Setelah empat bulan pembangunan, pelancaran versi baru dari OpenSSH 8.2, yang merupakan implementasi klien dan pelayan terbuka untuk mengerjakan protokol SSH 2.0 dan SFTP. A penambahbaikan utama semasa pelancaran oleh OpenSSH 8.2 feu keupayaan untuk menggunakan pengesahan dua faktor menggunakan peranti yang menyokong protokol U2F dibangunkan oleh pakatan FIDO.
U2F membenarkan penciptaan token perkakasan kos rendah untuk mengesahkan kehadiran fizikal pengguna, yang interaksinya adalah melalui USB, Bluetooth atau NFC. Peranti sedemikian dipromosikan sebagai alat pengesahan dua faktor di laman web, sudah serasi dengan semua penyemak imbas utama, dan dihasilkan oleh pelbagai pengeluar, termasuk Yubico, Feitian, Thetis, dan Kensington.
Untuk berinteraksi dengan peranti yang mengesahkan kehadiran pengguna, OpenSSH telah menambahkan dua jenis kunci baru "ecdsa-sk" dan "ed25519-sk", yang menggunakan algoritma tandatangan digital ECDSA dan Ed25519 dalam kombinasi dengan hash SHA-256.
Prosedur untuk berinteraksi dengan token telah dipindahkan ke perpustakaan antara, yang dimuat secara analogi dengan perpustakaan untuk sokongan PKCS # 11 dan merupakan pautan di perpustakaan libfido2, yang menyediakan cara untuk berkomunikasi dengan token melalui USB (protokol FIDO U2F / CTAP 1 dan FIDO 2.0 / CTAP disokong dua).
Perpustakaan antara libsk-libfido2 yang disediakan oleh pembangun OpenSSHdan termasuk dalam kernel libfido2, serta pemacu HID untuk OpenBSD.
Untuk pengesahan dan penjanaan kunci, anda mesti menentukan parameter "SecurityKeyProvider" dalam konfigurasi atau menetapkan pemboleh ubah persekitaran SSH_SK_PROVIDER, menentukan jalan ke perpustakaan luaran libsk-libfido2.so.
Adalah mungkin untuk membina opensh dengan sokongan terbina dalam untuk perpustakaan lapisan tengah dan dalam kes ini, anda perlu menetapkan parameter "SecurityKeyProvider = internal".
Juga, secara lalai, ketika operasi kunci dilakukan, diperlukan pengesahan tempatan mengenai kehadiran fizikal pengguna, misalnya, disarankan untuk menyentuh sensor pada token, yang menyukarkan melakukan serangan jarak jauh pada sistem dengan token yang disambungkan .
Sebaliknya, versi baru dari OpenSSH juga mengumumkan pemindahan yang akan datang ke kategori algoritma usang yang menggunakan hash SHA-1. kerana peningkatan kecekapan serangan perlanggaran.
Untuk memudahkan peralihan ke algoritma baru di OpenSSH dalam siaran yang akan datang, tetapan UpdateHostKeys akan diaktifkan secara lalai, yang secara automatik akan menukar klien ke algoritma yang lebih dipercayai.
Ia juga boleh didapati di OpenSSH 8.2, kemampuan untuk menyambung menggunakan "ssh-rsa" masih ada, tetapi algoritma ini dikeluarkan dari senarai CASignatureAlgorithms, yang menentukan algoritma yang sah untuk menandatangani sijil baru secara digital.
Begitu juga, algoritma diffie-hellman-group14-sha1 telah dikeluarkan dari algoritma pertukaran kunci lalai.
Perubahan lain yang menonjol dalam versi baru ini:
- Arahan memasukkan telah ditambahkan ke sshd_config, yang membolehkan kandungan fail lain dimasukkan dalam kedudukan semasa fail konfigurasi.
- Arahan PublishAuthOptions telah ditambahkan ke sshd_config, menggabungkan pelbagai pilihan yang berkaitan dengan pengesahan kunci awam.
- Menambah pilihan "-O write-attestation = / path" ke ssh-keygen, yang membolehkan sijil pengesahan FIDO tambahan ditulis semasa membuat kunci.
- Keupayaan untuk mengeksport PEM untuk kunci DSA dan ECDSA telah ditambahkan ke ssh-keygen.
- Menambah fail eksekusi baru ssh-sk-helper yang digunakan untuk mengasingkan perpustakaan akses token FIDO / U2F.
Bagaimana cara memasang OpenSSH 8.2 di Linux?
Bagi mereka yang berminat untuk memasang OpenSSH versi baru ini pada sistem mereka, buat masa ini mereka dapat melakukannya memuat turun kod sumber ini dan melakukan penyusunan di komputer mereka.
Ini kerana versi baru belum dimasukkan ke dalam repositori distribusi Linux utama. Untuk mendapatkan kod sumber untuk OpenSSH 8.2. Anda boleh melakukan ini dari pautan seterusnya (pada masa penulisan bungkusan itu belum tersedia di cermin dan mereka menyebutkan bahawa mungkin memerlukan beberapa jam lagi)
Selesai memuat turun, sekarang kita akan membuka zip pakej dengan arahan berikut:
tar -xvf openssh-8.2.tar.gz
Kami memasukkan direktori yang dibuat:
cd openssh-8.2
Y kita dapat menyusun dengan arahan berikut:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install