단해졌으며, 더 이상 bcc-tools를 설치할 필요가 없지만 최소 커널 버전이 5.8 이상이어야 합니다. #6027

쿠버네티스 액세스

프록시가 쿠버네티스 클러스터 내에서 실행 중인 경우, 쿠버네티스 액세스는 더 이상 텔레포트 클러스터의 이름을 딴 클러스터를 자동으로 등록하지 않습니다. 이 기능을 유지하려는 사용자는 이제 kube_cluster_name을 명시적으로 설정해야 한다. #6786

`tsh`

tsh login이 더 이상 현재 쿠버네티스 컨텍스트를 변경하지 않도록 업데이트되었다. tsh login은 kubeconfig에 자격 증명을 쓰지만 tsh login --kube-cluster 또는 tsh kube login <kubeCluster>가 사용되는 경우에만 컨텍스트를 업데이트한다. #6045

6.2

텔레포트 6.2에는 새로운 기능, 개선 사항 및 버그 수정이 포함되어 있다.

**참고: **아래 설명된 DynamoDB 인덱싱 변경으로 인해 속도 제한이 발생할 수 있습니다. 오류가 발생할 수 있으며 대규모 배포(1000개 이상의 기존 감사 이벤트). 다음 패치 릴리스인 v6.2.1에서는 마이그레이션 성능이 개선될 예정입니다. 대규모 DynamoDB 기반 클러스터를 실행하는 경우, 업그레이드하기 전에 v6.2.1을 기다리세요. 을 기다렸다가 업그레이드하는 것이 좋습니다.

새로운 기능

Amazon Redshift 지원 추가

텔레포트 데이터베이스 액세스에 Amazon Redshift #6479에 대한 지원을 추가했습니다.

자세한 내용은 AWS에서 Redshift를 사용한 데이터베이스 액세스 가이드를 참조하세요.

개선 사항

텔레포트 애플리케이션 접근을 위한 패스스루 헤더 지원이 추가되었습니다. #6601
루트 클러스터에서 리프 클러스터로 클레임 정보를 전파하는 기능이 추가되었습니다. #6540
MySQL 데이터베이스 액세스를 위한 프록시 프로토콜 추가. #6594
Postgres 데이터베이스 액세스를 위한 준비된 문 지원 추가. #6303
감사 로그 페이지 매김을 위한 GetSessionEventsRequest RPC 엔드포인트 추가. rfd 19 #6731
이벤트에 대한 DynamoDB 인덱싱 전략 변경. RFD 24 #6583

수정

여러 세션별 MFA 문제를 수정했습니다. #6542 #6567 #6625 #6779 #6948
etcd JWT 갱신 문제 수정. #6905
타깃 파드가 종료될 때 kubectl exec 세션이 기록되지 않던 문제를 수정했다. #6068
ARMv7 시스템에서 텔레포트가 시작되지 않는 문제를 수정했다. #6711.
접근 요청이 일관성 없이 상승된 쿠버네티스 접근을 허용하는 문제를 수정했다. #6492
세션 종료` 이벤트가 발생하지 않을 수 있는 문제를 수정했다. #6756
PAM 변수 보간 관련 문제를 수정했습니다. #6558

속보 변경 사항

상담원 전달

텔레포트 6.2에서는 tsh 상담원 전달과 하위 호환되지 않을 수 있는 변경 사항이 있습니다.

Teleport 6.2 이전에는 tsh ssh -A가 ~/.tsh 디렉터리에서 인메모리 SSH 에이전트를 생성하고 해당 에이전트를 대상 호스트로 포워딩했습니다.

Teleport 6.2부터 tsh ssh -A는 이제 기본적으로 시스템 SSH 에이전트($SSH_AUTH_SOCK에서 사용 가능)를 포워딩합니다. 이전 동작을 유지하려는 사용자는 tsh ssh -o "ForwardAgent local"을 사용하면 됩니다.

자세한 내용은 RFD 22 및 #6525의 구현을 참조하세요.

DynamoDB 인덱싱 변경

DynamoDB 사용자는 이벤트 백엔드 인덱싱 전략이 변경되었음을 유의해야 합니다. 변경되었으며 업그레이드 후 데이터 마이그레이션이 트리거됩니다. 최적의 최적의 성능을 위해 하나의 인증 서버만 온라인 상태에서 이 마이그레이션을 수행하세요. 마이그레이션에는 시간이 걸릴 수 있으며 진행 상황이 주기적으로 인증 서버의 로그에 기록됩니다. 이 마이그레이션 중에는 마이그레이션이 완료된 이벤트만 웹 UI에 표시됩니다. 완료 후에는 모든 이벤트를 사용할 수 있습니다.

자세한 내용은 RFD 24 및 #6583의 구현을 참조하세요.

6.1.5

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

프로메테우스 메트릭이 추가되었습니다. #6511
대규모 클러스터에서 시간 초과 문제를 방지하기 위해 TLS 핸드셰이크 타임아웃을 5초로 업데이트했습니다. #6692
비대화형 SSH 출력이 로그에 표시되는 문제를 수정했습니다. #6683
시작 시 텔레포트가 패닉에 빠질 수 있는 두 가지 문제를 수정했습니다. #6431 #5712

6.1.3

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

데이터베이스 액세스(MySQL)에 대한 프록시 프로토콜 지원이 추가되었습니다. #6517

6.1.2

이번 텔레포트 릴리스에는 새로운 기능이 포함되어 있습니다.

로그에 타임스탬프를 사용할 수 있도록 로그 서식과 지원이 추가되었습니다. #5898

6.1.1

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

DEB 빌드가 텔레포트 DEB 저장소에 게시되지 않던 문제를 수정했습니다.

6.1.0

텔레포트 6.1에는 여러 가지 새로운 기능, 개선 사항, 버그 수정이 포함되어 있습니다.

새로운 기능

Kubernetes 및 SSH 세션용 U2F

모든 SSH 및 Kubernetes "연결"(단일 tsh ssh 또는 kubectl 호출)에서 U2F 인증에 대한 지원이 추가되었습니다. 이는 온디스크 텔레포트 인증서가 손상되지 않도록 사용자를 보호하는 고급 보안 기능입니다. 세션별 MFA는 클러스터 전체에 적용하거나 일부 특정 역할에 대해서만 적용할 수 있습니다.

자세한 내용은 세션별 MFA 문서 또는 RFD 14 및 RFD 15 를 참조하세요.

이중 인증 워크플로

여러 사용자에게 액세스 요청을 검토하고 승인하도록 요청하는 기능이 추가되었습니다.

기술적 세부 사항은 #5071을 참조하세요.

개선 사항

PAM 모듈에 SSO 클레임을 전파하는 기능이 추가되었습니다. #6158
리프 클러스터에 대한 대기 시간을 줄이기 위해 클러스터 라우팅에 대한 지원이 추가되었습니다. RFD 21
데이터베이스 액세스에 구글 클라우드 SQL에 대한 지원 추가. #6090
애플리케이션 액세스를 위한 CLI 자격 증명 발급 지원 추가. #5918
암호화된 SAML 어설션에 대한 지원 추가. #5598
사용자 가장에 대한 지원 추가. #6073

수정

'gpg-agent'와의 상호운용성 문제를 수정했습니다. RFD 18
애플리케이션 액세스에서 웹소켓 지원을 수정했습니다. #6028
tsh play의 파일 인수 문제를 수정했습니다. #1580
LXC 컨테이너에서 문제를 일으켰던 utmp 회귀를 수정했습니다. #6256

6.0.3

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

리프 트러스티드 클러스터가 많은 배포에서 높은 네트워크 트래픽을 유발하던 문제를 수정했습니다. #6263

6.0.2

이번 텔레포트 릴리스에는 버그 수정과 새로운 기본 역할이 추가되었습니다.

'--insecure-no-tls` 플래그로 실행 시 프록시 웹 엔드포인트가 연결을 재설정하는 문제를 수정했습니다. #5923
역할 사전 설정 도입: 감사자, 편집자, 액세스. #5968
구글 서비스 계정` 필드를 구글 워크스페이스 OIDC 커넥터에 인라인하는 기능 추가. #5563

6.0.1

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

'TLS-ALPN-01' 챌린지로 인해 ACME 기본 구성이 실패하는 문제가 수정되었습니다. #5839
ADFS 통합의 회귀를 수정했습니다. #5880

6.0.0

텔레포트 6.0은 새로운 기능, 기능 및 버그 수정이 포함된 주요 릴리스입니다.

데이터베이스 액세스](./docs/pages/database-access/introduction.mdx)를 구현했습니다, 오픈 소스 역할 기반 액세스 제어(RBAC)를 구현하고 공식 API와 Go 클라이언트 라이브러리를 추가했습니다.

자세한 내용은 Github의 6.0 마일스톤에서 확인할 수 있습니다.

새로운 기능

데이터베이스 액세스

RFD #11에서 데이터베이스 액세스 설계를 검토하세요.

데이터베이스 액세스를 통해 사용자는 짧은 수명의 인증서를 사용하여 PostgreSQL 및 MySQL 데이터베이스에 연결하고, 데이터베이스에 대한 SSO 인증 및 역할 기반 액세스 제어를 구성하고, 감사 로그에서 SQL 쿼리 활동을 캡처할 수 있습니다.

시작하기

시작하기](./docs/pages/database-access/introduction.mdx#get-started/) 가이드에 따라 데이터베이스 액세스를 구성하세요.

가이드

리소스

데이터베이스 액세스에 대한 역할 기반 액세스 제어 구성에 대해 자세히 알아보려면 RBAC 섹션을 참조하세요.

아키텍처에서는 네트워킹 및 보안과 같은 데이터베이스 액세스 내부에 대해 자세히 살펴볼 수 있습니다.

데이터베이스 액세스 관련 구성 및 CLI 명령어에 대한 개요는 참조를 참조하세요.

마지막으로 자주 묻는 질문을 확인하세요.

OSS RBAC

오픈 소스 RBAC 지원은 RFD #7에서 소개되었습니다.

RBAC 지원을 통해 OSS 관리자는 클러스터가 있는 서버 및 기타 리소스(세션 녹화 액세스 등)에 대해 보다 세분화된 액세스 제어를 할 수 있습니다. RBAC 정책의 예는 다음과 같습니다: "관리자는 무엇이든 할 수 있고, 개발자는 프로덕션 서버에 절대 손을 대서는 안 되며, 인턴은 게스트로서 스테이징 서버에만 SSH로 접속할 수 있다."

또한 일부 Access 워크플로 플러그인은 이제 오픈 소스 사용자도 사용할 수 있게 됩니다.

Access 워크플로 Golang SDK 및 API
Slack
Gitlab
Mattermost
JIRA 플러그인
PagerDuty 플러그인

클라이언트 라이브러리 및 API

API 및 클라이언트 라이브러리 지원은 RFD #10에서 소개되었습니다.

새로운 API와 클라이언트 라이브러리는 텔레포트 API를 사용하는 데 필요한 종속성을 줄여줄 뿐만 아니라 더 쉽게 사용할 수 있게 해줍니다. 새 API 사용 예시는 아래와 같습니다.

// 내보낸 ID 파일을 사용하여 인증 서버에 연결된 클라이언트를 만듭니다.
clt, err := client.NewClient(client.Config{{})
  Addrs: []string{"auth.example.com:3025"},
  Credentials: []client.Credentials{
    client.LoadIdentityFile("identity.pem"),
  },
})
if err != nil {
  log.Fatalf("클라이언트를 만들지 못했습니다: %v.", err)
}
defer clt.Close()

// 액세스 요청을 생성합니다.
accessRequest, err := types.NewAccessRequest(uuid.New(), "access-admin", "admin")
if err != nil {
  log.Fatalf("액세스 요청을 빌드하지 못했습니다: %v.", err)
}
if err = clt.CreateAccessRequest(ctx, accessRequest); err != nil { }
  log.Fatalf("액세스 요청을 생성하지 못했습니다: %v.", err)
}

개선 사항

5491에서 SSH에 대한 utmp/wtmp 지원 추가.
5611에서 쿠버네티스 특정 공개 주소를 설정하는 기능 추가.
쿠버네티스 접속에 프록시 프로토콜 지원 추가 #5299.
TLS 인증서를 더 쉽게 얻고 사용할 수 있도록 ACME(Let's Encrypt) 지원 추가. #5177.
웹 UI에 로컬 사용자를 관리하는 기능을 #2945에 추가했습니다.
#2889에서 tsh scp 사용 시 타임스탬프를 보존하는 기능을 추가했습니다.

수정

5323에서 .tsh 디렉터리를 제거한 후 Access 워크플로우로 CLI를 통해 로그인할 때 인증 실패를 수정했습니다.
5380에서 --프록시가 실제 프록시 공개 주소와 다를 때 tsh 로그인 실패를 수정했습니다.
#2945에서 세션 재생 문제를 수정했습니다.
5559](https://github.com/gravitational/teleport/issues/5559), #5568, #4965, #5057에서 여러 UX 문제를 수정했습니다.

업그레이드 노트

클러스터를 업그레이드하려면 표준 업그레이드 절차를 따르세요.

GitHub SSO 및 신뢰할 수 있는 클러스터를 사용하는 클러스터의 경우, SSO를 업그레이드하면 사용자는 리프 클러스터에 대한 연결이 끊어집니다. 로컬 사용자는 영향을 받지 않습니다.

SSO 사용자의 리프 클러스터 연결을 복원하려면 리프 관리자가 아래와 같이 trusted_cluster 역할 매핑 리소스를 업데이트해야 합니다.

종류: trusted_cluster
version: v2
메타데이터:
   이름: "zztop-oss"
spec:
   enabled: true
   토큰: "bar"
   web_proxy_addr: 172.10.1.1:3080
   터널 주소: 172.10.1.1:3024
   role_map:
   - remote: "admin"
     local: ['admin']
   - remote: "^(github-.*)$"
     local: ['admin']

5.1.0

이번 텔레포트 릴리스에는 새로운 기능이 추가되었습니다.

웹 UI 내에서 액세스 워크플로 요청을 생성하고 가정하는 기능 지원(전체 워크플로 UI 지원을 위한 첫 단계입니다: #4937).

5.0.2

이번 텔레포트 릴리스에는 보안 수정 사항이 포함되어 있습니다.

SAML 인증 우회 패치(https://github.com/russellhaering/gosaml2/security/advisories/GHSA-xhqq-x44f-9fgg 참조): #5119.

