Kuuden kuukauden kehityksen jälkeen OpenSSH 8.1 -julkaisu on julkaistu, joka on joukko sovelluksia jotka sallivat salatun viestinnän verkon kautta SSH-protokollaa käyttämällä, avoimen lähdekoodin asiakas- ja palvelintoteutuksena toimimaan SSH 2.0: n ja SFTP: n kanssa.
Tämä uusi versio OpenSSH 8.1 sisältää joitain parannuksia, mutta yksi kohokohdista on korjaus haavoittuvuuteen, joka vaikuttaa ssh: ään, sshd: ään, ssh-addiin ja ssh-keygeniin. Ongelma on yksityisen avaimen jäsentämiskoodissa tyypin XMSS kanssa ja antaa hyökkääjän aloittaa ylivuoto. Haavoittuvuus on merkitty hyödynnettäväksi, mutta ei sovellettavissa, koska XMSS-avaintuki viittaa kokeellisiin ominaisuuksiin, jotka on oletusarvoisesti poistettu käytöstä (kannettavassa versiossa autoconf ei edes tarjoa vaihtoehtoa ottaa käyttöön XMSS: ää).
OpenSSH 8.1: n tärkeimmät uudet ominaisuudet
Tässä uudessa versiossa OpenSSH 8.1 se on lisännyt koodin ssh, sshd ja ssh-agent, joka estää RAM-muistissa olevan yksityisen avaimen palauttamisen kolmansien osapuolien kanaviin kohdistuvien hyökkäysten seurauksena, kuten Peikko, Sulatus, RiviHammer ja RAMBleed.
Yksityiset avaimet salataan nyt, kun ne ladataan muistiin, ja puretaan vain paikan päällä käytön loput jäljellä olevasta ajasta salataan. Tämän lähestymistavan avulla yksityisen avaimen palauttamiseksi hyökkääjän on ensin palautettava satunnaisesti luotu 16K: n väliavain ensisijaisen avaimen salaamiseksi, mikä on epätodennäköistä nykyaikaisille hyökkäyksille tyypillisellä palautusvirheellä.
Toinen suuri muutos erottuu on ssh-keygen joka lisättiin kokeellisena tukena ja yksinkertaistettu järjestelmä digitaalisten allekirjoitusten luomista ja tarkistamista varten. Digitaaliset allekirjoitukset voidaan luoda käyttämällä tavallisia SSH-avaimia, jotka on tallennettu levylle tai ssh-agenttiin, ja ne voidaan vahvistaa luettelolla kelvollisista avaimista, jotka ovat samanlaisia kuin valtuutetut avaimet.
Nimitilan tiedot upotetaan digitaaliseen allekirjoitukseen sekaannusten välttämiseksi, kun niitä käytetään useissa kentissä (esimerkiksi sähköpostille ja tiedostoille).
Ssh-keygen on oletusarvoisesti käytössä rsa-sha2-512-algoritmin käyttämiseen kun varmenteet varmennetaan digitaalisella allekirjoituksella RSA-avaimen perusteella (kun työskentelet CA-tilassa).
Nämä sertifikaatit eivät ole yhteensopivia OpenSSH 7.2: tä vanhempien versioiden kanssa (Yhteensopivuuden varmistamiseksi ohita algoritmityyppi esimerkiksi kutsumalla "ssh-keygen -t ssh-rsa -s ...").
Ssh: ssä ProxyCommand-lauseke tukee laajennusta "% n" (osoitepalkissa määritetty isäntänimi).
Ssh: n ja sshd: n salausalgoritmien luetteloissa symboli "^"aikaa voidaan käyttää oletusalgoritmien lisäämiseen. Ssh-keygen tarjoaa avaimeen liitetyn kommentin lähdön, kun julkinen avain haetaan yksityisestä.
Ssh-keygen lisää kyvyn käyttää -v-lippua avainhakuoperaatioiden suorittamisen yhteydessä (esimerkiksi ssh-keygen -vF-isäntä), jonka ilmaiseminen johtaa selkeän isäntän allekirjoituksen näyttämiseen.
Lopuksi toinen merkittävä uutuus on lisäys mahdollisuuteen käyttää PKCS8: ta vaihtoehtoisena muotona yksityisten avainten tallentamiseen Levyllä. Oletusarvoisesti PEM-muotoa käytetään edelleen, ja PKCS8 voi olla hyödyllinen yhteensopivuudessa kolmansien osapuolten sovellusten kanssa.
Kuinka asentaa OpenSSH 8.1 Linuxiin?
Niille, jotka ovat kiinnostuneita asentamaan tämän uuden OpenSSH-version järjestelmiinsä, toistaiseksi he voivat tehdä sen lataamalla tämän ja suorittavat kokoamisen tietokoneillaan.
Tämä johtuu siitä, että uutta versiota ei ole vielä sisällytetty tärkeimpien Linux-jakelujen arkistoihin. Hanki OpenSSH 8.1 -lähdekoodi, meidän on vain avattava pääte ja siinä kirjoitetaan seuraava komento:
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
Valmis lataus, nyt aiomme purkaa paketin seuraavalla komennolla:
tar -xvf openssh-8.1p1.tar.gz
Annamme luodun hakemiston:
cd openssh-8.1p1.tar.gz
Y voimme koota seuraavat komennot:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install