Efter fire måneders udvikling udgivelsen af den nye version af OpenSSH 8.7 er blevet præsenteret i hvilken en eksperimentel dataoverførselstilstand er blevet tilføjet til scp ved hjælp af SFTP -protokollen i stedet for den traditionelt anvendte SCP / RCP -protokol.
SFTP bruge en mere forudsigelig metode til håndtering af navne og den bruger ikke glob shell-skabelonbehandling på den anden værtsside, hvilket udgør et sikkerhedsproblem, plus '-s'-flag er blevet foreslået for at aktivere SFTP i scp, men det er planlagt at ændre denne protokol i fremtiden af Standard.
En anden ændring, der skiller sig ud, er i sftp-server, der implementerer SFTP-udvidelser til at udvide ruter ~ / og ~ bruger /, som er nødvendige for scp. Værktøj scp har ændret adfærd ved kopiering af filer mellem to eksterne værter, som nu udføres som standard via den mellemliggende lokale vært. Denne tilgang undgår overførsel af unødvendige legitimationsoplysninger til den første vært og tredobbelt fortolkning af filnavne i skallen (på kilde-, mål- og lokale systemsider) samt ved brug af SFTP, det giver dig mulighed for at bruge alle metoder til godkendelse, når adgang til eksterne værter, og ikke kun ikke-interaktive metoder
Derudover både ssh og sshd har flyttet både klienten og serveren til at bruge en fil -parser Konfiguration mere streng ved hjælp af skalregler at håndtere citater, mellemrum og undslippe karakterer.
Den nye parser ignorerer heller ikke beståede antagelser, f.eks. Udeladelse af argumenter i valgmuligheder (f.eks. Nu kan du ikke forlade DenyUsers -direktivet tomt), ikke lukkede citater og angivelse af flere "=" symboler.
Når du bruger DNS SSHFP -poster til at verificere nøgler, verificerer ssh nu alle matchende poster, ikke kun dem, der indeholder en bestemt type digital signatur. I ssh-keygen, når du genererer en FIDO-nøgle med indstillingen -Ochallenge, bruges det indbyggede lag nu til hashing, i stedet for libfido2-værktøjerne, så du kan bruge udfordringssekvenser større eller mindre end 32 bytes. I sshd, ved behandling af miljø = "..." -direktivet i autoriserede_nøglefiler, accepteres det første match nu, og grænsen på 1024 miljøvariabelnavne er gældende.
OpenSSH -udviklere også tiladvaret om overførslen til kategorien forældede algoritmer ved hjælp af SHA-1-hash på grund af den større effektivitet af kollisionsangreb med et givet præfiks (omkostninger ved valg af kollision anslås til ca. $ 50).
I den næste udgivelse er det planlagt at deaktivere som standard muligheden for at bruge "ssh-rsa" digital nøglesalgoritme til offentlig nøgle, som er nævnt i den originale RFC for SSH-protokollen og stadig er meget udbredt i praksis.
For at teste brugen af ssh-rsa på systemer kan du prøve at oprette forbindelse via ssh med indstillingen "-oHostKeyAlgorithms = -ssh-rsa". Samtidig betyder deaktivering af "ssh-rsa" digitale signaturer som standard ikke en total afvisning af brugen af RSA-nøgler, da SSH-protokollen ud over SHA-1 tillader brug af andre algoritmer til beregning af hash. Især vil det ud over "ssh-rsa" være muligt at bruge linkene "rsa-sha2-256" (RSA / SHA256) og "rsa-sha2-512" (RSA / SHA512).
For at glatte overgangen til nye algoritmer i OpenSSH var indstillingen UpdateHostKeys tidligere aktiveret som standard, så du automatisk kan skifte klienter til mere pålidelige algoritmer.
Endelig, hvis du er interesseret i at vide mere om denne nye version, kan du konsultere detaljerne ved at gå til følgende link.
Sådan installeres OpenSSH 8.7 på Linux?
For dem der er interesserede i at kunne installere denne nye version af OpenSSH på deres systemer, for nu kan de gøre det downloade kildekoden til dette og udfører kompilering på deres computere.
Dette skyldes, at den nye version endnu ikke er inkluderet i arkiverne til de vigtigste Linux-distributioner. For at få kildekoden kan du gøre det fra næste link.
Udførte download, nu skal vi pakke pakken ud med følgende kommando:
tar -xvf openssh-8.7.tar.gz
Vi går ind i den oprettede mappe:
cd openssh-8.7
Y vi kan kompilere med følgende kommandoer:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install