Nauja „OpenSSH 8.8“ jau buvo išleistas ir ši nauja versija išsiskiria tuo, kad pagal nutylėjimą išjungia galimybę naudoti skaitmeninius parašus remiantis RSA raktais su SHA-1 maiša („ssh-rsa“).
„Ssh-rsa“ parašų palaikymo pabaiga yra dėl padidėjusio susidūrimo išpuolių efektyvumo su nurodytu prefiksu (susidūrimo atspėjimo kaina yra apie 50 tūkst. dolerių). Norėdami išbandyti „ssh-rsa“ naudojimą sistemoje, galite pabandyti prisijungti per ssh naudodami parinktį „-oHostKeyAlgorithms = -ssh-rsa“.
Be to, RSA parašų palaikymas naudojant SHA-256 ir SHA-512 maišas (rsa-sha2-256 / 512), palaikomas nuo OpenSSH 7.2, nepasikeitė. Daugeliu atvejų, norint nutraukti „ssh-rsa“ palaikymą, nereikės atlikti jokių rankinių veiksmų. vartotojai, nes „UpdateHostKeys“ nustatymas anksčiau buvo įjungtas pagal numatytuosius nustatymus „OpenSSH“, kuris automatiškai verčia klientus į patikimesnius algoritmus.
Ši versija išjungia RSA parašus naudojant SHA-1 maišos algoritmą numatytas. Šis pakeitimas atliktas nuo tada, kai yra SHA-1 maišos algoritmas kriptografiškai sulaužytas, ir galima sukurti pasirinktą priešdėlį maišos susidūrimai
Daugumai vartotojų šis pakeitimas turėtų būti nematomas ir yra nereikia keisti ssh-rsa raktų. „OpenSSH“ atitinka RFC8332 RSA / SHA-256 /512 parašai iš 7.2 versijos ir esami ssh-rsa raktai kai tik įmanoma, jis automatiškai naudos stipriausią algoritmą.
Perkėlimui naudojamas protokolo plėtinys „hostkeys@openssh.com“«, Tai leidžia serveriui, praėjus autentifikavimui, informuoti klientą apie visus galimus pagrindinius raktus. Prisijungdami prie kompiuterių su labai senomis „OpenSSH“ versijomis kliento pusėje, galite pasirinktinai pakeisti galimybę naudoti „ssh-rsa“ parašus, pridėdami ~ / .ssh / config
Nauja versija taip pat išsprendžia saugos problemą, kurią sukėlė sshd, nes „OpenSSH 6.2“, neteisingai inicijuojant vartotojų grupę vykdant komandas, nurodytas „AuthorizedKeysCommand“ ir „AuthorizedPrincipalsCommand“ direktyvose.
Šios direktyvos turėtų užtikrinti, kad komandos būtų vykdomos kitam vartotojui, tačiau iš tikrųjų jos paveldėjo grupių, naudojamų paleidžiant sshd, sąrašą. Potencialiai toks elgesys, atsižvelgiant į tam tikras sistemos konfigūracijas, leido veikiančiam valdikliui įgyti papildomų privilegijų sistemoje.
Išleidimo pastabos jose taip pat yra įspėjimas apie ketinimą pakeisti „scp“ programą numatytas naudoti SFTP vietoj senojo SCP / RCP protokolo. SFTP taiko labiau nuspėjamus metodų pavadinimus, o visuotiniai neapdorojimo modeliai naudojami failų pavadinimuose per apvalkalą kitos prieglobos pusėje, sukuriant saugumo problemų.
Visų pirma, naudojant SCP ir RCP, serveris nusprendžia, kuriuos failus ir katalogus siųsti klientui, o klientas tik patikrina grąžintų objektų pavadinimų teisingumą, o tai, jei kliento pusėje nėra tinkamų patikrinimų, leidžia serveris perduoti kitus failų pavadinimus, kurie skiriasi nuo prašomų.
SFTP trūksta šių problemų, tačiau nepalaiko specialių maršrutų, tokių kaip „~ /“, išplėtimo. Siekiant pašalinti šį skirtumą, ankstesnėje „OpenSSH“ versijoje buvo pasiūlytas naujas SFTP plėtinys SFTP serverio diegime, kad būtų atskleisti ~ / ir ~ vartotojo / keliai.
Pagaliau jei norite sužinoti daugiau apie tai apie šią naują versiją galite patikrinti išsamią informaciją eidami į šią nuorodą.
Kaip įdiegti „OpenSSH 8.8“ sistemoje „Linux“?
Tiems, kurie nori įdiegti šią naują „OpenSSH“ versiją savo sistemose, kol kas jie gali tai padaryti atsisiųsdami šio ir atlikdami kompiliaciją savo kompiuteriuose.
Taip yra todėl, kad naujoji versija dar nebuvo įtraukta į pagrindinių „Linux“ paskirstymų saugyklas. Norėdami gauti šaltinio kodą, galite tai padaryti iš kita nuoroda.
Atliktas atsisiuntimas, dabar mes išpakuosime paketą naudodami šią komandą:
tar -xvf openssh-8.8.tar.gz
Įeiname į sukurtą katalogą:
cd openssh-8.8
Y mes galime sudaryti su šias komandas:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install