Versi baru dari OpenSSH 8.8 telah dikeluarkan dan versi baru ini menonjol secara tidak langsung kemampuan untuk menggunakan tandatangan digital berdasarkan kekunci RSA dengan hash SHA-1 ("ssh-rsa").
Tamat sokongan untuk tandatangan "ssh-rsa" disebabkan oleh peningkatan keberkesanan serangan perlanggaran dengan awalan tertentu (kos meneka perlanggaran dianggarkan sekitar 50 ribu dolar). Untuk menguji penggunaan ssh-rsa pada sistem, anda boleh cuba menyambung melalui ssh dengan pilihan "-oHostKeyAlgorithms = -ssh-rsa".
Sebagai tambahan, sokongan untuk tandatangan RSA dengan hash SHA-256 dan SHA-512 (rsa-sha2-256 / 512), yang disokong sejak OpenSSH 7.2, tidak berubah. Dalam kebanyakan kes, menamatkan sokongan untuk "ssh-rsa" tidak memerlukan tindakan manual. oleh pengguna, kerana tetapan UpdateHostKeys sebelumnya diaktifkan secara lalai dalam OpenSSH, yang secara automatik menerjemahkan klien ke algoritma yang lebih dipercayai.
Versi ini melumpuhkan tandatangan RSA menggunakan algoritma hash SHA-1 lalai. Perubahan ini telah dibuat sejak algoritma hash SHA-1 pecah secara kriptografi, dan mungkin untuk membuat awalan yang dipilih perlanggaran hash oleh
Bagi kebanyakan pengguna, perubahan ini semestinya tidak dapat dilihat dan ada tidak perlu mengganti kunci ssh-rsa. OpenSSH mematuhi RFC8332 RSA / SHA-256/512 tandatangan dari versi 7.2 dan kunci ssh-rsa yang ada secara automatik ia akan menggunakan algoritma terkuat bila mungkin.
Untuk penghijrahan, peluasan protokol "hostkeys@openssh.com" digunakan«, Yang membolehkan pelayan, setelah lulus pengesahan, memberitahu pelanggan tentang semua kunci hos yang ada. Apabila menyambung ke host dengan versi OpenSSH yang sangat lama di sisi pelanggan, anda boleh membalikkan kemampuan menggunakan tandatangan "ssh-rsa" secara selektif dengan menambahkan ~ / .ssh / config
Versi baru juga memperbaiki masalah keselamatan yang disebabkan oleh sshd, sejak OpenSSH 6.2, menginisialisasi kumpulan pengguna dengan tidak betul semasa menjalankan perintah yang ditentukan dalam arahan AuthorizedKeysCommand dan AuthorizedPrincipalsCommand.
Arahan ini harus memastikan bahawa perintah dijalankan di bawah pengguna yang berbeza, tetapi sebenarnya mereka mewarisi senarai kumpulan yang digunakan ketika memulakan sshd. Berpotensi, tingkah laku ini, diberikan konfigurasi sistem tertentu, membolehkan pengawal berjalan untuk mendapatkan keistimewaan tambahan pada sistem.
Catatan pelepasan mereka juga menyertakan peringatan tentang bermaksud mengubah utiliti scp lalai untuk menggunakan SFTP dan bukannya protokol SCP / RCP lama. SFTP menguatkuasakan nama kaedah yang lebih dapat diramalkan, dan corak bukan pemprosesan global digunakan dalam nama fail melalui shell di sisi host lain, menimbulkan masalah keselamatan.
Khususnya, ketika menggunakan SCP dan RCP, pelayan memutuskan fail dan direktori mana yang akan dikirimkan kepada klien, dan klien hanya memeriksa kebenaran nama objek yang dikembalikan, yang, jika tidak ada pemeriksaan yang tepat di sisi klien, memungkinkan pelayan untuk menghantar nama fail lain yang berbeza dari yang diminta.
SFTP kekurangan masalah ini, tetapi tidak menyokong pengembangan laluan khas seperti "~ /". Untuk mengatasi perbezaan ini, pada OpenSSH versi sebelumnya, ekstensi SFTP baru telah diusulkan dalam implementasi pelayan SFTP untuk mengekspos ~ / dan ~ pengguna / jalur.
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya mengenai versi baru ini, anda boleh menyemak perinciannya dengan pergi ke pautan berikut.
Bagaimana cara memasang OpenSSH 8.8 di Linux?
Bagi mereka yang berminat untuk memasang OpenSSH versi baru ini pada sistem mereka, buat masa ini mereka dapat melakukannya memuat turun kod sumber ini dan melakukan penyusunan di komputer mereka.
Ini kerana versi baru belum dimasukkan ke dalam repositori distribusi Linux utama. Untuk mendapatkan kod sumber, anda boleh melakukannya dari pautan seterusnya.
Selesai memuat turun, sekarang kita akan membuka zip pakej dengan arahan berikut:
tar -xvf openssh-8.8.tar.gz
Kami memasukkan direktori yang dibuat:
cd openssh-8.8
Y kita dapat menyusun dengan arahan berikut:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install