Yeni versiyonu OpenSSH 8.8 zaten yayınlandı ve bu yeni versiyon dijital imzaları kullanma yeteneğini varsayılan olarak devre dışı bırakmak için öne çıkıyor SHA-1 karma ("ssh-rsa") ile RSA anahtarlarına dayalıdır.
"ssh-rsa" imzaları için desteğin sonu çarpışma saldırılarının etkinliğindeki bir artıştan kaynaklanmaktadır belirli bir önekle (çarpışmayı tahmin etmenin maliyeti yaklaşık 50 bin dolar olarak tahmin ediliyor). Bir sistemde ssh-rsa kullanımını test etmek için "-oHostKeyAlgorithms = -ssh-rsa" seçeneği ile ssh üzerinden bağlanmayı deneyebilirsiniz.
Ayrıca OpenSSH 256'den beri desteklenen SHA-512 ve SHA-2 (rsa-sha256-512 / 7.2) hash'leri ile RSA imzaları için destek değişmedi. Çoğu durumda, "ssh-rsa" desteğinin sonlandırılması herhangi bir manuel işlem gerektirmez. Kullanıcılar tarafından, UpdateHostKeys ayarı daha önce istemcileri otomatik olarak daha güvenilir algoritmalara çeviren OpenSSH'de varsayılan olarak etkinleştirildiğinden.
Bu sürüm, SHA-1 karma algoritmasını kullanarak RSA imzalarını devre dışı bırakır varsayılan. Bu değişiklik, SHA-1 karma algoritması olduğundan beri yapılmıştır. kriptografik olarak bozuk ve seçilen önek oluşturmak mümkündür tarafından karma çarpışmalar
Çoğu kullanıcı için bu değişiklik görünmez olmalıdır ve ssh-rsa anahtarlarını değiştirmeye gerek yok. OpenSSH, RFC8332 ile uyumludur 256 sürümünden RSA / SHA-512/7.2 imzaları ve mevcut ssh-rsa anahtarları mümkün olduğunda otomatik olarak en güçlü algoritmayı kullanır.
Taşıma için "hostkeys@openssh.com" protokol uzantısı kullanılır«, Sunucunun kimlik doğrulamasını geçtikten sonra istemciyi mevcut tüm ana bilgisayar anahtarları hakkında bilgilendirmesine izin verir. İstemci tarafında OpenSSH'nin çok eski sürümlerine sahip ana bilgisayarlara bağlanırken, ~ / .ssh / config ekleyerek "ssh-rsa" imzalarını kullanma özelliğini seçerek tersine çevirebilirsiniz.
Yeni versiyon OpenSSH 6.2'den beri sshd'nin neden olduğu bir güvenlik sorununu da giderir, AuthorizedKeysCommand ve AuthorizedPrincipalsCommand yönergelerinde belirtilen komutları yürütürken kullanıcı grubunu yanlış başlatıyor.
Bu yönergeler, komutların farklı bir kullanıcı altında çalıştırılmasını sağlamalıdır, ancak aslında sshd'yi başlatırken kullanılan grupların listesini devralmışlardır. Potansiyel olarak, belirli sistem konfigürasyonları verildiğinde bu davranış, çalışan denetleyicinin sistemde ek ayrıcalıklar kazanmasına izin verdi.
sürüm notları ayrıca scp yardımcı programını değiştirme niyetiyle ilgili bir uyarı içerirler. varsayılan eski SCP / RCP protokolü yerine SFTP kullanmak. SFTP, daha öngörülebilir yöntem adlarını zorlar ve diğer ana bilgisayarın tarafındaki kabuk aracılığıyla dosya adlarında genel işleme dışı kalıplar kullanılır ve bu da güvenlik endişeleri yaratır.
Özellikle, SCP ve RCP kullanırken, istemciye hangi dosya ve dizinlerin gönderileceğine sunucu karar verir ve istemci yalnızca döndürülen nesne adlarının doğruluğunu kontrol eder; bu, istemci tarafında uygun kontrollerin olmaması durumunda, izin verir. sunucu, istenenlerden farklı olan diğer dosya adlarını iletmek için.
SFTP bu sorunlardan yoksundur, ancak "~ /" gibi özel yolların genişletilmesini desteklemez. Bu farkı gidermek için, OpenSSH'nin önceki sürümünde, ~ / ve ~ kullanıcı / yollarını ortaya çıkarmak için SFTP sunucu uygulamasında yeni bir SFTP uzantısı önerildi.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsan bu yeni sürümle ilgili ayrıntıları kontrol edebilirsiniz aşağıdaki bağlantıya giderek.
OpenSSH 8.8 Linux'a nasıl kurulur?
OpenSSH'nin bu yeni sürümünü sistemlerine yükleyebilmek isteyenler için, şimdilik yapabilirler bunun kaynak kodunu indirmek ve derlemeyi bilgisayarlarında gerçekleştirmek.
Bunun nedeni, yeni sürümün ana Linux dağıtımlarının depolarına henüz dahil edilmemiş olmasıdır. Kaynak kodunu almak için şu adresten yapabilirsiniz: sonraki bağlantı.
İndirme tamamlandı, şimdi paketi aşağıdaki komutla açacağız:
tar -xvf openssh-8.8.tar.gz
Oluşturulan dizine giriyoruz:
cd openssh-8.8
Y ile derleyebiliriz aşağıdaki komutlar:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install