הגירסה החדשה של OpenSSH 8.8 כבר שוחרר והגרסה החדשה הזו בולט בהשבתת כברירת מחדל את היכולת להשתמש בחתימות דיגיטליות מבוסס על מפתחות RSA עם חשיש SHA-1 ("ssh-rsa").
סיום התמיכה בחתימות "ssh-rsa" נובע מעלייה באפקטיביות של התקפי התנגשות עם קידומת נתונה (עלות ניחוש ההתנגשות נאמדת בכ -50 אלף דולר). כדי לבדוק את השימוש ב- ssh-rsa במערכת, תוכל לנסות להתחבר באמצעות ssh עם האפשרות "-oHostKeyAlgorithms = -ssh-rsa".
בנוסף, התמיכה בחתימות RSA עם SHA-256 ו- SHA-512 (rsa-sha2-256 / 512) hashes, הנתמכות מאז OpenSSH 7.2, לא השתנתה. ברוב המקרים, הפסקת התמיכה ב- "ssh-rsa" לא תדרוש כל פעולה ידנית. על ידי משתמשים, מכיוון שההגדרה UpdateHostKeys הופעלה בעבר כברירת מחדל ב- OpenSSH, המתרגמת אוטומטית לקוחות לאלגוריתמים אמינים יותר.
גרסה זו משביתה חתימות RSA באמצעות אלגוריתם ה- hashing SHA-1 בְּרִירַת מֶחדָל. שינוי זה נעשה מאז אלגוריתם החשיש SHA-1 הוא שבור באופן קריפטוגרפי, וניתן ליצור את הקידומת שנבחרה התנגשויות חשיש על ידי
עבור רוב המשתמשים, שינוי זה צריך להיות בלתי נראה ויש אין צורך להחליף מפתחות ssh-rsa. OpenSSH תואם ל- RFC8332 חתימות RSA / SHA-256 /512 מגרסה 7.2 ומפתחות ssh-rsa קיימים הוא ישתמש אוטומטית באלגוריתם החזק ביותר בכל הזדמנות אפשרית.
לצורך הגירה, נעשה שימוש בסיומת הפרוטוקול "hostkeys@openssh.com"«, המאפשר לשרת, לאחר שעבר את האימות, ליידע את הלקוח על כל מפתחות המארח הזמינים. בעת התחברות למארחים עם גרסאות ישנות מאוד של OpenSSH בצד הלקוח, תוכל להפוך באופן סלקטיבי את היכולת להשתמש בחתימות "ssh-rsa" על ידי הוספת ~ / .ssh / config
הגרסה החדשה מתקן גם בעיית אבטחה הנגרמת על ידי sshd, מאז OpenSSH 6.2, אתחול שגוי של קבוצת המשתמשים בעת ביצוע פקודות שצוינו בהנחיות AuthorizedKeysCommand ו- AuthorizedPrincipalsCommand.
הוראות אלה אמורות להבטיח שהפקודות יופעלו תחת משתמש אחר, אך למעשה הן ירשו את רשימת הקבוצות בהן נעשה שימוש בעת הפעלת sshd. באופן פוטנציאלי, התנהגות זו, בהתחשב בתצורות מערכת מסוימות, אפשרה לבקר הפועל לקבל הרשאות נוספות במערכת.
הערות השחרור הם כוללים גם אזהרה לגבי כוונה לשנות את כלי השירות scp בְּרִירַת מֶחדָל להשתמש ב- SFTP במקום בפרוטוקול SCP / RCP מדור קודם. SFTP אוכפת שמות שיטות ניתנים לחיזוי יותר, ודפוסי גלובאלי שאינם מעובדים משמשים בשמות קבצים דרך המעטפת בצד המארח השני, ויוצרים חששות אבטחה.
בפרט, בעת שימוש ב- SCP וב- RCP, השרת מחליט אילו קבצים וספריות יש לשלוח ללקוח, והלקוח בודק רק את תקינות שמות האובייקטים המוחזרים, מה שבהיעדר בדיקות תקינות בצד הלקוח מאפשר השרת לשדר שמות קבצים אחרים השונים מאלו המבוקשים.
SFTP חסר בעיות אלה, אך אינו תומך בהרחבת מסלולים מיוחדים כגון "~ /". כדי לטפל בהבדל זה, בגירסה הקודמת של OpenSSH, הוצעה הרחבה חדשה של SFTP ביישום שרת SFTP כדי לחשוף את הנתיבים ~ / ו- ~.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך לגבי הגרסה החדשה הזו, תוכלו לבדוק את הפרטים על ידי מעבר לקישור הבא.
כיצד להתקין את OpenSSH 8.8 על לינוקס?
למי שמעוניין להיות מסוגל להתקין גרסה חדשה זו של OpenSSH על מערכותיהם, בינתיים הם יכולים לעשות את זה הורדת קוד המקור של זה ו - ביצוע האוסף במחשבים שלהם.
הסיבה לכך היא שהגרסה החדשה עדיין לא נכללה במאגרים של הפצות הלינוקס העיקריות. כדי לקבל את קוד המקור, תוכל לעשות זאת באמצעות הקישור הבא.
בוצע ההורדה, עכשיו אנחנו הולכים לפתוח את החבילה עם הפקודה הבאה:
tar -xvf openssh-8.8.tar.gz
אנו נכנסים לספרייה שנוצרה:
cd openssh-8.8
Y אנחנו יכולים לקמפל עם הפקודות הבאות:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install