Após quatro meses de desenvolvimento o lançamento da nova versão do OpenSSH 8.7 foi apresentado em que um modo de transferência de dados experimental foi adicionado para scp usando o protocolo SFTP em vez do protocolo SCP / RCP tradicionalmente usado.
SFTP use um método mais previsível de tratamento de nomes e não usa o processamento do modelo glob shell no outro lado do host, o que levanta um problema de segurança, além do sinalizador '-s' foi proposto para habilitar SFTP em scp, mas está planejado para mudar no futuro para este protocolo por predefinição.
Outra mudança que se destaca está em sftp-server que implementa extensões SFTP para expandir as rotas ~ / e ~ user /, que são necessários para scp. Utilitário scp mudou o comportamento ao copiar arquivos entre dois hosts remotos, que agora é feito por padrão por meio do host local intermediário. Esta abordagem evita a transferência de credenciais desnecessárias para o primeiro host e a interpretação tripla de nomes de arquivos no shell (nos lados de origem, destino e sistema local), bem como ao usar SFTP, permite que você use todos os métodos de autenticação quando acessando hosts remotos, e não apenas métodos não interativos
Além disso, ambos ssh e sshd moveram o cliente e o servidor para usar um analisador de arquivos De configuração mais estrito usando regras de shell para lidar com aspas, espaços e caracteres de escape.
O novo analisador também não ignora suposições passadas, como omitir argumentos em opções (por exemplo, agora você não pode deixar a diretiva DenyUsers vazia), aspas não fechadas e especificar vários símbolos "=".
Ao usar registros SSHFP de DNS para verificar as chaves, o ssh agora verifica todos os registros correspondentes, não apenas aqueles que contêm um tipo específico de assinatura digital. No ssh-keygen, ao gerar uma chave FIDO com a opção -Ochallenge, a camada embutida agora é usada para hash, em vez das ferramentas libfido2, permitindo que você use sequências de desafio maiores ou menores do que 32 bytes. No sshd, ao processar a diretiva environment = "..." em arquivos authorized_keys, a primeira correspondência agora é aceita e o limite de 1024 nomes de variáveis de ambiente está em vigor.
Desenvolvedores OpenSSH também paraalertou sobre a transferência para a categoria de algoritmos obsoletos usando hashes SHA-1, devido à maior eficiência dos ataques de colisão com um determinado prefixo (o custo da seleção de colisão é estimado em cerca de US $ 50).
Na próxima versão, está planejado desabilitar por padrão a capacidade de usar o algoritmo de assinatura digital de chave pública "ssh-rsa", que é mencionado na RFC original para o protocolo SSH e ainda é amplamente usado na prática.
Para testar o uso de ssh-rsa em sistemas, você pode tentar se conectar via ssh com a opção "-oHostKeyAlgorithms = -ssh-rsa". Ao mesmo tempo, desabilitar as assinaturas digitais "ssh-rsa" por padrão não significa uma rejeição total do uso de chaves RSA, pois além do SHA-1, o protocolo SSH permite o uso de outros algoritmos para cálculo de hashes. Em particular, além de "ssh-rsa", será possível utilizar os links "rsa-sha2-256" (RSA / SHA256) e "rsa-sha2-512" (RSA / SHA512).
Para facilitar a transição para novos algoritmos no OpenSSH, a configuração UpdateHostKeys foi habilitada anteriormente por padrão, permitindo que você alterne automaticamente os clientes para algoritmos mais confiáveis.
Por fim, se você tiver interesse em saber mais sobre esta nova versão, pode consultar os detalhes indo para o seguinte link.
Como instalar o OpenSSH 8.7 no Linux?
Para aqueles que estão interessados em poder instalar esta nova versão do OpenSSH em seus sistemas, por enquanto eles podem fazer isso baixando o código-fonte deste e realizando a compilação em seus computadores.
Isso ocorre porque a nova versão ainda não foi incluída nos repositórios das principais distribuições do Linux. Para obter o código-fonte, você pode fazer a partir do seguinte link.
Feito o download, agora vamos descompactar o pacote com o seguinte comando:
tar -xvf openssh-8.7.tar.gz
Entramos no diretório criado:
cd openssh-8.7
Y podemos compilar com os seguintes comandos:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install