เวอร์ชันใหม่ของ OpenSSH 8.8 เปิดตัวแล้ว และเวอร์ชันใหม่นี้ โดดเด่นในการปิดการใช้งานโดยค่าเริ่มต้นความสามารถในการใช้ลายเซ็นดิจิทัล ตามคีย์ RSA ที่มีแฮช SHA-1 ("ssh-rsa")
สิ้นสุดการสนับสนุนลายเซ็น "ssh-rsa" เกิดจากการเพิ่มประสิทธิภาพของการโจมตีด้วยการชนกัน ด้วยคำนำหน้าที่กำหนด (ค่าใช้จ่ายในการคาดเดาการชนกันอยู่ที่ประมาณ 50 ดอลลาร์) หากต้องการทดสอบการใช้ ssh-rsa บนระบบ คุณสามารถลองเชื่อมต่อผ่าน ssh ด้วยตัวเลือก "-oHostKeyAlgorithms = -ssh-rsa"
นอกจากนี้ การรองรับลายเซ็น RSA ที่มีแฮช SHA-256 และ SHA-512 (rsa-sha2-256 / 512) ซึ่งได้รับการสนับสนุนตั้งแต่ OpenSSH 7.2 นั้นไม่มีการเปลี่ยนแปลง ในกรณีส่วนใหญ่ การสิ้นสุดการสนับสนุนสำหรับ "ssh-rsa" จะไม่ต้องดำเนินการใดๆ โดยเจ้าหน้าที่ โดยผู้ใช้ เนื่องจากการตั้งค่า UpdateHostKeys ถูกเปิดใช้งานโดยค่าเริ่มต้นใน OpenSSH ก่อนหน้านี้ โดยค่าเริ่มต้น ซึ่งจะแปลไคลเอ็นต์เป็นอัลกอริธึมที่เชื่อถือได้มากขึ้นโดยอัตโนมัติ
เวอร์ชันนี้ปิดใช้งานลายเซ็น RSA โดยใช้อัลกอริธึมการแฮช SHA-1 ค่าเริ่มต้น. การเปลี่ยนแปลงนี้เกิดขึ้นตั้งแต่อัลกอริทึมแฮช SHA-1 คือ การเข้ารหัสเสียหายและสามารถสร้างคำนำหน้าที่เลือกได้ การชนกันของแฮชโดย
สำหรับผู้ใช้ส่วนใหญ่ การเปลี่ยนแปลงนี้ควรมองไม่เห็นและมี ไม่จำเป็นต้องเปลี่ยนคีย์ ssh-rsa OpenSSH เป็นไปตาม RFC8332 ลายเซ็น RSA / SHA-256/512 จากเวอร์ชัน 7.2 และคีย์ ssh-rsa ที่มีอยู่ มันจะใช้อัลกอริธึมที่แข็งแกร่งที่สุดโดยอัตโนมัติทุกครั้งที่ทำได้
สำหรับการย้ายข้อมูล จะใช้ส่วนขยายโปรโตคอล "hostkeys@openssh.com"« ซึ่งอนุญาตให้เซิร์ฟเวอร์หลังจากผ่านการพิสูจน์ตัวตนแล้ว เพื่อแจ้งให้ลูกค้าทราบถึงโฮสต์คีย์ที่มีอยู่ทั้งหมด เมื่อเชื่อมต่อกับโฮสต์ที่มี OpenSSH เวอร์ชันเก่ามากในฝั่งไคลเอ็นต์ คุณสามารถเลือกย้อนกลับความสามารถในการใช้ลายเซ็น "ssh-rsa" โดยเพิ่ม ~ / .ssh / config
รุ่นใหม่ ยังแก้ไขปัญหาความปลอดภัยที่เกิดจาก sshd เนื่องจาก OpenSSH 6.2การเริ่มต้นกลุ่มผู้ใช้อย่างไม่ถูกต้องเมื่อดำเนินการคำสั่งที่ระบุในคำสั่ง AuthorizedKeysCommand และ AuthorizedPrincipalsCommand
ไดเร็กทีฟเหล่านี้ควรตรวจสอบให้แน่ใจว่าคำสั่งถูกรันภายใต้ผู้ใช้อื่น อาจเป็นเพราะพฤติกรรมนี้ เมื่อได้รับการกำหนดค่าระบบบางอย่าง ทำให้ตัวควบคุมที่ทำงานอยู่ได้รับสิทธิ์เพิ่มเติมในระบบ
บันทึกประจำรุ่น พวกเขายังรวมถึงคำเตือนเกี่ยวกับความตั้งใจที่จะเปลี่ยนยูทิลิตี้ scp ค่าเริ่มต้น เพื่อใช้ SFTP แทนโปรโตคอล SCP / RCP แบบเดิม SFTP บังคับใช้ชื่อเมธอดที่คาดเดาได้มากกว่า และรูปแบบการไม่ประมวลผลส่วนกลางถูกใช้ในชื่อไฟล์ผ่านเชลล์ในฝั่งโฮสต์อื่น ทำให้เกิดข้อกังวลด้านความปลอดภัย
โดยเฉพาะอย่างยิ่ง เมื่อใช้ SCP และ RCP เซิร์ฟเวอร์จะตัดสินใจว่าจะส่งไฟล์และไดเร็กทอรีใดไปยังไคลเอ็นต์ และไคลเอ็นต์จะตรวจสอบเฉพาะความถูกต้องของชื่ออ็อบเจ็กต์ที่ส่งคืนเท่านั้น ซึ่งหากไม่มีการตรวจสอบที่ถูกต้องในฝั่งไคลเอ็นต์ จะช่วยให้ เซิร์ฟเวอร์เพื่อส่งชื่อไฟล์อื่นที่แตกต่างจากที่ร้องขอ
SFTP ขาดปัญหาเหล่านี้ แต่ไม่รองรับการขยายเส้นทางพิเศษ เช่น "~ /" เพื่อแก้ไขความแตกต่างนี้ ใน OpenSSH เวอร์ชันก่อนหน้า ได้มีการเสนอส่วนขยาย SFTP ใหม่ในการใช้งานเซิร์ฟเวอร์ SFTP เพื่อแสดง ~ / และ ~ ผู้ใช้ / เส้นทาง
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม เกี่ยวกับเวอร์ชันใหม่นี้คุณสามารถตรวจสอบรายละเอียดได้ โดยไปที่ลิงค์ต่อไปนี้
จะติดตั้ง OpenSSH 8.8 บน Linux ได้อย่างไร?
สำหรับผู้ที่สนใจสามารถติดตั้ง OpenSSH เวอร์ชันใหม่นี้บนระบบของตนได้ ตอนนี้พวกเขาทำได้ ดาวน์โหลดซอร์สโค้ดของสิ่งนี้และ ดำเนินการรวบรวมบนคอมพิวเตอร์ของพวกเขา
เนื่องจากเวอร์ชันใหม่ยังไม่รวมอยู่ในที่เก็บของลีนุกซ์หลัก ในการรับซอร์สโค้ดคุณสามารถทำได้จากไฟล์ ลิงค์ต่อไป.
ดาวน์โหลดเสร็จแล้ว ตอนนี้เราจะคลายซิปแพ็คเกจด้วยคำสั่งต่อไปนี้:
tar -xvf openssh-8.8.tar.gz
เราเข้าสู่ไดเร็กทอรีที่สร้างขึ้น:
cd openssh-8.8
Y เราสามารถรวบรวมด้วย คำสั่งต่อไปนี้:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install