Nach vier Monaten Entwicklung die Veröffentlichung der neuen Version von OpenSSH 8.7 wurde vorgestellt in welchem ein experimenteller Datenübertragungsmodus wurde hinzugefügt scp mit dem SFTP-Protokoll anstelle des traditionell verwendeten SCP / RCP-Protokolls.
SFTP Verwenden Sie eine vorhersehbarere Methode zum Umgang mit Namen und es verwendet keine Glob-Shell-Template-Verarbeitung auf der anderen Hostseite, was ein Sicherheitsproblem darstellt, und das Flag '-s' wurde vorgeschlagen, um SFTP in scp zu aktivieren, aber es ist geplant, in Zukunft auf dieses Protokoll umzuändern Ursprünglich.
Eine weitere Veränderung, die auffällt, ist in sftp-Server, der SFTP-Erweiterungen implementiert, um Routen zu erweitern ~ / und ~ user /, die für scp benötigt werden. Dienstprogramm scp hat das Verhalten beim Kopieren von Dateien zwischen zwei Remote-Hosts geändert, was jetzt standardmäßig über den lokalen Zwischenhost erfolgt. Dieser Ansatz vermeidet die Übertragung unnötiger Credentials an den ersten Host und die dreifache Interpretation von Dateinamen in der Shell (auf Quell-, Ziel- und lokaler Systemseite) sowie bei Verwendung von SFTP ermöglicht es Ihnen, alle Methoden der Authentifizierung zu verwenden, wenn Zugriff auf Remote-Hosts und nicht nur auf nicht interaktive Methoden
Zusätzlich Sowohl ssh als auch sshd haben sowohl den Client als auch den Server verschoben, um einen Dateiparser zu verwenden Der Konfiguration strenger mit Shell-Regeln um Anführungszeichen, Leerzeichen und Escape-Zeichen zu behandeln.
Der neue Parser ignoriert auch nicht übergebene Annahmen, wie das Weglassen von Argumenten in Optionen (z. B. können Sie jetzt die DenyUsers-Direktive nicht leer lassen), nicht geschlossene Anführungszeichen und die Angabe mehrerer "="-Symbole.
Wenn Sie DNS-SSHFP-Einträge zum Verifizieren von Schlüsseln verwenden, überprüft ssh jetzt alle übereinstimmenden Einträge, nicht nur diejenigen, die eine bestimmte Art von digitaler Signatur enthalten. In ssh-keygen wird beim Generieren eines FIDO-Schlüssels mit der Option -Ochallenge jetzt die eingebaute Schicht anstelle der libfido2-Tools für das Hashing verwendet, sodass Sie Challenge-Sequenzen verwenden können, die größer oder kleiner als 32 Byte sind. In sshd wird bei der Verarbeitung der Anweisung environment = "..." in authorisierten_keys-Dateien jetzt die erste Übereinstimmung akzeptiert und das Limit von 1024 Umgebungsvariablennamen gilt.
OpenSSH-Entwickler auch zuvor der Überführung in die Kategorie der veralteten Algorithmen gewarnt Verwendung von SHA-1-Hashes aufgrund der höheren Effizienz von Kollisionsangriffen mit einem bestimmten Präfix (die Kosten für die Kollisionsauswahl werden auf etwa 50 US-Dollar geschätzt).
In der nächsten Version ist geplant, die Möglichkeit zur Verwendung des digitalen Signaturalgorithmus "ssh-rsa", der im ursprünglichen RFC für das SSH-Protokoll erwähnt wird und in der Praxis immer noch weit verbreitet ist, standardmäßig zu deaktivieren.
Um die Verwendung von ssh-rsa auf Systemen zu testen, können Sie versuchen, sich über ssh mit der Option "-oHostKeyAlgorithms = -ssh-rsa" zu verbinden. Gleichzeitig bedeutet die standardmäßige Deaktivierung der digitalen "ssh-rsa"-Signaturen keine vollständige Ablehnung der Verwendung von RSA-Schlüsseln, da das SSH-Protokoll neben SHA-1 die Verwendung anderer Algorithmen zur Berechnung von Hashes ermöglicht. Insbesondere werden neben "ssh-rsa" die Links "rsa-sha2-256" (RSA / SHA256) und "rsa-sha2-512" (RSA / SHA512) verwendet werden können..
Um den Übergang zu neuen Algorithmen in OpenSSH zu erleichtern, war die Einstellung UpdateHostKeys zuvor standardmäßig aktiviert, sodass Sie Clients automatisch auf zuverlässigere Algorithmen umstellen können.
Wenn Sie mehr über diese neue Version erfahren möchten, können Sie die Details konsultieren indem Sie auf den folgenden Link gehen.
Wie installiere ich OpenSSH 8.7 unter Linux?
Für diejenigen, die daran interessiert sind, diese neue Version von OpenSSH auf ihren Systemen installieren zu können, jetzt können sie es tun Herunterladen des Quellcodes von diesem und Durchführen der Kompilierung auf ihren Computern.
Dies liegt daran, dass die neue Version noch nicht in den Repositorys der wichtigsten Linux-Distributionen enthalten ist. Um den Quellcode zu erhalten, können Sie dies über das tun folgenden Link.
Fertig den Download, Jetzt entpacken wir das Paket mit dem folgenden Befehl:
tar -xvf openssh-8.7.tar.gz
Wir geben das erstellte Verzeichnis ein:
cd openssh-8.7
Y wir können mit kompilieren die folgenden Befehle:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install