Dopo quattro mesi di sviluppo è stato presentato il rilascio della nuova versione di OpenSSH 8.7 in quale è stata aggiunta una modalità di trasferimento dati sperimentale a scp utilizzando il protocollo SFTP invece del protocollo SCP/RCP tradizionalmente utilizzato.
SFTP utilizzare un metodo più prevedibile di gestione dei nomi e non utilizza l'elaborazione del modello glob shell sull'altro lato host, il che pone un problema di sicurezza, inoltre è stato proposto il flag '-s' per abilitare SFTP in scp, ma è previsto che in futuro cambi questo protocollo da predefinito.
Un altro cambiamento che spicca è in sftp-server che implementa le estensioni SFTP per espandere le rotte ~ / e ~ user /, necessari per scp. Utilità scp ha cambiato il comportamento durante la copia di file tra due host remoti, che ora viene eseguito per impostazione predefinita tramite l'host locale intermedio. Questo approccio evita il trasferimento di credenziali non necessarie al primo host e la tripla interpretazione dei nomi di file nella shell (sul lato sorgente, destinazione e sistema locale), nonché quando si utilizza SFTP, consente di utilizzare tutti i metodi di autenticazione quando accesso a host remoti e non solo metodi non interattivi
Inoltre, sia ssh che sshd hanno spostato sia il client che il server per utilizzare un parser di file Di configurazione più rigoroso usando le regole della shell per gestire virgolette, spazi e caratteri di escape.
Il nuovo parser inoltre non ignora le ipotesi passate, come l'omissione di argomenti nelle opzioni (ad esempio, ora non è possibile lasciare vuota la direttiva DenyUsers), le virgolette non chiuse e la specifica di più simboli "=".
Quando si utilizzano i record DNS SSHFP per verificare le chiavi, ssh ora verifica tutti i record corrispondenti, non solo quelli che contengono un tipo specifico di firma digitale. In ssh-keygen, quando si genera una chiave FIDO con l'opzione -Ochallenge, il livello integrato viene ora utilizzato per l'hashing, invece degli strumenti libfido2, consentendo di utilizzare sequenze challenge più grandi o più piccole di 32 byte. In sshd, quando si elabora la direttiva environment = "..." nei file authorized_keys, la prima corrispondenza è ora accettata ed è attivo il limite di 1024 nomi di variabili di ambiente.
Gli sviluppatori OpenSSH anche peravvertito del passaggio alla categoria degli algoritmi obsoleti utilizzando hash SHA-1, a causa della maggiore efficienza degli attacchi di collisione con un determinato prefisso (il costo della selezione della collisione è stimato in circa $ 50).
Nella prossima versione, è previsto di disabilitare per impostazione predefinita la possibilità di utilizzare l'algoritmo di firma digitale a chiave pubblica "ssh-rsa", che è menzionato nell'RFC originale per il protocollo SSH ed è ancora ampiamente utilizzato nella pratica.
Per testare l'uso di ssh-rsa sui sistemi, puoi provare a connetterti tramite ssh con l'opzione "-oHostKeyAlgorithms = -ssh-rsa". Allo stesso tempo, disabilitare le firme digitali "ssh-rsa" per impostazione predefinita non significa un rifiuto totale dell'uso delle chiavi RSA, poiché oltre a SHA-1, il protocollo SSH consente l'uso di altri algoritmi per il calcolo degli hash. In particolare, oltre a "ssh-rsa", sarà possibile utilizzare i link "rsa-sha2-256" (RSA / SHA256) e "rsa-sha2-512" (RSA / SHA512).
Per facilitare la transizione a nuovi algoritmi in OpenSSH, l'impostazione UpdateHostKeys era precedentemente abilitata per impostazione predefinita, consentendo di passare automaticamente ai client ad algoritmi più affidabili.
Infine, se sei interessato a saperne di più su questa nuova versione, puoi consultare i dettagli andando al seguente collegamento.
Come installare OpenSSH 8.7 su Linux?
Per coloro che sono interessati a poter installare questa nuova versione di OpenSSH sui propri sistemi, per ora possono farlo scaricando il codice sorgente di questo e eseguire la compilazione sui propri computer.
Questo perché la nuova versione non è stata ancora inclusa nei repository delle principali distribuzioni Linux. Per ottenere il codice sorgente, puoi farlo dal seguente link.
Fatto il download, ora decomprimeremo il pacchetto con il seguente comando:
tar -xvf openssh-8.7.tar.gz
Entriamo nella directory creata:
cd openssh-8.7
Y possiamo compilare con i seguenti comandi:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install