Den nye versjonen av OpenSSH 8.8 er allerede utgitt og denne nye versjonen skiller seg ut for å deaktivere muligheten til å bruke digitale signaturer som standard basert på RSA-nøkler med en SHA-1-hash ("ssh-rsa").
Slutt på støtte for "ssh-rsa" signaturer skyldes en økning i effektiviteten av kollisjonsangrep med et gitt prefiks (kostnaden for å gjette kollisjonen er estimert til omtrent 50 tusen dollar). For å teste bruken av ssh-rsa på et system, kan du prøve å koble til via ssh med alternativet "-oHostKeyAlgorithms = -ssh-rsa".
I tillegg har støtte for RSA-signaturer med SHA-256 og SHA-512 (rsa-sha2-256 / 512) hashes, som støttes siden OpenSSH 7.2, ikke endret seg. I de fleste tilfeller vil det ikke kreve noen manuell handling å avslutte støtte for "ssh-rsa". av brukere, siden UpdateHostKeys -innstillingen tidligere var aktivert som standard i OpenSSH, som automatisk oversetter klienter til mer pålitelige algoritmer.
Denne versjonen deaktiverer RSA-signaturer ved bruk av SHA-1 hashing-algoritmen misligholde. Denne endringen har blitt gjort siden SHA-1 hash-algoritmen er kryptografisk ødelagt, og det er mulig å lage det valgte prefikset hasjkollisjoner av
For de fleste brukere bør denne endringen være usynlig og det er det du trenger ikke å bytte ssh-rsa-nøkler. OpenSSH er kompatibelt med RFC8332 RSA / SHA-256 /512 signaturer fra versjon 7.2 og eksisterende ssh-rsa nøkler den bruker automatisk den sterkeste algoritmen når det er mulig.
For migrering brukes protokollutvidelsen "hostkeys@openssh.com"«, Som lar serveren, etter å ha bestått godkjenningen, informere klienten om alle tilgjengelige vertsnøkler. Når du kobler til verter med veldig gamle versjoner av OpenSSH på klientsiden, kan du selektivt reversere muligheten til å bruke "ssh-rsa" signaturer ved å legge til ~ / .ssh / config
Den nye versjonen løser også et sikkerhetsproblem forårsaket av sshd, siden OpenSSH 6.2, feil initialisering av brukergruppen ved utførelse av kommandoer spesifisert i AuthorisedKeysCommand og AuthorizedPrincipalsCommand -direktivene.
Disse direktivene bør sikre at kommandoene kjøres under en annen bruker, men de arvet faktisk listen over grupper som ble brukt ved start av sshd. Potensielt tillot denne oppførselen, gitt visse systemkonfigurasjoner, at den løpende kontrolleren fikk ytterligere privilegier på systemet.
Utgivelsesnotatene de inneholder også en advarsel om å tenke å endre scp -verktøyet misligholde å bruke SFTP i stedet for den eldre SCP / RCP -protokollen. SFTP håndhever mer forutsigbare metodnavn, og globale ikke-behandlingsmønstre brukes i filnavn gjennom skallet på den andre vertens side, noe som skaper sikkerhetsproblemer.
Spesielt, når du bruker SCP og RCP, bestemmer serveren hvilke filer og kataloger som skal sendes til klienten, og klienten sjekker bare riktigheten av de returnerte objektnavnene, noe som, i fravær av riktige kontroller på klientsiden, tillater serveren for å overføre andre filnavn som er forskjellige fra de forespurte.
SFTP mangler disse problemene, men støtter ikke utvidelse av spesialruter som "~ /". For å løse denne forskjellen, i den forrige versjonen av OpenSSH, ble det foreslått en ny SFTP -utvidelse i implementeringen av SFTP -serveren for å avsløre ~ / og ~ bruker / baner.
Endelig hvis du er interessert i å vite mer om det om denne nye versjonen, kan du sjekke detaljene ved å gå til følgende lenke.
Hvordan installerer jeg OpenSSH 8.8 på Linux?
For de som er interessert i å kunne installere denne nye versjonen av OpenSSH på sine systemer, for nå kan de gjøre det laste ned kildekoden til dette og utføre samlingen på datamaskinene sine.
Dette er fordi den nye versjonen ennå ikke er inkludert i repositoriene til de viktigste Linux-distribusjonene. For å få kildekoden, kan du gjøre det fra følgende link.
Gjort nedlastingen, nå skal vi pakke ut pakken med følgende kommando:
tar -xvf openssh-8.8.tar.gz
Vi går inn i den opprettede katalogen:
cd openssh-8.8
Y vi kan kompilere med følgende kommandoer:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install