След четиримесечно развитие бе представена новата версия на OpenSSH 8.7 в която е добавен експериментален режим на трансфер на данни да scp използва SFTP протокол вместо традиционно използвания SCP / RCP протокол.
SFTP използвайте по -предсказуем метод за работа с имена и не използва обработка на шаблони на глобална обвивка от другата страна на хоста, което поставя проблем със сигурността, плюс флагът „-s“ е предложен за активиране на SFTP в scp, но се планира в бъдеще да се промени към този протокол от по подразбиране.
Друга промяна, която се откроява, е в sftp-сървър, който прилага SFTP разширения за разширяване на маршрутите ~ / и ~ потребител /, които са необходими за scp. Помощна програма scp е променил поведението при копиране на файлове между два отдалечени хоста, което сега се прави по подразбиране чрез междинния локален хост. Този подход избягва прехвърлянето на ненужни идентификационни данни към първия хост и тройната интерпретация на имената на файловете в черупката (от източника, целта и локалната система), както и когато използвате SFTP, ви позволява да използвате всички методи за удостоверяване, когато достъп до отдалечени хостове, а не само до неинтерактивни методи
Освен това, и ssh, и sshd са преместили и клиента, и сървъра да използват анализатор на файлове На конфигурация по -стриктно използване на черупкови правила за обработка на кавички, интервали и избягащи знаци.
Новият анализатор също не пренебрегва приетите предположения, като например пропускане на аргументи в опциите (например сега не можете да оставите директивата DenyUsers празна), незатворени кавички и посочване на множество символи "=".
Когато използвате DNS SSHFP записи за проверка на ключове, ssh вече проверява всички съвпадащи записи, а не само тези, които съдържат определен тип цифров подпис. В ssh-keygen, при генериране на FIDO ключ с опцията -Ochallenge, вграденият слой вече се използва за хеширане, вместо инструментите libfido2, което ви позволява да използвате предизвикателни последователности, по-големи или по-малки от 32 байта. В sshd, когато се обработва директивата environment = "..." във файловете авторизирани ключове, първото съвпадение вече се приема и ограничението от 1024 имена на променливи на околната среда е в сила.
Разработчиците на OpenSSH също дапредупреди за прехвърляне в категорията на остарелите алгоритми използване на SHA-1 хешове, поради по-голямата ефективност на атаките при сблъсък с даден префикс (цената на избора на сблъсък се оценява на около 50 XNUMX долара).
В следващото издание се планира по подразбиране да се деактивира възможността за използване на алгоритъма за цифров подпис с публичен ключ „ssh-rsa“, който е споменат в оригиналния RFC за SSH протокола и все още се използва широко в практиката.
За да тествате използването на ssh-rsa в системи, можете да опитате да се свържете чрез ssh с опцията "-oHostKeyAlgorithms = -ssh-rsa". В същото време деактивирането на "ssh-rsa" цифрови подписи по подразбиране не означава пълно отхвърляне на използването на RSA ключове, тъй като освен SHA-1, SSH протоколът позволява използването на други алгоритми за изчисляване на хешове. По-специално, в допълнение към "ssh-rsa", ще бъде възможно да се използват връзките "rsa-sha2-256" (RSA / SHA256) и "rsa-sha2-512" (RSA / SHA512).
За да се улесни преходът към нови алгоритми в OpenSSH, настройката UpdateHostKeys преди това е била активирана по подразбиране, което ви позволява автоматично да превключвате клиенти към по -надеждни алгоритми.
И накрая, ако се интересувате да научите повече за тази нова версия, можете да се консултирате с подробностите като отидете на следната връзка.
Как да инсталирам OpenSSH 8.7 на Linux?
За тези, които се интересуват от възможността да инсталират тази нова версия на OpenSSH на своите системи, засега те могат да го направят изтегляне на изходния код на това и извършване на компилацията на техните компютри.
Това е така, защото новата версия все още не е включена в хранилищата на основните дистрибуции на Linux. За да получите изходния код, можете да направите от Следваща връзка.
Извършено изтегляне, сега ще разархивираме пакета със следната команда:
tar -xvf openssh-8.7.tar.gz
Въвеждаме създадената директория:
cd openssh-8.7
Y можем да компилираме с следните команди:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install