Jaunā versija OpenSSH 8.8 jau ir izlaists un šo jauno versiju izceļas ar to, ka pēc noklusējuma atspējo iespēju izmantot ciparparakstus pamatojoties uz RSA atslēgām ar SHA-1 jaukšanu ("ssh-rsa").
Beidzas atbalsts "ssh-rsa" parakstiem ir saistīts ar sadursmes uzbrukumu efektivitātes palielināšanos ar noteiktu prefiksu (sadursmes uzminēšanas izmaksas tiek lēstas aptuveni 50 tūkstošu dolāru apmērā). Lai pārbaudītu ssh-rsa izmantošanu sistēmā, varat mēģināt izveidot savienojumu, izmantojot ssh, izmantojot opciju "-oHostKeyAlgorithms = -ssh-rsa".
Turklāt RSA parakstu atbalsts ar SHA-256 un SHA-512 (rsa-sha2-256 / 512) jaucējus, kas tiek atbalstīti kopš OpenSSH 7.2, nav mainījies. Vairumā gadījumu “ssh-rsa” atbalsta pārtraukšana neprasa manuālu darbību. lietotāji, jo iestatījums UpdateHostKeys iepriekš pēc noklusējuma bija iespējots OpenSSH, kas automātiski pārvērš klientus par uzticamākiem algoritmiem.
Šī versija atspējo RSA parakstus, izmantojot sajaukšanas algoritmu SHA-1 noklusējuma. Šīs izmaiņas ir veiktas kopš SHA-1 jaukšanas algoritma kriptogrāfiski salauzts, un ir iespējams izveidot izvēlēto prefiksu hash sadursmes ar
Lielākajai daļai lietotāju šīm izmaiņām vajadzētu būt neredzamām nav nepieciešams nomainīt ssh-rsa atslēgas. OpenSSH ir saderīgs ar RFC8332 RSA / SHA-256 /512 paraksti no versijas 7.2 un esošās ssh-rsa atslēgas kad vien iespējams, tas automātiski izmantos spēcīgāko algoritmu.
Migrācijai tiek izmantots protokola paplašinājums "hostkeys@openssh.com"«, Kas ļauj serverim pēc autentifikācijas nodošanas informēt klientu par visām pieejamajām resursdatora atslēgām. Savienojot ar resursdatoriem ar ļoti vecām OpenSSH versijām klienta pusē, varat selektīvi mainīt iespēju izmantot "ssh-rsa" parakstus, pievienojot ~ / .ssh / config
Jaunā versija novērš arī drošības problēmu, ko izraisa sshd, jo OpenSSH 6.2, nepareizi inicializējot lietotāju grupu, izpildot komandas, kas norādītas direktīvās AuthorizedKeysCommand un AuthorizedPrincipalsCommand.
Šīm direktīvām būtu jānodrošina, ka komandas tiek izpildītas citam lietotājam, bet patiesībā tās ir mantojušas to grupu sarakstu, kuras tika izmantotas, startējot sshd. Potenciāli šī uzvedība, ņemot vērā noteiktas sistēmas konfigurācijas, ļāva strādājošajam kontrolierim iegūt papildu privilēģijas sistēmā.
Izlaiduma piezīmes tajos ir arī brīdinājums par nodomu mainīt scp utilītu noklusējums izmantot SFTP mantotā SCP / RCP protokola vietā. SFTP ievieš paredzamākus metožu nosaukumus, un globālie neapstrādes modeļi tiek izmantoti failu nosaukumos, izmantojot čaulu otrā resursdatora pusē, radot drošības apsvērumus.
Jo īpaši, izmantojot SCP un RCP, serveris izlemj, kurus failus un direktorijus nosūtīt klientam, un klients pārbauda tikai atgriezto objektu nosaukumu pareizību, kas, ja klienta pusē netiek veiktas pienācīgas pārbaudes, ļauj serveri, lai pārsūtītu citus failu nosaukumus, kas atšķiras no pieprasītajiem.
SFTP trūkst šo problēmu, taču tas neatbalsta īpašu maršrutu paplašināšanu, piemēram, "~ /". Lai novērstu šo atšķirību, iepriekšējā OpenSSH versijā tika piedāvāts jauns SFTP paplašinājums SFTP servera ieviešanā, lai atklātu ~ / un ~ lietotāja / ceļus.
Beidzot ja jūs interesē uzzināt vairāk par to par šo jauno versiju varat pārbaudīt informāciju pārejot uz šo saiti.
Kā Linux instalēt OpenSSH 8.8?
Tiem, kurus interesē iespēja instalēt šo jauno OpenSSH versiju savās sistēmās, pagaidām viņi to var izdarīt lejupielādējot šī un veicot kompilāciju savos datoros.
Tas ir tāpēc, ka jaunā versija vēl nav iekļauta galveno Linux izplatīšanas krātuvēs. Lai iegūtu avota kodu, varat to izdarīt nākamā saite.
Gatavs lejupielādei, tagad mēs izslēdzam paketi ar šādu komandu:
tar -xvf openssh-8.8.tar.gz
Mēs ievadām izveidoto direktoriju:
cd openssh-8.8
Y mēs varam apkopot ar šādas komandas:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install