Den nye version af OpenSSH 8.8 er allerede frigivet og denne nye version skiller sig ud ved at deaktivere muligheden for at bruge digitale signaturer som standard baseret på RSA-nøgler med en SHA-1 hash ("ssh-rsa").
Afslutning af support til "ssh-rsa" signaturer skyldes en stigning i effektiviteten af kollisionsangreb med et givet præfiks (omkostningerne ved at gætte på kollisionen anslås til omkring 50 tusind dollars). For at teste brugen af ssh-rsa på et system, kan du prøve at oprette forbindelse via ssh med indstillingen "-oHostKeyAlgorithms = -ssh-rsa".
Derudover er understøttelse af RSA-signaturer med SHA-256 og SHA-512 (rsa-sha2-256 / 512) hash, som understøttes siden OpenSSH 7.2, ikke ændret. I de fleste tilfælde kræver afslutning af understøttelse af "ssh-rsa" ingen manuel handling. af brugere, da UpdateHostKeys -indstillingen tidligere var aktiveret som standard i OpenSSH, som automatisk oversætter klienter til mere pålidelige algoritmer.
Denne version deaktiverer RSA-signaturer ved hjælp af SHA-1-hash-algoritmen Standard. Denne ændring er foretaget siden SHA-1 hash-algoritmen er kryptografisk brudt, og det er muligt at oprette det valgte præfiks hashkollisioner af
For de fleste brugere burde denne ændring være usynlig, og det er der ikke nødvendigt at udskifte ssh-rsa nøgler. OpenSSH er kompatibelt med RFC8332 RSA / SHA-256 /512 signaturer fra version 7.2 og eksisterende ssh-rsa nøgler den vil automatisk bruge den stærkeste algoritme, når det er muligt.
Til migration bruges protokoludvidelsen "hostkeys@openssh.com"«, Som gør det muligt for serveren, efter at have godkendt godkendelsen, at informere klienten om alle tilgængelige værtsnøgler. Når du opretter forbindelse til værter med meget gamle versioner af OpenSSH på klientsiden, kan du selektivt vende om muligheden for at bruge "ssh-rsa" signaturer ved at tilføje ~ / .ssh / config
Den nye version løser også et sikkerhedsproblem forårsaget af sshd, da OpenSSH 6.2, forkert initialisering af brugergruppen ved udførelse af kommandoer, der er angivet i direktiverne AuthorizedKeysCommand og AuthorizedPrincipalsCommand.
Disse direktiver skal sikre, at kommandoerne køres under en anden bruger, men de har faktisk arvet listen over grupper, der blev brugt ved start af sshd. Potentielt tillod denne adfærd, givet visse systemkonfigurationer, den kørende controller at få yderligere privilegier på systemet.
Udgivelsesnotater de indeholder også en advarsel om, at de agter at ændre scp -værktøjet Standard at bruge SFTP i stedet for den gamle SCP / RCP -protokol. SFTP håndhæver mere forudsigelige metodenavne, og globale ikke-behandlingsmønstre bruges i filnavne gennem skallen på den anden værts side, hvilket skaber sikkerhedsproblemer.
Især ved brug af SCP og RCP beslutter serveren, hvilke filer og mapper der skal sendes til klienten, og klienten kontrollerer kun rigtigheden af de returnerede objektnavne, hvilket i mangel af korrekte kontroller på klientsiden tillader server til at overføre andre filnavne, der adskiller sig fra de anmodede.
SFTP mangler disse problemer, men understøtter ikke udvidelse af særlige ruter, f.eks. "~ /". For at løse denne forskel blev der i den tidligere version af OpenSSH foreslået en ny SFTP -udvidelse i SFTP -serverimplementeringen for at afsløre ~ / og ~ bruger / stier.
Endelig hvis du er interesseret i at vide mere om det om denne nye version kan du kontrollere detaljerne ved at gå til følgende link.
Sådan installeres OpenSSH 8.8 på Linux?
For dem der er interesserede i at kunne installere denne nye version af OpenSSH på deres systemer, for nu kan de gøre det downloade kildekoden til dette og udfører kompilering på deres computere.
Dette skyldes, at den nye version endnu ikke er inkluderet i arkiverne til de vigtigste Linux-distributioner. For at få kildekoden kan du gøre det fra næste link.
Udførte download, nu skal vi pakke pakken ud med følgende kommando:
tar -xvf openssh-8.8.tar.gz
Vi går ind i den oprettede mappe:
cd openssh-8.8
Y vi kan kompilere med følgende kommandoer:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install