XNUMXか月の開発期間を経て OpenSSH 8.7 の新しいバージョンのリリースが発表されました その中で 実験的なデータ転送モードが追加されました 従来使用されていた SCP/RCP プロトコルの代わりに SFTP プロトコルを使用して scp を実行します。
SFTP 名前を処理するためにより予測可能な方法を使用する また、他のホスト側で glob シェル テンプレート処理を使用しないため、セキュリティ上の問題が発生します。さらに、scp で SFTP を有効にするために「-s」フラグが提案されていますが、将来的にはデフォルトでこのプロトコルに変更される予定です。
目立つもう一つの変化は sftp-server ルートを拡張するための SFTP 拡張機能を実装する ~/ および ~user/。scp に必要です。 効用 XNUMX つのリモート ホスト間でファイルをコピーするときの scp の動作が変更されました。これはデフォルトで中間ローカルホスト経由で行われるようになりました。 このアプローチにより、最初のホストへの不要な認証情報の受け渡しや、シェル内でのファイル名の三重解釈 (送信元、宛先、およびローカル システム側) が回避され、SFTP を使用する場合、リモート ホストにアクセスするときにすべての認証方法を使用できるようになります。非対話型メソッドだけでなく、
さらに、 ssh と sshd の両方が、ファイル パーサーを使用するようにクライアントとサーバーの両方を移動しました。 構成の シェルルールを使用するよりも厳格です 引用符、スペース、エスケープ文字を処理します。
新しいパーサーは、オプションの引数の省略 (たとえば、現在は DenyUsers ディレクティブを空のままにすることはできません)、閉じていない引用符、複数の「=」記号の指定などの過去の仮定も無視しません。
SSHFP DNS レコードを使用してキーを検証する場合、ssh は特定の種類のデジタル署名を含むレコードだけでなく、一致するすべてのレコードを検証するようになりました。 ssh-keygen では、-Ochallenge オプションを使用して FIDO キーを生成するときに、libfido2 ツールの代わりに組み込みレイヤーがハッシュに使用されるようになり、32 バイトより大きいまたは小さいチャレンジ シーケンスを使用できるようになりました。 sshd では、authorized_keys ファイル内のenvironment = "..." ディレクティブを処理するときに、最初の一致が受け入れられるようになり、1024 個の環境変数名の制限が有効になります。
OpenSSH 開発者も時代遅れのアルゴリズムのカテゴリーへの移行について警告 特定のプレフィックスによる衝突攻撃の効率が高いため、SHA-1 ハッシュを使用します (衝突選択のコストは約 50 万ドルと推定されています)。
次のリリースでは、「ssh-rsa」公開鍵デジタル署名アルゴリズムを使用する機能をデフォルトで無効にする予定です。このアルゴリズムは、SSH プロトコルの元の RFC で言及されており、現在でも実際に広く使用されています。
システム上で ssh-rsa の使用をテストするには、オプション「-oHostKeyAlgorithms = -ssh-rsa」を使用して ssh 経由で接続してみてください。 同時に、「ssh-rsa」デジタル署名をデフォルトで無効にしても、RSA キーの使用が完全に拒否されるわけではありません。これは、SSH プロトコルでは、SHA-1 に加えて、ハッシュ計算に他のアルゴリズムの使用が許可されているためです。 特に、「ssh-rsa」に加えて、「rsa-sha2-256」(RSA / SHA256)および「rsa-sha2-512」(RSA / SHA512)リンクを使用できるようになります。.
OpenSSH の新しいアルゴリズムへの移行をスムーズにするために、UpdateHostKeys 設定がデフォルトで有効になっており、クライアントをより信頼性の高いアルゴリズムに自動的に切り替えることができます。
最後に、この新しいバージョンについて詳しく知りたい場合は、詳細を参照してください。 次のリンクにアクセスしてください。
LinuxにOpenSSH8.7をインストールするにはどうすればよいですか?
この新しいバージョンのOpenSSHをシステムにインストールできるようにすることに関心がある人は、 今のところ彼らはそれを行うことができます これのソースコードをダウンロードして コンピューターでコンパイルを実行します。
これは、新しいバージョンがメインのLinuxディストリビューションのリポジトリにまだ含まれていないためです。 ソースコードを取得するには、 次のリンク.
ダウンロードを完了し、 次に、次のコマンドを使用してパッケージを解凍します。
tar -xvf openssh-8.7.tar.gz
作成したディレクトリに入ります。
cd openssh-8.7
Y でコンパイルできます 次のコマンド:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install