Okta, Active Directory, OneLogin 또는 사용자 지정 SAML 커넥터를 사용하는 모든 엔터프라이즈 SSO 사용자는 인증 서버를 5.0.2 버전으로 업그레이드하고 Teleport를 다시 시작해야 합니다. 즉시 업그레이드할 수 없는 경우 업데이트를 적용할 수 있을 때까지 모든 클러스터에 대해 SAML 커넥터를 비활성화하는 것이 좋습니다.

5.0.1

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

서버 리소스의 만료 시간을 항상 하트비트 단위로 설정 #5008
스트리밍 k8s 응답(kubectl logs -f, kubectl run -it 등) 수정 #5009
k8s 전달자에 대한 여러 수정 #5038

5.0.0

텔레포트 5.0은 새로운 기능, 기능 및 버그 수정이 포함된 주요 릴리스입니다. 모든 항목에 대한 자세한 내용은 Github에서 5.0 종료된 이슈를 참조하세요.

새로운 기능

텔레포트 5.0에는 두 가지 기능이 도입되었습니다: 텔레포트 애플리케이션 액세스와 멀티클러스터 지원이라는 중요한 Kubernetes 액세스 개선 사항입니다.

텔레포트 애플리케이션 액세스

이제 텔레포트를 사용하여 웹 애플리케이션에 대한 보안 액세스를 제공할 수 있습니다. 이 새로운 기능은 한때 VPN을 사용했거나 감사 추적이 거의 또는 전혀 없는 단순한 권한 부여 및 인증 메커니즘을 사용했을 수 있는 내부 앱을 보호하기 위한 목적으로 구축되었습니다. 애플리케이션 액세스는 대시보드부터 단일 페이지 Javascript 애플리케이션(SPA)에 이르기까지 모든 것에서 작동합니다.

애플리케이션 액세스는 상호 인증된 역방향 터널을 사용하여 Teleport 통합 액세스 플랫폼과의 보안 연결을 설정한 다음 내부 애플리케이션에 대한 모든 트래픽의 단일 진입 지점이 될 수 있습니다.

애플리케이션 추가는 정적 또는 동적 초대 토큰 생성부터 시작하여 SSH 서버 또는 Kubernetes 클러스터를 추가하는 것과 동일한 UX를 따릅니다.

$ tctl 토큰 추가 --type=app

그런 다음 몇 가지 새로운 플래그와 함께 텔레포트를 시작하면 됩니다.

$ teleport start --roles=app --token=xyz --auth-server=proxy.example.com:3080 --app-name="example-app" --app-uri="http://localhost:8080"

이 명령은 공개 주소 http://localhost:8080에서 https://example-app.example.com로 실행되는 애플리케이션 "example-app"을 프록시하는 앱 서버를 시작합니다.

텔레포트.yaml의 새로운 app_service 섹션을 사용하여 애플리케이션을 구성할 수도 있습니다.

app_service:
   # 텔레포트 애플리케이션 액세스가 활성화되었습니다.
   enabled: yes
   # 기본 샘플 앱이 추가되었습니다.
   # 텔레포트 애플리케이션 액세스가 작동하는지 확인하고
   # 확인하고 JWT 토큰을 출력하는 기본 샘플 앱을 추가했습니다.
   # https://dumper.teleport.example.com:3080/
   debug_app: true
   apps:
   # 애플리케이션 액세스는 모든 HTTP 엔드포인트를 프록시하는 데 사용할 수 있습니다.
   # 참고: 이름은 공백을 포함할 수 없으며 DNS와 호환되는 A-Za-z0-9-._여야 합니다.
   - 이름: "내부 대시보드"
     uri: "http://10.0.1.27:8000"
     # 기본적으로 텔레포트는 이 애플리케이션을 하위 도메인에서
     # 텔레포트 프록시 호스트 이름의 하위 도메인에서 사용할 수 있습니다.
     internal-dashboard.teleport.example.com에서 # 사용할 수 있습니다.
     # 따라서 와일드카드 DNS 설정의 중요성이 강조됩니다.
     # 원하는 경우 사용자 지정 공개 URL을 설정할 수 있습니다.
     # DNS 레코드는 프록시 서버를 가리켜야 합니다.
     # internal-dashboard.teleport.example.com
     # 내부 대시보드 앱의 공개 URL 예시입니다.
     # public_addr: "internal-dashboard.acme.com"
     # 선택적 레이블
     # 레이블을 RBAC 규칙과 결합하여 액세스를 제공할 수 있습니다.
     labels:
       customer: "acme"
       env: "production"
     # 선택적 동적 레이블
     명령
     - name: "os"
       명령: ["/usr/bin/uname"]
       기간: "5s"
     # 프록시는 여러 애플리케이션을 지원할 수 있습니다.
     # 텔레포트 노드와 함께 배포할 수도 있습니다.
     - name: "arris"
       uri: "http://localhost:3001"
       public_addr: "arris.example.com"

애플리케이션 액세스를 위해서는 두 가지 추가 변경이 필요합니다. 애플리케이션 도메인이 프록시를 가리키도록 DNS를 업데이트해야 하며, 프록시에 도메인에 대한 TLS 인증서를 로드해야 합니다. 와일드카드 DNS 및 TLS 인증서를 사용하여 배포를 간소화할 수 있습니다.

# 앱_서비스 추가 시 TLS를 제공하려면 인증서가 필요합니다.
# 연결을 제공해야 합니다. 인증서는 proxy_service에 의해 관리됩니다.
proxy_service:
  # https 인증서에 대한 지원을 확장했습니다. 이제 텔레포트에서 여러 개의
  # TLS 인증서를 로드할 수 있습니다. 아래 예제에서는 와일드카드 인증서를 얻었습니다.
  # 애플리케이션을 프록시하는 데 사용할 와일드카드 인증서를 얻었습니다.
  HTTPS 요청의 호스트 이름에 따라 # 올바른 인증서가 선택됩니다.
  # 요청의 호스트 이름에 따라 올바른 인증서가 선택됩니다.
  https_keypairs:
  - key_file: /etc/letsencrypt/live/teleport.example.com/privkey.pem
    cert_file: /etc/letsencrypt/live/teleport.example.com/fullchain.pem
  - 키 파일 /etc/letsencrypt/live/*.teleport.example.com/privkey.pem
    cert_file: /etc/letsencrypt/live/*.teleport.example.com/fullchain.pem

자세한 내용은 애플리케이션 액세스 소개에서 확인할 수 있습니다.

텔레포트 쿠버네티스 액세스

Teleport 5.0은 또한 많은 요청을 받았던 두 가지 Kubernetes 기능을 도입합니다.

여러 개의 쿠버네티스 클러스터를 텔레포트 액세스 플랫폼에 연결하여 운영 복잡성을 크게 줄일 수 있는 기능.
기존 kubectl exec 캡처를 뛰어넘는 완전한 Kubernetes 감사 로그 캡처 #4526.

전체 개요는 Kubernetes RFD를 참조하세요.

이러한 변경 사항을 지원하기 위해 새로운 서비스를 도입했습니다. 이것은 텔레포트 쿠버네티스 구성을 proxy_service에서 자체 전용 kubernetes_service 섹션으로 이동합니다.

새 Kubernetes 서비스를 추가할 때는 새로운 유형의 조인 토큰이 필요합니다.

tctl 토큰 추가 --type=kube

새로운 kubernetes_service에 대한 구성 예제:

# ...
kubernetes_service:
   enabled: yes
   listen_addr: 0.0.0.0:3027
   kubeconfig_file: /secrets/kubeconfig

참고: 쿠버네티스 포트는 여전히 kube_listen_addr을 통해 proxy_service에서 구성해야 한다.

새로운 "tsh kube" 명령어

tsh kube 명령은 등록된 클러스터를 쿼리하고 kubeconfig 컨텍스트를 전환하는 데 사용된다:

$ tsh login --proxy=proxy.example.com --user=awly

# 등록된 모든 클러스터를 나열한다.
$ tsh kube ls
클러스터 이름 상태
------------- ------
a.k8s.example.com 온라인
b.k8s.example.com 온라인
c.k8s.example.com 온라인

# 로그인 시, kubeconfig는 첫 번째 클러스터(알파벳순)를 가리킨다.
$ kubectl config current-context
proxy.example.com-a.k8s.example.com

# 하지만 모든 클러스터는 컨텍스트로 채워진다.
$ kubectl config get-contexts
현재 이름 클러스터 자동 정보
* proxy.example.com-a.k8s.example.com proxy.example.com proxy.example.com-a.k8s.example.com
          proxy.example.com-b.k8s.example.com proxy.example.com proxy.example.com-b.k8s.example.com
          proxy.example.com-c.k8s.example.com proxy.example.com proxy.example.com-c.k8s.example.com

# 다른 클러스터 간에 전환합니다:
$ tsh kube login c.k8s.example.com

# 기존 방식도 지원된다:
$ kubectl config use-context proxy.example.com-c.k8s.example.com

# 현재 클러스터 확인
$ kubectl config current-context
proxy.example.com-c.k8s.example.com

기타 쿠버네티스 변경 사항:

단일 텔레포트 클러스터 #3667를 사용하여 방화벽/NAT 뒤에서 k8s 클러스터 지원.
단일 텔레포트 프록시 인스턴스로 여러 개의 k8s 클러스터 지원 #3952

추가 사용자 및 토큰 리소스

토큰 생성을 제한하고 텔레포트 사용자를 나열 및 수정하는 기능을 제공하는 두 가지 새로운 RBAC 리소스가 추가되었습니다:

- 리소스 [사용자]''
  동사 [목록, 생성, 읽기, 업데이트, 삭제]
- 리소스 [토큰]
  동사 [목록,생성,읽기,업데이트,삭제]

텔레포트의 RBAC 리소스에 대해 자세히 알아보세요.

클러스터 레이블

Teleport 5.0에는 신뢰할 수 있는 클러스터에 레이블을 설정하는 기능도 추가되었습니다. 레이블은 신뢰할 수 있는 클러스터 초대 토큰을 만들 때 설정됩니다. 이를 통해 팀은 노드에서 사용되는 것과 동일한 RBAC 제어를 사용해 클러스터에 대한 액세스를 승인하거나 거부할 수 있습니다. 이는 수백 개의 고객 클러스터를 연결하는 MSP에 특히 유용할 수 있으며, Access 워크플로와 함께 사용하면 클러스터 액세스를 쉽게 위임할 수 있습니다. 자세한 내용은 트러스터 클러스터 설정 및 RBAC 문서를 검토하여 알아보세요.

프로덕션 환경에 대한 신뢰할 수 있는 클러스터 조인 토큰 만들기:

tctl tokens add --type=trusted_cluster --labels=env=prod

종류: 역할
#...
  deny:
    # 클러스터 레이블은 사용자가 연결할 수 있는 클러스터를 제어합니다. 와일드카드('*')
    # 는 모든 클러스터를 의미합니다. 기본적으로 거부 규칙은 이전 버전을 유지하기 위해 비어 있습니다.
    # 호환성
    클러스터_라벨:
      'env': 'prod'

텔레포트 UI 업데이트

텔레포트 5.0은 4.3의 UI 새로고침도 반복합니다. 클러스터 목록을 사이드바로 옮기고 애플리케이션 런처를 추가했습니다. 4.4에서 5.0으로 이전하는 고객의 경우 세션 녹화를 전용 섹션으로 다시 옮긴 것을 확인하실 수 있습니다.

기타 업데이트:

이제 https://[cluster-url]/web/users를 통해 로컬 사용자 관리를 제공하여 로컬 사용자를 쉽게 편집, 재설정 및 삭제할 수 있는 기능을 제공합니다.
노드 및 앱 설치 스크립트 텔레포트. 이 기능은 현재 엔터프라이즈 전용 기능으로, 고객에게 간편한 '자동 마법' 설치 스크립트를 제공합니다. 엔터프라이즈 고객은 '토큰' 리소스를 수정하여 이 기능을 활성화할 수 있습니다. 위의 참고 사항을 참조하세요.
Access 워크플로우를 사용하는 고객을 위한 대기실을 추가했습니다. 문서

서명된 RPM 및 릴리스

텔레포트 5.0부터는 텔레포트의 안정적인 릴리스를 위한 RPM 저장소를 제공합니다. 또한, 항상 공식 텔레포트 빌드를 사용하고 있다는 확신을 드리기 위해 RPM에 서명하기 시작했습니다.

자세한 내용은 https://rpm.releases.teleport.dev/ 을 참조하세요.

개선 사항

'tsh play'에 --format=json 재생 옵션을 추가했습니다. 예를 들어 tsh play --format=json ~/play/0c0b81ed-91a9-4a2a-8d7c-7495891a6ca0.tar | jq '.event는 로컬 아카이브 내의 모든 이벤트를 표시하는 데 사용할 수 있습니다. #4578
DynamoDB에 대한 연속 백업 및 자동 스케일링 지원이 추가되었습니다. #4780
Linux ARM64/ARMv8(64비트) 릴리스 추가. #3383
https_key_파일및https_cert_파일을 대체하는 https_keypairs필드 추가. 이를 통해 관리자는 텔레포트 애플리케이션 액세스를 위해 여러 개의 HTTPS 인증서를 로드할 수 있습니다. 텔레포트 5.0은 이전 형식과 역호환되지만,https_keypairs`를 사용하도록 구성을 업데이트하는 것이 좋습니다.

기업 전용:

tctl은 ~/.tsh에서 자격 증명을 로드할 수 있습니다 #4678.
액세스 워크플로를 사용할 때 팀에서 사용자가 제출한 이유를 요구할 수 있음 #4573

수정

리소스를 항상 JSON/YAML의 목록으로 포맷하도록 tctl을 업데이트했습니다. #4281
이제 쿠버네티스 상태를 출력하도록 tsh status를 업데이트했다. #4348
간헐적으로 발생하는 loginuid.so 관련 문제를 수정했다. #3245
프록시에 대한 접근 거부 로그 스팸 감소. #2920
다양한 AMI 수정: 이제 경로가 다른 텔레포트 패키지와 일치하며 재부팅 시 구성 파일을 덮어쓰지 않습니다.

문서

텔레포트에 대한 애플리케이션을 간단히 개발할 수 있도록 API 가이드를 추가했습니다.

업그레이드 노트

표준 업그레이드 절차를 따르세요.

선택 사항입니다: https_key_file및https_cert_file을 새로운 https_keypairs:` 형식으로 업데이트하는 것을 고려하세요.
선택 사항: 업그레이드 후 proxy_service에서 kubernetes_service로 쿠버네티스 액세스를 마이그레이션하는 것을 고려한다.

