Po štyroch mesiacoch vývoja, uvedenie produktu na trh nová verzia OpenSSH 8.2, čo je otvorená implementácia klienta a servera, ktorá pracuje na protokoloch SSH 2.0 a SFTP. A kľúčových vylepšení pri štarte používateľom OpenSSH 8.2 feu možnosť používať dvojfaktorovú autentifikáciu pomocou zariadení ktoré podporujú protokol U2F vyvinuté alianciou FIDO.
U2F umožňuje vytváranie lacných hardvérových tokenov na potvrdenie fyzickej prítomnosti používateľa, ktorého interakcia prebieha cez USB, Bluetooth alebo NFC. Takéto zariadenia sú na stránkach propagované ako prostriedok dvojfaktorovej autentifikácie, sú už kompatibilné so všetkými hlavnými prehľadávačmi a vyrábajú ich rôzni výrobcovia vrátane spoločností Yubico, Feitian, Thetis a Kensington.
Ak chcete pracovať so zariadeniami, ktoré potvrdzujú prítomnosť používateľa, OpenSSH pridal dva nové typy kľúčov „ecdsa-sk“ a „ed25519-sk“, ktoré používajú algoritmy digitálneho podpisu ECDSA a Ed25519 v kombinácii s hashom SHA-256.
Postupy pre interakciu s tokenmi boli prenesené do medziknižnice, ktorý je načítaný analogicky s knižnicou pre podporu PKCS # 11 a je odkazom na knižnicu libfido2, ktorá poskytuje prostriedky na komunikáciu s tokenmi cez USB (protokoly FIDO U2F / CTAP 1 a FIDO 2.0 / CTAP sú podporované dva).
Medziknižnica libsk-libfido2 pripravená vývojármi OpenSSH sa obsahuje v jadre libfido2, ako aj ovládač HID pre OpenBSD.
Pre autentifikáciu a generovanie kľúčov musíte v konfigurácii zadať parameter "SecurityKeyProvider" alebo nastaviť premennú prostredia SSH_SK_PROVIDER s uvedením cesty k externej knižnici libsk-libfido2.so.
Je možné vytvoriť openssh so zabudovanou podporou pre strednú vrstvu knižnice a v takom prípade musíte nastaviť parameter "SecurityKeyProvider = internal".
Štandardne sa tiež pri vykonávaní kľúčových operácií vyžaduje miestne potvrdenie fyzickej prítomnosti používateľa, napríklad sa odporúča dotknúť sa senzora na tokene, čo sťažuje vykonávanie vzdialených útokov na systémy s pripojeným tokenom. .
Na druhej strane nová verzia OpenSSH tiež ohlásil nadchádzajúci presun do kategórie zastaraných algoritmov, ktoré používajú hashovanie SHA-1. z dôvodu zvýšenia účinnosti kolíznych útokov.
Na uľahčenie prechodu na nové algoritmy v OpenSSH v nadchádzajúcom vydaní, nastavenie UpdateHostKeys bude predvolene povolené, ktorá automaticky prepne klientov na spoľahlivejšie algoritmy.
Nachádza sa tiež v OpenSSH 8.2, možnosť pripojiť sa pomocou „ssh-rsa“ je stále ponechaná, ale tento algoritmus je odstránený zo zoznamu CASignatureAlgorithms, ktorý definuje algoritmy platné pre digitálne podpisovanie nových certifikátov.
Podobne bol z predvolených algoritmov výmeny kľúčov odstránený algoritmus diffie-hellman-group14-sha1.
Z ďalších zmien, ktoré vynikajú v tejto novej verzii:
- Do sshd_config bola pridaná smernica zahrnutia, ktorá umožňuje zahrnúť obsah ďalších súborov na aktuálnu pozíciu konfiguračného súboru.
- Do sshd_config bola pridaná smernica PublishAuthOptions, ktorá kombinuje rôzne možnosti týkajúce sa autentifikácie pomocou verejného kľúča.
- Do ssh-keygen bola pridaná možnosť „-O write-attestation = / path“, ktorá umožňuje pri generovaní kľúčov zapisovať ďalšie certifikáty FIDO.
- Do ssh-keygen bola pridaná možnosť exportovať PEM pre kľúče DSA a ECDSA.
- Bol pridaný nový spustiteľný súbor ssh-sk-helper používaný na izoláciu knižnice prístupu k tokenom FIDO / U2F.
Ako nainštalovať OpenSSH 8.2 na Linuxe?
Pre tých, ktorí majú záujem o inštaláciu tejto novej verzie OpenSSH do svojich systémov, zatiaľ to môžu robiť stiahnutie zdrojového kódu tohto a na svojich počítačoch.
Je to preto, že nová verzia ešte nebola zahrnutá do úložísk hlavných distribúcií Linuxu. Získanie zdrojového kódu pre OpenSSH 8.2. Môžete to urobiť z nasledujúci odkaz (v čase písania tohto článku ešte balík nie je k dispozícii na zrkadlách a uvádzajú, že to môže trvať ešte niekoľko hodín)
Ukončiť sťahovanie, teraz rozbalíme balíček nasledujúcim príkazom:
tar -xvf openssh-8.2.tar.gz
Zadáme vytvorený adresár:
cd openssh-8.2
Y môžeme zostaviť s nasledujúce príkazy:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install