Μετά από τέσσερις μήνες ανάπτυξης, η απελευθέρωση του τη νέα έκδοση του OpenSSH 8.2, που είναι μια ανοιχτή εφαρμογή πελάτη και διακομιστή για να εργαστεί στα πρωτόκολλα SSH 2.0 και SFTP. ΕΝΑ βασικών βελτιώσεων κατά την κυκλοφορία από το OpenSSH 8.2 fη δυνατότητα χρήσης ταυτότητας δύο παραγόντων χρησιμοποιώντας συσκευές που υποστηρίζουν το πρωτόκολλο U2F αναπτύχθηκε από τη συμμαχία FIDO.
Το U2F επιτρέπει τη δημιουργία διακριτικών υλικού χαμηλού κόστους για την επιβεβαίωση της φυσικής παρουσίας του χρήστη, του οποίου η αλληλεπίδραση γίνεται μέσω USB, Bluetooth ή NFC. Τέτοιες συσκευές προωθούνται ως μέσο ελέγχου ταυτότητας δύο παραγόντων σε ιστότοπους, είναι ήδη συμβατοί με όλα τα μεγάλα προγράμματα περιήγησης και παράγονται από διάφορους κατασκευαστές, συμπεριλαμβανομένων των Yubico, Feitian, Thetis και Kensington.
Για να αλληλεπιδράσετε με συσκευές που επιβεβαιώνουν την παρουσία του χρήστη, Το OpenSSH έχει προσθέσει δύο νέους τύπους κλειδιών "ecdsa-sk" και "ed25519-sk", οι οποίοι χρησιμοποιούν τους αλγόριθμους ψηφιακής υπογραφής ECDSA και Ed25519 σε συνδυασμό με το κατακερματισμό SHA-256.
Οι διαδικασίες αλληλεπίδρασης με τα διακριτικά έχουν μεταφερθεί σε μια ενδιάμεση βιβλιοθήκη, το οποίο φορτώνεται κατ 'αναλογία με τη βιβλιοθήκη για υποστήριξη PKCS # 11 και είναι ένας σύνδεσμος στη βιβλιοθήκη libfido2, ο οποίος παρέχει μέσα επικοινωνίας με μάρκες μέσω USB (υποστηρίζονται δύο πρωτόκολλα FIDO U2F / CTAP 1 και FIDO 2.0 / CTAP).
Η ενδιάμεση βιβλιοθήκη libsk-libfido2 που προετοιμάστηκε από τους προγραμματιστές OpenSSHκαι περιλαμβάνει στον πυρήνα libfido2, καθώς και το πρόγραμμα οδήγησης HID για OpenBSD.
Για έλεγχο ταυτότητας και δημιουργία κλειδιών, πρέπει να καθορίσετε την παράμετρο "SecurityKeyProvider" στη διαμόρφωση ή να ορίσετε τη μεταβλητή περιβάλλοντος SSH_SK_PROVIDER, καθορίζοντας τη διαδρομή προς την εξωτερική βιβλιοθήκη libsk-libfido2.so.
Είναι δυνατή η δημιουργία ανοιχτού ανοίγματος με ενσωματωμένη υποστήριξη για τη βιβλιοθήκη μεσαίου επιπέδου και σε αυτήν την περίπτωση πρέπει να ορίσετε την παράμετρο "SecurityKeyProvider = internal".
Επίσης, από προεπιλογή, όταν εκτελούνται βασικές λειτουργίες, απαιτείται τοπική επιβεβαίωση της φυσικής παρουσίας του χρήστη, για παράδειγμα, προτείνεται να αγγίξετε τον αισθητήρα στο διακριτικό, γεγονός που καθιστά δύσκολη την εκτέλεση απομακρυσμένων επιθέσεων σε συστήματα με συνδεδεμένο διακριτικό .
Από την άλλη πλευρά, η νέα έκδοση του Το OpenSSH ανακοίνωσε επίσης την επερχόμενη μεταφορά στην κατηγορία των παρωχημένων αλγορίθμων που χρησιμοποιούν κατακερματισμό SHA-1 λόγω της αύξησης της αποτελεσματικότητας των συγκρούσεων.
Για να διευκολυνθεί η μετάβαση σε νέους αλγόριθμους στο OpenSSH σε μια επερχόμενη έκδοση, Η ρύθμιση UpdateHostKeys θα ενεργοποιηθεί από προεπιλογή, η οποία θα αλλάξει αυτόματα τους πελάτες σε πιο αξιόπιστους αλγόριθμους.
Μπορεί επίσης να βρεθεί στο OpenSSH 8.2, η δυνατότητα σύνδεσης με το "ssh-rsa" παραμένει, αλλά αυτός ο αλγόριθμος καταργείται από τη λίστα CASignatureAlgorithms, η οποία καθορίζει τους αλγόριθμους που ισχύουν για την ψηφιακή υπογραφή νέων πιστοποιητικών.
Παρομοίως, ο αλγόριθμος diffie-hellman-group14-sha1 έχει αφαιρεθεί από τους προεπιλεγμένους αλγόριθμους ανταλλαγής κλειδιών.
Από τις άλλες αλλαγές που ξεχωρίζουν σε αυτήν τη νέα έκδοση:
- Προστέθηκε οδηγία συμπερίληψης στο sshd_config, το οποίο επιτρέπει στα περιεχόμενα άλλων αρχείων να συμπεριληφθούν στην τρέχουσα θέση του αρχείου διαμόρφωσης.
- Η οδηγία PublishAuthOptions προστέθηκε στο sshd_config, συνδυάζοντας διαφορετικές επιλογές που σχετίζονται με τον έλεγχο ταυτότητας δημόσιου κλειδιού
- Προστέθηκε η επιλογή "-O write-attestation = / path" στο ssh-keygen, το οποίο επιτρέπει την εγγραφή επιπλέον πιστοποιητικών πιστοποίησης FIDO κατά τη δημιουργία κλειδιών.
- Η δυνατότητα εξαγωγής PEM για κλειδιά DSA και ECDSA έχει προστεθεί στο ssh-keygen.
- Προστέθηκε ένα νέο εκτελέσιμο αρχείο ssh-sk-helper που χρησιμοποιείται για την απομόνωση της βιβλιοθήκης πρόσβασης token FIDO / U2F.
Πώς να εγκαταστήσετε το OpenSSH 8.2 σε Linux;
Για όσους ενδιαφέρονται να εγκαταστήσουν αυτήν τη νέα έκδοση του OpenSSH στα συστήματά τους, για τώρα μπορούν να το κάνουν λήψη του πηγαίου κώδικα αυτού και εκτελούν τη συλλογή στους υπολογιστές τους.
Αυτό συμβαίνει επειδή η νέα έκδοση δεν έχει ακόμη συμπεριληφθεί στα αποθετήρια των κύριων διανομών Linux. Για να αποκτήσετε τον πηγαίο κώδικα για το OpenSSH 8.2. Μπορείτε να το κάνετε από το παρακάτω σύνδεσμο (τη στιγμή της σύνταξης το πακέτο δεν είναι ακόμη διαθέσιμο στους καθρέφτες και αναφέρουν ότι μπορεί να χρειαστούν μερικές ακόμη ώρες)
Έγινε η λήψη, τώρα θα αποσυμπιέσουμε το πακέτο με την ακόλουθη εντολή:
tar -xvf openssh-8.2.tar.gz
Μπαίνουμε στον δημιουργημένο κατάλογο:
cd openssh-8.2
Y μπορούμε να συντάξουμε με τις ακόλουθες εντολές:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install