の新しいバージョン OpenSSH8.8はすでにリリースされています そしてこの新しいバージョン デフォルトでデジタル署名を使用する機能を無効にすることで際立っています SHA-1ハッシュ( "ssh-rsa")を使用したRSAキーに基づいています。
「ssh-rsa」署名のサポートの終了 衝突攻撃の効果が高まるためです 与えられた接頭辞付き(衝突を推測するコストは約50万ドルと見積もられています)。 システムでのssh-rsaの使用をテストするには、オプション「-oHostKeyAlgorithms = -ssh-rsa」を使用してssh経由で接続してみてください。
さらに、OpenSSH 256以降でサポートされているSHA-512およびSHA-2(rsa-sha256-512 / 7.2)ハッシュを使用したRSA署名のサポートは変更されていません。 ほとんどの場合、「ssh-rsa」のサポートを終了するために手動で操作する必要はありません。 UpdateHostKeys設定は以前OpenSSHでデフォルトで有効にされていたため、ユーザーによって、クライアントをより信頼性の高いアルゴリズムに自動的に変換します。
このバージョンは、SHA-1ハッシュアルゴリズムを使用してRSA署名を無効にします ディフォルト。 この変更は、SHA-1ハッシュアルゴリズムが 暗号的に壊れており、選択したプレフィックスを作成することが可能です によるハッシュ衝突
ほとんどのユーザーにとって、この変更は目に見えないはずであり、 ssh-rsaキーを置き換える必要はありません。 OpenSSHはRFC8332に準拠しています バージョン256のRSA / SHA-512 / 7.2署名および既存のssh-rsaキー 可能な限り、最強のアルゴリズムを自動的に使用します。
移行には、プロトコル拡張子「hostkeys@openssh.com」が使用されます«。これにより、サーバーは認証に合格した後、使用可能なすべてのホストキーをクライアントに通知できます。 クライアント側で非常に古いバージョンのOpenSSHを使用してホストに接続する場合、〜/ .ssh / configを追加することにより、「ssh-rsa」署名を使用する機能を選択的に逆にすることができます。
新しいバージョン OpenSSH 6.2以降、sshdによって引き起こされるセキュリティの問題も修正されます、AuthorizedKeysCommandおよびAuthorizedPrincipalsCommandディレクティブで指定されたコマンドを実行するときに、ユーザーグループを誤って初期化します。
これらのディレクティブは、コマンドが別のユーザーで実行されるようにする必要がありますが、実際には、sshdの起動時に使用されるグループのリストを継承しています。 潜在的に、この動作により、特定のシステム構成が与えられた場合、実行中のコントローラーがシステムで追加の特権を取得できるようになりました。
リリースノート また、scpユーティリティを変更する意図についての警告も含まれています デフォルト 従来のSCP / RCPプロトコルの代わりにSFTPを使用します。 SFTPはより予測可能なメソッド名を適用し、グローバルな非処理パターンが他のホスト側のシェルを介してファイル名で使用されるため、セキュリティ上の懸念が生じます。
特に、SCPとRCPを使用する場合、サーバーはクライアントに送信するファイルとディレクトリを決定し、クライアントは返されたオブジェクト名の正確さのみをチェックします。これにより、クライアント側で適切なチェックが行われない場合、要求されたものとは異なる他のファイル名を送信するサーバー。
SFTPにはこれらの問題はありませんが、「〜/」などの特別なルートの拡張はサポートされていません。 この違いに対処するために、以前のバージョンのOpenSSHでは、SFTPサーバーの実装で新しいSFTP拡張機能が提案され、〜/および〜ユーザー/パスが公開されました。
最後に あなたがそれについてもっと知りたいのなら この新バージョンについては、詳細を確認できます 次のリンクにアクセスしてください。
LinuxにOpenSSH8.8をインストールするにはどうすればよいですか?
この新しいバージョンのOpenSSHをシステムにインストールできるようにすることに関心がある人は、 今のところ彼らはそれを行うことができます これのソースコードをダウンロードして コンピューターでコンパイルを実行します。
これは、新しいバージョンがメインのLinuxディストリビューションのリポジトリにまだ含まれていないためです。 ソースコードを取得するには、 次のリンク.
ダウンロードを完了し、 次に、次のコマンドを使用してパッケージを解凍します。
tar -xvf openssh-8.8.tar.gz
作成したディレクトリに入ります。
cd openssh-8.8
Y でコンパイルできます 次のコマンド:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install