Etter fire måneders utvikling utgivelsen av den nye versjonen av OpenSSH 8.7 har blitt presentert der en eksperimentell dataoverføringsmodus er lagt til å scp ved hjelp av SFTP -protokollen i stedet for den tradisjonelt brukte SCP / RCP -protokollen.
SFTP bruke en mer forutsigbar metode for å håndtere navn og den bruker ikke glob shell-malbehandling på den andre vertssiden, noe som utgjør et sikkerhetsproblem, pluss '-s' flagget har blitt foreslått for å aktivere SFTP i scp, men det er planlagt å endre denne protokollen i fremtiden av misligholde.
En annen endring som skiller seg ut er i sftp-server som implementerer SFTP-utvidelser for å utvide ruter ~ / og ~ bruker /, som kreves for scp. Nytte scp har endret oppførselen ved kopiering av filer mellom to eksterne verter, som nå gjøres som standard gjennom den mellomliggende lokale verten. Denne tilnærmingen unngår overføring av unødvendige legitimasjoner til den første verten og trippel tolkning av filnavn i skallet (på kilde-, mål- og lokale systemsider), så vel som ved bruk av SFTP, lar deg bruke alle metoder for autentisering når tilgang til eksterne verter, og ikke bare ikke-interaktive metoder
Videre både ssh og sshd har flyttet både klienten og serveren til å bruke en filanalyse Av konfigurasjon strengere ved bruk av skallregler for å håndtere anførselstegn, mellomrom og rømningsfigurer.
Den nye parseren ignorerer heller ikke bestått forutsetninger, for eksempel utelatelse av argumenter i alternativer (for eksempel nå kan du ikke la DenyUsers -direktivet stå tomt), ikke lukkede anførselstegn og spesifisere flere "=" symboler.
Når du bruker DNS SSHFP -poster for å bekrefte nøkler, bekrefter ssh nå alle samsvarende poster, ikke bare de som inneholder en bestemt type digital signatur. I ssh-keygen, når du genererer en FIDO-nøkkel med -Ochallenge-alternativet, brukes det innebygde laget nå for hashing, i stedet for libfido2-verktøyene, slik at du kan bruke utfordringssekvenser større eller mindre enn 32 byte. I sshd, når du behandler miljø = "..." -direktivet i autoriserte_nøkelfiler, er den første kampen nå akseptert og grensen på 1024 miljøvariabelnavn er i kraft.
OpenSSH -utviklere også tiladvarte om overføringen til kategorien foreldede algoritmer ved bruk av SHA-1-hashes, på grunn av større effektivitet av kollisjonsangrep med et gitt prefiks (kostnadene ved valg av kollisjon er estimert til omtrent $ 50 XNUMX).
I den neste versjonen er det planlagt å deaktivere muligheten til å bruke "ssh-rsa" offentlig nøkkel digital signaturalgoritme som er nevnt i den opprinnelige RFC for SSH-protokollen og fremdeles er mye brukt i praksis.
For å teste bruken av ssh-rsa på systemer, kan du prøve å koble til via ssh med alternativet "-oHostKeyAlgorithms = -ssh-rsa". Samtidig betyr det å deaktivere "ssh-rsa" digitale signaturer som standard ikke en total avvisning av bruken av RSA-nøkler, siden SSH-protokollen i tillegg til SHA-1 tillater bruk av andre algoritmer for beregning av hash. Spesielt vil det i tillegg til "ssh-rsa" være mulig å bruke koblingene "rsa-sha2-256" (RSA / SHA256) og "rsa-sha2-512" (RSA / SHA512).
For å glatte overgangen til nye algoritmer i OpenSSH, var innstillingen UpdateHostKeys tidligere aktivert som standard, slik at du automatisk kan bytte klienter til mer pålitelige algoritmer.
Til slutt, hvis du er interessert i å vite mer om denne nye versjonen, kan du konsultere detaljene ved å gå til følgende lenke.
Hvordan installerer jeg OpenSSH 8.7 på Linux?
For de som er interessert i å kunne installere denne nye versjonen av OpenSSH på sine systemer, for nå kan de gjøre det laste ned kildekoden til dette og utføre samlingen på datamaskinene sine.
Dette er fordi den nye versjonen ennå ikke er inkludert i repositoriene til de viktigste Linux-distribusjonene. For å få kildekoden, kan du gjøre det fra følgende link.
Gjort nedlastingen, nå skal vi pakke ut pakken med følgende kommando:
tar -xvf openssh-8.7.tar.gz
Vi går inn i den opprettede katalogen:
cd openssh-8.7
Y vi kan kompilere med følgende kommandoer:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install