Pärast nelja kuud kestnud arengut käivitati uus versioon OpenSSH 8.2, mis on avatud klientide ja serverite juurutamine SSH 2.0 ja SFTP protokollidega töötamiseks. A peamistest täiustustest käivitamisel autor OpenSSH 8.2 feu võime kasutada kaheastmelist autentimist seadmete kasutamine mis toetavad U2F-protokolli töötas välja FIDO liit.
U2F võimaldab luua odavaid riistvaramärke, et kinnitada kasutaja füüsilist kohalolekut, kelle suhtlus toimub USB, Bluetoothi või NFC kaudu. Selliseid seadmeid reklaamitakse saitidel kaheastmelise autentimise vahendina, need on juba ühilduvad kõigi suuremate brauseritega ja neid toodavad erinevad tootjad, sealhulgas Yubico, Feitian, Thetis ja Kensington.
Kasutaja olemasolu kinnitavate seadmetega suhtlemiseks OpenSSH on lisanud kaks uut tüüpi klahve "ecdsa-sk" ja "ed25519-sk", mis kasutavad ECDSA ja Ed25519 digitaalallkirja algoritme kombinatsioonis räsi SHA-256.
Žetoonidega suhtlemise protseduurid on üle viidud vahekogusse, mis on laaditud analoogia põhjal PKCS # 11 toe teegiga ja on link libfido2 teegis, mis pakub vahendeid märkidega suhtlemiseks USB kaudu (FIDO U2F / CTAP 1 ja FIDO 2.0 / CTAP-protokolle toetatakse kaks).
Libsk-libfido2 vahekogu, mille on valmistanud OpenSSH arendajad sja sisaldab kernelis libfido2, samuti HID draiverit OpenBSD jaoks.
Autentimiseks ja võtmete genereerimiseks peate konfiguratsioonis määrama parameetri "SecurityKeyProvider" või määrama keskkonnamuutuja SSH_SK_PROVIDER, määrates välise teegi tee libsk-libfido2.so.
Keskmise kihi teeki on võimalik ehitada sisseehitatud toega opensh ja sel juhul peate määrama parameetri "SecurityKeyProvider = internal".
Samuti on peamiste toimingute tegemisel vaikimisi vajalik kasutaja füüsilise kohaloleku kohalik kinnitamine, näiteks soovitatakse puudutada loal asuvat andurit, mis muudab ühendatud looga süsteemide kaugrünnakute sooritamise keeruliseks. .
Teiselt poolt uus versioon OpenSSH teatas ka eelseisvast üleminekust vananenud algoritmide kategooriasse, mis kasutavad SHA-1 räsimist. kokkupõrke rünnakute efektiivsuse suurenemise tõttu.
Tulevases versioonis OpenSSH-is uutele algoritmidele ülemineku hõlbustamiseks seade UpdateHostKeys on vaikimisi lubatud, mis lülitab kliendid automaatselt usaldusväärsematele algoritmidele.
Selle leiate ka OpenSSH 8.2-st, "ssh-rsa" abil ühenduse loomise võimalus on endiselt alles, kuid see algoritm eemaldatakse loendist CASignatureAlgorithms, mis määratleb algoritmid, mis kehtivad uute sertifikaatide digitaalseks allkirjastamiseks.
Samamoodi on vaikimisi võtme vahetamise algoritmidest eemaldatud diffie-hellman-group14-sha1 algoritm.
Muudest muudatustest, mis selles uues versioonis silma paistavad:
- Sshd_config on lisatud kaasamisdirektiiv, mis võimaldab teiste failide sisu lisada konfiguratsioonifaili praegusesse asukohta.
- PublishAuthOptions direktiiv on lisatud sshd_config, ühendades avaliku võtme autentimisega seotud erinevad võimalused.
- Lisati ssh-keygenile valik "-O write-attestation = / path", mis võimaldab võtmete genereerimisel kirjutada täiendavaid FIDO sertifikaatide sertifikaate.
- Võimalus eksportida PEM-i DSA ja ECDSA võtmete jaoks on lisatud ssh-keygen.
- Lisati uus käivitatav fail ssh-sk-helper, mida kasutati FIDO / U2F-märgendi juurdepääsude kogu eraldamiseks.
Kuidas installida OpenSSH 8.2 Linuxi?
Neile, kes on huvitatud OpenSSH-i uue versiooni installimisest oma süsteemidesse, praegu saavad nad seda teha selle lähtekoodi allalaadimine ja kompileerimise teostamine oma arvutites.
Seda seetõttu, et uut versiooni ei ole veel Linuxi peamiste distributsioonide hoidlatesse lisatud. OpenSSH 8.2 lähtekoodi hankimiseks. Seda saate teha järgmine link (pakendi kirjutamise ajal pole pakki peeglitel veel saadaval ja nad mainivad, et see võib võtta veel paar tundi)
Allalaadimine on tehtud, nüüd pakendi pakkimine järgmise käsuga:
tar -xvf openssh-8.2.tar.gz
Sisestame loodud kataloogi:
cd openssh-8.2
Y saame koostada koos järgmised käsud:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install