Po czterech miesiącach rozwoju zaprezentowano wydanie nowej wersji OpenSSH 8.7 w którym dodano eksperymentalny tryb przesyłania danych scp przy użyciu protokołu SFTP zamiast tradycyjnie używanego protokołu SCP/RCP.
SFTP użyj bardziej przewidywalnej metody obsługi nazw i nie używa przetwarzania szablonów powłoki glob po drugiej stronie hosta, co stwarza problem z bezpieczeństwem, plus zaproponowano flagę '-s', aby włączyć SFTP w scp, ale planuje się w przyszłości zmianę na ten protokół przez domyślny.
Kolejna zmiana, która się wyróżnia, to zmiana serwer sftp, który implementuje rozszerzenia SFTP w celu rozszerzenia tras ~ / i ~ user /, które są wymagane dla scp. Pożytek scp zmienił zachowanie podczas kopiowania plików między dwoma zdalnymi hostami, co jest teraz wykonywane domyślnie za pośrednictwem pośredniego hosta lokalnego. Takie podejście pozwala uniknąć przesyłania zbędnych poświadczeń do pierwszego hosta i potrójnej interpretacji nazw plików w powłoce (po stronie źródłowej, docelowej i lokalnej systemu), a także w przypadku korzystania z SFTP, pozwala na użycie wszystkich metod uwierzytelniania, gdy dostęp do zdalnych hostów, a nie tylko nieinteraktywne metody
Ponadto, zarówno ssh, jak i sshd przeniosły zarówno klienta, jak i serwer, aby używały parsera plików Konfiguracji bardziej rygorystyczne używanie reguł powłoki do obsługi cudzysłowów, spacji i znaków ucieczki.
Nowy parser nie ignoruje również przekazanych założeń, takich jak pomijanie argumentów w opcjach (na przykład teraz nie można pozostawić dyrektywy DenyUsers pustej), niezamkniętych cudzysłowów i określania wielu symboli „=”.
Używając rekordów DNS SSHFP do weryfikacji kluczy, ssh weryfikuje teraz wszystkie pasujące rekordy, a nie tylko te, które zawierają określony typ podpisu cyfrowego. W ssh-keygen, podczas generowania klucza FIDO z opcją -Ochallenge, do haszowania używana jest teraz wbudowana warstwa, zamiast narzędzi libfido2, co pozwala na użycie sekwencji wyzwań większych lub mniejszych niż 32 bajty. W sshd, podczas przetwarzania dyrektywy environment = "..." w plikach autoryzowanych_kluczy, pierwsze dopasowanie jest teraz akceptowane i obowiązuje limit 1024 nazw zmiennych środowiskowych.
Deweloperzy OpenSSH również doostrzegł o przejściu do kategorii przestarzałych algorytmów przy użyciu skrótów SHA-1, ze względu na większą skuteczność ataków kolizyjnych z danym prefiksem (koszt wyboru kolizji szacowany jest na około 50 XNUMX USD).
W kolejnej wersji planowane jest domyślnie wyłączenie możliwości korzystania z algorytmu podpisu cyfrowego klucza publicznego „ssh-rsa”, który jest wspomniany w oryginalnym dokumencie RFC dla protokołu SSH i nadal jest szeroko stosowany w praktyce.
Aby przetestować użycie ssh-rsa na systemach, możesz spróbować połączyć się przez ssh z opcją "-oHostKeyAlgorithms = -ssh-rsa". Jednocześnie domyślne wyłączenie podpisów cyfrowych „ssh-rsa” nie oznacza całkowitego odrzucenia użycia kluczy RSA, gdyż oprócz SHA-1 protokół SSH pozwala na użycie innych algorytmów obliczania skrótów. W szczególności, oprócz „ssh-rsa”, będzie można użyć linków „rsa-sha2-256” (RSA / SHA256) i „rsa-sha2-512” (RSA / SHA512).
Aby płynnie przejść do nowych algorytmów w OpenSSH, ustawienie UpdateHostKeys było wcześniej domyślnie włączone, co pozwalało automatycznie przełączać klientów na bardziej niezawodne algorytmy.
Wreszcie, jeśli chcesz dowiedzieć się więcej o tej nowej wersji, możesz zapoznać się ze szczegółami przechodząc do poniższego linku.
Jak zainstalować OpenSSH 8.7 w systemie Linux?
Dla tych, którzy są zainteresowani możliwością zainstalowania tej nowej wersji OpenSSH w swoich systemach, na razie mogą to zrobić pobieranie kodu źródłowego tego i wykonanie kompilacji na swoich komputerach.
Dzieje się tak, ponieważ nowa wersja nie została jeszcze uwzględniona w repozytoriach głównych dystrybucji Linuksa. Aby uzyskać kod źródłowy, możesz to zrobić z Link.
Zakończono pobieranie, teraz rozpakujemy pakiet za pomocą następującego polecenia:
tar -xvf openssh-8.7.tar.gz
Wchodzimy do utworzonego katalogu:
cd openssh-8.7
Y możemy skompilować następujące polecenia:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install