Nova verzija OpenSSH 8.8 je već objavljen i ovu novu verziju ističe se po zadanom onemogućavanju mogućnosti korištenja digitalnih potpisa zasnovano na RSA ključevima sa SHA-1 hash-om ("ssh-rsa").
Kraj podrške za "ssh-rsa" potpise je posljedica povećanja efikasnosti napada sudara sa datim prefiksom (troškovi pogađanja sudara procjenjuju se na oko 50 hiljada dolara). Da biste testirali upotrebu ssh-rsa na sistemu, možete pokušati da se povežete putem ssh-a sa opcijom "-oHostKeyAlgorithms = -ssh-rsa".
Osim toga, nije se promijenila podrška za RSA potpise sa SHA-256 i SHA-512 (rsa-sha2-256 / 512) heševima, koji su podržani od OpenSSH 7.2. U većini slučajeva prestanak podrške za "ssh-rsa" neće zahtijevati ručne radnje. od strane korisnika, budući da je postavka UpdateHostKeys prethodno zadano omogućena u OpenSSH -u, što automatski prevodi klijente u pouzdanije algoritme.
Ova verzija onemogućuje RSA potpise pomoću SHA-1 algoritma heširanja default. Ova promjena je napravljena jer SHA-1 hash algoritam jeste kriptografski pokvaren, te je moguće kreirati odabrani prefiks hash collisions by
Za većinu korisnika ova bi promjena trebala biti nevidljiva i postoji nema potrebe za zamjenom ključeva ssh-rsa. OpenSSH je usklađen sa RFC8332 RSA / SHA-256 /512 potpisi iz verzije 7.2 i postojeći ssh-rsa ključevi automatski će koristiti najjači algoritam kad god je to moguće.
Za migraciju se koristi proširenje protokola "hostkeys@openssh.com"«, Što omogućava poslužitelju da nakon prolaska autentifikacije obavijesti klijenta o svim dostupnim ključevima hosta. Prilikom povezivanja na hostove sa vrlo starim verzijama OpenSSH-a na strani klijenta, možete selektivno poništiti mogućnost korištenja "ssh-rsa" potpisa dodavanjem ~ / .ssh / config
Nova verzija također rješava sigurnosni problem uzrokovan sshd -om, budući da je OpenSSH 6.2, pogrešno inicijaliziranje korisničke grupe prilikom izvršavanja naredbi navedenih u direktivama AuthorizedKeysCommand i AuthorizedPrincipalsCommand.
Ove direktive trebaju osigurati da se naredbe izvode pod drugim korisnikom, ali su zapravo naslijedile popis grupa koje se koriste pri pokretanju sshd -a. Potencijalno, ovo ponašanje, s obzirom na određene sistemske konfiguracije, omogućilo je pokrenutom kontroleru da stekne dodatne privilegije na sistemu.
Napomene o izdanju oni takođe uključuju upozorenje o nameri da se promeni uslužni program scp default koristiti SFTP umjesto naslijeđenog SCP / RCP protokola. SFTP primjenjuje predvidljivija imena metoda, a globalni obrasci za neobrađivanje se koriste u imenima datoteka kroz ljusku sa druge strane hosta, stvarajući zabrinutost za sigurnost.
Konkretno, prilikom korištenja SCP -a i RCP -a, poslužitelj odlučuje koje datoteke i direktorije će poslati klijentu, a klijent samo provjerava ispravnost vraćenih naziva objekata, što, u nedostatku odgovarajućih provjera na strani klijenta, omogućuje poslužitelj za prijenos drugih naziva datoteka koji se razlikuju od onih koji se traže.
SFTP -u nedostaju ovi problemi, ali ne podržava proširenje posebnih ruta poput "~ /". Da bi se riješila ova razlika, u prethodnoj verziji OpenSSH -a, novo SFTP proširenje je predloženo u implementaciji SFTP servera za izlaganje putanji ~ / i ~ korisnika /.
Konačno ako ste zainteresirani da saznate više o tome o ovoj novoj verziji možete provjeriti detalje odlaskom na sljedeći link.
Kako instalirati OpenSSH 8.8 na Linux?
Za one koje zanima mogućnost instaliranja ove nove verzije OpenSSH-a na svoje sisteme, za sada to mogu preuzimanje izvornog koda ovog i izvodeći kompilaciju na svojim računarima.
To je zato što nova verzija još nije uključena u spremišta glavnih Linux distribucija. Da biste dobili izvorni kod, to možete učiniti s sledeći link.
Završeno preuzimanje, sada ćemo raspakirati paket slijedećom naredbom:
tar -xvf openssh-8.8.tar.gz
Ulazimo u kreirani direktorij:
cd openssh-8.8
Y možemo kompajlirati sa sljedeće naredbe:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install