לאחר ארבעה חודשים של פיתוח, ההשקה של הגרסה החדשה של OpenSSH 8.2, המהווה יישום לקוח ושרת פתוח לעבודה על פרוטוקולי SSH 2.0 ו- SFTP. א של שיפורי מפתח בעת ההשקה על ידי OpenSSH 8.2 fהאיחוד האירופי יכולת להשתמש באימות דו-גורמי באמצעות מכשירים התומכים בפרוטוקול U2F פותחה על ידי הברית FIDO.
U2F מאפשר ליצור אסימוני חומרה בעלות נמוכה כדי לאשר את הנוכחות הפיזית של המשתמש, שהאינטראקציה שלו היא באמצעות USB, Bluetooth או NFC. מכשירים כאלה מקודמים כאמצעי לאימות דו-גורמי באתרים, הם כבר תואמים לכל הדפדפנים הגדולים ומופקים על ידי יצרנים שונים, ביניהם יוביקו, פייטיאן, תטיס וקנסינגטון.
כדי לקיים אינטראקציה עם מכשירים המאשרים את נוכחות המשתמש, OpenSSH הוסיף שני סוגים חדשים של מקשים "ecdsa-sk" ו- "ed25519-sk", המשתמשים באלגוריתמי החתימה הדיגיטלית ECDSA ו- Ed25519 בשילוב עם ה- Hash של SHA-256.
נהלי האינטראקציה עם האסימונים הועברו לספריית ביניים, אשר נטען באנלוגיה עם הספרייה לתמיכת PKCS מספר 11 ומהווה קישור בספריית libfido2, המספק אמצעים לתקשר עם אסימונים באמצעות USB (פרוטוקולי FIDO U2F / CTAP 1 ו- FIDO 2.0 / CTAP נתמכים שניים).
ספריית הביניים libsk-libfido2 שהוכנה על ידי מפתחי OpenSSH sוכולל את הליבה libfido2, כמו גם את מנהל ההתקן HID עבור OpenBSD.
לצורך אימות וייצור מפתחות, עליך לציין את הפרמטר "SecurityKeyProvider" בתצורה או להגדיר את משתנה הסביבה SSH_SK_PROVIDER, תוך ציון הנתיב לספריה החיצונית libsk-libfido2.so.
אפשר לבנות openssh עם תמיכה מובנית בספריית השכבה האמצעית ובמקרה זה עליכם להגדיר את הפרמטר "SecurityKeyProvider = פנימי".
כמו כן, כברירת מחדל, כאשר מבצעים פעולות מפתח, נדרש אישור מקומי על נוכחותו הפיזית של המשתמש, למשל, מומלץ לגעת בחיישן שבאסימון, מה שמקשה על התקפות מרחוק על מערכות עם מחובר. אֲסִימוֹן.
מצד שני, הגרסה החדשה של OpenSSH הודיעה גם על ההעברה הקרובה לקטגוריית האלגוריתמים המיושנים המשתמשים ב- SHA-1. עקב עלייה ביעילות התקפות ההתנגשות.
כדי להקל על המעבר לאלגוריתמים חדשים ב- OpenSSH במהדורה הקרובה, ההגדרה UpdateHostKeys מופעלת כברירת מחדל, אשר יעבור אוטומטית לקוחות לאלגוריתמים אמינים יותר.
ניתן למצוא אותו גם ב- OpenSSH 8.2, היכולת להתחבר באמצעות "ssh-rsa" עדיין נותרה, אך אלגוריתם זה מוסר מרשימת CASignatureAlgorithms, המגדירה את האלגוריתמים שתקפים לחתימה דיגיטלית על אישורים חדשים.
באופן דומה, האלגוריתם diffie-hellman-group14-sha1 הוסר מאלגוריתמי החלפת המפתחות המוגדרים כברירת מחדל.
מבין שאר השינויים הבולטים בגרסה חדשה זו:
- הוספה הוראת include ל- sshd_config, המאפשרת לכלול את התוכן של קבצים אחרים במיקום הנוכחי של קובץ התצורה.
- הוראת PublishAuthOptions נוספה ל- sshd_config, המשלבת אפשרויות שונות הקשורות לאימות מפתח ציבורי.
- נוספה לאפשרות "-O write-attestation = / path" ל- ssh-keygen, המאפשרת לכתוב תעודות הסמכה נוספות של FIDO בעת יצירת מפתחות.
- היכולת לייצא PEM למפתחות DSA ו- ECDSA נוספה ל- ssh-keygen.
- נוסף קובץ הפעלה חדש ssh-sk-helper המשמש לבידוד ספריית הגישה לאסימונים FIDO / U2F.
כיצד להתקין את OpenSSH 8.2 על לינוקס?
למי שמעוניין להיות מסוגל להתקין גרסה חדשה זו של OpenSSH על מערכותיהם, בינתיים הם יכולים לעשות את זה הורדת קוד המקור של זה ו - ביצוע האוסף במחשבים שלהם.
הסיבה לכך היא שהגרסה החדשה עדיין לא נכללה במאגרים של הפצות הלינוקס העיקריות. להשגת קוד המקור עבור OpenSSH 8.2. אתה יכול לעשות זאת מה- הקישור הבא (בזמן כתיבת החבילה עדיין לא זמין במראות והם מזכירים שזה עלול לקחת עוד כמה שעות)
בוצע ההורדה, עכשיו אנחנו הולכים לפתוח את החבילה עם הפקודה הבאה:
tar -xvf openssh-8.2.tar.gz
אנו נכנסים לספרייה שנוצרה:
cd openssh-8.2
Y אנחנו יכולים לקמפל עם הפקודות הבאות:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install