Nová verzia OpenSSH 8.8 už bol vydaný a táto nová verzia vyniká tým, že v predvolenom nastavení je zakázané používať digitálne podpisy založené na kľúčoch RSA s hashom SHA-1 („ssh-rsa“).
Koniec podpory podpisov „ssh-rsa“ je dôsledkom zvýšenia účinnosti kolíznych útokov s danou predponou (náklady na uhádnutie zrážky sa odhadujú na zhruba 50 tisíc dolárov). Ak chcete vyskúšať používanie ssh-rsa v systéme, môžete sa pokúsiť pripojiť cez ssh s možnosťou „-oHostKeyAlgorithms = -ssh-rsa“.
Okrem toho sa nezmenila ani podpora podpisov RSA s hashami SHA-256 a SHA-512 (rsa-sha2-256 / 512), ktoré sú podporované od OpenSSH 7.2. Ukončenie podpory pre „ssh-rsa“ si vo väčšine prípadov nevyžaduje žiadnu manuálnu akciu. používateľmi, pretože nastavenie UpdateHostKeys bolo predtým predvolene povolené v programe OpenSSH, ktorý klientov automaticky prekladá na spoľahlivejšie algoritmy.
Táto verzia deaktivuje podpisy RSA pomocou algoritmu hashovania SHA-1 predvolené. Táto zmena bola vykonaná, pretože hashovací algoritmus SHA-1 je kryptograficky zlomené a je možné vytvoriť zvolenú predponu kolízie hash od
Pre väčšinu používateľov by táto zmena mala byť neviditeľná a existuje nie je potrebné vymieňať kľúče ssh-rsa. OpenSSH je kompatibilný s RFC8332 Podpisy RSA / SHA-256 /512 od verzie 7.2 a existujúce kľúče ssh-rsa automaticky použije najsilnejší algoritmus, kedykoľvek je to možné.
Na migráciu sa používa rozšírenie protokolu „hostkeys@openssh.com“«, Čo umožňuje serveru po absolvovaní autentifikácie informovať klienta o všetkých dostupných kľúčoch hostiteľa. Pri pripájaní k hostiteľom s veľmi starými verziami OpenSSH na strane klienta môžete selektívne zvrátiť schopnosť používať podpisy „ssh-rsa“ pridaním ~ / .ssh / config
Nová verzia tiež opravuje bezpečnostný problém spôsobený sshd, pretože OpenSSH 6.2, nesprávna inicializácia skupiny užívateľov pri vykonávaní príkazov uvedených v smerniciach AuthorizedKeysCommand a AuthorizedPrincipalsCommand.
Tieto smernice by mali zaistiť, aby boli príkazy spustené pod iným užívateľom, ale v skutočnosti zdedili zoznam skupín použitých pri spustení sshd. Toto správanie vzhľadom na určité konfigurácie systému potenciálne umožnilo spustenému radiču získať ďalšie oprávnenia v systéme.
Poznámky k vydaniu tiež obsahujú upozornenie na úmysel zmeniť pomôcku scp predvolené používať SFTP namiesto staršieho protokolu SCP / RCP. SFTP presadzuje predvídateľnejšie názvy metód a v názvoch súborov sa používajú globálne vzory nespracovania prostredníctvom shellu na strane druhého hostiteľa, čo spôsobuje obavy o bezpečnosť.
Pri použití SCP a RCP server predovšetkým rozhodne, ktoré súbory a adresáre sa majú odoslať klientovi, a klient iba kontroluje správnosť vrátených názvov objektov, čo pri absencii riadnych kontrol na strane klienta umožňuje server prenášať iné názvy súborov, ktoré sa líšia od požadovaných.
SFTP nemá tieto problémy, ale nepodporuje rozšírenie špeciálnych trás ako „~ /“. Aby sa tento rozdiel vyriešil, v predchádzajúcej verzii OpenSSH bolo v implementácii servera SFTP navrhnuté nové rozšírenie SFTP, aby sa odhalili cesty ~ / a ~ užívateľ /.
Konečne ak máte záujem dozvedieť sa o tom viac o tejto novej verzii, môžete skontrolovať podrobnosti prechodom na nasledujúci odkaz.
Ako nainštalovať OpenSSH 8.8 na Linuxe?
Pre tých, ktorí majú záujem o inštaláciu tejto novej verzie OpenSSH do svojich systémov, zatiaľ to môžu robiť stiahnutie zdrojového kódu tohto a na svojich počítačoch.
Je to preto, že nová verzia ešte nebola zahrnutá do úložísk hlavných distribúcií Linuxu. Zdrojový kód môžete získať z adresy nasledujúci odkaz.
Ukončiť sťahovanie, teraz rozbalíme balíček nasledujúcim príkazom:
tar -xvf openssh-8.8.tar.gz
Zadáme vytvorený adresár:
cd openssh-8.8
Y môžeme zostaviť s nasledujúce príkazy:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install