Μετά από τέσσερις μήνες ανάπτυξης παρουσιάστηκε η κυκλοφορία της νέας έκδοσης του OpenSSH 8.7 στο οποίο έχει προστεθεί μια πειραματική λειτουργία μεταφοράς δεδομένων για scp χρησιμοποιώντας το πρωτόκολλο SFTP αντί για το παραδοσιακά χρησιμοποιούμενο πρωτόκολλο SCP/RCP.
SFTP χρησιμοποιήστε μια πιο προβλέψιμη μέθοδο για το χειρισμό ονομάτων και δεν χρησιμοποιεί επεξεργασία προτύπου κελύφους glob στην άλλη πλευρά του κεντρικού υπολογιστή, γεγονός που εγείρει ένα ζήτημα ασφάλειας, καθώς και η σημαία "-s" έχει προταθεί για την ενεργοποίηση του SFTP στο scp, αλλά σχεδιάζεται να αλλάξει στο μέλλον αυτό το πρωτόκολλο από προεπιλογή.
Μια άλλη αλλαγή που ξεχωρίζει είναι μέσα sftp-server που εφαρμόζει επεκτάσεις SFTP για επέκταση διαδρομών ~/ και ~user/, τα οποία χρειάζονται για το scp. Χρησιμότητα Το scp άλλαξε συμπεριφορά κατά την αντιγραφή αρχείων μεταξύ δύο απομακρυσμένων κεντρικών υπολογιστών, το οποίο γίνεται πλέον από προεπιλογή μέσω του ενδιάμεσου localhost. Αυτή η προσέγγιση αποφεύγει τη μεταβίβαση περιττών διαπιστευτηρίων στον πρώτο κεντρικό υπολογιστή και την τριπλή ερμηνεία των ονομάτων αρχείων στο κέλυφος (στην πλευρά της πηγής, του προορισμού και του τοπικού συστήματος), καθώς και όταν χρησιμοποιείτε SFTP, σας επιτρέπει να χρησιμοποιείτε όλες τις μεθόδους ελέγχου ταυτότητας κατά την πρόσβαση σε απομακρυσμένους κεντρικούς υπολογιστές , και όχι μόνο μη διαδραστικές μεθόδους
Επιπλέον, τόσο το ssh όσο και το sshd έχουν μετακινήσει τόσο τον πελάτη όσο και τον διακομιστή για να χρησιμοποιήσουν έναν αναλυτή αρχείων Διαμόρφωσης πιο αυστηρή από τη χρήση κανόνων κελύφους για να χειριστεί εισαγωγικά, κενά και χαρακτήρες διαφυγής.
Ο νέος αναλυτής δεν αγνοεί επίσης υποθέσεις του παρελθόντος, όπως η παράλειψη ορισμάτων στις επιλογές (για παράδειγμα, δεν μπορείτε να αφήσετε κενή την οδηγία DenyUsers τώρα), τα μη κλειστά εισαγωγικά και τον καθορισμό πολλών συμβόλων "="".
Όταν χρησιμοποιείτε εγγραφές SSHFP DNS για την επαλήθευση κλειδιών, το ssh επαληθεύει πλέον όλες τις εγγραφές που ταιριάζουν, όχι μόνο αυτές που περιέχουν έναν συγκεκριμένο τύπο ψηφιακής υπογραφής. Στο ssh-keygen, όταν δημιουργείτε ένα κλειδί FIDO με την επιλογή -Ochallenge, το ενσωματωμένο επίπεδο χρησιμοποιείται πλέον για κατακερματισμό, αντί για τα εργαλεία libfido2, επιτρέποντάς σας να χρησιμοποιείτε ακολουθίες πρόκλησης μεγαλύτερες ή μικρότερες από 32 byte. Στο sshd, κατά την επεξεργασία της οδηγίας περιβάλλοντος = "..." σε αρχεία authorized_keys, η πρώτη αντιστοίχιση γίνεται πλέον αποδεκτή και ισχύει το όριο των 1024 ονομάτων μεταβλητών περιβάλλοντος.
Προγραμματιστές OpenSSH επίσηςπροειδοποίησε για τη μεταφορά στην κατηγορία των απαρχαιωμένων αλγορίθμων χρησιμοποιώντας κατακερματισμούς SHA-1, λόγω της υψηλότερης αποτελεσματικότητας των επιθέσεων σύγκρουσης με δεδομένο πρόθεμα (το κόστος επιλογής σύγκρουσης υπολογίζεται σε περίπου 50 χιλιάδες δολάρια).
Στην επόμενη έκδοση, σχεδιάζεται να απενεργοποιηθεί από προεπιλογή η δυνατότητα χρήσης του αλγόριθμου ψηφιακής υπογραφής δημόσιου κλειδιού "ssh-rsa", ο οποίος αναφέρεται στο αρχικό RFC για το πρωτόκολλο SSH και εξακολουθεί να χρησιμοποιείται ευρέως στην πράξη.
Για να δοκιμάσετε τη χρήση του ssh-rsa σε συστήματα, μπορείτε να δοκιμάσετε να συνδεθείτε μέσω ssh με την επιλογή "-oHostKeyAlgorithms = -ssh-rsa". Ταυτόχρονα, η απενεργοποίηση των ψηφιακών υπογραφών «ssh-rsa» από προεπιλογή δεν σημαίνει πλήρη απόρριψη της χρήσης κλειδιών RSA, αφού εκτός από το SHA-1, το πρωτόκολλο SSH επιτρέπει τη χρήση και άλλων αλγορίθμων για τον υπολογισμό κατακερματισμού. Συγκεκριμένα, εκτός από το "ssh-rsa", θα είναι δυνατή η χρήση των συνδέσμων "rsa-sha2-256" (RSA / SHA256) και "rsa-sha2-512" (RSA / SHA512).
Για την ομαλή μετάβαση σε νέους αλγόριθμους στο OpenSSH, η ρύθμιση UpdateHostKeys ήταν προηγουμένως ενεργοποιημένη από προεπιλογή, επιτρέποντάς σας να αλλάζετε αυτόματα πελάτες σε πιο αξιόπιστους αλγόριθμους.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα σχετικά με αυτήν τη νέα έκδοση, μπορείτε να συμβουλευτείτε τις λεπτομέρειες μεταβαίνοντας στον παρακάτω σύνδεσμο.
Πώς να εγκαταστήσετε το OpenSSH 8.7 σε Linux;
Για όσους ενδιαφέρονται να εγκαταστήσουν αυτήν τη νέα έκδοση του OpenSSH στα συστήματά τους, για τώρα μπορούν να το κάνουν λήψη του πηγαίου κώδικα αυτού και εκτελούν τη συλλογή στους υπολογιστές τους.
Αυτό συμβαίνει επειδή η νέα έκδοση δεν έχει ακόμη συμπεριληφθεί στα αποθετήρια των κύριων διανομών Linux. Για να λάβετε τον πηγαίο κώδικα, μπορείτε να το κάνετε από το παρακάτω σύνδεσμο.
Έγινε η λήψη, τώρα θα αποσυμπιέσουμε το πακέτο με την ακόλουθη εντολή:
tar -xvf openssh-8.7.tar.gz
Μπαίνουμε στον δημιουργημένο κατάλογο:
cd openssh-8.7
Y μπορούμε να συντάξουμε με τις ακόλουθες εντολές:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install