Nova verzija sustava OpenSSH 8.8 je već objavljen i ovu novu verziju ističe se po zadanom onemogućavanju mogućnosti korištenja digitalnih potpisa na temelju RSA ključeva s SHA-1 raspršivačem ("ssh-rsa").
Kraj podrške za potpise "ssh-rsa" je posljedica povećanja učinkovitosti napada sudara s zadanim prefiksom (trošak pogađanja sudara procjenjuje se na oko 50 tisuća dolara). Da biste testirali upotrebu ssh-rsa u sustavu, možete se pokušati povezati putem ssh-a s opcijom "-oHostKeyAlgorithms = -ssh-rsa".
Osim toga, podrška za RSA potpise s SHA-256 i SHA-512 (rsa-sha2-256 / 512) raspršivačima, koji su podržani od OpenSSH 7.2, nije se promijenila. U većini slučajeva prestanak podrške za "ssh-rsa" neće zahtijevati ručne radnje. korisnika, budući da je postavka UpdateHostKeys prethodno bila zadano omogućena u OpenSSH -u, što automatski prevodi klijente u pouzdanije algoritme.
Ova verzija onemogućuje RSA potpise pomoću SHA-1 algoritma za raspršivanje zadano. Ova je promjena napravljena budući da je SHA-1 hash algoritam kriptografski razbijen, a moguće je stvoriti odabrani prefiks raspršivanje sudara po
Za većinu korisnika ova bi promjena trebala biti nevidljiva i postoji nema potrebe za zamjenom ključeva ssh-rsa. OpenSSH usklađen je s RFC8332 RSA / SHA-256 /512 potpisi iz verzije 7.2 i postojeći ssh-rsa ključevi automatski će koristiti najjači algoritam kad god je to moguće.
Za migraciju se koristi proširenje protokola "hostkeys@openssh.com"«, Što omogućuje poslužitelju da nakon prolaska autentifikacije obavijesti klijenta o svim dostupnim ključevima hosta. Prilikom povezivanja na hostove s vrlo starim verzijama OpenSSH-a na strani klijenta, možete selektivno poništiti mogućnost korištenja "ssh-rsa" potpisa dodavanjem ~ / .ssh / config
Nova verzija također rješava sigurnosni problem uzrokovan sshd -om, budući da OpenSSH 6.2, pogrešno inicijaliziranje korisničke grupe pri izvršavanju naredbi navedenih u direktivama AuthorizedKeysCommand i AuthorizedPrincipalsCommand.
Ove bi direktive trebale osigurati da se naredbe izvode pod drugim korisnikom, ali su zapravo naslijedile popis grupa korištenih pri pokretanju sshd -a. Potencijalno, ovo ponašanje, s obzirom na određene konfiguracije sustava, omogućilo je pokrenutom kontroleru da stekne dodatne privilegije na sustavu.
Bilješke o izdanju oni također uključuju upozorenje o namjeri promjene programa scp zadano koristiti SFTP umjesto naslijeđenog SCP / RCP protokola. SFTP primjenjuje predvidljivija imena metoda, a globalni obrasci za neobrađivanje koriste se u imenima datoteka kroz ljusku s druge strane hosta, stvarajući sigurnosnu zabrinutost.
Konkretno, pri korištenju SCP -a i RCP -a poslužitelj odlučuje koje datoteke i direktorije će poslati klijentu, a klijent samo provjerava ispravnost vraćenih naziva objekata, što, u nedostatku odgovarajućih provjera na strani klijenta, omogućuje poslužitelj za prijenos drugih naziva datoteka koji se razlikuju od onih koji se traže.
SFTP -u nedostaju ovi problemi, ali ne podržava proširenje posebnih ruta poput "~ /". Kako bi se riješila ta razlika, u prethodnoj verziji OpenSSH -a, novo SFTP proširenje je predloženo u implementaciji SFTP poslužitelja za otkrivanje staza ~ / i ~ korisnika /.
Konačno ako vas zanima više o tome o ovoj novoj verziji možete provjeriti pojedinosti odlaskom na sljedeću poveznicu.
Kako instalirati OpenSSH 8.8 na Linux?
Za one koji su zainteresirani za mogućnost instaliranja ove nove verzije OpenSSH-a na svoje sustave, zasad to mogu učiniti preuzimanje izvornog koda ovog i izvodeći kompilaciju na svojim računalima.
To je zato što nova verzija još nije uključena u spremišta glavnih distribucija Linuxa. Da biste dobili izvorni kod, to možete učiniti s sljedeći link.
Završeno preuzimanje, sada ćemo raspakirati paket slijedećom naredbom:
tar -xvf openssh-8.8.tar.gz
Ulazimo u kreirani direktorij:
cd openssh-8.8
Y možemo sastaviti sa sljedeće naredbe:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install