Après quatre mois de développement la sortie de la nouvelle version d'OpenSSH 8.7 a été présentée dans laquelle un mode expérimental de transfert de données a été ajouté à scp en utilisant le protocole SFTP au lieu du protocole SCP/RCP traditionnellement utilisé.
SFTP utiliser une méthode plus prévisible de gestion des noms et il n'utilise pas le traitement des modèles de shell glob de l'autre côté de l'hôte, ce qui pose un problème de sécurité, de plus le drapeau '-s' a été proposé pour activer SFTP dans scp, mais il est prévu de passer à l'avenir à ce protocole en défaut.
Un autre changement qui se démarque est dans sftp-server qui implémente les extensions SFTP pour étendre les routes ~ / et ~ user /, qui sont requis pour scp. Utilitaire scp a modifié le comportement lors de la copie de fichiers entre deux hôtes distants, ce qui est désormais fait par défaut via l'hôte local intermédiaire. Cette approche évite le transfert d'informations d'identification inutiles vers le premier hôte et la triple interprétation des noms de fichiers dans le shell (côtés source, cible et système local), ainsi que lors de l'utilisation de SFTP, elle vous permet d'utiliser toutes les méthodes d'authentification lorsque accéder aux hôtes distants, et pas seulement aux méthodes non interactives
En outre, ssh et sshd ont déplacé à la fois le client et le serveur pour utiliser un analyseur de fichiers De configuration plus strict en utilisant les règles du shell pour gérer les guillemets, les espaces et les caractères d'échappement.
Le nouvel analyseur n'ignore pas non plus les hypothèses passées, telles que l'omission d'arguments dans les options (par exemple, vous ne pouvez plus laisser la directive DenyUsers vide), les guillemets non fermés et la spécification de plusieurs symboles "=".
Lors de l'utilisation d'enregistrements DNS SSHFP pour vérifier les clés, ssh vérifie désormais tous les enregistrements correspondants, et pas seulement ceux qui contiennent un type spécifique de signature numérique. Dans ssh-keygen, lors de la génération d'une clé FIDO avec l'option -Ochallenge, la couche intégrée est désormais utilisée pour le hachage, au lieu des outils libfido2, vous permettant d'utiliser des séquences de défi plus grandes ou plus petites que 32 octets. Dans sshd, lors du traitement de la directive environment = "..." dans les fichiers allowed_keys, la première correspondance est désormais acceptée et la limite de 1024 noms de variables d'environnement est en vigueur.
Les développeurs OpenSSH ont égalementaverti du passage dans la catégorie des algorithmes obsolètes utilisant des hachages SHA-1, en raison de la plus grande efficacité des attaques par collision avec un préfixe donné (le coût de la sélection de collision est estimé à environ 50 XNUMX $).
Dans la prochaine version, il est prévu de désactiver par défaut la possibilité d'utiliser l'algorithme de signature numérique à clé publique « ssh-rsa », qui est mentionné dans la RFC d'origine pour le protocole SSH et qui est encore largement utilisé dans la pratique.
Pour tester l'utilisation de ssh-rsa sur les systèmes, vous pouvez essayer de vous connecter via ssh avec l'option "-oHostKeyAlgorithms = -ssh-rsa". Dans le même temps, désactiver les signatures numériques « ssh-rsa » par défaut ne signifie pas un rejet total de l'utilisation des clés RSA, puisqu'en plus de SHA-1, le protocole SSH permet l'utilisation d'autres algorithmes de calcul des hachages. En particulier, en plus de « ssh-rsa », il sera possible d'utiliser les liens « rsa-sha2-256 » (RSA / SHA256) et « rsa-sha2-512 » (RSA / SHA512).
Pour faciliter la transition vers de nouveaux algorithmes dans OpenSSH, le paramètre UpdateHostKeys était précédemment activé par défaut, vous permettant de basculer automatiquement les clients vers des algorithmes plus fiables.
Enfin, si vous souhaitez en savoir plus sur cette nouvelle version, vous pouvez consulter les détails en allant sur le lien suivant.
Comment installer OpenSSH 8.7 sur Linux?
Pour ceux qui souhaitent pouvoir installer cette nouvelle version d'OpenSSH sur leurs systèmes, pour l'instant ils peuvent le faire télécharger le code source de ceci et effectuer la compilation sur leurs ordinateurs.
En effet, la nouvelle version n'a pas encore été incluse dans les référentiels des principales distributions Linux. Pour obtenir le code source, vous pouvez le faire à partir du lien ci-dessous.
Terminé le téléchargement, maintenant, nous allons décompresser le package avec la commande suivante:
tar -xvf openssh-8.7.tar.gz
Nous entrons dans le répertoire créé:
cd openssh-8.7
Y nous pouvons compiler avec les commandes suivantes:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install