4.4.6

이번 텔레포트 릴리스에는 보안 수정과 버그 수정이 포함되어 있다.

SAML 인증 우회 패치(https://github.com/russellhaering/gosaml2/security/advisories/GHSA-xhqq-x44f-9fgg 참조): #5120.

Okta, Active Directory, OneLogin 또는 사용자 지정 SAML 커넥터를 사용하는 모든 엔터프라이즈 SSO 사용자는 인증 서버를 4.4.6 버전으로 업그레이드하고 Teleport를 다시 시작해야 합니다. 즉시 업그레이드할 수 없는 경우 업데이트를 적용할 수 있을 때까지 모든 클러스터에 대해 SAML 커넥터를 비활성화하는 것이 좋습니다.

다음과 같은 경우 '접속 거부' 오류와 함께 'tsh 로그인'이 실패하는 문제를 수정했습니다. 사용자가 리프 클러스터에 몰래 로그인한 경우 tsh 로그인이 실패하는 문제를 수정했습니다. #5105

4.4.5

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

텔레포트 인증 서비스가 비동기 녹화 모드에서 느리거나 응답하지 않아 클라이언트 연결이 중단될 수 있던 문제를 수정했습니다. #4696

4.4.4

이번 텔레포트 릴리스에서는 액세스 워크플로 API에 개선 사항이 추가되었습니다.

로그인 시 액세스 요청을 트리거하는 제한된 역할 생성 지원 사용자가 외부에서 부여된 역할 없이는 어떤 노드에도 노드에 액세스할 수 없도록 구성할 수 있습니다.
액세스 요청을 자동으로 생성하고 승인 시 새로운 역할을 가정하는 승인 시 새로운 역할을 가정하는 텔레포트 UI 지원(이전에는 액세스 요청이 에서만 가능).
외부의 클레임을 사용할 수 있는 새로운 '클레임_투_역할' 매핑. 클레임을 사용하여 사용자가 요청할 수 있는 역할을 결정할 수 있습니다.
요청을 더 쉽게 관리하고 감사하는 데 도움이 되는 다양한 사소한 API 개선. 관리 및 감사, 사람이 읽을 수 있는 지원 포함 요청/승인/거부 사유 및 구조화된 주석 지원을 포함하여 요청을 더 쉽게 관리하고 감사할 수 있도록 도와주는 다양한 사소한 API 개선 사항.

4.4.2

이번 텔레포트 릴리스에는 새로운 빌드 아키텍처에 대한 지원이 추가되었습니다.

다운로드 포털에 텔레포트의 자동 arm64 빌드가 추가되었습니다.

4.4.1

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

여러 로깅 구성을 정의하면 텔레포트가 충돌하던 문제를 수정했습니다. #4598

4.4.0

새로운 기능, 기능 및 버그 수정에 중점을 둔 주요 텔레포트 릴리스입니다. 상당한 규모의 릴리스이며, 모든 항목에 대한 자세한 내용은 깃허브의 4.4 비공개 이슈에서 확인할 수 있습니다.

새로운 기능

동시 세션 제어

텔레포트에 추가된 이 기능은 고객이 AC-10을 제어할 수 있도록 도와줍니다. 이제 두 가지 새로운 옵션 구성 값을 제공합니다: 최대_연결및최대_세션`.

`최대_연결`

이 값은 클러스터 내에서 텔레포트를 실행하는 노드에 대한 총 동시 세션 수입니다. 이 값은 사용자 단위로 적용됩니다. 최대 연결 수를 1로 설정하면 tsh사용자는 한 번에 한 노드에만tsh ssh`로 접속할 수 있습니다.

`max_sessions` 연결당

이 값은 단일 SSH 연결에서 설정할 수 있는 총 세션 채널 수를 제한합니다(일반적으로 대화형 터미널 또는 원격 실행 작업에 사용됨). 이 값은 노드에 텔레포트가 설정되어 있지만 사용자가 OpenSSH를 사용하여 노드에 연결하는 경우에 사용됩니다. 이는 기본적으로 sshd에서 허용하는 MaxSessions 구성 값과 동일합니다.

사양:
  옵션:
    # 선택 사항: AC-10 준수를 위해 설정해야 합니다.
    max_connections: 2
    # 선택 사항입니다: 10으로 설정된 OpenSSH 동작과 일치하려면
    max_sessions: 10

`세션_제어_타임아웃`

텔레포트 구성 파일의 auth_service 구성 블록에 새로운 session_control_timeout 구성 값이 추가되었습니다. 이 값을 수정할 필요는 없을 것 같습니다.

auth_service:
  세션_제어_타임아웃: 2m # 기본값
# ...

세션 스트리밍 개선 사항

텔레포트 4.4에는 이벤트 시스템의 전면적인 리팩토링이 포함되어 있습니다. 이를 통해 #3800: DynamoDB에서 덮어쓴 이벤트, #3182: 멀티파트 업로드 시 모든 디스크 공간을 차지하는 텔레포트 등 몇 가지 고객 버그 보고가 해결되었습니다.

기본적인 개선 사항과 함께 4.4에는 두 가지 새로운 실험적 session_recording 옵션이 추가되었습니다: 노드 동기화와 프록시 동기화`. 참고: 이러한 실험 모드를 사용하려면 모든 텔레포트 인증 서버, 프록시 서버 및 노드가 텔레포트 4.4를 실행 중이어야 합니다.

# 이 섹션에서는 '인증 서비스'를 구성합니다:
auth_service:
    # 세션 녹화를 구성하기 위한 선택적 설정입니다. 가능한 값은 다음과 같습니다:
    # "node": 세션이 노드 수준에서 기록됩니다(기본값).
    # "프록시": 프록시 수준에서 녹화, "프록시 모드 녹화" 섹션 참조.
    # "off": 세션 녹화가 꺼집니다.
    #
    # 실험용 *-동기화 모드: 프록시와 노드가 로그를 S3 또는 기타
    # 디스크에 기록을 전혀 저장하지 않고 직접 저장소로 전송합니다. 이 모드는 네트워크 연결이 끊어지면
    # 네트워크 연결이 끊어집니다.
    참고: 이러한 실험적 모드를 사용하려면 모든 텔레포트 인증 서버, 프록시 서버, # 노드가 텔레포트를 실행 중이어야 합니다.
    # 노드가 모두 텔레포트 4.4를 실행 중이어야 합니다.
    #
    # "node-sync" : 세션 녹화는 노드 -> 인증 -> 스토리지에서 스트리밍됩니다.
    # "proxy-sync" : 세션 녹화는 프록시 -> 인증 -> 스토리지에서 스트리밍됩니다.
    #
    session_recording: "node-sync"

개선 사항

세션 스트리밍을 추가했습니다. #4045
동시 세션 제어를 추가했습니다. #4138
tctl auth sign을 통해 kubeconfig` 생성 시 리프 클러스터를 지정하는 기능을 추가했다. #4446
tsh ls`에 대한 출력 옵션(예: JSON)을 추가했다. #4390
하트비트 디버그 로그에 노드 ID 추가 #4291
로그인 시 pam_authenticate를 트리거하는 옵션 추가 #3966

수정

일부 유휴 kubectl exec 세션이 종료되는 문제를 수정했다. #4377
윈도우에서 tsh를 사용할 때 발생하는 심볼릭 링크를 수정했다. #4347
디버그 플래그 없이 어두운 터미널에서 실행되도록 tctl top을 수정했습니다. #4282 #4231
DynamoDB가 HTTP CONNECT 프록시를 존중하지 않는 문제를 수정했습니다. #4271
훨씬 더 빠르게 복구되도록 /readyz 엔드포인트를 수정했습니다. #4223

문서

지원되는 계정 유형에 대한 설명을 추가하기 위해 Google 워크스페이스 설명서를 업데이트했습니다. #4394
필요한 포트에 대한 IoT 지침을 업데이트했습니다. #4398
루트 및 리프 클러스터에서 트러스트를 제거하는 방법에 대한 트러스티드 클러스터 설명서를 업데이트했습니다. #4358
PAM 인증 사용 정보로 PAM 설명서를 업데이트했다. #4352

업그레이드 노트

표준 업그레이드 절차](docs/pages/upgrading.mdx)를 따르세요.

4.3.9

이번 텔레포트 릴리스에는 보안 수정 사항이 포함되어 있습니다.

SAML 인증 우회 패치(https://github.com/russellhaering/gosaml2/security/advisories/GHSA-xhqq-x44f-9fgg 참조): #5122.

Okta, Active Directory, OneLogin 또는 사용자 지정 SAML 커넥터를 사용하는 모든 엔터프라이즈 SSO 사용자는 인증 서버를 4.3.9 버전으로 업그레이드하고 Teleport를 다시 시작해야 합니다. 즉시 업그레이드할 수 없는 경우에는 업데이트를 적용할 수 있을 때까지 모든 클러스터에 대해 SAML 커넥터를 비활성화하는 것이 좋습니다.

4.3.8

이번 텔레포트 릴리스에는 새로운 빌드 아키텍처에 대한 지원이 추가되었습니다.

다운로드 포털에 텔레포트의 자동 arm64 빌드를 추가했습니다.

4.3.7

이번 텔레포트 릴리스에는 보안 수정 및 버그 수정이 포함되어 있습니다.

github.com/russellhaering/goxmldsig를 업데이트하여 CVE-2020-15216을 완화했습니다.

세부 정보

텔레포트에서 구성하는 데 사용되는 XML 파일의 서명을 검증하는 데 사용되는 github.com/russellhaering/goxmldsig 라이브러리의 서명을 검증하는 데 사용되는 라이브러리에서 취약점이 발견되었습니다. 공격자는 세심하게 조작된 XML 파일을 사용하여 완전히 XML 서명 유효성 검사를 완전히 우회하고 변경된 파일을 서명된 파일로 통과시킬 수 있습니다.

동작

goxmldsig` 라이브러리가 업스트림으로 업데이트되었으며 Teleport 4.3.7에 수정 사항이 포함되어 있습니다. Okta를 사용하는 모든 엔터프라이즈 SSO 사용자, 인증 서버를 4.3.7 버전으로 업그레이드하고 Teleport를 다시 시작해야 합니다.

즉시 업그레이드할 수 없는 경우에는 업데이트를 적용할 수 있을 때까지 모든 클러스터의 SAML 커넥터를 삭제하는 것이 좋습니다.

텔레포트에 의한 DynamoDB 연결이 HTTP_PROXY 또는 HTTPS_PROXY 환경 변수를 존중하지 않는 문제를 수정했습니다. #4271

4.3.6

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

클러스터 상태가 손실될 수 있는 접두사 마이그레이션 관련 문제를 수정했습니다. #4299 #4345
대규모 클러스터에서 UI 로딩이 지나치게 느려지던 문제를 수정했습니다. #4326
노드가 성능 저하 상태가 된 후 더 빠르게 복구되도록 /readyz 엔드포인트를 업데이트했습니다. #4223
TCP 연결과 노드 간의 상관관계를 확인할 수 있도록 디버그 로그에 노드 UUID를 추가. #4291

4.3.5

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

텔레포트 도커 이미지가 잘못 빌드되던 문제를 수정했습니다. #4201

4.3.4

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

pam_loginuid.so및pam_selinux.so`와 같은 PAM 모듈을 사용할 때 간헐적으로 로그인 실패를 유발하던 문제를 수정했습니다. #4133
신원 파일을 내보낼 때 사용자가 인증서를 수동으로 확인해야 하는 문제를 수정했습니다. #4003
파이어스토어를 사용하여 로컬 사용자를 생성할 수 없는 문제를 수정했습니다. #4160
PEM 파일 사용 시 tsh가 패닉을 일으킬 수 있는 문제를 수정했습니다. #4189

4.3.2

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

컨테이너 이미지의 기본 OS를 우분투로 되돌렸습니다. #4054
감사 로그의 경로를 변경할 수 없던 문제를 수정했습니다. #3771
잘못된 레이블을 가진 서버를 클러스터에 추가할 수 있는 문제를 수정했다. #4034
클라우드 파이어스토어를 시작할 때 패닉을 일으키는 문제를 수정했습니다. #4041
"프록시 목록이 비어 있습니다"라는 오류와 함께 텔레포트가 로드되지 않는 오류를 수정했습니다. #4005
쿠버네티스 세션 재생을 방해하는 문제 수정 #4055
UI의 회귀를 수정했다. #4013 #4012 #4035 #4051 #4044

4.3.0

새로운 기능, 기능 및 버그 수정에 중점을 둔 주요 텔레포트 릴리스입니다. 상당한 분량의 릴리스이며, 모든 항목에 대한 자세한 내용은 Github의 4.3 비공개 이슈에서 확인할 수 있습니다.

새로운 기능

웹 UI

Teleport 4.3에는 완전히 새롭게 디자인된 웹 UI가 포함되어 있습니다. 새로운 웹 UI는 텔레포트 클러스터의 관리 기능과 텔레포트 사용의 사용자 경험을 확장하여 더 쉽고 간편하게 사용할 수 있도록 합니다. Teleport의 새로운 터미널은 웹을 통해 다른 클러스터의 노드 및 노드에 액세스할 수 있는 빠른 시작점을 제공합니다.

이제 Teleport의 웹 UI에 Teleport의 감사 로그가 노출되어 감사자와 관리자가 Teleport 액세스 이벤트, SSH 이벤트, 녹화 세션, 향상된 세션 녹화 기능을 모두 한 눈에 볼 수 있습니다.

텔레포트 플러그인

Teleport 4.3에는 승인 워크플로에서 바로 작동하는 네 가지 새로운 플러그인이 도입되었습니다. 이러한 플러그인을 사용하면 일반적으로 사용되는 타사 서비스를 통해 자동으로 역할 에스컬레이션을 지원할 수 있습니다. 기본 제공 플러그인은 아래에 나열되어 있습니다.

개선 사항

로컬 사용자가 자신의 비밀번호를 재설정할 수 있는 기능을 추가했습니다. #2387
쿠버네티스 프록시에 사용자 가장(kube_users) 지원을 추가했다. #3369
세션에 대한 서드파티 S3 호환 스토리지 지원이 추가되었다. #3057
GCP 백엔드 데이터 스토어에 대한 지원 추가. #3766 #3014
OpenSSH 서버에 대한 X11 포워딩 지원 추가. #3401
프록시 kubeconfig에서 인증 플러그인에 대한 지원이 추가되었다. #3655
OpenSSH와 유사한 이스케이프 시퀀스에 대한 지원이 추가되었다. #3752
tsh에 --browser 플래그를 추가했다. #3737
텔레포트 구성` 출력을 더 유용하게 사용할 수 있도록 업데이트했습니다. #3429
로그인 페이지에 SSO만 표시하는 기능을 업데이트했습니다. #2789
웹 UI의 도움말 및 지원 섹션 업데이트. #3531
새로운 클러스터에 대해 기본 SSH 서명 알고리즘을 SHA-512로 업데이트. #3777
표준화된 감사 이벤트 필드.

