После четырех месяцев разработки представлен выпуск новой версии OpenSSH 8.7 в котором добавлен экспериментальный режим передачи данных к scp с использованием протокола SFTP вместо традиционно используемого протокола SCP / RCP.
SFTP использовать более предсказуемый метод обработки имен и он не использует обработку шаблона оболочки glob на другой стороне хоста, что вызывает проблему безопасности, плюс был предложен флаг '-s' для включения SFTP в scp, но в будущем планируется изменить этот протокол на дефолт.
Еще одно изменение, которое выделяется, - это sftp-сервер, реализующий расширения SFTP для расширения маршрутов ~ / и ~ user /, которые необходимы для scp. Утилита scp изменил поведение при копировании файлов между двумя удаленными хостами, что теперь выполняется по умолчанию через промежуточный локальный хост. Такой подход позволяет избежать передачи ненужных учетных данных на первый хост и тройной интерпретации имен файлов в оболочке (на исходной, целевой и локальной сторонах системы), а также при использовании SFTP позволяет использовать все методы аутентификации, когда доступ к удаленным хостам, а не только к неинтерактивным методам
Кроме того, и ssh, и sshd переместили и клиент, и сервер для использования парсера файлов Конфигурации более строгое использование правил оболочки для обработки кавычек, пробелов и escape-символов.
Новый синтаксический анализатор также не игнорирует переданные предположения, такие как пропуск аргументов в параметрах (например, теперь вы не можете оставить директиву DenyUsers пустой), незакрытые кавычки и указание нескольких символов «=».
При использовании записей DNS SSHFP для проверки ключей ssh теперь проверяет все совпадающие записи, а не только те, которые содержат определенный тип цифровой подписи. В ssh-keygen при генерации ключа FIDO с параметром -Ochallenge теперь используется встроенный слой для хеширования вместо инструментов libfido2, что позволяет использовать последовательности запросов размером больше или меньше 32 байтов. В sshd при обработке директивы environment = "..." в файлах authorized_keys первое совпадение теперь принимается и действует ограничение в 1024 имен переменных среды.
Разработчики OpenSSH такжепредупрежден о переводе в разряд устаревших алгоритмов с использованием хэшей SHA-1, что связано с большей эффективностью коллизионных атак с заданным префиксом (стоимость выбора коллизии оценивается примерно в 50 XNUMX долларов).
В следующем выпуске планируется по умолчанию отключить возможность использования алгоритма цифровой подписи с открытым ключом «ssh-rsa», который упоминается в исходном RFC для протокола SSH и до сих пор широко используется на практике.
Чтобы проверить использование ssh-rsa в системах, вы можете попробовать подключиться через ssh с опцией «-oHostKeyAlgorithms = -ssh-rsa». В то же время отключение цифровых подписей «ssh-rsa» по умолчанию не означает полного отказа от использования ключей RSA, поскольку протокол SSH помимо SHA-1 позволяет использовать другие алгоритмы вычисления хэшей. В частности, помимо «ssh-rsa» можно будет использовать ссылки «rsa-sha2-256» (RSA / SHA256) и «rsa-sha2-512» (RSA / SHA512).
Чтобы сгладить переход к новым алгоритмам в OpenSSH, параметр UpdateHostKeys ранее был включен по умолчанию, что позволяет автоматически переключать клиентов на более надежные алгоритмы.
Наконец, если вам интересно узнать больше об этой новой версии, вы можете ознакомиться с подробностями перейдя по следующей ссылке.
Как установить OpenSSH 8.7 в Linux?
Для тех, кто заинтересован в возможности установить эту новую версию OpenSSH в своих системах, пока они могут это сделать скачивая исходный код этого и выполняя компиляцию на своих компьютерах.
Это связано с тем, что новая версия еще не включена в репозитории основных дистрибутивов Linux. Чтобы получить исходный код, вы можете сделать это из следующую ссылку.
Готово, Теперь мы собираемся распаковать пакет с помощью следующей команды:
tar -xvf openssh-8.7.tar.gz
Входим в созданный каталог:
cd openssh-8.7
Y мы можем скомпилировать с следующие команды:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install