Noua versiune de OpenSSH 8.8 a fost deja lansat și această nouă versiune se remarcă prin dezactivarea implicită a capacității de a utiliza semnături digitale bazat pe chei RSA cu un hash SHA-1 („ssh-rsa”).
Sfârșitul suportului pentru semnăturile „ssh-rsa” se datorează creșterii eficacității atacurilor de coliziune cu un prefix dat (costul ghicirii coliziunii este estimat la aproximativ 50 de mii de dolari). Pentru a testa utilizarea ssh-rsa pe un sistem, puteți încerca să vă conectați prin ssh cu opțiunea „-oHostKeyAlgorithms = -ssh-rsa”.
În plus, suportul pentru semnăturile RSA cu hashes SHA-256 și SHA-512 (rsa-sha2-256 / 512), care sunt acceptate de la OpenSSH 7.2, nu s-a modificat. În majoritatea cazurilor, încheierea suportului pentru „ssh-rsa” nu va necesita nicio acțiune manuală. de către utilizatori, deoarece setarea UpdateHostKeys a fost activată anterior în mod implicit în OpenSSH, care traduce automat clienții în algoritmi mai fiabili.
Această versiune dezactivează semnăturile RSA utilizând algoritmul de hash SHA-1 Mod implicit. Această modificare a fost făcută deoarece algoritmul hash SHA-1 este rupt criptografic și este posibil să creați prefixul ales coliziuni de hash de
Pentru majoritatea utilizatorilor, această modificare ar trebui să fie invizibilă și există nu este nevoie să înlocuiți cheile ssh-rsa. OpenSSH este conform cu RFC8332 Semnături RSA / SHA-256/512 din versiunea 7.2 și chei ssh-rsa existente va folosi automat cel mai puternic algoritm ori de câte ori este posibil.
Pentru migrare, se folosește extensia de protocol „hostkeys@openssh.com”«, Care permite serverului, după trecerea autentificării, să informeze clientul cu privire la toate cheile de gazdă disponibile. Când vă conectați la gazde cu versiuni foarte vechi de OpenSSH pe partea clientului, puteți inversa selectiv capacitatea de a utiliza semnături „ssh-rsa” adăugând ~ / .ssh / config
Noua versiune remediază, de asemenea, o problemă de securitate cauzată de sshd, deoarece OpenSSH 6.2, inițializarea incorectă a grupului de utilizatori la executarea comenzilor specificate în directivele AuthorizedKeysCommand și AuthorizedPrincipalsCommand.
Aceste directive ar trebui să se asigure că comenzile sunt executate sub un alt utilizator, dar de fapt au moștenit lista grupurilor utilizate la pornirea sshd. Potențial, acest comportament, având în vedere anumite configurații de sistem, a permis controlerului care rulează să obțină privilegii suplimentare pe sistem.
Notele de lansare acestea includ, de asemenea, un avertisment cu privire la intenția de a schimba utilitarul scp Mod implicit să utilizați SFTP în locul protocolului SCP / RCP vechi. SFTP impune nume de metode mai previzibile, iar modelele globale de neprocesare sunt utilizate în numele fișierelor prin shell din partea cealaltă gazdă, creând probleme de securitate.
În special, atunci când se utilizează SCP și RCP, serverul decide ce fișiere și directoare să trimită către client, iar clientul verifică doar corectitudinea numelor obiectelor returnate, ceea ce, în absența verificărilor corespunzătoare din partea clientului, permite server pentru a transmite alte nume de fișiere care diferă de cele solicitate.
SFTP nu are aceste probleme, dar nu acceptă extinderea rutelor speciale precum „~ /”. Pentru a rezolva această diferență, în versiunea anterioară a OpenSSH, o nouă extensie SFTP a fost propusă în implementarea serverului SFTP pentru a expune căile ~ / și ~ ale utilizatorului /.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta despre această nouă versiune, puteți verifica detaliile accesând următorul link.
Cum se instalează OpenSSH 8.8 pe Linux?
Pentru cei care sunt interesați să poată instala această nouă versiune de OpenSSH pe sistemele lor, deocamdată o pot face descărcând codul sursă al acestuia și efectuând compilarea pe computerele lor.
Acest lucru se datorează faptului că noua versiune nu a fost încă inclusă în depozitele principalelor distribuții Linux. Pentru a obține codul sursă, puteți face din următorul link.
Descărcarea a fost efectuată, acum vom dezarhiva pachetul cu următoarea comandă:
tar -xvf openssh-8.8.tar.gz
Intrăm în directorul creat:
cd openssh-8.8
Y putem compila cu următoarele comenzi:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install