Az új verzió Az OpenSSH 8.8 már megjelent és ez az új verzió kiemelkedik azzal, hogy alapértelmezés szerint letiltja a digitális aláírások használatát az RSA kulcsok alapján SHA-1 kivonattal ("ssh-rsa").
Az "ssh-rsa" aláírások támogatásának vége oka az ütközéses támadások hatékonyságának növekedése adott előtaggal (az ütközés találgatásának költsége körülbelül 50 ezer dollárra becsülhető). Ha tesztelni szeretné az ssh-rsa használatát a rendszeren, próbálja meg csatlakozni az ssh-n keresztül a "-oHostKeyAlgorithms = -ssh-rsa" opcióval.
Ezenkívül az OpenSSH 256 óta támogatott SHA-512 és SHA-2 (rsa-sha256-512 / 7.2) kivonatokkal ellátott RSA aláírások támogatása nem változott. A legtöbb esetben az "ssh-rsa" támogatásának leállítása nem igényel kézi műveletet. a felhasználók, mivel az UpdateHostKeys beállítás korábban alapértelmezés szerint engedélyezett volt az OpenSSH -ban, amely automatikusan lefordítja az ügyfeleket megbízhatóbb algoritmusokra.
Ez a verzió letiltja az RSA aláírásokat az SHA-1 hash algoritmus használatával alapértelmezett. Ez a módosítás az SHA-1 hash algoritmus óta történt kriptográfiailag törött, és lehetőség van a kiválasztott előtag létrehozására hash ütközések
A legtöbb felhasználó számára ennek a változásnak láthatatlannak kell lennie, és van is nem kell cserélni az ssh-rsa kulcsokat. Az OpenSSH megfelel az RFC8332 szabványnak RSA / SHA-256 /512 aláírások a 7.2-es verzióból és a meglévő ssh-rsa kulcsok amikor csak lehetséges, automatikusan a legerősebb algoritmust fogja használni.
Az áttelepítéshez a "hostkeys@openssh.com" protokollbővítményt kell használni«, Mely lehetővé teszi a szerver számára, hogy a hitelesítés átadása után tájékoztassa az ügyfelet az összes rendelkezésre álló hosztkulcsról. Amikor az OpenSSH nagyon régi verzióival rendelkező gépekhez csatlakozik a kliens oldalon, akkor szelektíven megfordíthatja az "ssh-rsa" aláírások használatának lehetőségét a ~ / .ssh / config hozzáadásával
Az új verzió az sshd által okozott biztonsági problémát is kijavítja, mivel az OpenSSH 6.2, helytelenül inicializálja a felhasználói csoportot az AuthorizedKeysCommand és az AuthorizedPrincipalsCommand utasításokban meghatározott parancsok végrehajtásakor.
Ezeknek az irányelveknek biztosítaniuk kell, hogy a parancsokat egy másik felhasználó alatt futtassák, valójában azonban örökölték az sshd indításakor használt csoportok listáját. Valószínűleg ez a viselkedés bizonyos rendszerkonfigurációk miatt lehetővé tette a futó vezérlő számára, hogy további jogosultságokat szerezzen a rendszeren.
A kiadás megjegyzi figyelmeztetést is tartalmaznak az scp segédprogram megváltoztatásának szándékáról alapértelmezett hogy SFTP -t használjon a korábbi SCP / RCP protokoll helyett. Az SFTP kiszámíthatóbb módszerneveket kényszerít ki, és a globális nem feldolgozási mintákat a fájlnevek használják a héjon keresztül a másik gazda oldalán, ami biztonsági aggályokat okoz.
Különösen az SCP és az RCP használatakor a szerver eldönti, hogy mely fájlokat és könyvtárakat küldje el az ügyfélnek, és az ügyfél csak a visszaadott objektumnevek helyességét ellenőrzi, ami az ügyféloldali megfelelő ellenőrzések hiányában lehetővé teszi a kiszolgáló más fájlnevek továbbítására, amelyek eltérnek a kértektől.
Az SFTP -ben hiányoznak ezek a problémák, de nem támogatja a speciális útvonalak, például a "~ /" bővítését. Ennek a különbségnek a kiküszöbölésére az OpenSSH korábbi verziójában új SFTP -bővítményt javasoltak az SFTP -kiszolgáló megvalósításában, hogy felfedjék a ~ / és ~ user / elérési utakat.
Végül ha érdekel, hogy többet tudjon meg róla erről az új verzióról ellenőrizheti a részleteket a következő linkre kattintva.
Hogyan telepítsem az OpenSSH 8.8-et Linuxra?
Azok számára, akik érdeklődnek az OpenSSH új verziójának telepítése iránt, egyelőre megtehetik ennek forráskódjának letöltése és az összeállítás elvégzése a számítógépeiken.
Az új verzió ugyanis még nem került be a fő Linux disztribúciók tárházába. A forráskód megszerzéséhez megteheti a alábbi linkre.
Kész a letöltés, most kibontjuk a csomagot a következő paranccsal:
tar -xvf openssh-8.8.tar.gz
Belépünk a létrehozott könyvtárba:
cd openssh-8.8
Y összeállíthatjuk a következő parancsokat:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install