Nova različica OpenSSH 8.8 je že izšel in to novo različico izstopa po tem, da privzeto onemogoča uporabo digitalnih podpisov temelji na ključih RSA s hash SHA-1 ("ssh-rsa").
Konec podpore za podpise "ssh-rsa" je posledica povečanja učinkovitosti napadov trka z dano predpono (stroški ugibanja trka so ocenjeni na približno 50 tisoč dolarjev). Če želite preizkusiti uporabo ssh-rsa v sistemu, se lahko poskusite povezati prek ssh z možnostjo "-oHostKeyAlgorithms = -ssh-rsa".
Poleg tega se podpora za podpise RSA s hashi SHA-256 in SHA-512 (rsa-sha2-256 / 512), ki jih podpira OpenSSH 7.2, ni spremenila. V večini primerov za prenehanje podpore za "ssh-rsa" ne bo potrebno ročno ukrepanje. uporabnikov, saj je bila nastavitev UpdateHostKeys predhodno privzeto omogočena v OpenSSH, ki odjemalce samodejno prevede v bolj zanesljive algoritme.
Ta različica onemogoča podpise RSA z uporabo algoritma razprševanja SHA-1 privzeto. Ta sprememba je bila izvedena, ker je algoritem razpršitve SHA-1 kriptografsko zlomljeno in je mogoče ustvariti izbrano predpono hashi trkov z
Za večino uporabnikov bi morala biti ta sprememba nevidna in obstaja ključev ssh-rsa ni treba zamenjati OpenSSH je skladen z RFC8332 RSA / SHA-256 /512 podpisi iz različice 7.2 in obstoječi ključi ssh-rsa samodejno bo uporabil najmočnejši algoritem, kadar je to mogoče.
Za selitev se uporablja razširitev protokola "hostkeys@openssh.com"«, Ki strežniku po opravljeni avtentikaciji sporoči odjemalca o vseh razpoložljivih ključih gostitelja. Pri povezovanju z gostitelji z zelo starimi različicami OpenSSH na strani odjemalca lahko selektivno spremenite možnost uporabe podpisov "ssh-rsa" tako, da dodate ~ / .ssh / config
Nova različica odpravlja tudi varnostno težavo, ki jo povzroča sshd, saj OpenSSH 6.2, napačna inicializacija skupine uporabnikov pri izvajanju ukazov, določenih v direktivah AuthorizedKeysCommand in AuthorizedPrincipalsCommand.
Te direktive bi morale zagotoviti, da se ukazi izvajajo pri drugem uporabniku, v resnici pa so podedovali seznam skupin, uporabljenih pri zagonu sshd. Potencialno je to vedenje glede na določene sistemske konfiguracije omogočilo delujočemu krmilniku, da pridobi dodatne privilegije v sistemu.
Opombe ob izdaji vsebujejo tudi opozorilo o nameri spremembe pripomočka scp privzeto za uporabo SFTP namesto starejšega protokola SCP / RCP. SFTP uveljavlja bolj predvidljiva imena metod, globalni vzorci neobdelave pa se uporabljajo v imenih datotek prek lupine na drugi strani gostitelja, kar ustvarja pomisleke glede varnosti.
Pri uporabi SCP in RCP se strežnik zlasti odloči, katere datoteke in imenike bo poslal odjemalcu, odjemalec pa le preveri pravilnost vrnjenih imen predmetov, kar v odsotnosti ustreznih preverjanj na strani odjemalca omogoča strežnik za prenos drugih imen datotek, ki se razlikujejo od zahtevanih.
SFTP teh težav nima, vendar ne podpira širitve posebnih poti, kot je "~ /". Da bi odpravili to razliko, je bila v prejšnji različici OpenSSH v izvedbi strežnika SFTP predlagana nova razširitev SFTP, ki bi razkrila poti ~ / in ~ uporabnika /.
Končno če vas zanima več o tem o tej novi različici lahko preverite podrobnosti tako, da odprete naslednjo povezavo.
Kako namestiti OpenSSH 8.8 na Linux?
Za tiste, ki jih zanima namestitev te nove različice OpenSSH v svoje sisteme, za zdaj lahko to storijo nalaganje izvorne kode tega in izvajajo kompilacijo na svojih računalnikih.
To pa zato, ker nova različica še ni bila vključena v repozitoriji glavnih distribucij Linuxa. Če želite dobiti izvorno kodo, lahko to storite v naslednjo povezavo.
Končal prenos, zdaj bomo paket razpakirali z naslednjim ukazom:
tar -xvf openssh-8.8.tar.gz
Vnesemo ustvarjeni imenik:
cd openssh-8.8
Y lahko sestavimo z naslednje ukaze:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install