La nuova versione di OpenSSH 8.8 è già stato rilasciato e questa nuova versione si distingue per disabilitare di default la possibilità di utilizzare le firme digitali basato su chiavi RSA con un hash SHA-1 ("ssh-rsa").
Fine del supporto per le firme "ssh-rsa" è dovuto ad un aumento dell'efficacia degli attacchi di collisione con un determinato prefisso (il costo per indovinare la collisione è stimato in circa 50 mila dollari). Per testare l'uso di ssh-rsa su un sistema, puoi provare a connetterti tramite ssh con l'opzione "-oHostKeyAlgorithms = -ssh-rsa".
Inoltre, il supporto per le firme RSA con hash SHA-256 e SHA-512 (rsa-sha2-256 / 512), che sono supportati da OpenSSH 7.2, non è cambiato. Nella maggior parte dei casi, terminare il supporto per "ssh-rsa" non richiederà alcuna azione manuale. dagli utenti, poiché l'impostazione UpdateHostKeys era precedentemente abilitata per impostazione predefinita in OpenSSH, che traduce automaticamente i client in algoritmi più affidabili.
Questa versione disabilita le firme RSA utilizzando l'algoritmo di hashing SHA-1 predefinito. Questa modifica è stata apportata poiché l'algoritmo di hash SHA-1 è crittograficamente rotto, ed è possibile creare il prefisso scelto collisioni hash di
Per la maggior parte degli utenti, questo cambiamento dovrebbe essere invisibile e c'è non è necessario sostituire le chiavi ssh-rsa. OpenSSH è compatibile con RFC8332 Firme RSA / SHA-256/512 dalla versione 7.2 e chiavi ssh-rsa esistenti utilizzerà automaticamente l'algoritmo più potente quando possibile.
Per la migrazione, viene utilizzata l'estensione del protocollo "hostkeys@openssh.com"«, che consente al server, dopo aver superato l'autenticazione, di informare il client di tutte le chiavi host disponibili. Quando ti connetti a host con versioni molto vecchie di OpenSSH sul lato client, puoi invertire selettivamente la possibilità di utilizzare le firme "ssh-rsa" aggiungendo ~ / .ssh / config
La nuova versione risolve anche un problema di sicurezza causato da sshd, da OpenSSH 6.2, inizializzando in modo errato il gruppo di utenti durante l'esecuzione dei comandi specificati nelle direttive AuthorizedKeysCommand e AuthorizedPrincipalsCommand.
Queste direttive dovrebbero garantire che i comandi vengano eseguiti con un utente diverso, ma in realtà hanno ereditato l'elenco dei gruppi utilizzati all'avvio di sshd. Potenzialmente, questo comportamento, date determinate configurazioni di sistema, consentiva al controller in esecuzione di ottenere privilegi aggiuntivi sul sistema.
Le note di rilascio includono anche un avviso sull'intenzione di modificare l'utilità scp predefinito per utilizzare SFTP invece del protocollo SCP/RCP legacy. SFTP impone nomi di metodo più prevedibili e modelli globali di non elaborazione vengono utilizzati nei nomi di file tramite la shell dall'altro host, creando problemi di sicurezza.
In particolare, quando si utilizzano SCP e RCP, il server decide quali file e directory inviare al client, e il client verifica solo la correttezza dei nomi degli oggetti restituiti, il che, in assenza di controlli adeguati lato client, consente di server per trasmettere altri nomi di file diversi da quelli richiesti.
SFTP non ha questi problemi, ma non supporta l'espansione di percorsi speciali come "~ /". Per affrontare questa differenza, nella versione precedente di OpenSSH, nell'implementazione del server SFTP è stata proposta una nuova estensione SFTP per esporre i percorsi ~ / e ~ utente /.
Infine se sei interessato a saperne di più su questa nuova versione, puoi controllare i dettagli andando al seguente collegamento.
Come installare OpenSSH 8.8 su Linux?
Per coloro che sono interessati a poter installare questa nuova versione di OpenSSH sui propri sistemi, per ora possono farlo scaricando il codice sorgente di questo e eseguire la compilazione sui propri computer.
Questo perché la nuova versione non è stata ancora inclusa nei repository delle principali distribuzioni Linux. Per ottenere il codice sorgente, puoi farlo dal seguente link.
Fatto il download, ora decomprimeremo il pacchetto con il seguente comando:
tar -xvf openssh-8.8.tar.gz
Entriamo nella directory creata:
cd openssh-8.8
Y possiamo compilare con i seguenti comandi:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install