OpenSSH 8.8 прибывает, прощается с поддержкой ssh-rsa, исправлениями ошибок и многим другим

В новой версии OpenSSH 8.8 уже выпущен и эта новая версия выделяется отключением по умолчанию возможности использовать цифровые подписи на основе ключей RSA с хешем SHA-1 («ssh-rsa»).

Окончание поддержки подписей "ssh-rsa" связано с повышением эффективности коллизионных атак с заданной приставкой (стоимость угадывания столкновения оценивается примерно в 50 тысяч долларов). Чтобы проверить использование ssh-rsa в системе, вы можете попробовать подключиться через ssh с опцией «-oHostKeyAlgorithms = -ssh-rsa».

Кроме того, поддержка подписей RSA с хешами SHA-256 и SHA-512 (rsa-sha2-256 / 512), которые поддерживаются начиная с OpenSSH 7.2, не изменилась. В большинстве случаев прекращение поддержки ssh-rsa не требует никаких действий вручную. пользователями, поскольку параметр UpdateHostKeys ранее был включен по умолчанию в OpenSSH, что автоматически переводит клиентов на более надежные алгоритмы.

Эта версия отключает подписи RSA с использованием алгоритма хеширования SHA-1. дефолт. Это изменение было внесено, поскольку алгоритм хеширования SHA-1 криптографически взломан, и можно создать выбранный префикс хеш-коллизии

Для большинства пользователей это изменение должно быть невидимым, и есть нет необходимости заменять ключи ssh-rsa. OpenSSH соответствует RFC8332 Подписи RSA / SHA-256/512 из версии 7.2 и существующих ключей ssh-rsa он будет автоматически использовать самый надежный алгоритм, когда это возможно.

Для миграции используется расширение протокола hostkeys@openssh.com.«, Что позволяет серверу после прохождения аутентификации сообщить клиенту обо всех доступных ключах хоста. При подключении к хостам с очень старыми версиями OpenSSH на стороне клиента вы можете выборочно отменить возможность использования подписей «ssh-rsa», добавив ~ / .ssh / config

Новая версия также устраняет проблему безопасности, вызванную sshd, поскольку OpenSSH 6.2, некорректная инициализация группы пользователей при выполнении команд, указанных в директивах AuthorizedKeysCommand и AuthorizedPrincipalsCommand.

Эти директивы должны гарантировать, что команды запускаются под другим пользователем, но на самом деле они унаследовали список групп, используемых при запуске sshd. Потенциально такое поведение при определенных конфигурациях системы позволяет работающему контроллеру получить дополнительные привилегии в системе.

Примечания к выпуску они также включают предупреждение о намерении изменить утилиту scp по умолчанию использовать SFTP вместо устаревшего протокола SCP / RCP. SFTP обеспечивает более предсказуемые имена методов, а глобальные шаблоны без обработки используются в именах файлов через оболочку на стороне другого хоста, создавая проблемы с безопасностью.

В частности, при использовании SCP и RCP сервер решает, какие файлы и каталоги отправлять клиенту, а клиент проверяет только правильность возвращаемых имён объектов, что при отсутствии надлежащих проверок на стороне клиента позволяет сервер для передачи других файлов с именами, отличными от запрошенных.

SFTP лишен этих проблем, но не поддерживает расширение специальных маршрутов, таких как "~ /". Чтобы устранить это различие, в предыдущей версии OpenSSH в реализации сервера SFTP было предложено новое расширение SFTP, чтобы открывать пути ~ / и ~ user /.

В конце концов если вам интересно узнать об этом больше об этой новой версии вы можете проверить подробности перейдя по следующей ссылке.

Как установить OpenSSH 8.8 в Linux?

Для тех, кто заинтересован в возможности установить эту новую версию OpenSSH в своих системах, пока они могут это сделать скачивая исходный код этого и выполняя компиляцию на своих компьютерах.

Это связано с тем, что новая версия еще не включена в репозитории основных дистрибутивов Linux. Чтобы получить исходный код, вы можете сделать это из следующую ссылку.

Готово, Теперь мы собираемся распаковать пакет с помощью следующей команды:

tar -xvf openssh-8.8.tar.gz

Входим в созданный каталог:

cd openssh-8.8

Y мы можем скомпилировать с следующие команды:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.