수정

쿠베컨피그에서 기존 사용자 정의 제거를 수정했다. #3209
특정 상황에서 포트 포워딩이 실패할 수 있는 문제를 수정했다. #3749
쿠버네티스 요청을 전달할 때 임시 역할 부여 문제를 수정했다. #3624
웹 종료 시 복사/붙여넣기가 되지 않는 문제를 수정했다. #92
시작 시 프록시가 쿠버네티스 권한을 테스트하지 않는 문제를 수정했다. #3812
tsh와 gpg-agent 통합을 수정했다. #3169
텔레포트 도커 이미지의 취약점 수정 https://quay.io/repository/gravitational/teleport?tab=tags

업그레이드 노트

항상 권장 업그레이드 절차에 따라 이 버전으로 업그레이드하세요.

새로운 서명 알고리즘

기존 버전의 Teleport를 업그레이드하는 경우, RSA SSH 인증서 서명을 위해 CA를 SHA-256 또는 SHA-512로 교체하는 것을 고려할 수 있습니다. 이전 기본값은 SHA-1이었는데, 이는 현재 무차별 대입 공격에 취약한 것으로 간주됩니다. 또한 OpenSSH 버전 8.2 이상에서는 SHA-1 인증서 서명이 더 이상 허용되지 않습니다. 모든 신규 텔레포트 클러스터는 기본적으로 SHA-512 기반 서명을 사용합니다. 기존 클러스터를 업그레이드하려면 teleport.yaml에서 다음을 설정하세요:

teleport:
    ca_signature_algo: "rsa-sha2-512"

다음에 따라 클러스터 CA를 회전한다.문서.

웹 UI

새로 디자인된 웹 UI에 포함된 많은 변경 사항으로 인해 일부 URL과 기능이 변경되었습니다. 자세한 내용은 다음 티켓을 참조하세요. #3580

감사 로그 및 녹화된 세션에 대한 RBAC

Teleport 4.3에서는 웹 UI를 통해 감사 로그에 액세스할 수 있게 되었습니다. 기업 고객 는 새로운 '이벤트' 리소스에서 옵션을 변경하여 액세스를 제한할 수 있습니다.

# 감사 이벤트 및 기록된 세션을 포함한 감사 로그를 나열하고 읽습니다.
- resources: [event]
  verbs: [list, read]

쿠버네티스 권한

텔레포트 프록시에 부여해야 하는 최소 쿠버네티스 권한 세트가 프록시에 부여해야 하는 최소 Kubernetes 권한 세트가 업데이트되었습니다. Kubernetes 통합을 사용하는 경우 다음 사항을 확인하세요. 프록시에서 사용하는 클러스터롤에 충분한 권한이 있는지 확인한다.

etcd의 경로 접두사

etcd 백엔드](docs/pages/reference/backends.mdx#etcd)는 이제 올바르게 구성 값을 올바르게 사용합니다. 4.2에서 4.3으로 업그레이드하면 다음과 같이 됩니다. 시작 시 필요에 따라 데이터를 마이그레이션합니다. 텔레포트 업그레이드 안내를 참조하세요.

참고: 기본 접두사가 아닌 etcd 백엔드를 사용하며 4.3에서 4.2로 다운그레이드해야 하는 경우, 텔레포트 데이터를 백업하고 복원하여 다운그레이드된 클러스터로 옮겨야 합니다.

4.2.12

이번 텔레포트 릴리스에는 보안 수정 사항이 포함되어 있습니다.

github.com/russellhaering/goxmldsig를 업데이트하여 CVE-2020-15216을 완화했습니다.

세부 정보

동작

goxmldsig` 라이브러리가 업스트림으로 업데이트되었으며 Teleport 4.2.12에 수정 사항이 포함되어 있습니다. Okta를 사용하는 모든 엔터프라이즈 SSO 사용자, 인증 서버를 4.2.12 버전으로 업그레이드하고 Teleport를 다시 시작해야 합니다.

즉시 업그레이드할 수 없는 경우에는 업데이트를 적용할 수 있을 때까지 모든 클러스터의 SAML 커넥터를 삭제하는 것이 좋습니다.

4.2.11

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

세션 아카이브를 NFS 볼륨에 업로드할 수 없던 문제가 수정되었습니다. #3780
포트 포워딩과 관련하여 TCP 연결이 올바르게 닫히지 않던 문제를 수정했습니다. #3801
대규모 클러스터에서 인증 서버에 대한 연결이 실패할 수 있는 tsh의 문제를 수정했습니다. #3872
S3 및 GCS에서 쓰기 전용 역할을 사용할 수 없는 문제를 수정했습니다. #3810

4.2.10

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

PAM 모듈에서 텔레포트 환경 변수를 사용할 수 없던 문제를 수정했습니다. #3725
쿠버네티스 클러스터에서 tsh 로그인 <클러스터 이름>이 올바르게 작동하지 않는 문제를 수정했다. #3693

4.2.9

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있다.

리프 클러스터에 로그인할 때 두 번 'tsh 로그인'이 필요하던 문제를 수정했습니다. #3639
연결 재사용을 방해하던 문제를 수정했습니다. #3613
tsh ls`가 오래된 결과를 반환할 수 있는 문제를 수정했다. #3536

4.2.8

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

'^C'가 'tsh'를 종료하지 않던 문제를 수정했습니다. #3456
강화된 세션 녹화 기능으로 인해 텔레포트가 패닉에 빠지던 문제를 수정했습니다. #3506

4.2.7

텔레포트에 대한 정기 보안 감사 중, 최근 출시된 모든 텔레포트 릴리스에 영향을 미치는 보안 취약점이 발견되었습니다. 이 취약점을 완화하기 위해 최신 패치가 적용된 릴리즈로 업그레이드할 것을 강력히 권장합니다.

세부 정보

텔레포트 웹 UI에서 호스트 인증서 유효성 검사를 처리하는 방법의 결함으로 인해 노드에서 연결이 종료된 클러스터에 대해 호스트 인증서 유효성 검사가 비활성화되었습니다. 즉, 공격자가 웹 UI를 통해 연결할 때 탐지되지 않고 텔레포트 노드를 가장할 수 있습니다.

프록시에서 세션이 종료된 클러스터(레코딩 프록시 모드)는 영향을 받지 않습니다.

tsh(또는 ssh)와 같은 명령줄 프로그램은 이 취약점의 영향을 받지 않습니다.

조치

이 문제를 완화하려면 모든 텔레포트 프록시 프로세스를 업그레이드하고 다시 시작하세요.

4.2.6

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

인증서 재발급 시 노드가 시작되지 않을 수 있는 회귀 현상을 수정했습니다. #3449

4.2.5

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

사용자 지정 OIDC 프롬프트에 대한 지원이 추가되었습니다. #3409
역할에서 kubernetes_users에 대한 지원이 추가되었다. #3409
확장된 변수 보간 지원을 추가했다. #3409
CSRF 쿠키에 SameSite 어트리뷰트를 추가했다. #3441

4.2.4

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

텔레포트가 잘못된 노드에 연결될 수 있던 문제를 수정하고 UUID를 통해 연결할 수 있도록 지원을 추가했습니다. #2396
'--out' 매개변수를 사용할 때 tsh login이 신원을 출력하지 못하던 문제를 수정했습니다. #3339

4.2.3

이번 텔레포트 릴리스에는 버그 및 보안 수정 사항이 포함되어 있습니다.

golang.org/x/crypto를 업데이트하여 CVE-2020-9283을 완화했습니다.
로그인 시 사용자 생성을 지원하도록 PAM 통합을 수정했습니다. #3317 #3346
대규모 IoT 클러스터에서 텔레포트 성능이 개선되었습니다. #3227
텔레포트 플러그인에 플러그인데이터 지원을 추가했습니다. #3286 #3298

4.2.2

이번 텔레포트 릴리스에는 버그 수정 및 개선 사항이 포함되어 있습니다.

신뢰할 수 있는 클러스터 간 역할 매핑의 회귀를 수정했습니다. #3252
더 많은 운영체제 지원 및 패키지에서 설치 등 향상된 세션 녹화 관련 다양한 문제를 개선했습니다. #3279

4.2.1

이번 텔레포트 릴리스에는 버그 수정 및 사소한 사용성 개선 사항이 포함되어 있습니다.

클라이언트 전용(tsh) .pkg 빌드를 위한 새로운 빌드 명령어. #3159
etcd 비밀번호 인증 지원 추가. #3234
서드파티 s3 지원 추가. #3234
캐시가 활성화된 경우 액세스 요청 이벤트 시스템이 실패하는 문제를 수정했습니다. #3223
데비안 기반 배포판에서 향상된 세션 녹화가 작동하도록 cgroup 해상도를 수정했습니다. #3215

4.2.0

새로운 기능과 버그 수정에 중점을 둔 텔레포트 마이너 릴리스입니다.

개선 사항

알파: 향상된 세션 녹화 기능으로 텔레포트 세션 중에 실제로 무슨 일이 일어나고 있는지 알 수 있습니다. #2948
알파: 워크플로 API를 통해 관리자는 사용자 요청에 따라 RBAC 역할을 에스컬레이션할 수 있습니다. 문서 읽기. #3006
베타: 텔레포트는 구글 클라우드 플랫폼을 사용하여 파이어스토어와 구글 클라우드 스토리지를 이용한 HA 지원을 제공합니다. 문서 읽기. #2821
이제 원격 tctl 실행이 가능합니다. 문서 읽기. #1525 #2991

수정

원격 주소를 렌더링할 때 socks4에서 발생하는 문제 수정 #3110

문서

트러스티드 클러스터에 루트/리프 용어 채택. 신뢰할 수 있는 클러스터 문서.
문서화된 텔레포트 FedRAMP 및 FIPS 지원. FedRAMP 및 FIPS 문서.

4.1.11

이번 텔레포트 릴리스에는 보안 수정 사항이 포함되어 있습니다.

github.com/russellhaering/goxmldsig를 업데이트하여 CVE-2020-15216을 완화했습니다.

세부 정보

동작

goxmldsig 라이브러리가 업스트림으로 업데이트되었으며 Teleport 4.1.11에 수정 사항이 포함되어 있습니다. Okta를 사용하는 모든 엔터프라이즈 SSO 사용자, 인증 서버를 4.1.11 버전으로 업그레이드하고 Teleport를 다시 시작해야 합니다.

즉시 업그레이드할 수 없는 경우에는 업데이트를 적용할 수 있을 때까지 모든 클러스터의 SAML 커넥터를 삭제하는 것이 좋습니다.

4.1.10

텔레포트에 대한 정기 보안 감사의 일환으로 최근 출시된 모든 텔레포트 릴리스에 영향을 미치는 보안 취약점이 발견되었습니다. 이 취약점을 완화하기 위해 최신 패치가 적용된 릴리즈로 업그레이드할 것을 강력히 권장합니다.

세부 정보

프록시에서 세션이 종료된 클러스터(레코딩 프록시 모드)는 영향을 받지 않습니다.

tsh(또는 ssh)와 같은 명령줄 프로그램은 이 취약점의 영향을 받지 않습니다.

조치

이 문제를 완화하려면 모든 텔레포트 프록시 프로세스를 업그레이드하고 다시 시작하세요.

4.1.9

이번 텔레포트 릴리스에는 보안 수정 사항이 포함되어 있습니다.

golang.org/x/crypto를 업데이트하여 CVE-2020-9283을 완화했습니다.

4.1.8

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

신뢰할 수 있는 클러스터 간 역할 매핑의 회귀를 수정했습니다. #3252

4.1.7

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

역할의 포트 포워딩 옵션이 무시되던 문제가 수정되었습니다. #3208

4.1.6

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

특정 OIDC 클레임에서 텔레포트가 시작되지 않던 문제를 수정했습니다. #3053

4.1.5

이번 텔레포트 릴리스에서는 이전 버전의 Linux에 대한 지원이 추가되었습니다.

빌드 파이프라인에 RHEL/CentOS 6.x 빌드가 추가되었습니다. #3175

4.1.4

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

서비스 계정에 대한 지원을 추가하여 GSuite 통합을 수정했습니다. #3122

4.1.3

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

HTTP2와의 호환성 문제로 인해 기본 암호 스위트에서 TLS_RSA_WITH_AES_128_GCM_SHA{256,384}를 제거했습니다.
FIPS 빌드에 대한 local_auth 관련 문제를 수정했습니다. #3100
Go 런타임을 1.13.2로 업그레이드하여 CVE-2019-16276 및 CVE-2019-17596을 완화.

4.1.2

이번 텔레포트 릴리스에는 빌드 코드가 개선되었습니다.

FIPS 호환 버전의 Teleport를 사용하여 Docker 이미지를 빌드할 수 있도록 지원이 추가되었습니다. 이러한 이미지 중 첫 번째 이미지는 quay.io/gravitational/teleport-ent:4.1.2-fips입니다.
향후 이러한 이미지는 Teleport Enterprise 고객이 사용할 수 있도록 자동으로 빌드될 예정입니다.

4.1.1

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

텔레포트 프록시가 EKS 외부에서 실행될 때 멀티클러스터 EKS와 관련된 문제를 수정했습니다. #3070

4.1.0

안정성과 버그 수정에 중점을 둔 주요 텔레포트 릴리스입니다.

개선 사항

IPv6 지원. #2124
쿠버네티스 지원에는 SNI가 필요하지 않음. #2766
텔레포트.yaml에서 auth_token` 경로 사용 지원. #2515
프록시점프 호환성 구현. #2543
감사 로그에 역할이 표시되어야 합니다. #2823
원격 명령을 실행하지 않고 tsh가 백그라운드로 이동하도록 허용. #2297
클러스터 상태를 백업 및 복원할 수 있는 상위 레벨 도구를 제공. #2480
프록시에 연결할 때 오래된 목록을 사용하여 노드 조사(검색 프로토콜). #2832

수정

잘못된 OIDC 커넥터로 인해 프록시가 중단될 수 있습니다. #2690
올바른 -D 플래그 구문 분석. #2663
tsh 상태에 올바른 클러스터 이름이 표시되지 않음. #2671
텔레포트가 PAM으로 MOTD를 잘라냅니다. #2477
오류 처리 및 보고와 관련된 기타 수정.

