Po czterech miesiącach rozwoju uruchomiono nowa wersja OpenSSH 8.2, który jest otwartą implementacją klienta i serwera do pracy z protokołami SSH 2.0 i SFTP. ZA kluczowych ulepszeń w dniu premiery przez OpenSSH 8.2 feu możliwość korzystania z uwierzytelniania dwuskładnikowego za pomocą urządzeń obsługujące protokół U2F opracowany przez sojusz FIDO.
U2F umożliwia tworzenie tanich tokenów sprzętowych potwierdzających fizyczną obecność użytkownika, którego interakcja odbywa się za pośrednictwem USB, Bluetooth lub NFC. Takie urządzenia są promowane w witrynach jako sposób uwierzytelniania dwuskładnikowego, są już zgodne ze wszystkimi głównymi przeglądarkami i są produkowane przez różnych producentów, w tym Yubico, Feitian, Thetis i Kensington.
Aby współpracować z urządzeniami potwierdzającymi obecność użytkownika, OpenSSH dodał dwa nowe typy kluczy „ecdsa-sk” i „ed25519-sk”, które używają algorytmów podpisu cyfrowego ECDSA i Ed25519 w połączeniu z hashem SHA-256.
Procedury interakcji z tokenami zostały przeniesione do biblioteki pośredniej, który jest ładowany analogicznie do biblioteki obsługującej PKCS # 11 i jest łączem do biblioteki libfido2, która zapewnia środki do komunikacji z tokenami przez USB (obsługiwane są dwa protokoły FIDO U2F / CTAP 1 i FIDO 2.0 / CTAP).
Biblioteka pośrednia libsk-libfido2 przygotowana przez programistów OpenSSHi zawiera w jądrze libfido2, a także sterownik HID dla OpenBSD.
W celu uwierzytelnienia i wygenerowania klucza należy określić parametr „SecurityKeyProvider” w konfiguracji lub ustawić zmienną środowiskową SSH_SK_PROVIDER, określając ścieżkę do biblioteki zewnętrznej libsk-libfido2.so.
Możliwe jest zbudowanie openssh z wbudowaną obsługą biblioteki warstwy środkowej iw tym przypadku musisz ustawić parametr „SecurityKeyProvider = internal”.
Również domyślnie przy wykonywaniu kluczowych operacji wymagane jest lokalne potwierdzenie fizycznej obecności użytkownika, np. Sugerowane jest dotknięcie sensora na tokenie, co utrudnia zdalne ataki na systemy z podłączonym znak.
Z drugiej strony nowa wersja OpenSSH poinformował również o zbliżającym się przeniesieniu do kategorii przestarzałych algorytmów wykorzystujących hashowanie SHA-1. ze względu na wzrost skuteczności ataków kolizyjnych.
Aby ułatwić przejście na nowe algorytmy w OpenSSH w nadchodzącej wersji, ustawienie UpdateHostKeys będzie domyślnie włączone, który automatycznie przełączy klientów na bardziej niezawodne algorytmy.
Można go również znaleźć w OpenSSH 8.2, nadal istnieje możliwość łączenia się za pomocą „ssh-rsa”, ale ten algorytm został usunięty z listy CASignatureAlgorithms, która definiuje algorytmy, które są ważne do cyfrowego podpisywania nowych certyfikatów.
Podobnie algorytm diffie-hellman-group14-sha1 został usunięty z domyślnych algorytmów wymiany kluczy.
Spośród innych zmian, które wyróżniają się w nowej wersji:
- Do sshd_config dodano dyrektywę include, która pozwala na umieszczenie zawartości innych plików w bieżącej pozycji pliku konfiguracyjnego.
- Dyrektywa PublishAuthOptions została dodana do sshd_config, łącząc różne opcje związane z uwierzytelnianiem za pomocą klucza publicznego.
- Dodano opcję „-O write-attestation = / path” do ssh-keygen, która umożliwia zapisywanie dodatkowych certyfikatów certyfikacji FIDO podczas generowania kluczy.
- Możliwość eksportowania PEM dla kluczy DSA i ECDSA została dodana do ssh-keygen.
- Dodano nowy plik wykonywalny ssh-sk-helper używany do izolowania biblioteki dostępu do tokenów FIDO / U2F.
Jak zainstalować OpenSSH 8.2 w systemie Linux?
Dla tych, którzy są zainteresowani możliwością zainstalowania tej nowej wersji OpenSSH w swoich systemach, na razie mogą to zrobić pobieranie kodu źródłowego tego i wykonanie kompilacji na swoich komputerach.
Dzieje się tak, ponieważ nowa wersja nie została jeszcze uwzględniona w repozytoriach głównych dystrybucji Linuksa. Aby uzyskać kod źródłowy dla OpenSSH 8.2. Możesz to zrobić z Link (w momencie pisania paczka nie jest jeszcze dostępna na serwerach lustrzanych i wspominają, że może to zająć jeszcze kilka godzin)
Zakończono pobieranie, teraz rozpakujemy pakiet za pomocą następującego polecenia:
tar -xvf openssh-8.2.tar.gz
Wchodzimy do utworzonego katalogu:
cd openssh-8.2
Y możemy skompilować następujące polecenia:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install