Versioni i ri i OpenSSH 8.8 tashmë është lëshuar dhe ky version i ri dallohet për çaktivizimin e parazgjedhur të aftësisë për të përdorur nënshkrimet dixhitale bazuar në çelësat RSA me një hash SHA-1 ("ssh-rsa").
Përfundimi i mbështetjes për nënshkrimet "ssh-rsa" është për shkak të një rritje të efektivitetit të sulmeve të përplasjes me një parashtesë të caktuar (kostoja e supozimit të përplasjes vlerësohet në rreth 50 mijë dollarë). Për të testuar përdorimin e ssh-rsa në një sistem, mund të provoni të lidheni përmes ssh me opsionin "-oHostKeyAlgorithms = -ssh-rsa".
Për më tepër, mbështetja për nënshkrimet RSA me hasha SHA-256 dhe SHA-512 (rsa-sha2-256 / 512), të cilat mbështeten që nga OpenSSH 7.2, nuk ka ndryshuar. Në shumicën e rasteve, përfundimi i mbështetjes për "ssh-rsa" nuk do të kërkojë ndonjë veprim manual. nga përdoruesit, pasi cilësimi UpdateHostKeys ishte aktivizuar më parë si parazgjedhje në OpenSSH, e cila përkthen automatikisht klientët në algoritme më të besueshme.
Ky version çaktivizon nënshkrimet RSA duke përdorur algoritmin e hash SHA-1 parazgjedhje. Ky ndryshim është bërë që kur është algoritmi hash SHA-1 i prishur në mënyrë kriptografike, dhe është e mundur të krijohet parashtesa e zgjedhur përplasjet hash nga
Për shumicën e përdoruesve, ky ndryshim duhet të jetë i padukshëm dhe ekziston nuk ka nevojë të zëvendësoni çelësat ssh-rsa. OpenSSH është në përputhje me RFC8332 Nënshkrimet RSA / SHA-256 /512 nga versioni 7.2 dhe çelësat ekzistues ssh-rsa automatikisht do të përdorë algoritmin më të fortë kur është e mundur.
Për migrimin, përdoret shtesa e protokollit "hostkeys@openssh.com"«, E cila lejon serverin, pasi të kalojë vërtetimin, të informojë klientin për të gjitha çelësat e hostit në dispozicion. Kur lidheni me hostet me versione shumë të vjetra të OpenSSH në anën e klientit, mund të ndryshoni në mënyrë selektive aftësinë për të përdorur nënshkrimet "ssh-rsa" duke shtuar ~ / .ssh / config
Versioni i ri gjithashtu rregullon një çështje sigurie të shkaktuar nga sshd, pasi OpenSSH 6.2, duke inicializuar gabimisht grupin e përdoruesve kur ekzekutoni komandat e specifikuara në direktivat AuthorizedKeysCommand dhe AuthorizedPrincipalsCommand.
Këto direktiva duhet të sigurojnë që komandat të ekzekutohen nën një përdorues tjetër, por në fakt ata trashëguan listën e grupeve të përdorura kur filluan sshd. Potencialisht, kjo sjellje, duke pasur parasysh konfigurimet e caktuara të sistemit, i lejoi kontrolluesit që funksiononte të fitonte privilegje shtesë në sistem.
Shënimet e lëshimit ato gjithashtu përfshijnë një paralajmërim në lidhje me synimin për të ndryshuar shërbimin scp parazgjedhur për të përdorur SFTP në vend të protokollit të trashëguar SCP / RCP. SFTP zbaton emra më të parashikueshëm të metodave, dhe modelet globale të pa-përpunimit përdoren në emrat e skedarëve përmes shell-it në anën e hostit tjetër, duke krijuar shqetësime për sigurinë.
Në veçanti, kur përdorni SCP dhe RCP, serveri vendos se cilat skedarë dhe drejtori t'i dërgojë klientit, dhe klienti kontrollon vetëm saktësinë e emrave të objekteve të kthyer, gjë që, në mungesë të kontrolleve të duhura në anën e klientit, lejon server për të transmetuar emra të tjerë skedarësh që ndryshojnë nga ata të kërkuar.
SFTP -së i mungojnë këto probleme, por nuk mbështet zgjerimin e rrugëve speciale siç është "~ /". Për të adresuar këtë ndryshim, në versionin e mëparshëm të OpenSSH, një shtrirje e re SFTP u propozua në zbatimin e serverit SFTP për të ekspozuar shtigjet e përdoruesit ~ / dhe ~.
Më në fund nëse jeni të interesuar të dini më shumë për të në lidhje me këtë version të ri, mund të kontrolloni detajet duke shkuar në lidhjen e mëposhtme.
Si të instaloni OpenSSH 8.8 në Linux?
Për ata që janë të interesuar të jenë në gjendje të instalojnë këtë version të ri të OpenSSH në sistemet e tyre, tani për tani ata mund ta bëjnë atë duke shkarkuar kodin burimor të kësaj dhe duke kryer përpilimin në kompjuterët e tyre.
Kjo sepse versioni i ri nuk është përfshirë ende në depot e shpërndarjeve kryesore të Linux. Për të marrë kodin burimor, mund të bëni nga lidhja tjetër.
Shkarkimi u krye, tani do të zbërthejmë paketën me komandën e mëposhtme:
tar -xvf openssh-8.8.tar.gz
Ne hyjmë në drejtorinë e krijuar:
cd openssh-8.8
Y mund të përpilojmë me komandat e mëposhtme:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install