का नया संस्करण ओपनएसएसएच 8.8 पहले ही जारी किया जा चुका है और यह नया संस्करण डिजिटल हस्ताक्षरों का उपयोग करने की क्षमता को डिफ़ॉल्ट रूप से अक्षम करने के लिए जाना जाता है SHA-1 हैश ("ssh-rsa") के साथ RSA कुंजियों पर आधारित।
एसएसएच-आरएसए हस्ताक्षरों के लिए समर्थन की समाप्ति टकराव के हमलों की प्रभावशीलता में वृद्धि के कारण है किसी दिए गए उपसर्ग के साथ (टक्कर का अनुमान लगाने की लागत लगभग 50 हजार डॉलर अनुमानित है)। किसी सिस्टम पर ssh-rsa के उपयोग का परीक्षण करने के लिए, आप "-oHostKeyAlgorithms=-ssh-rsa" विकल्प के साथ ssh के माध्यम से कनेक्ट करने का प्रयास कर सकते हैं।
इसके अलावा SHA-256 और SHA-512 (rsa-sha2-256/512) हैश के साथ RSA हस्ताक्षरों के लिए समर्थन, जो OpenSSH 7.2 के बाद से समर्थित हैं, नहीं बदला है। अधिकांश मामलों में, "ssh-rsa" के लिए समर्थन की समाप्ति के लिए किसी मैन्युअल कार्रवाई की आवश्यकता नहीं होगी। उपयोगकर्ताओं द्वारा, क्योंकि UpdateHostKeys सेटिंग पहले OpenSSH में डिफ़ॉल्ट रूप से सक्षम थी, जो स्वचालित रूप से क्लाइंट को अधिक विश्वसनीय एल्गोरिदम में अनुवादित करती है।
यह संस्करण SHA-1 हैश एल्गोरिथम का उपयोग करके RSA हस्ताक्षरों को अक्षम कर देता है गलती करना। यह परिवर्तन SHA-1 हैश एल्गोरिथम के बाद से किया गया है क्रिप्टोग्राफ़िक रूप से टूटा हुआ, और चयनित उपसर्ग बनाना संभव है द्वारा हैश टकराव
अधिकांश उपयोगकर्ताओं के लिए, यह परिवर्तन अदृश्य होना चाहिए और है भी ssh-rsa कुंजियों को बदलने की कोई आवश्यकता नहीं है। ओपनएसएसएच RFC8332 के अनुरूप है संस्करण 256 से आरएसए/एसएचए-512/7.2 हस्ताक्षर और मौजूदा एसएसएच-आरएसए कुंजी जब भी संभव हो स्वचालित रूप से सबसे मजबूत एल्गोरिदम का उपयोग करेगा।
माइग्रेशन के लिए, प्रोटोकॉल एक्सटेंशन "hostkeys@openssh.com" का उपयोग किया जाता है", जो प्रमाणीकरण पास करने के बाद सर्वर को क्लाइंट को सभी उपलब्ध होस्ट कुंजियों के बारे में सूचित करने की अनुमति देता है। क्लाइंट साइड पर ओपनएसएसएच के बहुत पुराने संस्करणों के साथ होस्ट से कनेक्ट करते समय, आप चुनिंदा रूप से ~/.ssh/config जोड़कर "ssh-rsa" हस्ताक्षर का उपयोग करने की क्षमता को वापस ला सकते हैं।
नया संस्करण OpenSSH 6.2 के बाद से, sshd के कारण होने वाली सुरक्षा समस्या को भी ठीक करता है, AuthorizedKeysCommand और AuthorizedPrincipalsCommand निर्देशों में निर्दिष्ट आदेशों को निष्पादित करते समय उपयोगकर्ता पूल को गलत तरीके से प्रारंभ करना।
इन निर्देशों को यह सुनिश्चित करना चाहिए कि कमांड एक अलग उपयोगकर्ता के रूप में चलाए जाते हैं, लेकिन वास्तव में उन्हें sshd शुरू करते समय उपयोग किए गए समूहों की सूची विरासत में मिली है। संभावित रूप से, यह व्यवहार, कुछ सिस्टम कॉन्फ़िगरेशन को देखते हुए, चल रहे ड्राइवर को सिस्टम पर अतिरिक्त विशेषाधिकार प्राप्त करने की अनुमति देता है।
रिलीज़ नोट्स उनमें एससीपी उपयोगिता को बदलने के इरादे के बारे में एक चेतावनी भी शामिल है चूक लीगेसी एससीपी/आरसीपी प्रोटोकॉल के बजाय एसएफटीपी का उपयोग करना। एसएफटीपी अधिक पूर्वानुमानित विधि नामों को लागू करता है, और वैश्विक पैटर्न का उपयोग अन्य होस्ट पक्ष पर शेल के माध्यम से फ़ाइल नामों को संसाधित किए बिना किया जाता है, जिससे सुरक्षा समस्याएं पैदा होती हैं।
विशेष रूप से, एससीपी और आरसीपी का उपयोग करते समय, सर्वर यह तय करता है कि क्लाइंट को कौन सी फाइलें और निर्देशिकाएं भेजनी हैं, और क्लाइंट केवल लौटाए गए ऑब्जेक्ट नामों की शुद्धता की जांच करता है, जो क्लाइंट पक्ष पर उचित जांच के अभाव में अनुमति देता है। सर्वर अन्य फ़ाइल नामों को प्रसारित करने के लिए जो अनुरोधित से भिन्न हैं।
एसएफटीपी में इन समस्याओं का अभाव है, लेकिन यह "~/" जैसे विशेष पथों के विस्तार का समर्थन नहीं करता है। इस अंतर को संबोधित करने के लिए, ओपनएसएसएच के पिछले संस्करण में, ~/ और ~उपयोगकर्ता/ पथों को उजागर करने के लिए एसएफटीपी सर्वर कार्यान्वयन में एक नया एसएफटीपी एक्सटेंशन प्रस्तावित किया गया था।
अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं इस नए संस्करण के बारे में, आप विवरण देख सकते हैं निम्न लिंक पर जाकर।
लिनक्स पर ओपनएसएसएच 8.8 कैसे स्थापित करें?
जो लोग अपने सिस्टम पर OpenSSH के इस नए संस्करण को स्थापित करने में सक्षम होने के लिए इच्छुक हैं, अभी के लिए वे ऐसा कर सकते हैं इस के सोर्स कोड को डाउनलोड करना और अपने कंप्यूटर पर संकलन प्रदर्शन कर रहे हैं।
ऐसा इसलिए है क्योंकि नए संस्करण को अभी तक मुख्य लिनक्स वितरण के रिपॉजिटरी में शामिल नहीं किया गया है। स्रोत कोड प्राप्त करने के लिए, आप से कर सकते हैं निम्नलिखित लिंक.
डाउनलोड किया, अब हम निम्नलिखित कमांड के साथ पैकेज को अनज़िप करने जा रहे हैं:
tar -xvf openssh-8.8.tar.gz
हम निर्मित निर्देशिका दर्ज करते हैं:
cd openssh-8.8
Y हम साथ संकलन कर सकते हैं निम्नलिखित आदेश:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install