Matapos ang apat na buwan ng pag-unlad, ang paglabas ng ang bagong bersyon ng OpenSSH 8.2, na isang bukas na pagpapatupad ng client at server upang gumana sa mga SSH 2.0 at SFTP na mga protocol. A ng mga pangunahing pagpapahusay sa paglulunsad ni OpenSSH 8.2 feu ang kakayahang gumamit ng two-factor authentication gamit ang mga aparato suportado ang U2F protocol binuo ng alyansa ng FIDO.
Pinapayagan ng U2F ang paglikha ng mga token ng hardware na maliit na nagkumpirma ng pisikal na pagkakaroon ng gumagamit, na ang pakikipag-ugnay ay sa pamamagitan ng USB, Bluetooth o NFC. Ang mga nasabing aparato ay na-promosyon bilang isang paraan ng pagpapatotoo ng dalawang-kadahilanan sa mga site, tugma na sa lahat ng pangunahing mga browser, at ginawa ng iba't ibang mga tagagawa, kasama ang Yubico, Feitian, Thetis, at Kensington.
Upang makipag-ugnay sa mga aparato na nagkukumpirma ng pagkakaroon ng gumagamit, Ang OpenSSH ay nagdagdag ng dalawang bagong uri ng mga key na "ecdsa-sk" at "ed25519-sk", na gumagamit ng mga digital signature algorithm ng ECDSA at Ed25519 kasabay ng SHA-256 hash.
Ang mga pamamaraan para sa pakikipag-ugnay sa mga token ay inilipat sa isang intermediate library, na na-load sa pamamagitan ng pagkakatulad sa silid-aklatan para sa suporta ng PKCS # 11 at isang link sa libfido2 library, na nagbibigay ng paraan upang makipag-usap sa mga token sa pamamagitan ng USB (suportado ng dalawa ang FIDO U2F / CTAP 1 at FIDO 2.0 / CTAP.)
Ang libsk-libfido2 intermediate library na inihanda ng mga OpenSSH developer sat kasama sa kernel libfido2, pati na rin ang HID driver para sa OpenBSD.
Para sa pagpapatotoo at pangunahing henerasyon, dapat mong tukuyin ang parameter na "SecurityKeyProvider" sa pagsasaayos o itakda ang variable ng kapaligiran SSH_SK_PROVIDER, na tinutukoy ang landas sa panlabas na library libsk-libfido2.so.
Posibleng bumuo ng openssh na may built-in na suporta para sa gitnang layer library at sa kasong ito kailangan mong itakda ang parameter na "SecurityKeyProvider = panloob".
Gayundin, bilang default, kapag isinagawa ang mga pangunahing pagpapatakbo, kinakailangan ng isang lokal na kumpirmasyon ng pisikal na pagkakaroon ng gumagamit, halimbawa, iminungkahi na hawakan ang sensor sa token, na nagpapahirap sa pagsasagawa ng mga malalayong atake sa mga system na may konektadong token .
Sa kabilang banda, ang bagong bersyon ng Inanunsyo din ng OpenSSH ang paparating na paglipat sa kategorya ng mga lipas na algorithm na gumagamit ng SHA-1 hashing. dahil sa isang pagtaas sa kahusayan ng mga pag-atake ng banggaan.
Upang mapadali ang paglipat sa mga bagong algorithm sa OpenSSH sa isang paparating na paglabas, ang setting ng UpdateHostKeys ay paganahin bilang default, na awtomatikong magpapalit ng mga kliyente sa mas maaasahang mga algorithm.
Maaari din itong matagpuan sa OpenSSH 8.2, ang kakayahang kumonekta gamit ang "ssh-rsa" ay natitira pa rin, ngunit ang algorithm na ito ay inalis mula sa listahan ng CASignatureAlgorithms, na tumutukoy sa mga algorithm na wasto para sa digital na pag-sign ng mga bagong sertipiko.
Katulad nito, ang diffie-hellman-group14-sha1 algorithm ay tinanggal mula sa mga default key algorithm ng palitan.
Sa iba pang mga pagbabago na tumatayo sa bagong bersyon na ito:
- Ang isang isamang direktiba ay naidagdag sa sshd_config, na nagpapahintulot sa mga nilalaman ng iba pang mga file na maisama sa kasalukuyang posisyon ng file ng pagsasaayos.
- Ang direktiba ng PublishAuthOptions ay naidagdag sa sshd_config, na pinagsasama ang iba't ibang mga pagpipilian na nauugnay sa pampublikong key na pagpapatotoo.
- Nagdagdag ng pagpipiliang "-O write-attestation = / path" sa ssh-keygen, na nagpapahintulot sa karagdagang mga sertipiko ng sertipikasyon ng FIDO na maisulat kapag bumubuo ng mga susi.
- Ang kakayahang i-export ang PEM para sa mga key ng DSA at ECDSA ay naidagdag sa ssh-keygen.
- Nagdagdag ng isang bagong maipapatupad na file ssh-sk-helper na ginamit upang ihiwalay ang library ng pag-access ng token ng FIDO / U2F.
Paano i-install ang OpenSSH 8.2 sa Linux?
Para sa mga interesadong ma-install ang bagong bersyon ng OpenSSH na ito sa kanilang mga system, sa ngayon kaya nila ito pagda-download ng source code ng ito at isinasagawa ang pagtitipon sa kanilang mga computer.
Ito ay dahil ang bagong bersyon ay hindi pa naisasama sa mga repository ng pangunahing pamamahagi ng Linux. Upang makuha ang source code para sa OpenSSH 8.2. Maaari mong gawin ito mula sa susunod na link (sa oras ng pagsulat ng package ay hindi pa magagamit sa mga salamin at nabanggit nila na maaaring tumagal ng ilang higit pang mga oras)
Tapos na ang pag-download, ngayon ay ilalabas namin ang zip sa package gamit ang sumusunod na utos:
tar -xvf openssh-8.2.tar.gz
Ipinasok namin ang nilikha na direktoryo:
cd openssh-8.2
Y maaari tayong makipagsama ang mga sumusunod na utos:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install