4.0.16

텔레포트에 대한 정기 보안 감사의 일환으로, 최근 출시된 모든 텔레포트 릴리스에 영향을 미치는 보안 취약점이 발견되었습니다. 이 취약점을 완화하기 위해 최신 패치가 적용된 릴리즈로 업그레이드하실 것을 강력히 권장합니다.

세부 정보

프록시에서 세션이 종료된 클러스터(레코딩 프록시 모드)는 영향을 받지 않습니다.

tsh(또는 ssh)와 같은 명령줄 프로그램은 이 취약점의 영향을 받지 않습니다.

조치

이 문제를 완화하려면 모든 텔레포트 프록시 프로세스를 업그레이드하고 다시 시작하세요.

4.0.15

이번 텔레포트 릴리스에는 보안 수정 사항이 포함되어 있습니다.

golang.org/x/crypto를 업데이트하여 CVE-2020-9283을 완화했습니다.

4.0.14

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

신뢰할 수 있는 클러스터 간 역할 매핑의 회귀를 수정했습니다. #3252

4.1.13

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

역할의 포트 포워딩 옵션이 무시되던 문제가 수정되었습니다. #3208

4.0.12

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

특정 OIDC 클레임에서 텔레포트가 시작되지 않던 문제를 수정했습니다. #3053

4.0.11

이번 텔레포트 릴리스에서는 이전 버전의 Linux에 대한 지원이 추가되었습니다.

빌드 파이프라인에 RHEL/CentOS 6.x 빌드가 추가되었습니다. #3175

4.0.10

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

리프 클러스터가 루트 클러스터에서 연결이 끊어질 때마다 발생하던 고루틴 누수가 수정되었습니다. #3037

4.0.9

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

클러스터 내 이전 노드에 웹 UI가 연결되지 않던 문제를 수정했습니다. 2993

4.0.8

이번 텔레포트 릴리스에는 두 가지 버그 수정이 포함되어 있습니다.

설명

새 버전의 tsh가 이전 클러스터에 연결할 수 없던 문제를 수정했습니다. #2969
특성 인코딩을 보다 강력하게 수정했습니다. #2970

4.0.6

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

녹화 프록시를 사용할 때 세션 녹화가 중단되던 문제가 4.0.5에서 수정되었습니다. 2957

4.0.4

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

캐시 모듈의 메모리 누수를 수정했습니다. #2892

4.0.3

인기 있는 로드 밸런서와의 상호 운용성을 개선하기 위해 킵-얼라이브 간격을 줄였습니다. #2845
FIPS 모드가 아닐 때 비-RSA 인증서가 거부되던 문제 수정. #2805

4.0.2

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

활성 세션이 표시되지 않던 문제를 수정했습니다. #2801
호스트 인증서 주체 생성 관련 추가 문제를 수정했습니다. #2812
CA 가져오기가 가끔 찾을 수 없음으로 반환되는 문제를 수정했습니다. #2805

4.0.1

이번 텔레포트 릴리스에는 여러 버그 수정이 포함되어 있습니다.

잘못된 GID로 프로세스가 스폰되던 문제를 수정했습니다. #2791
호스트 인증서 주체 생성 시 호스트 또는 IP 주소만 포함하도록 수정했습니다. #2790
4.0이 3.2 클러스터에 연결할 수 없는 문제를 수정했습니다. #2784

4.0.0

이번 텔레포트 주요 릴리스에서는 텔레포트 사물 인터넷(IoT)에 대한 지원이 도입되었습니다. 이번 릴리스에는 이 새로운 기능 외에도 아래 나열된 사용성, 성능 및 버그 수정 사항이 포함되어 있습니다.

새로운 기능

IoT용 텔레포트

텔레포트 4.0에서는 노드가 역방향 터널을 사용하여 방화벽 제한을 우회하여 텔레포트 클러스터로 다시 전화를 걸 수 있는 기능이 추가되었습니다. 이를 통해 클러스터에 직접 네트워크 액세스 권한이 없는 노드에도 연결할 수 있습니다. 이를 위해 트러스티드 클러스터를 사용해 온 고객은 이제 통합 인터페이스를 활용하여 인프라 내의 모든 노드에 액세스할 수 있습니다.

FedRamp 규정 준수

이번 Teleport 릴리스를 통해 Teleport Enterprise 고객이 FedRAMP 시스템 보안 계획(SSP)의 요구사항을 구축하고 충족할 수 있는 기반을 구축했습니다. 여기에는 FIPS 140-2 친화적인 Teleport Enterprise 빌드뿐만 아니라 FedRAMP High 환경에서도 보안 제어를 준수하는 데 도움이 되는 다양한 개선 사항이 포함됩니다.

개선 사항

이제 단일 Teleport 클러스터에 대한 10,000개의 원격 연결을 지원합니다. [권장 하드웨어 설정 사용](./docs/pages/관리/운영/스케일링.mdx#하드웨어-권장 사항)
tctl rm`을 사용하여 노드를 삭제하는 기능을 추가했습니다. #2685
이제 tsh ls의 출력이 노드 이름별로 정렬됩니다. #2534

버그 수정

리눅스에서 브라우저 창을 열기 위해 xdg-open으로 전환했습니다. #2536
SSO 콜백 타임아웃을 180초로 늘렸습니다. #2533
OpenSSH와 유사한 TTY에 대한 권한 설정. #2508

위의 개선 사항 및 버그 수정 목록에는 중요한 변경 사항만 언급되어 있으므로 자세한 내용은 Github에서 전체 목록을 살펴보세요.

업그레이드

텔레포트 4.0은 텔레포트 3.2 이상과 하위 호환됩니다. 이 버전으로 업그레이드하려면 권장 업그레이드 절차를 따르세요.

Teleport 3.2와 4.0 사이에는 상당한 변경 사항이 있으므로 클러스터를 Teleport 4.0으로 업그레이드하기 전에 백엔드 데이터스토어(DynamoDB, etcd 또는 dir)의 백업을 만들어 다운그레이드할 수 있도록 하는 것이 좋습니다.

호환성 관련 참고 사항

Teleport는 클라이언트가 서버에 연결할 때 항상 호스트 인증서의 유효성을 검사해 왔지만, Teleport 4.0 이전에는 사용자가 연결을 요청하는 호스트가 인증서의 주체 목록에 있는지를 확인하지 않았습니다. 원활한 업그레이드를 위해 업그레이드하기 전에 연결하려는 호스트가 teleport.yaml의 public_addr에 적절한 주소가 설정되어 있는지 확인하세요.

3.2.15

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

신뢰할 수 있는 클러스터 간 역할 매핑의 회귀를 수정했습니다. #3252

3.2.14

이번 텔레포트 릴리스에는 버그 수정과 기능이 포함되어 있습니다.

일부 연동에서 사용되는 CreateWebSession 메서드를 복원합니다. #3076
도커 레지스트리 및 헬름 리포지토리 지원을 tsh login에 추가. #3045

3.2.13

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

설명

'tctl auth sign'으로 내보낸 ID에 TLS 인증서가 포함되지 않는 문제를 수정했습니다. #3001

3.2.12

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

웹 UI가 클러스터 내의 이전 노드에 연결할 수 없던 문제를 수정했습니다. 2993

3.2.11

이번 텔레포트 릴리스에는 두 가지 버그 수정이 포함되어 있습니다.

새 버전의 tsh가 이전 클러스터에 연결할 수 없던 문제를 수정했습니다. #2969
특성 인코딩이 더 강력해지도록 수정했습니다. #2970

3.2.9

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

녹화 프록시를 사용할 때 세션 녹화가 중단되던 문제가 3.2.8에서 수정되었습니다. 2957

3.2.4

이번 텔레포트 릴리즈에는 여러 버그 수정이 포함되어 있습니다.

'tsh'의 TELEPORT_SITE 환경 변수에서 클러스터 이름 읽기. #2675
로그인 및 tsh 프로필 저장과 관련된 여러 버그가 개선되었습니다. #2657

3.2.2

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

변경사항

--bind-addr 구현 관련 문제를 수정했습니다. #2650

3.2.1

이번 텔레포트 릴리스에는 새로운 기능이 추가되었습니다.

변경 사항

SSO 로그인 시 tsh를 특정 포트에 강제 바인딩하는 --bind-addr을 추가했습니다. #2620

3.2

이 버전은 Amazon의 관리형 쿠버네티스 서비스(EKS)를 지원합니다.

이번 릴리즈부터 Teleport 프록시는 CSR API 대신 가장 API를 사용합니다.

3.1.14

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

웹 UI가 클러스터 내의 이전 노드에 연결할 수 없던 문제를 수정했습니다. 2993

3.1.13

이번 텔레포트 릴리스에는 두 가지 버그 수정이 포함되어 있습니다.

새 버전의 tsh가 이전 클러스터에 연결할 수 없던 문제를 수정했습니다. #2969
특성 인코딩이 더 강력해지도록 수정했습니다. #2970

3.1.11

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

녹화 프록시를 사용할 때 세션 녹화가 중단되던 문제가 3.1.10에서 수정되었습니다. 2957

3.1.8

이번 텔레포트 릴리즈에는 버그 수정이 포함되어 있습니다.

변경사항

SSO 사용자 TTL이 잘못 설정되던 문제를 수정했습니다. #2564

3.1.7

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

변경사항

'tctl users ls' 출력에 중복이 포함되던 문제를 수정했습니다. #2569 #2107

3.1.6

이번 텔레포트 릴리스에는 버그 수정, 보안 수정, 사용자 환경 개선이 포함되어 있습니다.

변경사항

Linux에서 링크를 열려면 sensible-browser 대신 xdg-open을 사용하세요. #2454
SSO 콜백 타임아웃을 180초로 늘렸습니다. #2483
텔레포트 시작 실패 시 오류 메시지를 개선했습니다. #2525
노드 이름별로 tsh ls 출력 정렬. #2511
S3(세션)와 DynamoDB(감사 로그)에 대해 서로 다른 리전을 지원합니다. #2007
텔레포트가 디버그 모드일 때에도 시스템 로그 출력을 수정했습니다. #2550
감사 로그 명명 규칙을 수정했습니다. #2388
로그아웃 시 ~/.tsh/profile이 삭제되던 문제를 수정했습니다. #2546
tctl get의 출력이 tctl create`와 호환되도록 수정했습니다. #2479
scp`로 여러 파일을 업로드할 때 제대로 작동하지 않던 문제를 수정했습니다. #2094
권한 TTY를 올바르게 설정했습니다. #2540
악성 서버에 연결했을 때 발생하는 scp 문제 완화 #2539

3.1.5

텔레포트 3.1.5에는 버그 수정 및 보안 수정이 포함되어 있습니다.

버그 수정

로그인할 때마다 인증 기관을 가져오지 않던 문제를 수정했습니다. #2526
Go를 1.11.5로 업그레이드하여 CVE-2019-6486 완화: P-521 및 P-384 타원 곡선 구현에서 CPU 서비스 거부.

3.1.4

텔레포트 3.1.4에는 새로운 기능 1개와 버그 수정 2개가 포함되어 있습니다.

새로운 기능

SSO 공급자로 GSuite에 대한 지원이 추가되었습니다. #2455

버그 수정

쿠버네티스 그룹이 원격 클러스터로 전달되지 않던 문제 수정. #2484
클라이언트가 신뢰할 수 있는 클러스터에 대해 잘못된 CA를 가져오는 문제를 수정했다. #2487

3.1.3

텔레포트 3.1.3에는 두 가지 보안 수정 사항이 포함되어 있습니다.

버그 수정

xterm.js를 업데이트하여 [xterm.js의 RCE]를 완화했습니다(https://github.com/xtermjs/xterm.js/releases/tag/3.10.1).
무기명 토큰 인증 중 잠재적인 타이밍 공격 완화. #2482
Gravitational 게시 도커 이미지 내에서 DynamoDB에 연결할 때 x509: 알 수 없는 기관에서 서명한 인증서 오류 수정. #2473

3.1.2

텔레포트 3.1.2에는 보안 수정이 포함되어 있습니다. 텔레포트 3.1.1을 실행 중인 모든 분들께 업그레이드를 강력히 권장합니다.

버그 수정

내부 RBAC 확인 로직의 결함으로 인해, 손상된 노드, 신뢰할 수 있는 클러스터 또는 인증된 비권한 사용자가 Teleport의 내부 인증 서버 API에 특수 요청을 작성하여 클러스터 내부 인증 기관의 개인 키 자료에 액세스하고 권한을 상승시켜 Teleport 클러스터에 대한 전체 관리 액세스 권한을 얻을 수 있습니다. 이 취약점은 인증된 클라이언트에게만 영향을 미치며, 인증되지 않은 클라이언트가 클러스터 외부에서 이 취약점을 악용할 수 있는 방법은 알려져 있지 않습니다.

3.1.1

텔레포트 3.1.1에는 보안 수정이 포함되어 있습니다. Teleport 3.1.0을 실행 중인 모든 사용자에게 업그레이드를 강력히 권장합니다.

1.11.4로 업그레이드하면 CVE-2018-16875를 완화할 수 있습니다: 체인 유효성 검사에서 CPU 서비스 거부 이동. RHEL5.x와 호환되는 Teleport 릴리스를 사용하는 고객을 위해 이 수정 사항은 RHEL 5.x 호환 바이너리를 릴리스하기 전에 Go 1.9.7로 백포트되었습니다.

3.1

이전 버전과의 호환성, 안정성 및 버그 수정에 중점을 둔 주요 Teleport 릴리스입니다. 몇 가지 개선 사항이 있습니다:

RBAC 레이블 키와 값에 정규식 지원이 추가되었습니다. #2161
구성 가능한 서버 측 킵얼라이브에 대한 지원이 추가되었습니다. #2334
OpenSSH 상호운용성을 개선하기 위해 일부 -o에 대한 지원 추가. #2330
레거시 시스템을 지원하기 위해 i386 바이너리와 이전 버전의 Go로 빌드된 바이너리를 추가했습니다. #2277
tsh에 SOCKS5 지원을 추가했습니다. #1693
클러스터에 참여하는 노드에 대한 UX 및 보안 개선. #2294
쿠버네티스 UX 개선. #2291 #2258 #2304
웹 UI에서 128 이상의 텍스트를 복사하여 붙여넣을 수 없는 버그 수정. #2313
웹 UI 사용 시 scp 관련 문제를 수정했습니다. #2300

3.0.5

텔레포트 3.0.5에는 보안 수정이 포함되어 있습니다.

