Новата версия на OpenSSH 8.8 вече е пуснат и тази нова версия се откроява с деактивиране по подразбиране на възможността за използване на цифрови подписи въз основа на RSA ключове с SHA-1 хеш ("ssh-rsa").
Край на поддръжката за подписи „ssh-rsa“ се дължи на повишаване на ефективността на атаките при сблъсък с даден префикс (разходите за отгатване на сблъсъка се оценяват на около 50 хиляди долара). За да тествате използването на ssh-rsa в система, можете да опитате да се свържете чрез ssh с опцията "-oHostKeyAlgorithms = -ssh-rsa".
В допълнение, поддръжката на RSA подписи с SHA-256 и SHA-512 (rsa-sha2-256 / 512) хешове, които се поддържат от OpenSSH 7.2, не се е променила. В повечето случаи прекратяването на поддръжката за „ssh-rsa“ няма да изисква никакви ръчни действия. от потребители, тъй като настройката UpdateHostKeys преди това е била активирана по подразбиране в OpenSSH, което автоматично превежда клиентите в по -надеждни алгоритми.
Тази версия деактивира RSA подписите, използвайки алгоритъма за хеширане SHA-1 по подразбиране. Тази промяна е направена, тъй като SHA-1 хеш алгоритъмът е криптографски счупен и е възможно да се създаде избраният префикс хеш сблъсъци от
За повечето потребители тази промяна трябва да бъде невидима и има няма нужда да сменяте ключовете ssh-rsa. OpenSSH е съвместим с RFC8332 RSA / SHA-256 /512 подписи от версия 7.2 и съществуващи ключове ssh-rsa той автоматично ще използва най -силния алгоритъм, когато е възможно.
За миграция се използва разширението на протокола „hostkeys@openssh.com“«, Което позволява на сървъра, след преминаване на удостоверяването, да информира клиента за всички налични ключове на хоста. Когато се свързвате с хостове с много стари версии на OpenSSH от страна на клиента, можете избирателно да отмените възможността за използване на „ssh-rsa“ подписи, като добавите ~ / .ssh / config
Новата версия също така отстранява проблем със сигурността, причинен от sshd, тъй като OpenSSH 6.2, неправилно инициализиране на потребителската група при изпълнение на команди, посочени в директивите AuthorizedKeysCommand и AuthorizedPrincipalsCommand.
Тези директиви трябва да гарантират, че командите се изпълняват под различен потребител, но всъщност те наследяват списъка с групи, използвани при стартиране на sshd. Потенциално това поведение, при определени конфигурации на системата, позволява на работещия контролер да получи допълнителни привилегии в системата.
Бележки за изданието те също така включват предупреждение за възнамеряване на промяна на помощната програма scp по подразбиране да използвате SFTP вместо наследения SCP / RCP протокол. SFTP налага по-предвидими имена на методи, а в имената на файлове през черупката от другата страна на хоста се използват глобални модели за необработване, което създава опасения за сигурността.
По -специално, когато използва SCP и RCP, сървърът решава кои файлове и директории да изпрати на клиента, а клиентът само проверява правилността на върнатите имена на обекти, което при липса на подходящи проверки от страна на клиента позволява сървър за предаване на други имена на файлове, които се различават от исканите.
На SFTP липсват тези проблеми, но не поддържа разширяването на специални маршрути като "~ /". За да се преодолее тази разлика, в предишната версия на OpenSSH, ново SFTP разширение беше предложено в изпълнението на SFTP сървъра за излагане на ~ / и ~ потребителските / пътища.
Накрая ако се интересувате да научите повече за това за тази нова версия можете да проверите подробностите като отидете на следната връзка.
Как да инсталирам OpenSSH 8.8 на Linux?
За тези, които се интересуват от възможността да инсталират тази нова версия на OpenSSH на своите системи, засега те могат да го направят изтегляне на изходния код на това и извършване на компилацията на техните компютри.
Това е така, защото новата версия все още не е включена в хранилищата на основните дистрибуции на Linux. За да получите изходния код, можете да направите от Следваща връзка.
Извършено изтегляне, сега ще разархивираме пакета със следната команда:
tar -xvf openssh-8.8.tar.gz
Въвеждаме създадената директория:
cd openssh-8.8
Y можем да компилираме с следните команди:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install