Nowa wersja OpenSSH 8.8 został już wydany i ta nowa wersja wyróżnia się domyślnym wyłączeniem możliwości korzystania z podpisów cyfrowych oparty na kluczach RSA z hashem SHA-1 ("ssh-rsa").
Koniec wsparcia dla podpisów "ssh-rsa" wynika ze wzrostu skuteczności ataków kolizyjnych z podanym prefiksem (koszt odgadnięcia kolizji szacowany jest na około 50 tys. dolarów). Aby przetestować użycie ssh-rsa w systemie, możesz spróbować połączyć się przez ssh z opcją "-oHostKeyAlgorithms = -ssh-rsa".
Ponadto nie zmieniła się obsługa sygnatur RSA z hashami SHA-256 i SHA-512 (rsa-sha2-256/512), które są obsługiwane od wersji OpenSSH 7.2. W większości przypadków zakończenie obsługi „ssh-rsa” nie będzie wymagało ręcznego działania. przez użytkowników, ponieważ ustawienie UpdateHostKeys było wcześniej domyślnie włączone w OpenSSH, co automatycznie przekłada klientów na bardziej niezawodne algorytmy.
Ta wersja wyłącza podpisy RSA przy użyciu algorytmu mieszającego SHA-1 domyślny. Ta zmiana została wprowadzona, ponieważ algorytm skrótu SHA-1 jest złamane kryptograficznie i możliwe jest stworzenie wybranego prefiksu kolizje haszujące przez
Dla większości użytkowników ta zmiana powinna być niewidoczna i jest nie ma potrzeby wymiany kluczy ssh-rsa. OpenSSH jest zgodny z RFC8332 Sygnatury RSA / SHA-256/512 z wersji 7.2 i istniejące klucze ssh-rsa w miarę możliwości automatycznie użyje najsilniejszego algorytmu.
Do migracji używane jest rozszerzenie protokołu „hostkeys@openssh.com”«, co pozwala serwerowi, po przejściu uwierzytelnienia, poinformować klienta o wszystkich dostępnych kluczach hosta. Łącząc się z hostami z bardzo starymi wersjami OpenSSH po stronie klienta, można selektywnie odwrócić możliwość używania podpisów „ssh-rsa”, dodając ~ / .ssh / config
Nowa wersja rozwiązuje również problem bezpieczeństwa spowodowany przez sshd, od OpenSSH 6.2, niepoprawnie inicjuje grupę użytkowników podczas wykonywania poleceń określonych w dyrektywach AuthorizedKeysCommand i AuthorizedPrincipalsCommand.
Dyrektywy te powinny zapewniać, że polecenia są uruchamiane przez innego użytkownika, ale w rzeczywistości odziedziczyły listę grup używanych podczas uruchamiania sshd. Potencjalnie to zachowanie, biorąc pod uwagę pewne konfiguracje systemu, umożliwiło działającemu kontrolerowi uzyskanie dodatkowych uprawnień w systemie.
Informacje o wydaniu zawierają również ostrzeżenie o zamiarze zmiany narzędzia scp domyślna używać SFTP zamiast starszego protokołu SCP/RCP. Protokół SFTP wymusza bardziej przewidywalne nazwy metod, a globalne wzorce nieprzetwarzania są używane w nazwach plików przez powłokę po drugiej stronie hosta, co stwarza obawy dotyczące bezpieczeństwa.
W szczególności przy korzystaniu z SCP i RCP serwer decyduje, które pliki i katalogi wysłać do klienta, a klient sprawdza jedynie poprawność zwracanych nazw obiektów, co w przypadku braku odpowiednich sprawdzeń po stronie klienta umożliwia serwer do przesyłania innych nazw plików, które różnią się od żądanych.
SFTP nie ma tych problemów, ale nie obsługuje rozbudowy tras specjalnych, takich jak „~/”. Aby rozwiązać tę różnicę, w poprzedniej wersji OpenSSH w implementacji serwera SFTP zaproponowano nowe rozszerzenie SFTP, które udostępnia ścieżki ~ / i ~ user /.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat o nowej wersji możesz sprawdzić szczegóły przechodząc do poniższego linku.
Jak zainstalować OpenSSH 8.8 w systemie Linux?
Dla tych, którzy są zainteresowani możliwością zainstalowania tej nowej wersji OpenSSH w swoich systemach, na razie mogą to zrobić pobieranie kodu źródłowego tego i wykonanie kompilacji na swoich komputerach.
Dzieje się tak, ponieważ nowa wersja nie została jeszcze uwzględniona w repozytoriach głównych dystrybucji Linuksa. Aby uzyskać kod źródłowy, możesz to zrobić z Link.
Zakończono pobieranie, teraz rozpakujemy pakiet za pomocą następującego polecenia:
tar -xvf openssh-8.8.tar.gz
Wchodzimy do utworzonego katalogu:
cd openssh-8.8
Y możemy skompilować następujące polecenia:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install