Neljän kuukauden kehityksen jälkeen uuden version OpenSSH 8.2, joka on avoin asiakas- ja palvelintoteutus toimimaan SSH 2.0- ja SFTP-protokollien kanssa. A tärkeimmistä parannuksista julkaisun yhteydessä kirjoittanut OpenSSH 8.2 feu kyky käyttää kaksivaiheista todennusta laitteiden avulla jotka tukevat U2F-protokollaa kehittänyt FIDO-liittouma.
U2F mahdollistaa halpojen laitteistotunnusten luomisen vahvistamaan käyttäjän fyysisen läsnäolon, jonka vuorovaikutus tapahtuu USB-, Bluetooth- tai NFC-yhteyden kautta. Tällaisia laitteita mainostetaan kahden tekijän todennuksen avulla sivustoissa, ne ovat jo yhteensopivia kaikkien tärkeimpien selainten kanssa, ja niitä valmistavat useat valmistajat, mukaan lukien Yubico, Feitian, Thetis ja Kensington.
Jos haluat olla vuorovaikutuksessa laitteiden kanssa, jotka vahvistavat käyttäjän läsnäolon, OpenSSH on lisännyt kaksi uutta näppäintyyppiä "ecdsa-sk" ja "ed25519-sk", jotka käyttävät ECDSA- ja Ed25519-digitaalisen allekirjoituksen algoritmeja yhdessä SHA-256-hashin kanssa.
Menettelytavat vuorovaikutuksessa tunnusten kanssa on siirretty välikirjastoon, joka ladataan analogisesti PKCS # 11 -tukikirjaston kanssa ja on linkki libfido2-kirjastoon, joka tarjoaa keinot kommunikoida tokenien kanssa USB: n kautta (FIDO U2F / CTAP 1 ja FIDO 2.0 / CTAP-protokollia tuetaan kahta).
Libsk-libfido2-välikirjasto, jonka ovat valmistelleet OpenSSH-kehittäjät sja sisältää ytimen libfido2 sekä HID-ohjaimen OpenBSD: lle.
Todennusta ja avainten luomista varten sinun on määritettävä "SecurityKeyProvider" -parametri kokoonpanossa tai määritettävä ympäristömuuttuja SSH_SK_PROVIDER määrittelemällä ulkoisen kirjaston polku libsk-libfido2.so.
On mahdollista rakentaa openssh sisäänrakennetulla tuella keskikerroksen kirjastoon ja tässä tapauksessa sinun on asetettava parametri "SecurityKeyProvider = internal".
Lisäksi oletusarvoisesti, kun avaintoiminnot suoritetaan, vaaditaan paikallinen vahvistus käyttäjän fyysisestä läsnäolosta, esimerkiksi ehdotetaan koskettamista tunnisteen anturiin, mikä vaikeuttaa etähyökkäysten suorittamista järjestelmiin, joihin on kytketty yhteys tunnus.
Toisaalta uusi versio OpenSSH ilmoitti myös tulevasta siirtymisestä vanhentuneiden algoritmien luokkaan, jotka käyttävät SHA-1-hajautusta. törmäyshyökkäysten tehokkuuden lisääntymisen vuoksi.
Helpottaaksesi siirtymistä uusiin algoritmeihin OpenSSH: ssä tulevassa julkaisussa, UpdateHostKeys-asetus on oletusarvoisesti käytössä, joka vaihtaa asiakkaita automaattisesti luotettavampiin algoritmeihin.
Se löytyy myös OpenSSH 8.2: sta, mahdollisuus muodostaa yhteys "ssh-rsa": lla on edelleen jäljellä, mutta tämä algoritmi poistetaan CASignatureAlgorithms-luettelosta, joka määrittelee algoritmit, jotka ovat kelvollisia allekirjoittamaan uudet varmenteet digitaalisesti.
Samoin diffie-hellman-group14-sha1-algoritmi on poistettu oletusavainvaihtoalgoritmeista.
Muista muutoksista, jotka erottuvat tässä uudessa versiossa:
- Sshd_config on lisätty sisällytysdirektiivi, joka sallii muiden tiedostojen sisällön sisällyttämisen kokoonpanotiedoston nykyiseen sijaintiin.
- PublishAuthOptions-direktiivi on lisätty sshd_config-yhdistelmään, joka yhdistää erilaisia julkisen avaimen todennukseen liittyviä vaihtoehtoja.
- Lisätty "-O write-attestation = / path" -vaihtoehto ssh-keygeniin, jonka avulla voidaan kirjoittaa lisää FIDO-sertifikaattivarmenteita avaimia luodessa.
- Mahdollisuus viedä PEM DSA- ja ECDSA-avaimille on lisätty ssh-keygeniin.
- Lisättiin uusi suoritettava tiedosto ssh-sk-helper, jota käytetään eristämään FIDO / U2F-token-pääsykirjasto.
Kuinka asentaa OpenSSH 8.2 Linuxiin?
Niille, jotka ovat kiinnostuneita asentamaan tämän uuden OpenSSH-version järjestelmiinsä, toistaiseksi he voivat tehdä sen lataamalla tämän ja suorittavat kokoamisen tietokoneillaan.
Tämä johtuu siitä, että uutta versiota ei ole vielä sisällytetty tärkeimpien Linux-jakelujen arkistoihin. Lähdekoodin hankkiminen OpenSSH 8.2: lle. Voit tehdä tämän seuraava linkki (pakettia ei vielä kirjoitushetkellä ole vielä saatavana peileissä ja he mainitsevat, että se voi viedä vielä muutaman tunnin)
Valmis lataus, nyt aiomme purkaa paketin seuraavalla komennolla:
tar -xvf openssh-8.2.tar.gz
Annamme luodun hakemiston:
cd openssh-8.2
Y voimme koota seuraavat komennot:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install