Uusi versio OpenSSH 8.8 on jo julkaistu ja tämä uusi versio erottuu siitä, että oletusarvoisesti on poistettu käytöstä digitaalisten allekirjoitusten käyttö perustuu RSA-avaimiin, joissa on SHA-1-tiiviste ("ssh-rsa").
"Ssh-rsa" -allekirjoitusten tuen päättyminen johtuu törmäyshyökkäysten tehokkuuden lisääntymisestä tietyllä etuliitteellä (törmäyksen arvaamisen kustannusten arvioidaan olevan noin 50 tuhatta dollaria). Jos haluat testata ssh-rsa: n käyttöä järjestelmässä, voit yrittää muodostaa yhteyden ssh: n kautta vaihtoehdolla "-oHostKeyAlgorithms = -ssh-rsa".
Lisäksi RSA-allekirjoitusten tuki SHA-256- ja SHA-512-tiivisteillä (rsa-sha2-256 / 512), joita tuetaan OpenSSH 7.2: n jälkeen, ei ole muuttunut. Useimmissa tapauksissa "ssh-rsa" -tuen lopettaminen ei vaadi manuaalisia toimenpiteitä. käyttäjät, koska UpdateHostKeys -asetus oli aiemmin oletusarvoisesti käytössä OpenSSH: ssa, joka kääntää asiakkaat automaattisesti luotettavammiksi algoritmeiksi.
Tämä versio poistaa RSA-allekirjoitukset käytöstä SHA-1-hajautusalgoritmin avulla oletusarvo. Tämä muutos on tehty sen jälkeen, kun SHA-1-hajautusalgoritmi on salaus rikki, ja on mahdollista luoda valittu etuliite hash -törmäyksiä
Useimmille käyttäjille tämän muutoksen pitäisi olla näkymätön ja sitä on ei tarvitse vaihtaa ssh-rsa-avaimia. OpenSSH on RFC8332 -yhteensopiva RSA / SHA-256 /512-allekirjoitukset versiosta 7.2 ja olemassa olevista ssh-rsa-avaimista se käyttää automaattisesti vahvinta algoritmia aina kun mahdollista.
Siirtämiseen käytetään protokollalaajennusta "hostkeys@openssh.com"«, Jonka avulla palvelin voi todennuksen läpäisyn jälkeen ilmoittaa asiakkaalle kaikista käytettävissä olevista isäntäavaimista. Kun muodostat yhteyden isäntiin, joilla on asiakaspuolen hyvin vanhat OpenSSH-versiot, voit valikoivasti kääntää kyvyn käyttää "ssh-rsa" -allekirjoituksia lisäämällä ~ / .ssh / config
Uusi versio korjaa myös sshd: n aiheuttaman turvallisuusongelman, koska OpenSSH 6.2, alustavat käyttäjäryhmän virheellisesti suorittaessaan AuthorizedKeysCommand- ja AuthorizedPrincipalsCommand -direktiiveissä määritettyjä komentoja.
Näiden direktiivien pitäisi varmistaa, että komennot suoritetaan eri käyttäjän alaisuudessa, mutta itse asiassa ne ovat perineet sshd: n käynnistämisessä käytettyjen ryhmien luettelon. Mahdollisesti tämä käyttäytyminen mahdollisti tietyt järjestelmäkokoonpanot huomioon ottaen käynnissä olevan ohjaimen saada lisäoikeuksia järjestelmään.
Julkaisu toteaa ne sisältävät myös varoituksen scp -apuohjelman muuttamisesta oletuksena käyttää SFTP: tä vanhan SCP / RCP -protokollan sijasta. SFTP pakottaa ennustettavampia menetelmien nimiä, ja globaaleja ei-käsittelykuvioita käytetään tiedostojen nimissä toisen isännän kuoren kautta, mikä luo turvallisuusongelmia.
Erityisesti SCP: tä ja RCP: tä käytettäessä palvelin päättää, mitkä tiedostot ja hakemistot lähetetään asiakkaalle, ja asiakas tarkistaa vain palautettujen objektinimien oikeellisuuden, mikä mahdollistaa asianmukaisten tarkistusten puuttuessa asiakaspuolen palvelin lähettää muita tiedostonimiä, jotka eroavat pyydetyistä.
SFTP: ltä puuttuvat nämä ongelmat, mutta se ei tue erikoisreittien, kuten "~ /", laajentamista. Tämän eron korjaamiseksi OpenSSH: n edellisessä versiossa ehdotettiin uutta SFTP -laajennusta SFTP -palvelimen toteutuksessa paljastamaan ~ / ja ~ user / -polut.
Vihdoin jos olet kiinnostunut tietämään siitä lisää tästä uudesta versiosta voit tarkistaa yksityiskohdat siirtymällä seuraavaan linkkiin.
Kuinka asentaa OpenSSH 8.8 Linuxiin?
Niille, jotka ovat kiinnostuneita asentamaan tämän uuden OpenSSH-version järjestelmiinsä, toistaiseksi he voivat tehdä sen lataamalla tämän ja suorittavat kokoamisen tietokoneillaan.
Tämä johtuu siitä, että uutta versiota ei ole vielä sisällytetty tärkeimpien Linux-jakelujen arkistoihin. Voit hankkia lähdekoodin tekemällä sen seuraava linkki.
Valmis lataus, nyt aiomme purkaa paketin seuraavalla komennolla:
tar -xvf openssh-8.8.tar.gz
Annamme luodun hakemiston:
cd openssh-8.8
Y voimme koota seuraavat komennot:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install