Die neue Version von OpenSSH 8.8 wurde bereits veröffentlicht und diese neue Version zeichnet sich dadurch aus, dass die Möglichkeit zur Verwendung digitaler Signaturen standardmäßig deaktiviert ist basierend auf RSA-Schlüsseln mit einem SHA-1-Hash ("ssh-rsa").
Ende der Unterstützung für "ssh-rsa"-Signaturen ist auf eine Erhöhung der Effektivität von Kollisionsangriffen zurückzuführen mit einem bestimmten Präfix (die Kosten für das Erraten der Kollision werden auf etwa 50 US-Dollar geschätzt). Um die Verwendung von ssh-rsa auf einem System zu testen, können Sie versuchen, sich über ssh mit der Option "-oHostKeyAlgorithms = -ssh-rsa" zu verbinden.
Auch die Unterstützung für RSA-Signaturen mit SHA-256 und SHA-512 (rsa-sha2-256 / 512) Hashes, die seit OpenSSH 7.2 unterstützt werden, hat sich nicht geändert. In den meisten Fällen erfordert das Beenden der Unterstützung für "ssh-rsa" keine manuelle Aktion. von Benutzern, da die UpdateHostKeys-Einstellung zuvor standardmäßig in OpenSSH aktiviert war, wodurch Clients automatisch in zuverlässigere Algorithmen übersetzt werden.
Diese Version deaktiviert RSA-Signaturen mit dem SHA-1-Hashing-Algorithmus Ursprünglich. Diese Änderung wurde vorgenommen, da der SHA-1-Hash-Algorithmus kryptographisch gebrochen, und es ist möglich, das gewählte Präfix zu erstellen Hash-Kollisionen von
Für die meisten Benutzer sollte diese Änderung unsichtbar sein und es gibt ssh-rsa-Schlüssel müssen nicht ersetzt werden. OpenSSH ist konform mit RFC8332 RSA / SHA-256/512-Signaturen ab Version 7.2 und vorhandene ssh-rsa-Schlüssel Es wird, wann immer möglich, automatisch den stärksten Algorithmus verwenden.
Für die Migration wird die Protokollerweiterung "hostkeys@openssh.com" verwendet«, die es dem Server ermöglicht, nach bestandener Authentifizierung den Client über alle verfügbaren Host-Schlüssel zu informieren. Wenn Sie auf der Client-Seite eine Verbindung zu Hosts mit sehr alten Versionen von OpenSSH herstellen, können Sie die Möglichkeit zur Verwendung von "ssh-rsa"-Signaturen selektiv umkehren, indem Sie ~ / .ssh / config . hinzufügen
Die neue Version behebt auch ein durch sshd verursachtes Sicherheitsproblem, seit OpenSSH 6.2, wodurch die Benutzergruppe beim Ausführen von Befehlen falsch initialisiert wird, die in den Anweisungen AuthorizedKeysCommand und AuthorizedPrincipalsCommand angegeben sind.
Diese Direktiven sollten sicherstellen, dass die Befehle unter einem anderen Benutzer ausgeführt werden, aber tatsächlich haben sie die Liste der Gruppen geerbt, die beim Starten von sshd verwendet wurden. Potenziell ermöglichte dieses Verhalten bei bestimmten Systemkonfigurationen dem laufenden Controller, zusätzliche Berechtigungen auf dem System zu erlangen.
Die Versionshinweise Sie enthalten auch eine Warnung, dass das Dienstprogramm scp geändert werden soll Standard SFTP anstelle des alten SCP / RCP-Protokolls zu verwenden. SFTP erzwingt vorhersehbarere Methodennamen, und globale Nicht-Verarbeitungsmuster werden in Dateinamen über die Shell auf der Seite des anderen Hosts verwendet, was zu Sicherheitsbedenken führt.
Insbesondere bei der Verwendung von SCP und RCP entscheidet der Server, welche Dateien und Verzeichnisse an den Client gesendet werden, und der Client prüft nur die Richtigkeit der zurückgegebenen Objektnamen, was bei fehlender ordnungsgemäßer Prüfung auf der Client-Seite die Server, um andere Dateinamen zu übertragen, die von den angeforderten abweichen.
SFTP hat diese Probleme nicht, unterstützt aber nicht den Ausbau spezieller Routen wie "~ /". Um diesen Unterschied zu beheben, wurde in der vorherigen Version von OpenSSH eine neue SFTP-Erweiterung in der SFTP-Serverimplementierung vorgeschlagen, um die Pfade ~ / und ~ user / bereitzustellen.
Schließlich wenn Sie mehr darüber wissen möchten Über diese neue Version können Sie die Details überprüfen indem Sie auf den folgenden Link gehen.
Wie installiere ich OpenSSH 8.8 unter Linux?
Für diejenigen, die daran interessiert sind, diese neue Version von OpenSSH auf ihren Systemen installieren zu können, jetzt können sie es tun Herunterladen des Quellcodes von diesem und Durchführen der Kompilierung auf ihren Computern.
Dies liegt daran, dass die neue Version noch nicht in den Repositorys der wichtigsten Linux-Distributionen enthalten ist. Um den Quellcode zu erhalten, können Sie dies über das tun folgenden Link.
Fertig den Download, Jetzt entpacken wir das Paket mit dem folgenden Befehl:
tar -xvf openssh-8.8.tar.gz
Wir geben das erstellte Verzeichnis ein:
cd openssh-8.8
Y wir können mit kompilieren die folgenden Befehle:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install