버그 수정

Go를 1.11.5로 업그레이드하여 CVE-2019-6486을 완화했습니다: P-521 및 P-384 타원 곡선 구현에서 CPU 서비스 거부.

3.0.4

텔레포트 3.0.4에는 두 가지 보안 수정 사항이 포함되어 있습니다.

버그 수정

xterm.js를 업데이트하여 [xterm.js의 RCE]를 완화했습니다(https://github.com/xtermjs/xterm.js/releases/tag/3.10.1).
무기명 토큰 인증 중 잠재적인 타이밍 공격 완화. #2482

3.0.3

텔레포트 3.0.3에는 보안 수정이 포함되어 있습니다. 텔레포트 3.0.2를 실행 중인 모든 분들께 업그레이드를 적극 권장합니다.

버그 수정

내부 RBAC 확인 로직의 결함으로 인해, 손상된 노드, 신뢰할 수 있는 클러스터 또는 인증된 비권한 사용자가 Teleport의 내부 인증 서버 API에 특수 요청을 만들어 클러스터 내부 인증 기관의 개인 키 자료에 액세스하고 권한을 상승시켜 Teleport 클러스터에 대한 전체 관리 액세스 권한을 얻을 수 있습니다. 이 취약점은 인증된 클라이언트에게만 영향을 미치며, 인증되지 않은 클라이언트가 클러스터 외부에서 이 취약점을 악용할 수 있는 방법은 알려져 있지 않습니다.

3.0.2

텔레포트 3.0.2에는 보안 수정이 포함되어 있습니다. Teleport 3.0.1을 실행 중인 모든 사용자에게 업그레이드를 강력히 권장합니다.

1.11.4로 업그레이드하면 CVE-2018-16875를 완화할 수 있습니다: 체인 유효성 검사에서 CPU 서비스 거부 이동. RHEL5.x와 호환되는 Teleport 릴리스를 사용하는 고객을 위해 이 수정 사항은 RHEL 5.x 호환 바이너리를 릴리스하기 전에 Go 1.9.7로 백포트되었습니다.

3.0.1

이 Teleport 릴리스에는 다음과 같은 버그 수정이 포함되어 있습니다:

ADFS 클레임을 유효하지 않은 것으로 표시하는 회귀를 수정했습니다. #2293

3.0

이것은 쿠버네티스 클러스터에 대한 지원을 도입하는 주요 텔레포트 릴리스이다. 클러스터를 지원하는 주요 텔레포트 릴리스입니다. 이 새로운 기능 외에도 이번 릴리스에는 다음과 같은 몇 가지 사용성 및 성능 개선 사항이 포함되어 있습니다.

Kubernetes 지원

'tsh login'은 Kubernetes와 SSH 모두에 대한 인증서를 검색하고 설치할 수 있습니다. 인증서를 동시에 검색하고 설치할 수 있습니다.
세션 기록을 포함하여 kubectl 명령에 대한 전체 감사 로그 지원. kubectl exec` 명령이 대화형인 경우.
SSH와 Kubernetes 권한 모두에 대한 통합(일명 "단일 창") RBAC.

개선 사항

텔레포트 관리자는 이제 활성화된 암호 스위트 #1999를 미세 조정할 수 있습니다.
신뢰할 수 있는 클러스터를 서로 연결하는 사용자 환경 개선 #1971
모든 텔레포트 구성 요소(프록시, 인증 및 노드)가 이제 public_addr을 지원합니다. 설정을 지원하여 NAT/로드 밸런서 뒤에서 호스팅할 수 있습니다. #1793
이전에 문서화되지 않았던 모니터링 엔드포인트를 문서화했습니다 #2103.
3.3+ 프로토콜을 구현하도록 etcd 백엔드가 업데이트되었습니다. 아래 업그레이드 노트를 참조하세요.
tsh ls` 또는 웹 UI를 통해 노드를 나열하면 현재 로그인한 사용자가 액세스할 수 없는 노드가 더 이상 표시되지 않습니다. #1954
이제 Windows에서 tsh 클라이언트를 빌드할 수 있습니다. 참고: tsh login 명령만 구현됩니다. #1996.
이제 tsh login에 -i 플래그가 비대화형임을 보장합니다. #2221

버그 수정

"사용자에 대한 작업 생성 수행을 위한 액세스 거부" 가짜 오류 메시지 제거 #2132
"기록 프록시" 모드에서 scp 구현이 제대로 작동하지 않았습니다. #2176
SSO로 신뢰할 수 있는 클러스터의 8개 제한을 제거했습니다. #2192
원격/트러스트된 클러스터에서 tsh ls를 실행할 때 이제 올바르게 작동합니다. #2204

위의 개선 사항 및 버그 수정 목록에는 중요한 사항만 언급되어 있습니다. 전체 목록](https://github.com/gravitational/teleport/milestone/24?closed=1)을 참조하세요. 에서 자세한 내용을 확인하세요.

3.0으로 업그레이드하기

권장 업그레이드 절차에 따라 이 버전으로 업그레이드하세요. 버전으로 업그레이드하세요.

**경고: **등cd 백엔드와 함께 텔레포트를 사용하는 경우, 텔레포트 3.0으로 업그레이드하기 전에 등cd` 버전이 3.3 이상이어야 Teleport 3.0으로 업그레이드할 수 있습니다.

2.7.9

텔레포트 2.7.9에는 보안 수정이 포함되어 있습니다.

버그 수정

Go를 1.11.5로 업그레이드하여 CVE-2019-6486 완화: P-521 및 P-384 타원 곡선 구현에서 CPU 서비스 거부.

2.7.8

텔레포트 2.7.8에는 두 가지 보안 수정 사항이 포함되어 있습니다.

버그 수정

xterm.js를 업데이트하여 [xterm.js의 RCE]를 완화했습니다(https://github.com/xtermjs/xterm.js/releases/tag/3.10.1).
무기명 토큰 인증 중 잠재적인 타이밍 공격 완화. #2482

2.7.7

텔레포트 2.7.7에는 두 가지 보안 수정 사항이 포함되어 있습니다. 텔레포트 2.7.6을 실행 중인 모든 분들께 업그레이드를 적극 권장합니다.

버그 수정

내부 RBAC 확인 로직의 결함으로 인해 손상된 노드, 신뢰할 수 있는 클러스터 또는 인증된 비권한 사용자가 Teleport의 내부 인증 서버 API에 특수 요청을 작성하여 클러스터의 내부 인증 기관의 개인 키 자료에 액세스하고 권한을 높여 Teleport 클러스터에 대한 전체 관리 액세스 권한을 얻을 수 있습니다. 이 취약점은 인증된 클라이언트에게만 영향을 미치며, 인증되지 않은 클라이언트가 클러스터 외부에서 이 취약점을 악용할 수 있는 방법은 알려져 있지 않습니다.
CVE-2018-16875를 완화하기 위해 Go를 1.11.4로 업그레이드했습니다: 체인 유효성 검사에서 CPU 서비스 거부 Go.

2.7.6

이번 텔레포트 릴리스에는 다음과 같은 버그 수정이 포함되어 있습니다:

ADFS 클레임을 유효하지 않은 것으로 표시하는 회귀를 수정했습니다. #2293

2.7.5

이번 텔레포트 릴리스에는 다음과 같은 버그 수정이 포함되어 있습니다:

텔레포트 인증 서버가 /tmp/multipart-라는 임시 파일을 삭제하지 않음 #2250

2.7.4

이번 텔레포트 릴리즈는 버그 수정에 중점을 두고 있습니다.

버그 수정

'클라이언트_유휴_타임아웃' 관련 문제를 수정했습니다. #2166
역할에서 node_labels의 스칼라 및 목록 값에 대한 지원을 추가했습니다. #2136
우분투에서 글꼴 지원이 개선되었습니다.

2.7.3

이번 텔레포트 릴리스는 버그 수정에 중점을 두었습니다.

버그 수정

2.6에서 업그레이드 시 '요청 실행 실패: 사용자 에이전트 누락' 오류가 발생하는 문제를 수정했습니다.

2.7.2

이번 텔레포트 릴리스는 버그 수정에 중점을 두었습니다.

버그 수정

텔레포트 2.7.2에서 linux-amd64 바이너리에 대해 Go 1.9.7로의 롤백이 완료되지 않던 문제를 수정했습니다.

2.7.1

이번 텔레포트 릴리스는 버그 수정에 중점을 두고 있습니다.

버그 수정

사용자 지정 CA가 'x509: 알 수 없는 기관에서 서명한 인증서'를 실행하는 사용자의 경우 Go 1.9.7로 롤백합니다.

2.7.0

2.7.0 릴리스의 주요 목표는 커뮤니티 피드백을 해결하고 노드 수가 많은 텔레포트 클러스터를 실행할 때 성능과 유연성을 개선하는 것이었습니다.

새로운 기능

이제 웹 UI에 scp(보안 복사본) 기능이 포함됩니다. 이를 통해 Windows 사용자 및 기타 웹 UI 사용자는 웹 브라우저를 사용하여 SSH 노드에 파일을 업로드/다운로드할 수 있습니다.
강제 세션 종료에 대한 세분화된 제어 기능이 추가되었습니다#1935. 이제 다음을 수행할 수 있습니다:
- 지정된 시간 초과 후 유휴 클라이언트(클라이언트 활동이 없음)의 연결을 강제로 끊을 수 있습니다.
- 활성 SSH 세션 도중에 인증서가 만료되면 클라이언트의 연결을 강제로 끊습니다.

성능 개선

대규모 클러스터(수천 개의 노드)에서 SSH 로그인 명령의 성능이 개선되었습니다. #2061
DynamoDB 스토리지 백엔드 성능이 개선되었습니다. #2021
프록시를 통한 세션 녹화 성능 개선 #1966
신뢰할 수 있는 클러스터 간의 연결이 더 잘 관리됨 #2023

버그 수정

언제나 그렇듯이 이번 릴리스에는 몇 가지 버그 수정이 포함되어 있습니다. 전체 목록은 여기에서 확인할 수 있습니다. 다음은 몇 가지 주목할 만한 사항입니다:

이제 관리자의 '인증 서명' 도구를 통해 TTL이 긴 인증서를 발급할 수 있습니다. 이전에는 문서화되지 않은 이유로 30시간으로 제한되었습니다. 1745
동적 레이블 값이 빈 문자열로 표시되었습니다. 2056

업그레이드

권장 업그레이드 절차를 따라 이 버전으로 업그레이드하세요. 버전으로 업그레이드하세요.

2.6.9

이번 텔레포트 릴리스는 버그 수정에 중점을 두고 있습니다.

버그 수정

Teleport 2.6.8에서 linux-amd64 바이너리에 대해 Go 1.9.7로의 롤백이 완료되지 않던 문제를 수정했습니다.

2.6.8

이번 텔레포트 릴리스는 버그 수정에 중점을 두고 있습니다.

버그 수정

사용자 지정 CA가 'x509: 알 수 없는 기관에서 서명한 인증서'를 실행하는 사용자의 경우 Go 1.9.7로 롤백합니다.

2.6.7

이번 텔레포트 릴리즈는 버그 수정에 중점을 두고 있습니다.

버그 수정

동적 라벨 회귀를 해결했습니다. #2056

2.6.5

이번 텔레포트 릴리스는 버그 수정에 중점을 두고 있습니다.

버그 수정

원격 클러스터가 더 이상 영구적으로 제거된 프록시에 재연결을 시도하지 않습니다. #2023
사용자가 많은 시스템에서 로그인 속도가 빨라졌습니다. #2021
etcd 백엔드의 전반적인 성능 개선. #2030
이제 변수가 대체된 후 역할 로그인 유효성 검사가 적용됩니다. #2022

2.6.3

이번 텔레포트 릴리스는 버그 수정에 중점을 두었습니다.

버그 수정

원격 클러스터가 더 이상 영구적으로 제거된 프록시에 재연결을 시도하지 않습니다. #2023
사용자가 많은 시스템에서 로그인 속도가 빨라졌습니다. #2021
etcd 백엔드의 전반적인 성능 개선. #2030
이제 변수가 대체된 후 역할 로그인 유효성 검사가 적용됩니다. #2022

2.6.2

이번 텔레포트 릴리즈는 버그 수정에 중점을 두었습니다.

버그 수정

전달 프록시에 의한 이동 루틴 사용량 감소. #1966
텔레포트가 더 이상 SSH 핸드셰이크에서 풀 버전을 보내지 않습니다. #970
트러스티드 클러스터에서 강제 플래그가 올바르게 작동합니다. #1871
인증 기관의 수동 생성을 허용. #2001
포트 포워딩 이벤트에 텔레포트 사용자 이름을 포함한다. #2004
임의의 TTL 값으로 사용자 인증서를 생성할 수 있도록 tctl auth sign 허용. #1745
Go 1.10.3으로 업그레이드. #2008

2.6.1

이번 텔레포트 릴리스는 버그 수정에 중점을 두고 있습니다.

버그 수정

역방향 터널 서버에서 텔레포트 구성의 암호, KEX 및 MAC 알고리즘을 사용합니다. #1984
경로 살균기를 업데이트하여 @를 허용합니다. #1985

2.6.0

이번 텔레포트 릴리즈는 새로운 기능, 상당한 성능 향상, 그리고 사용성 개선과 일반적인 버그 수정이 이루어졌습니다.

이번 릴리스 주기 동안, 텔레포트 소스 코드에 대한 감사가 진행되었습니다. 보안 취약성에 대한 감사를 받았으며, 이번 릴리스(2.6.0)에는 발견된 문제에 대한 패치 가 포함되어 있습니다.

새로운 기능

감사 로그 이벤트 저장을 위한 DynamoDB 지원. #1755
기록된 SSH 세션 저장을 위한 Amazon S3 지원. #1755
인증 기관 순환(CA 순환) 지원. #1899
Linux PAM(플러그형 인증 모듈) 하위 시스템과 통합. #742 및 #1766
인증된 텔레포트 클러스터를 사용자에게 보여주는 새로운 CLI 명령 tsh status. #1628

또한, Teleport 2.6.0이 AWS 마켓플레이스에 제출되었습니다. 곧 AWS 사용자는 적절하게 구성되고 안전하며 가용성이 높은 가용성이 높은 텔레포트 클러스터를 쉽게 생성할 수 있게 됩니다.

