Pas katër muajsh zhvillimi, fillimi i versioni i ri i OpenSSH 8.2, i cili është një klient i hapur dhe implementim i serverit për të punuar në protokollet SSH 2.0 dhe SFTP. A të përmirësimeve kryesore në nisje nga OpenSSH 8.2 fbe mundësinë për të përdorur vërtetimin me dy faktorë duke përdorur pajisje që mbështesin protokollin U2F zhvilluar nga aleanca FIDO.
U2F lejon krijimin e shenjave harduerike me kosto të ulët për të konfirmuar praninë fizike të përdoruesit, ndërveprimi i të cilit është përmes USB, Bluetooth ose NFC. Pajisjet e tilla promovohen si një mjet i vërtetimit me dy faktorë në faqet e internetit, tashmë janë në përputhje me të gjithë shfletuesit kryesorë dhe prodhohen nga prodhues të ndryshëm, përfshirë Yubico, Feitian, Thetis dhe Kensington.
Për të bashkëvepruar me pajisjet që konfirmojnë praninë e përdoruesit, OpenSSH ka shtuar dy lloje të reja çelësash "ecdsa-sk" dhe "ed25519-sk", të cilët përdorin algoritmat dixhitalë të ECDSA dhe Ed25519 në kombinim me hasha SHA-256.
Procedurat për bashkëveprim me argumentet janë transferuar në një bibliotekë të ndërmjetme, i cili është i ngarkuar me analogji me bibliotekën për mbështetjen e PKCS # 11 dhe është një lidhje në bibliotekën libfido2, e cila siguron mjete për të komunikuar me argumentet përmes USB (protokollet FIDO U2F / CTAP 1 dhe FIDO 2.0 / CTAP mbështeten dy).
Biblioteka e ndërmjetme libsk-libfido2 e përgatitur nga zhvilluesit OpenSSH sdhe përfshin në kernel libfido2, si dhe shoferin HID për OpenBSD.
Për vërtetimin dhe gjenerimin e çelësit, duhet të specifikoni parametrin "SecurityKeyProvider" në konfigurim ose të vendosni ndryshoren e mjedisit SSH_SK_PROVIDER, duke specifikuar rrugën për në bibliotekën e jashtme libsk-libfido2.so.
Shtë e mundur të ndërtohet openssh me mbështetje të integruar për bibliotekën e shtresës së mesme dhe në këtë rast duhet të vendosni parametrin "SecurityKeyProvider = i brendshëm".
Gjithashtu, si parazgjedhje, kur kryhen veprimet kryesore, kërkohet një konfirmim lokal i pranisë fizike të përdoruesit, për shembull, sugjerohet të prekni sensorin në shenjë, gjë që e bën të vështirë kryerjen e sulmeve në distancë ndaj sistemeve me një shenjë të lidhur .
Nga ana tjetër, versioni i ri i OpenSSH gjithashtu njoftoi transferimin e ardhshëm në kategorinë e algoritmeve të vjetëruara që përdorin shkëputjen e SHA-1. për shkak të një rritje në efikasitetin e sulmeve të përplasjes.
Për të lehtësuar kalimin në algoritme të reja në OpenSSH në një botim të ardhshëm, cilësimi UpdateHostKeys do të aktivizohet si parazgjedhje, i cili automatikisht do të kalojë klientët në algoritme më të besueshëm.
Mund të gjendet gjithashtu në OpenSSH 8.2, aftësia për t'u lidhur duke përdorur "ssh-rsa" mbetet akoma, por ky algoritëm hiqet nga lista CASignatureAlgorithms, e cila përcakton algoritmet që janë të vlefshëm për nënshkrimin dixhital të certifikatave të reja.
Në mënyrë të ngjashme, algoritmi diffie-hellman-group14-sha1 është hequr nga algoritmet e paracaktuara të shkëmbimit të çelësave.
Nga ndryshimet e tjera që bien në sy në këtë version të ri:
- Një direktivë përfshirëse është shtuar në sshd_config, duke lejuar që përmbajtja e skedarëve të tjerë të përfshihet në pozicionin aktual të skedarit të konfigurimit.
- Direktiva PublishAuthOptions është shtuar në sshd_config, duke kombinuar mundësi të ndryshme në lidhje me vërtetimin e çelësit publik.
- Shtuar opsionin "-O shkruaj-vërtetim = / shteg" në ssh-keygen, i cili lejon të shkruhen çertifikata shtesë të çertifikimit FIDO kur gjenerohen çelësat.
- Aftësia për të eksportuar PEM për çelësat DSA dhe ECDSA është shtuar në ssh-keygen.
- Shtoi një skedar të ri të ekzekutueshëm ssh-sk-ndihmës i përdorur për të izoluar bibliotekën e hyrjes së shenjave FIDO / U2F.
Si të instaloni OpenSSH 8.2 në Linux?
Për ata që janë të interesuar të jenë në gjendje të instalojnë këtë version të ri të OpenSSH në sistemet e tyre, tani për tani ata mund ta bëjnë atë duke shkarkuar kodin burimor të kësaj dhe duke kryer përpilimin në kompjuterët e tyre.
Kjo sepse versioni i ri nuk është përfshirë ende në depot e shpërndarjeve kryesore të Linux. Për të marrë kodin burim për OpenSSH 8.2. Ju mund ta bëni këtë nga lidhja tjetër (në kohën e shkrimit të paketës nuk është ende në dispozicion në pasqyra dhe ata përmendin se mund të duhen edhe disa orë)
Shkarkimi u krye, tani do të zbërthejmë paketën me komandën e mëposhtme:
tar -xvf openssh-8.2.tar.gz
Ne hyjmë në drejtorinë e krijuar:
cd openssh-8.2
Y mund të përpilojmë me komandat e mëposhtme:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install