אחרי ארבעה חודשים של התפתחות הוצגה הגרסה החדשה של OpenSSH 8.7 שבו נוסף מצב ניסיוני להעברת נתונים ל- scp באמצעות פרוטוקול SFTP במקום פרוטוקול SCP / RCP בשימוש מסורתי.
SFTP השתמש בשיטה צפויה יותר לטיפול בשמות והיא אינה משתמשת בעיבוד תבנית glob shell בצד המארח השני, מה שמעורר בעיית אבטחה, ובנוסף הוצע הדגל '-s' כדי לאפשר SFTP ב- scp, אך הוא מתוכנן לשנות בעתיד לפרוטוקול זה על ידי בְּרִירַת מֶחדָל.
שינוי נוסף שבולט הוא ב sftp-server המיישם הרחבות SFTP להרחבת מסלולים ~ / ו- ~ user /, הנדרשים עבור scp. תוֹעֶלֶת scp שינה את ההתנהגות בעת העתקת קבצים בין שני מארחים מרוחקים, שנעשה כעת כברירת מחדל באמצעות המארח המקומי הבינוני. גישה זו מונעת העברת אישורים מיותרים למארח הראשון והפרשנות המשולשת של שמות הקבצים במעטפת (בצד המקור, היעד ובמערכת המערכת המקומית), כמו גם בעת שימוש ב- SFTP, היא מאפשרת לך להשתמש בכל שיטות האימות כאשר גישה למארחים מרוחקים, ולא רק שיטות לא אינטראקטיביות
בנוסף, הן ssh והן sshd העבירו את הלקוח ואת השרת לשימוש בנתח קבצים של תצורה קפדנית יותר באמצעות כללי מעטפת להתמודד עם ציטוטים, רווחים ודמויות בריחה.
המנתח החדש גם אינו מתעלם מהנחות שהועברו, כגון השמטת ארגומנטים באפשרויות (למשל, כעת אינך יכול להשאיר את הוראת ה- DenyUsers ריקה), ציטוטים לא סגורים וציון סמלים מרובים "=".
בעת שימוש ברשומות DNS SSHFP לאימות מפתחות, ssh מאמת כעת את כל הרשומות התואמות, לא רק את אלה המכילות סוג מסוים של חתימה דיגיטלית. ב- ssh-keygen, בעת יצירת מפתח FIDO עם האפשרות -אתגר, השכבה המובנית משמשת כעת לצורך hashing, במקום כלי libfido2, ומאפשרת לך להשתמש ברצפי אתגר גדולים או קטנים מ- 32 בתים. ב- sshd, בעת עיבוד הוראת הסביבה = "..." בקבצי author_keys, ההתאמה הראשונה מתקבלת כעת והמגבלה של 1024 שמות משתני סביבה בתוקף.
מפתחי OpenSSH גםהזהיר מפני המעבר לקטגוריה של אלגוריתמים מיושנים שימוש בקבוצות SHA-1, בשל היעילות הגבוהה יותר של התקפות התנגשות עם קידומת נתונה (עלות בחירת ההתנגשות מוערכת בכ -50 דולר).
במהדורה הבאה, הוא מתוכנן להשבית כברירת מחדל את היכולת להשתמש באלגוריתם החתימה הדיגיטלית "ssh-rsa" המפתח הציבורי, המוזכר ב- RFC המקורי לפרוטוקול SSH ועדיין נמצא בשימוש נרחב בפועל.
כדי לבדוק את השימוש ב- ssh-rsa במערכות, תוכל לנסות להתחבר באמצעות ssh עם האפשרות "-oHostKeyAlgorithms = -ssh-rsa". יחד עם זאת, השבתת חתימות דיגיטליות "ssh-rsa" כברירת מחדל אין פירושה דחייה מוחלטת של השימוש במפתחות RSA, שכן בנוסף ל- SHA-1, פרוטוקול SSH מאפשר שימוש באלגוריתמים אחרים לחישוב hash. בפרט, בנוסף ל- "ssh-rsa", ניתן יהיה להשתמש בקישורים "rsa-sha2-256" (RSA / SHA256) ו- "rsa-sha2-512" (RSA / SHA512).
כדי להחליק את המעבר לאלגוריתמים חדשים ב- OpenSSH, ההגדרה UpdateHostKeys הופעלה בעבר כברירת מחדל, ומאפשרת לך להעביר לקוחות באופן אוטומטי לאלגוריתמים אמינים יותר.
לבסוף, אם אתה מעוניין לדעת יותר על גרסה חדשה זו, תוכל להתייעץ עם הפרטים על ידי מעבר לקישור הבא.
כיצד להתקין את OpenSSH 8.7 על לינוקס?
למי שמעוניין להיות מסוגל להתקין גרסה חדשה זו של OpenSSH על מערכותיהם, בינתיים הם יכולים לעשות את זה הורדת קוד המקור של זה ו - ביצוע האוסף במחשבים שלהם.
הסיבה לכך היא שהגרסה החדשה עדיין לא נכללה במאגרים של הפצות הלינוקס העיקריות. כדי לקבל את קוד המקור, תוכל לעשות זאת באמצעות הקישור הבא.
בוצע ההורדה, עכשיו אנחנו הולכים לפתוח את החבילה עם הפקודה הבאה:
tar -xvf openssh-8.7.tar.gz
אנו נכנסים לספרייה שנוצרה:
cd openssh-8.7
Y אנחנו יכולים לקמפל עם הפקודות הבאות:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install