구성 변경 사항

역할 템플릿(Teleport 2.3에서 더 이상 사용되지 않음)이 완전히 제거되었습니다. 권장 사항 여기에 문서화되어 있는 역할 변수로 마이그레이션할 것을 권장합니다.
리소스 이름(예: 역할, 커넥터, 신뢰할 수 있는 클러스터)에 더 이상 유니코드 또는 특수 문자를 포함할 수 없다. 유니코드 또는 기타 특수 문자를 포함할 수 없습니다. 사용자가 만든 모든 리소스의 이름을 업데이트하세요. 리소스의 이름을 문자, 하이픈, 점만 포함하도록 업데이트하세요.
'advertise_ip'는 더 이상 사용되지 않으며 'public_addr' 설정으로 대체되었습니다. 1803](https://github.com/gravitational/teleport/issues/1803) 참조 기존 설정 파일은 계속 작동하지만, Teleport 관리자가 새 형식을 반영하도록 업데이트하는 것이 좋습니다.
텔레포트는 더 이상 클러스터 상태 저장에 boltdb 백엔드를 사용하지 않습니다. 기본값. 새로운 기본값은 dir이며, 간단한 JSON 파일을 사용합니다. 에 저장된 간단한 JSON 파일을 사용합니다. 이 변경 사항은 새로운 텔레포트 설치에 적용되며, 기존 클러스터는 계속 boltdb를 사용합니다.
활성화된 암호화 프리미티브의 기본 세트가 최신 SSH 및 TLS 보안 상태를 반영하도록 업데이트되었습니다. #1856.

버그 수정

이번 릴리스에서 가장 눈에 띄는 버그 수정 목록입니다:

이제 tsh가 Ctrl+C #1882를 올바르게 처리합니다.
데몬 시작 중 ARM 플랫폼에서 높은 CPU 사용률. #1886
AWS에서 터미널 창 크기가 동기화되지 않을 수 있습니다. #1874
일부 CLI 명령이 오류를 두 번 출력합니다. #1889
긴 세션의 경우 SSH 세션 재생이 중단될 수 있습니다. #1774
텔레포트데몬이systemd에서 실행될 때 HUP` UNIX 신호 처리가 불안정합니다. #1844

2.6.0의 전체 변경 사항 목록은 여기에서 확인할 수 있습니다.

업그레이드

권장 업그레이드 절차에 따라 이 버전으로 업그레이드하세요. 버전으로 업그레이드하세요.

2.5.7

이번 텔레포트 릴리스는 버그 수정에 중점을 두고 있습니다.

버그 수정

'tctl create'에서 사용자 생성을 허용합니다. #1949

2.5.6

이번 텔레포트 릴리즈는 버그 수정에 중점을 두었습니다.

버그 수정

보다 안정적인 재로드를 위해 텔레포트 HUP 신호 처리가 개선되었습니다. #1844
'tctl nodes add --format=json'의 출력 형식을 복원합니다. #1846

2.5.5

이번 텔레포트 릴리스는 버그 수정에 중점을 둡니다.

버그 수정

연결당 여러 세션 생성을 허용합니다(녹화 프록시 관련 Ansible 문제 수정). #1811

2.5.4

이번 텔레포트 릴리즈는 버그 수정에 중점을 두고 있습니다.

버그 수정

무시하도록 설정되지 않은 경우에만 SIGINT 핸들러를 재설정하세요. #1814
사용자가 볼 수 있는 오류 개선. #1798 #1779

2.5.3

이번 텔레포트 릴리즈는 버그 수정에 중점을 두었습니다.

버그 수정

로깅 수정, 포크된 프로세스의 상태 수집. #1785 #1776
no-tls 사용 시 프록시 지원 끄기. #1800
가입 URL을 수정합니다. #1777
GitHub 팀 페이지 매김 문제 수정. #1734
글로벌 다이얼 타임아웃을 30초로 늘립니다. #1760
기존 노래 키를 재사용합니다. #1713
채널 실패 시 당황하지 마세요. #1808

2.5.2

이번 텔레포트 릴리스에는 버그 수정과 회귀 수정이 포함되어 있습니다.

버그 수정

백그라운드에서 세션 마이그레이션을 실행합니다. #1784
재생성된 호스트 인증서에 노드 이름 포함. #1786

2.5.1

이번 텔레포트 릴리스에서는 텔레포트 바이너리의 회귀가 수정되었습니다.

버그 수정

"알 수 없는 기관에서 서명한 인증서" 문제를 해결하기 위해 macOS용 바이너리가 다시 빌드되었습니다.

2.5.0

텔레포트의 주요 릴리스입니다. 이 릴리스의 목표는 클라우드 네이티브 배포를 더 쉽게 만드는 것입니다. 수많은 AWS 사용자가 이번 릴리스에 피드백을 제공했습니다. 이번 릴리스에 피드백을 제공했습니다:

새로운 기능

고가용성(HA) 구성의 인증 서버는 동일한 /var/lib/teleport 데이터 디렉토리를 공유할 수 있습니다. #1351
이제 examples/aws 디렉터리에 AWS 레퍼런스 배포가 있습니다. It Terraform을 사용하고 AWS에 대규모 텔레포트 클러스터를 배포하는 방법을 보여줍니다. 자동 확장 그룹, 보안 그룹, 보안 그룹, 시크릿 관리, 로드 밸런서 등
텔레포트 데몬은 이제 기본 제공 연결 드레이닝을 구현하여 제로 다운타임 업그레이드가 가능합니다. 참조 문서 참조.
새 노드에 대한 동적 조인 토큰은 이제 tctl node add --token을 통해 명시적으로 설정할 수 있습니다. 이를 통해 텔레포트 관리자는 클러스터 초대 토큰을 생성하기 위해 외부 메커니즘을 사용할 수 있습니다. 클러스터 초대 토큰을 생성할 수 있습니다. #1615
텔레포트는 이제 동일한 도메인을 가진 로드밸런서 뒤의 프록시에 액세스하기 위한 로드밸런서 뒤에 있는 프록시에 액세스하기 위한 인증서를 올바르게 관리합니다. 새로운 구성 매개변수 'public_addr'을 사용해야 합니다. #1174.

개선 사항

새로운 TLS 기반 인증 서버 API로 전환하면 대규모 클러스터의 성능이 향상됩니다. #1528
세션 녹화는 이제 기본적으로 gzip을 사용하여 압축됩니다. 이를 통해 스토리지 요구 사항을 최대 80%까지 줄였습니다. #1579
텔레포트 감사 로그에 사용자 친화적인 인증 오류가 추가되어 텔레포트 관리자의 편의성 향상 SAML/OIDC 공급자와 통합할 때 구성 오류를 해결하는 데 도움이 됩니다. #1554, #1553, #1599
이제 서버의 API가 더 이상 호환되지 않는 경우 tsh 클라이언트가 보고합니다.

버그 수정

이제 tsh 로그아웃이 모든 활성 텔레포트 세션에서 올바르게 로그아웃합니다. 이 기능은 여러 텔레포트 클러스터에 동시에 접속한 사용자에게 유용합니다. #1541
텔레포트는 이제 YAML을 구문 분석할 때 -- 목록 항목 구분 기호를 지원하여 단일 tctl create 명령으로 여러 리소스를 생성할 수 있습니다. #1663
웹 UI 백엔드의 패닉을 수정했습니다 #1558.

동작 변경

텔레포트의 특정 컴포넌트가 버전 2.5에서 다르게 작동합니다. 중요한 점은 이러한 변경 사항으로 인해 텔레포트 기능이 중단되는 것은 아닙니다. 개선된 사항 AWS와 같이 매우 동적인 클라우드 환경에 배포된 대규모 클러스터에서의 텔레포트 동작 환경에서의 텔레포트 동작을 개선합니다. 여기에는 다음이 포함됩니다:

웹 UI의 세션 목록이 이제 1,000세션으로 제한됩니다.
감사 로그 및 기록된 세션 저장소가 /var/lib/teleport/log에서 /var/lib/teleport/log로 이동되었습니다. 에서 /var/lib/teleport/log/<auth-server-id>로 이동했습니다. 이는 위에서 설명한 #1351과 관련이 있습니다. 와 관련이 있습니다.
신뢰할 수 있는 클러스터에 연결할 때 사용자는 더 이상 임의의 이름을 지정할 수 없습니다. 자신의 (로컬) 이름이 사용됩니다. 즉, 이제 cluster_name 설정이 외부에서 클러스터가 어떻게 보이는지 클러스터가 외부에서 어떻게 보이는지를 정의합니다. #1543

2.4.7

이번 텔레포트 릴리스에는 버그 수정이 포함되어 있습니다.

버그 수정

무시하도록 설정되지 않은 경우에만 SIGINT 핸들러를 재설정하세요. #1814

2.4.6

이번 텔레포트 릴리즈는 버그 수정에 중점을 두고 있습니다.

버그 수정

글로벌 다이얼 타임아웃을 30초로 늘렸습니다. #1760
채널 실패 시 당황하지 마세요. #1808

2.4.5

이번 텔레포트 릴리스에서는 텔레포트 바이너리의 회귀 현상이 수정되었습니다.

버그 수정

"알 수 없는 기관에서 서명한 인증서" 문제를 해결하기 위해 macOS용 바이너리가 다시 빌드되었습니다.

2.4.4

이번 텔레포트 릴리스는 버그 수정에 중점을 두었습니다.

버그 수정

'tsh 로그아웃' 회귀를 해결했습니다. #1541
지원되는 플랫폼용 바이너리는 모두 Go 1.9.2로 빌드되었습니다.

2.4.3

이번 텔레포트 릴리스는 버그 수정에 중점을 두고 있습니다.

버그 수정

트러스티드 클러스터에서 "액세스 거부" 회귀를 해결했습니다. #1733
잘못된 사용자 이름으로 ~/.tsh로 작성된 키. #1749
트러스티드 클러스터에서 회귀를 토글하는 문제를 해결했다. #1751

2.4.2

이번 텔레포트 릴리스는 버그 수정에 중점을 두었습니다.

버그 수정

종료 상태를 전파하기 전에 복사가 완료될 때까지 기다립니다. #1646
HTTP CONNECT 터널에서 초기 바이트를 버리지 마세요. #1659
캐싱 키 생성기를 서비스에 전달하고 레코딩 프록시에서 캐시를 사용. #1639
로컬 사용자를 위한 UI에 "비밀번호 변경"만 표시. #1669
가입 URL 업데이트. #1643
텔레포트 버전 보고 기능 개선. #1538
2.4.1에 도입된 터미널 크기 처리 및 트러스티드 클러스터의 회귀를 수정했습니다. #1674 #1692

2.4.1

이번 릴리즈는 텔레포트의 몇 가지 회귀 현상을 수정하는 데 중점을 두었습니다. 새로운 기능 추가.

새로운 기능

웹 UI 사용자에게 --compat 플래그를 노출했습니다. #1542

버그 수정

초기 로그인 시 줄을 올바르게 줄 바꿈. #1087
32767`보다 큰 포트 번호 허용: #1576
녹화 프록시를 사용할 때 조인 버튼을 표시하지 않습니다. #1421
녹화 프록시와 텔레포트 노드를 사용할 때 세션을 이중으로 녹화하지 마세요. #1582
'tsh 로그인' 및 'tsh 로그아웃'의 회귀를 수정했습니다. #1611 #1541

2.4.0

이번 릴리스에는 두 가지 주요 신규 기능과 몇 가지 개선 및 버그 수정이 추가되었습니다.

새로운 기능

새로운 상업용 텔레포트 에디션: "프로" 및 "비즈니스"를 통해 사용자는 다음을 수행할 수 있습니다. 계약을 체결하지 않고도 Teleport 구독을 구매할 수 있습니다.
텔레포트는 이제 OpenSSH #1327를 실행하는 노드에 대해서도 SSH 세션 녹화를 지원합니다. 이 기능을 "녹화 프록시 모드"라고 합니다.
텔레포트의 오픈소스 버전 사용자는 이제 Github #1445에서 인증할 수 있습니다.
이제 웹 UI에서 텔레포트 노드에 대한 영구 URL을 지원합니다. 타사 웹 앱에 통합할 수 있습니다. #1511
이제 세션 녹화를 끌 수 있습니다 #1430.

사용 중단된 기능

텔레포트 클라이언트 tsh는 더 이상 SSH 에이전트 역할을 지원하지 않습니다. 권장 사항 MacOS 및 Linux용 기본 제공 SSH 에이전트(예: ssh-agent의 openssh-client 패키지를 사용하는 것이 좋습니다.

버그 수정

수많은 작은 사용성 및 성능 개선이 있었지만 일부 주목할 만한 버그 수정 사항은 다음과 같습니다:

리소스(파일 설명자) 유출 #1433
터미널 유형의 올바른 처리 #1402
시작 시 크래시 #1395

2.3.5

이번 릴리스는 구성 및 UI/UX의 몇 가지 퇴보를 수정하는 데 중점을 두었습니다.

개선 사항

2.3의 변경 사항을 정확하게 반영하도록 문서가 업데이트되었습니다.
웹 UI에서 인트로스펙션을 사용할 수 있으므로 사용자가 SSH 포트 #1410를 명시적으로 지정하는 것을 건너뛸 수 있습니다.

버그 수정

2FA 사용자가 조기에 잠기는 문제 수정 #1347
초대 링크가 만료되면 사용자에게 아무것도 표시되지 않는 UI(회귀) #1400
일부 공급자와의 OIDC 회귀 #1371
신뢰할 수 있는 클러스터에 대한 레거시 구성 회귀: #1381
노드 추가를 위한 동적 토큰: "액세스 거부" #1348

2.3.1

버그 수정

로그인 엔드포인트에 CSRF 보호 기능을 추가했습니다. #1356
프록시 하위 시스템 처리가 더욱 강력해졌습니다. #1336

2.3

이번 릴리스는 다음 영역에서 텔레포트 사용자 경험을 개선하는 데 중점을 두었습니다:

리소스 명령어 'tctl'을 통한 손쉬운 설정.
'예제' 디렉토리가 확장되어 문서가 개선되었습니다.
CLI 인터페이스 개선.
웹 UI 개선.

