Uus versioon OpenSSH 8.8 on juba välja antud ja see uus versioon paistab silma sellega, et keelab vaikimisi digitaalallkirja kasutamise võimaluse põhineb RSA-võtmetel koos SHA-1 räsiga ("ssh-rsa").
"Ssh-rsa" allkirjade toetamise lõpp on tingitud kokkupõrke rünnakute tõhususe suurenemisest antud eesliitega (kokkupõrke äraarvamise hind on hinnanguliselt umbes 50 tuhat dollarit). Ssh-rsa kasutamise testimiseks süsteemis võite proovida luua ühenduse ssh kaudu valikuga "-oHostKeyAlgorithms = -ssh-rsa".
Lisaks ei ole muutunud ka RSA allkirjade tugi SHA-256 ja SHA-512 (rsa-sha2-256 / 512) räsidega, mida alates OpenSSH 7.2-st toetatakse. Enamikul juhtudel ei nõua "ssh-rsa" toe lõpetamine käsitsi toiminguid. kasutajad, kuna UpdateHostKeys säte oli OpenSSH -s varem vaikimisi lubatud, mis tõlgib kliendid automaatselt usaldusväärsemateks algoritmideks.
See versioon keelab RSA allkirjad SHA-1 räsimisalgoritmi abil vaikimisi. See muudatus on tehtud pärast SHA-1 räsialgoritmi krüptograafiliselt katki ja valitud eesliide on võimalik luua räsi kokkupõrkeid
Enamiku kasutajate jaoks peaks see muudatus olema nähtamatu ja seda on pole vaja ssh-rsa võtmeid vahetada. OpenSSH ühildub standardiga RFC8332 RSA / SHA-256 /512 allkirjad versioonist 7.2 ja olemasolevad ssh-rsa võtmed see kasutab võimaluse korral automaatselt tugevaimat algoritmi.
Üleminekuks kasutatakse protokolli laiendit "hostkeys@openssh.com"«, Mis võimaldab serveril pärast autentimise läbimist teavitada klienti kõigist saadaolevatest hostivõtmetest. Kui ühendate hostiga, millel on kliendipoolne OpenSSH väga vana versioon, saate valiku "ssh-rsa" allkirjade kasutamise võimaluse valikuliselt ümber pöörata, lisades ~ / .ssh / config
Uus versioon parandab ka sshd põhjustatud turvaprobleemi, kuna OpenSSH 6.2, lähtestades kasutajarühma valesti, kui täidetakse direktiivides AuthorizedKeysCommand ja AuthorizedPrincipalsCommand määratud käske.
Need direktiivid peaksid tagama, et käske käitatakse teise kasutaja all, kuid tegelikult pärisid nad sshd käivitamisel kasutatud rühmade loendi. Potentsiaalselt võimaldas selline käitumine teatud süsteemikonfiguratsioone arvestades töötaval kontrolleril saada süsteemile täiendavaid privileege.
Väljaanne märgib need sisaldavad ka hoiatust scp -utiliidi muutmise kohta vaikimisi kasutada SCTP / RCP pärandprotokolli asemel SFTP -d. SFTP rakendab prognoositavamaid meetodite nimesid ja globaalseid mittetöötlemismustreid kasutatakse failinimedes teise hosti kesta kaudu, tekitades turvamuresid.
Eelkõige otsustab server SCP ja RCP kasutamisel, millised failid ja kataloogid kliendile saata ning klient kontrollib ainult tagastatud objektinimede õigsust, mis võimaldab kliendipoolse korraliku kontrolli puudumisel server, et edastada muid failinimesid, mis erinevad soovitud failinimedest.
SFTP -l need probleemid puuduvad, kuid ei toeta spetsiaalsete marsruutide, näiteks "~ /" laiendamist. Selle erinevuse kõrvaldamiseks pakuti OpenSSH eelmises versioonis SFTP -serveri rakenduses välja uus SFTP -laiendus, et paljastada ~ / ja ~ kasutaja / teed.
Lõpuks kui olete huvitatud sellest rohkem teada saama selle uue versiooni kohta saate vaadata üksikasju järgmisele lingile minnes.
Kuidas installida OpenSSH 8.8 Linuxi?
Neile, kes on huvitatud OpenSSH-i uue versiooni installimisest oma süsteemidesse, praegu saavad nad seda teha selle lähtekoodi allalaadimine ja kompileerimise teostamine oma arvutites.
Seda seetõttu, et uut versiooni ei ole veel Linuxi peamiste distributsioonide hoidlatesse lisatud. Lähtekoodi saamiseks saate seda teha järgmine link.
Allalaadimine on tehtud, nüüd pakendi pakkimine järgmise käsuga:
tar -xvf openssh-8.8.tar.gz
Sisestame loodud kataloogi:
cd openssh-8.8
Y saame koostada koos järgmised käsud:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install