การเปิดตัว เวอร์ชันใหม่ของ OpenSSH 8.6การใช้งานไคลเอนต์และเซิร์ฟเวอร์แบบเปิดเพื่อทำงานกับโปรโตคอล SSH 2.0 และ SFTP
สำหรับผู้ที่ไม่รู้จัก OpenSSH (Open Secure Shell) ควรทราบ นี่คือชุดแอปพลิเคชันที่อนุญาตให้มีการสื่อสารแบบเข้ารหัส ผ่านเครือข่ายโดยใช้โปรโตคอล SSH มันถูกสร้างขึ้นเพื่อเป็นทางเลือกที่เสรีและเปิดกว้างสำหรับโปรแกรม Secure Shell ซึ่งเป็นซอฟต์แวร์ที่เป็นกรรมสิทธิ์
ชุด OpenSSH ประกอบด้วยยูทิลิตี้บรรทัดคำสั่งต่อไปนี้และ daemons:
- scp: ซึ่งใช้แทน rcp
- sftp - การแทนที่ ftp สำหรับการคัดลอกไฟล์ระหว่างคอมพิวเตอร์
- ssh - การแทนที่ rlogin, rsh และ telnet เพื่ออนุญาตให้เชลล์เข้าถึงเครื่องระยะไกล
- ssh-add และ ssh-agent: ชุดยูทิลิตี้เพื่ออำนวยความสะดวกในการตรวจสอบความถูกต้องโดยเตรียมคีย์ให้พร้อมและหลีกเลี่ยงความจำเป็นในการป้อนข้อความรหัสผ่านทุกครั้งที่มีการใช้งาน
- ssh-keygen - เครื่องมือสำหรับตรวจสอบและสร้างคีย์ RSA, DSA และเส้นโค้งรูปไข่ที่ใช้สำหรับการตรวจสอบผู้ใช้และโฮสต์
- ssh-keyscan: ซึ่งจะสแกนรายชื่อโฮสต์และรวบรวมคีย์สาธารณะ
- sshd: daemon เซิร์ฟเวอร์ SSH
คุณสมบัติใหม่หลักของ OpenSSH 8.6
เวอร์ชันใหม่แก้ไขช่องโหว่ในการนำคำสั่ง LogVerbose ไปใช้ ซึ่งปรากฏในเวอร์ชันล่าสุดและช่วยให้คุณสามารถยกระดับข้อมูลการดีบักที่ทิ้งลงในรีจิสทรีรวมถึงความสามารถในการกรองตามเทมเพลตฟังก์ชันและไฟล์ที่เกี่ยวข้องกับโค้ดที่เรียกใช้งาน ด้วยสิทธิ์ที่ถูกลบออกในกระบวนการ sshd ที่แยกได้ในสภาพแวดล้อมแซนด์บ็อกซ์
ผู้โจมตีที่ได้รับการควบคุม จากกระบวนการที่ไม่มีสิทธิ์ ด้วยช่องโหว่ที่ไม่รู้จัก คุณสามารถใช้ประโยชน์จากปัญหา LogVerbose เพื่อหลีกเลี่ยงการแยกพื้นที่ทดสอบและโจมตีกระบวนการยกระดับ
ช่องโหว่ใน LogVerbose ถือว่าไม่น่าเกิดขึ้นในทางปฏิบัติเนื่องจากการตั้งค่า LogVerbose ถูกปิดใช้งานโดยค่าเริ่มต้นและโดยปกติจะใช้ในระหว่างการดีบักเท่านั้น การโจมตียังต้องค้นหาช่องโหว่ใหม่ในกระบวนการที่ไม่มีสิทธิ์
ในทางกลับกันการเปลี่ยนแปลงที่เกิดขึ้นใน OpenSSH 8.6 ไม่เกี่ยวข้องกับช่องโหว่ เราสามารถหาสิ่งนั้นได้ มีการนำส่วนขยายโปรโตคอลใหม่ "LIMIT@openssh.com" มาใช้ บนเซิร์ฟเวอร์ sftp และ sftp ซึ่งช่วยให้ไคลเอนต์ SFTP รับข้อมูลเกี่ยวกับข้อ จำกัด ของเซิร์ฟเวอร์รวมถึงขนาดแพ็กเก็ตสูงสุดและขีด จำกัด การอ่าน / เขียน
ใน sftp จะใช้นามสกุลใหม่ เพื่อเลือกขนาดบล็อกที่เหมาะสมที่สุด สำหรับการถ่ายโอนข้อมูลนอกจากนี้ยังเพิ่มการกำหนดค่า ModuliFile ใน sshd_config สำหรับ sshd ซึ่งช่วยให้คุณสามารถระบุเส้นทางไปยังไฟล์ "moduli" ที่มีกลุ่มสำหรับ DH-GEX
มีการเพิ่มตัวแปรสภาพแวดล้อม TEST_SSH_ELAPSED_TIMES ในการทดสอบหน่วยเพื่อให้สามารถแสดงเวลาที่ผ่านไปนับตั้งแต่เริ่มการทดสอบแต่ละครั้ง
พรอมต์รหัสผ่าน GNOME ถูกแบ่งออกเป็นสองตัวเลือกs หนึ่งตัวสำหรับ GNOME2 และอีกอันสำหรับ GNOME3 (มีส่วน / gnome-ssk-askpass3.c) ตัวแปร GNOME3 ใช้ gdk_seat_grab () เพื่อควบคุมแป้นพิมพ์และการจับเมาส์เพื่อปรับปรุงความเข้ากันได้ของ Wayland
และยังเพิ่ม soft-disallow ให้กับการเรียกระบบ fstatat64 ไปยังแซนด์บ็อกซ์ Linux ที่ใช้ seccomp-bpf
สุดท้ายนี้หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับเวอร์ชันใหม่นี้คุณสามารถปรึกษารายละเอียดได้ โดยไปที่ลิงค์ต่อไปนี้
จะติดตั้ง OpenSSH 8.6 บน Linux ได้อย่างไร?
สำหรับผู้ที่สนใจสามารถติดตั้ง OpenSSH เวอร์ชันใหม่นี้บนระบบของตนได้ ตอนนี้พวกเขาทำได้ ดาวน์โหลดซอร์สโค้ดของสิ่งนี้และ ดำเนินการรวบรวมบนคอมพิวเตอร์ของพวกเขา
เนื่องจากเวอร์ชันใหม่ยังไม่รวมอยู่ในที่เก็บของลีนุกซ์หลัก ในการรับซอร์สโค้ดคุณสามารถทำได้จากไฟล์ ลิงค์ต่อไป.
ดาวน์โหลดเสร็จแล้ว ตอนนี้เราจะคลายซิปแพ็คเกจด้วยคำสั่งต่อไปนี้:
tar -xvf openssh-8.6.tar.gz
เราเข้าสู่ไดเร็กทอรีที่สร้างขึ้น:
cd openssh-8.6
Y เราสามารถรวบรวมด้วย คำสั่งต่อไปนี้:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install