개선 사항

웹 UI: 사용자는 웹 UI를 사용하여 OpenSSH 서버에 연결할 수 있습니다.
이제 웹 UI에서 역할 정의 로그인 외에 임의의 SSH 로그인을 지원하여 OpenSSH와의 호환성이 향상되었습니다.
CLI: 이제 텔레포트 구성을 편집하지 않고도 신뢰할 수 있는 클러스터를 즉시 관리할 수 있습니다. #1137
CLI: tsh login은 사용자 ID를 파일로 내보내 나중에 OpenSSH에서 사용할 수 있도록 지원합니다.
tsh agent 명령은 더 이상 사용되지 않습니다. 사용자는 플랫폼에서 기본 SSH 에이전트를 사용해야 합니다.

텔레포트 엔터프라이즈

보다 세분화된 RBAC 규칙 #1092
역할 정의가 이제 템플릿을 지원합니다. #1120
인증: 이제 텔레포트가 여러 OIDC/SAML 엔드포인트를 지원합니다.
구성: SAML/OIDC 엔드포인트가 오프라인 상태가 될 경우 로컬 인증이 항상 폴백으로 활성화됩니다.
구성: 구성 파일을 편집하거나 텔레포트를 재시작할 필요 없이 tctl을 사용하여 즉시 SAML/OIDC 엔드포인트를 생성할 수 있습니다.
웹 UI: 이제 신뢰할 수 있는 클러스터를 더 쉽게 켜고 끌 수 있습니다 #1199.

버그 수정

로그인.defs에서 ENV_SUPATH`의 올바른 처리 #1004
역방향 터널에서 주기적으로 연결이 끊어지는 문제 수정. #1156
이제 tsh가 OpenSSH와 호환되는 형식으로 사용자 신원을 저장합니다. 1171.

2.2.7

버그 수정

YAML 구문 분석 라이브러리 업데이트. #1226

2.2.6

버그 수정

SSH 다이얼이 무한정 멈출 수 있는 문제를 수정했습니다. #1153

2.2.5

버그 수정

노드에 올바른 권한이 없는 문제를 수정했습니다. #1151

2.2.4

버그 수정

원격 터널 시간 초과 문제를 수정했습니다. #1140.

2.2.3

버그 수정

신뢰할 수 있는 클러스터에서 클러스터의 서명 키가 손실될 수 있는 문제를 수정했습니다. #1050.
엔터프라이즈에서 SAML 서명 인증서 내보내기 수정. #1109.

2.2.2

버그 수정

특정 상황에서 tctl ls가 작동하지 않던 문제를 수정했습니다. #1102.

2.2.1

개선 사항

레거시 형식으로 인증서를 요청하는 데 사용할 수 있는 --compat=oldssh를 tsh와 tctl 모두에 추가했습니다(확장자에서 역할 없음). #1083

버그 수정

동적 역할과 함께 SAML을 사용할 때 여러 회귀를 수정했습니다. #1080

2.2.0

기능

트러스티드 클러스터를 위한 HTTP CONNECT 터널링. #860
자동화에 사용할 수 있는 수명이 긴 인증서 및 ID 내보내기. #1033
웹 UI를 위한 새로운 터미널. #933
사용자 환경 파일 읽기. #1014
인증 서버 복원력 및 가용성 개선. #1071
지원 암호, 키 교환(KEX) 알고리즘 및 MAC 알고리즘의 서버 측 구성. #1062
tsh의 이름을 ssh로 바꾸거나 심볼릭 링크 tsh -> ssh를 만들면 tsh ssh를 입력할 필요가 없으므로 익숙한 ssh user@host`와 호환됩니다. #929

엔터프라이즈 기능

SAML 2.0. #1070
트러스티드 클러스터에 대한 역할 매핑. #983
OIDC ID 공급자를 위한 ACR 파싱. #901

개선 사항

OpenSSH 상호 운용성 개선.
- 인증서 내보내기 형식이 OpenSSH와 일치하도록 변경. #1068
- OpenSSH와 일치하도록 CA 내보내기 형식 변경. #918
- 비호환성 문제를 해결하기 위해 scp 구현 개선. #1048
- OpenSSH 킵 얼라이브 메시지가 이제 올바르게 처리됩니다. #963
이제 tsh 프로파일이 항상 읽힙니다. #1047
sysvinit을 사용하여 텔레포트가 시작될 때 올바른 신호 처리를 수정했습니다. #981
이제 역할 템플릿을 생략하면 기본값이 자동으로 채워집니다. #912

2.0.6

버그 수정

TLP-01-009의 회귀를 수정했습니다.

2.0.5

텔레포트 2.0.5에는 다양한 보안 수정 사항이 포함되어 있습니다. Teleport 2.0.0 이상을 사용 중이시라면 2.0.5로 업그레이드하실 것을 강력히 권장합니다.

가장 시급한 문제(일반 텍스트 자격 증명을 추출하는 데 사용될 수 있는 피싱 공격과 이미 인증된 사용자가 권한을 상승시킬 수 있는 공격)는 웹 프록시를 업그레이드하여 해결할 수 있습니다. 그러나 모든 취약점을 완화하려면 모든 노드를 업그레이드해야 합니다.

버그 수정

TLP-01-001 및 TLP-01-003에 대한 패치: 리디렉션 확인.
TLP-01-004용 패치: 네임스페이스가 유효한지 항상 확인.
TLP-01-005용 패치: 세션에 참여할 때 사용자 주체를 확인합니다.
TLP-01-006 및 TLP-01-007용 패치: 세션 ID 유효성 검사.
TLP-01-008용 패치: 사용자가 존재하지 않는 경우 비밀번호 인증에 가짜 해시를 사용.
TLP-01-009용 패치: scp에 명령 주입.

2.0.4

버그 수정

웹 UI에서 생성된 역할은 이제 노드 리소스를 가집니다. #949

2.0.3

버그 수정

사용자 셸을 사용하여 명령을 실행합니다. #943
사용자가 자신의 역할을 읽을 수 있도록 허용. #941
사용자 CA 가져오기 수정. #919
역할 템플릿 기본값. #916
사용자 정보가 제공되지 않은 경우 건너뛰기. #915

2.0.2

버그 수정

에이전트 소켓에 잘못된 권한이 있었습니다. #936

2.0.1

기능

동적 역할이 도입되었습니다. #897

개선 사항

OpenSSH 상호운용성 개선. #902, #911
향상된 OIDC 기능. #882

버그 수정

회귀 수정. #874, #876, #883, #892, #906

2.0

텔레포트의 주요 신규 릴리즈입니다.

기능

클러스터 상태 저장을 위한 DynamoDB 백엔드 기본 지원.
이제 2단계 인증을 끌 수 있습니다.
이제 2단계 인증은 TOTP를 사용합니다. #522
비밀 저장소 플러그인을 구현하기 위한 새롭고 사용하기 쉬운 프레임워크.
감사 로그 형식이 확정되어 문서화되었습니다.
실험적인 간단한 파일 기반 비밀 저장소 백엔드.
SSH 에이전트 포워딩.

개선 사항

더 친근해진 CLI 오류 메시지.
이제 'tsh 로그인'이 SSH 에이전트와 호환됩니다.

엔터프라이즈 기능

역할 기반 액세스 제어(RBAC)
동적 구성: 런타임에 역할 및 신뢰할 수 있는 클러스터를 관리하는 기능.

Github 이슈 전체 목록: https://github.com/gravitational/teleport/milestone/8

1.3.2

v1.3.2는 다음과 같은 경우에 웹 UI 문제를 수정하는 유지 관리 릴리스입니다. 사용자 정의 글꼴과 같은 정적 웹 자산이 제대로 로드되지 않는 문제를 해결합니다.

버그 수정

이슈 #687 - 일부 브라우저에서 웹 자산이 깨지는 문제.

1.3.1

v1.3.1은 1.3에서 발견된 몇 가지 문제를 수정하는 유지 관리 릴리스입니다.

버그 수정

텔레포트 세션 레코더가 문자를 건너뛸 수 있습니다.
'텔레포트.yaml' 파일이 없는 경우 '데모 모드'에서 U2F가 기본적으로 활성화되었습니다.

개선 사항

U2F 문서가 개선되었습니다.

1.3

이번 릴리스에는 몇 가지 주요 새 기능이 포함되어 있으며 프로덕션용으로 사용하는 것이 좋습니다.

기능

2단계 인증을 위한 하드웨어 U2F 키 지원.
CLI 클라이언트 프로필: 이제 tsh가 --프록시 설정을 기억할 수 있습니다.
관리자가 사용자 세션 키를 생성할 수 있는 tctl auth sign 명령 추가
이제 웹 UI가 실행 파일에서 직접 제공됩니다. 더 이상 웹 에셋이 더 이상 필요하지 않습니다.

버그 수정

구성에서 여러 인증 서버를 설정해도 마지막 인증 서버에 연결할 수 없는 경우 작동하지 않습니다. #593
tsh scp -r이 디렉토리 업로드를 제대로 처리하지 않음 #606

1.2

이 버전은 유지보수 릴리스이며 이전 버전을 대체하는 드롭인 버전입니다.

변경 사항

여기에서 볼 수 있는 사용성 버그 수정
문서 업데이트
샘플 구성 및 시스템 단위 파일이 포함된 예제 디렉터리 추가.

1.1.0

이 버전은 이전 버전의 드롭인 업그레이드를 위한 유지 관리 릴리스입니다.

변경 사항

사용자 환경 개선: 오류 메시지 개선
ssh 명령과의 호환성 개선: t` 플래그를 사용하여 TTY를 강제로 할당할 수 있습니다.

1.0.5

이 릴리스는 시간 제한이 있는 프로덕션에 권장되었습니다. 이 릴리스에서는 #529로 인해 인증서가 올바르게 작동하지 않았습니다.

웹 UI의 성능 및 사용성 개선
Golang v1.7로 더 작아진 바이너리 크기

버그 수정

새 사용자 등록 시 잘못된 URL. #497
로그인한 사용자는 텔레포트 보조 그룹 버그 보안을 상속받습니다. #507
신뢰할 수 있는 클러스터에서 실행 중인 세션에 참가할 수 없습니다. #504

1.0.4

이 릴리스에는 텔레포트 프록시에 대한 비표준 텔레포트 프록시용 HTTPS 포트를 tsh --proxy 플래그에 지정하는 기능만 추가되었습니다.

1.0.3

이 릴리스에는 주요 버그 수정 #486과 노출되지 않은 사소한 변경 사항 하나만 포함되어 있습니다. 노출되지 않은 사소한 변경사항이 포함되어 있습니다.

버그 수정

'advertise_ip' 추측이 IPv6 주소 공간을 선택합니다. #486

1.0

텔레포트의 첫 공식 출시!

Teleport 원문 보기

변경 로그

16.2.1 (2024년 9월 5일)

16.2.0 (2024년 8월 26일)

Windows 데스크톱의 NLA 지원

DocumentDB IAM 인증 지원

웹 UI에서 조인 토큰 관리

접근 그래프에서 데이터베이스 접근 제어

Logrotate 지원

기타 개선 사항 및 수정

16.1.8 (2024년 8월 23일)

보안 수정

[높음] SAML IdP의 저장된 XSS

기타 수정 및 개선 사항

16.1.0 (2024년 7월 15일)

새로운 로고

데이터베이스 접근 세션 재생

기타 개선 사항 및 수정

16.0.4 (2024년 7월 3일)

16.0.3 (2024년 6월 27일)

보안 수정 사항

기타 업데이트 및 개선 사항

Enterprise 전용 변경 사항 및 개선 사항

16.0.1 (2024년 6월 17일)

16.0.0 (06/13/24)

주요 변경 사항

Opsgenie 플러그인 주석

Teleport Assist 제거됨

DynamoDB 권한 요구 사항 변경

두 번째 인증 요소 인증 유형 비활성화

머신 ID 및 OpenSSH 클라이언트 구성 변경

Teleport Connect의 기본 키보드 단축키 변경

15.0.0(xx/xx/24)

새로운 기능

이제 ARM64에서 FIPS 지원

이제 ARM64용으로 강화된 AMI가 생산됩니다.

스트리밍 세션 재생

독립형 텔레포트 연산자

이제 텔레포트 오퍼레이터가 역할 v6 및 v7을 지원합니다.

변경 사항 및 사용 중단 중단

RDP 엔진에는 RemoteFX가 필요합니다.

TSH SSH

drop 호스트 사용자 생성 모드

SSH에 대한 제한된 세션 제거

패키지는 더 이상 레거시 Debian 및 RPM 리포지토리에 게시되지 않습니다.

컨테이너 이미지

"무거운" 컨테이너 이미지 제공 중단

헬름 클러스터 차트 FIPS 모드 변경 사항

다중 아키텍처 텔레포트 오퍼레이터 이미지

Quay.io 레지스트리

Amazon AMI

강화된 AMI

레거시 Amazon Linux 2 AMI

windows_desktop_service가 더 이상 NTAuth 스토어에 쓰지 않습니다.

AWS 클러스터 배포 업데이트 예시

teleport-cluster 헬름 차트 변경 사항

헬름 클러스터 차트 FIPS 모드 변경

리소스 버전은 이제 Terraform 공급자에서 필수이며 변경할 수 없습니다.

기타 변경 사항

비밀번호 길이 증가

계정 잠금 간격 증가

14.0.0 (09/20/23)

새로운 기능

고급 감사 로그

액세스 목록

통합 리소스 보기

Kubernetes 앱 자동 검색

리소스별 확장된 쿠버네티스 RBAC

데이터베이스 액세스를 위한 ClickHouse 지원

오라클 데이터베이스 액세스 감사 로깅 지원

OSS 텔레포트에서 로컬 Windows 사용자의 비밀번호 없는 액세스 제한

Discord 및 ServiceNow 호스팅 플러그인

향상된 PuTTY 지원

Terraform 배포 예시에서 TLS 라우팅 지원

머신 ID: 쿠버네티스 시크릿 대상

변경 사항 및 지원 중단

SSH 노드 개방 다이얼이 더 이상 지원되지 않습니다.

프록시 프로토콜 기본값 변경

레거시 deb/rpm 패키지 리포지토리는 더 이상 사용되지 않습니다.

Cf-Access-Token 헤더가 더 이상 앱 액세스 요청에 포함되지 않습니다.

tsh db CLI 명령 변경

`TSH SSH`

`drop` 호스트 사용자 생성 모드

`windows_desktop_service`가 더 이상 NTAuth 스토어에 쓰지 않습니다.

`teleport-cluster` 헬름 차트 변경 사항

`Cf-Access-Token` 헤더가 더 이상 앱 액세스 요청에 포함되지 않습니다.

`~/.tsh/environment`에 대한 심볼릭 링크가 더 이상 지원되지 않습니다.