Etter fire måneders utvikling, utgivelsen av den nye versjonen av OpenSSH 8.2, som er en åpen klient- og serverimplementering for å jobbe med SSH 2.0- og SFTP-protokollene. EN av viktige forbedringer ved lansering av OpenSSH 8.2 feu muligheten til å bruke tofaktorautentisering bruker enheter som støtter U2F-protokollen utviklet av FIDO-alliansen.
U2F tillater oppretting av billig maskinvaretokener for å bekrefte den fysiske tilstedeværelsen til brukeren, hvis interaksjon er via USB, Bluetooth eller NFC. Slike enheter markedsføres som et middel for tofaktorautentisering på nettstedene, er allerede kompatible med alle større nettlesere og produseres av forskjellige produsenter, inkludert Yubico, Feitian, Thetis og Kensington.
For å samhandle med enheter som bekrefter brukerens tilstedeværelse, OpenSSH har lagt til to nye typer nøkler "ecdsa-sk" og "ed25519-sk", som bruker ECDSA og Ed25519 algoritmer for digital signatur i kombinasjon med SHA-256 hash.
Prosedyrene for samhandling med tokens er overført til et mellomliggende bibliotek, som er lastet analogt med biblioteket for PKCS # 11-støtte og er en lenke på libfido2-biblioteket, som gir midler til å kommunisere med tokens via USB (FIDO U2F / CTAP 1 og FIDO 2.0 / CTAP-protokoller støttes to).
Mellombiblioteket libsk-libfido2 utarbeidet av OpenSSH-utviklerne sog inkluderer i kjernen libfido2, samt HID-driveren for OpenBSD.
For autentisering og nøkkelgenerering må du spesifisere parameteren "SecurityKeyProvider" i konfigurasjonen eller angi miljøvariabelen SSH_SK_PROVIDER, og spesifisere banen til det eksterne biblioteket libsk-libfido2.so.
Det er mulig å bygge openssh med innebygd støtte for mellomlagsbiblioteket og i dette tilfellet må du angi parameteren "SecurityKeyProvider = intern".
Som standard, når nøkkeloperasjoner utføres, kreves det også en lokal bekreftelse av brukerens fysiske tilstedeværelse, for eksempel anbefales det å berøre sensoren på tokenet, noe som gjør det vanskelig å utføre eksterne angrep på systemer med et tilkoblet token.
På den annen side, den nye versjonen av OpenSSH kunngjorde også den kommende overføringen til kategorien foreldede algoritmer som bruker SHA-1-hashing. på grunn av en økning i effektiviteten av kollisjonsangrep.
For å lette overgangen til nye algoritmer i OpenSSH i en kommende utgivelse, UpdateHostKeys-innstillingen vil være aktivert som standard, som automatisk bytter klienter til mer pålitelige algoritmer.
Det finnes også i OpenSSH 8.2, muligheten til å koble til ved hjelp av "ssh-rsa" er fortsatt igjen, men denne algoritmen fjernes fra CASignatureAlgorithms-listen, som definerer algoritmene som er gyldige for digital signering av nye sertifikater.
Tilsvarende er diffie-hellman-group14-sha1-algoritmen fjernet fra standard nøkkelutvekslingsalgoritmer.
Av de andre endringene som skiller seg ut i denne nye versjonen:
- Et inkluderingsdirektiv er lagt til i sshd_config, som gjør at innholdet i andre filer kan inkluderes i den gjeldende posisjonen til konfigurasjonsfilen.
- Direktivet PublishAuthOptions er lagt til i sshd_config, og kombinerer forskjellige alternativer knyttet til offentlig nøkkelautentisering.
- Lagt til "-O skriv-attestasjon = / sti" -alternativet til ssh-keygen, som gjør at det kan skrives ytterligere FIDO-sertifikat når du genererer nøkler.
- Evnen til å eksportere PEM for DSA- og ECDSA-nøkler er lagt til ssh-keygen.
- Lagt til en ny kjørbar fil ssh-sk-hjelper som brukes til å isolere FIDO / U2F token-tilgangsbiblioteket.
Hvordan installerer jeg OpenSSH 8.2 på Linux?
For de som er interessert i å kunne installere denne nye versjonen av OpenSSH på sine systemer, for nå kan de gjøre det laste ned kildekoden til dette og utføre samlingen på datamaskinene sine.
Dette er fordi den nye versjonen ennå ikke er inkludert i repositoriene til de viktigste Linux-distribusjonene. For å få kildekoden for OpenSSH 8.2. Du kan gjøre dette fra følgende link (i skrivende stund er pakken ennå ikke tilgjengelig på speilene, og de nevner at det kan ta noen timer til)
Gjort nedlastingen, nå skal vi pakke ut pakken med følgende kommando:
tar -xvf openssh-8.2.tar.gz
Vi går inn i den opprettede katalogen:
cd openssh-8.2
Y vi kan kompilere med følgende kommandoer:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install