Dört aylık geliştirmenin ardından, yeni versiyonu OpenSSH8.2, SSH 2.0 ve SFTP protokolleri üzerinde çalışmak için açık bir istemci ve sunucu uygulaması olan. Bir lansmanda önemli iyileştirmelerin OpenSSH 8.2 f tarafındaneu iki faktörlü kimlik doğrulama kullanma yeteneği cihazları kullanmak U2F protokolünü destekleyen FIDO ittifakı tarafından geliştirilmiştir.
U2F, etkileşimi USB, Bluetooth veya NFC yoluyla olan kullanıcının fiziksel varlığını doğrulamak için düşük maliyetli donanım belirteçlerinin oluşturulmasına izin verir. Bu tür cihazlar, sitelerde iki faktörlü kimlik doğrulama aracı olarak tanıtılır, halihazırda tüm büyük tarayıcılarla uyumludur ve Yubico, Feitian, Thetis ve Kensington dahil olmak üzere çeşitli üreticiler tarafından üretilir.
Kullanıcının varlığını doğrulayan cihazlarla etkileşim kurmak için, OpenSSH, "ecdsa-sk" ve "ed25519-sk" olmak üzere iki yeni anahtar türü eklediSHA-25519 hash ile birlikte ECDSA ve Ed256 dijital imza algoritmalarını kullanan.
Jetonlarla etkileşim prosedürleri bir ara kitaplığa aktarıldı, Bu, PKCS # 11 desteği için kitaplığa benzer şekilde yüklenir ve libfido2 kitaplığında, USB aracılığıyla belirteçlerle iletişim kurmak için araçlar sağlayan bir bağlantıdır (FIDO U2F / CTAP 1 ve FIDO 2.0 / CTAP protokolleri iki desteklenir).
OpenSSH geliştiricileri tarafından hazırlanan libsk-libfido2 ara kitaplığıve libfido2 çekirdeğinin yanı sıra OpenBSD için HID sürücüsünü içerir.
Kimlik doğrulama ve anahtar üretimi için, yapılandırmada "SecurityKeyProvider" parametresini belirtmeniz veya harici kitaplık libsk-libfido2.so yolunu belirterek ortam değişkenini SSH_SK_PROVIDER olarak ayarlamanız gerekir.
Orta katman kitaplığı için yerleşik destekle openssh oluşturmak mümkündür. ve bu durumda "SecurityKeyProvider = dahili" parametresini ayarlamanız gerekir.
Ayrıca, varsayılan olarak, temel işlemler gerçekleştirildiğinde, kullanıcının fiziksel varlığının yerel bir onayı gereklidir; örneğin, jeton üzerindeki sensöre dokunulması önerilir, bu da, bağlı bir jetona sahip sistemlerde uzaktan saldırılar gerçekleştirmeyi zorlaştırır. .
Öte yandan, yeni versiyonu OpenSSH ayrıca SHA-1 hashing kullanan eski algoritmalar kategorisine yapılacak aktarımı duyurdu. çarpışma saldırılarının verimliliğindeki artış nedeniyle.
Gelecek bir sürümde OpenSSH'de yeni algoritmalara geçişi kolaylaştırmak için, UpdateHostKeys ayarı varsayılan olarak etkinleştirilecektir, istemcileri otomatik olarak daha güvenilir algoritmalara geçirecek.
OpenSSH 8.2'de de bulunabilir, "ssh-rsa" kullanarak bağlanma yeteneği hala kaldı, ancak bu algoritma, yeni sertifikaları dijital olarak imzalamak için geçerli olan algoritmaları tanımlayan CASignatureAlgorithms listesinden kaldırılır.
Benzer şekilde, diffie-hellman-group14-sha1 algoritması, varsayılan anahtar değişim algoritmalarından kaldırılmıştır.
Bu yeni sürümde öne çıkan diğer değişikliklerden:
- Sshd_config'e, yapılandırma dosyasının mevcut konumuna diğer dosyaların içeriklerinin dahil edilmesine izin veren bir include yönergesi eklenmiştir.
- PublishAuthOptions yönergesi, sshd_config'e ortak anahtar kimlik doğrulaması ile ilgili farklı seçenekleri birleştiren eklenmiştir.
- Ssh-keygen'e, anahtarlar oluştururken ek FIDO sertifika sertifikaları yazmaya izin veren "-O write-attestation = / path" seçeneği eklendi.
- DSA ve ECDSA anahtarları için PEM'i dışa aktarma yeteneği, ssh-keygen'e eklendi.
- FIDO / U2F belirteç erişim kitaplığını izole etmek için kullanılan yeni bir yürütülebilir dosya ssh-sk-helper eklendi.
OpenSSH 8.2 Linux'a nasıl kurulur?
OpenSSH'nin bu yeni sürümünü sistemlerine yükleyebilmek isteyenler için, şimdilik yapabilirler bunun kaynak kodunu indirmek ve derlemeyi bilgisayarlarında gerçekleştirmek.
Bunun nedeni, yeni sürümün ana Linux dağıtımlarının depolarına henüz dahil edilmemiş olmasıdır. OpenSSH 8.2 için kaynak kodunu almak için. Bunu şu adresten yapabilirsiniz: sonraki bağlantı (paket yazılırken henüz aynalarda mevcut değildir ve birkaç saat daha sürebileceğini belirtmişlerdir)
İndirme tamamlandı, şimdi paketi aşağıdaki komutla açacağız:
tar -xvf openssh-8.2.tar.gz
Oluşturulan dizine giriyoruz:
cd openssh-8.2
Y ile derleyebiliriz aşağıdaki komutlar:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install