Після чотирьох місяців розвитку презентовано випуск нової версії OpenSSH 8.7 в якому додано експериментальний режим передачі даних scp за допомогою протоколу SFTP замість традиційно використовуваного протоколу SCP / RCP.
SFTP використовувати більш передбачуваний метод обробки імен і він не використовує обробку шаблонів оболонки glob на іншій стороні хосту, що викликає проблему безпеки, а також запропоновано прапор '-s' для включення SFTP у scp, але в майбутньому планується змінити цей протокол за замовчуванням.
Ще одна зміна, яка виділяється, полягає в sftp-сервер, який реалізує розширення SFTP для розширення маршрутів ~ / та ~ user /, необхідні для scp. Утиліта scp змінив поведінку під час копіювання файлів між двома віддаленими хостами, що зараз робиться за замовчуванням через проміжний локальний хост. Такий підхід дозволяє уникнути передачі непотрібних облікових даних першому хосту та потрійної інтерпретації імен файлів в оболонці (на стороні джерела, цілі та локальної системи), а також при використанні SFTP дозволяє використовувати всі способи автентифікації, коли доступ до віддалених хостів, а не лише до неінтерактивних методів
Крім того, як ssh, так і sshd перемістили і клієнта, і сервер до використання синтаксичного аналізатора файлів Конфігурації більш суворі правила використання оболонки обробляти лапки, пробіли та символи виходу.
Новий синтаксичний аналізатор також не ігнорує прийняті припущення, такі як пропуск аргументів у параметрах (наприклад, тепер ви не можете залишити директиву DenyUsers порожньою), незакриті лапки та вказівку кількох символів "=".
При використанні записів DNS SSHFP для перевірки ключів, ssh тепер перевіряє всі відповідні записи, а не тільки ті, які містять певний тип цифрового підпису. У ssh-keygen під час створення ключа FIDO з опцією -Ochallenge вбудований шар тепер використовується для хешування замість інструментів libfido2, що дозволяє використовувати послідовності викликів, більші або менші за 32 байти. У sshd під час обробки директиви середовище = "..." у файлах авторизованих ключів перша відповідність прийнята, і діє обмеження з 1024 імен змінних середовища.
Розробники OpenSSH також можутьпопередив про перехід до категорії застарілих алгоритмів використання хешів SHA-1, завдяки більшій ефективності атак зіткнення із заданим префіксом (вартість вибору зіткнення оцінюється приблизно у 50 XNUMX доларів США).
У наступному випуску планується відключити за замовчуванням можливість використання алгоритму цифрового підпису відкритого ключа "ssh-rsa", який згадується в оригіналі RFC для протоколу SSH і досі широко використовується на практиці.
Щоб перевірити використання ssh-rsa в системах, ви можете спробувати підключитися через ssh з опцією "-oHostKeyAlgorithms = -ssh-rsa". У той же час вимкнення цифрових підписів "ssh-rsa" за замовчуванням не означає повне відмову від використання ключів RSA, оскільки окрім SHA-1, протокол SSH дозволяє використовувати інші алгоритми для обчислення хешів. Зокрема, крім "ssh-rsa", можна буде використовувати посилання "rsa-sha2-256" (RSA / SHA256) та "rsa-sha2-512" (RSA / SHA512).
Щоб згладити перехід на нові алгоритми в OpenSSH, раніше за замовчуванням було включено параметр UpdateHostKeys, що дозволяє автоматично перемикати клієнтів на більш надійні алгоритми.
Нарешті, якщо ви хочете дізнатись більше про цю нову версію, ви можете переглянути деталі перейшовши за таким посиланням.
Як встановити OpenSSH 8.7 на Linux?
Для тих, хто зацікавлений у можливості встановити цю нову версію OpenSSH на свої системи, наразі вони можуть це зробити завантаження вихідного коду цього і виконуючи компіляцію на своїх комп’ютерах.
Це пов’язано з тим, що нова версія ще не включена до сховищ основних дистрибутивів Linux. Щоб отримати вихідний код, ви можете зробити це за допомогою наступна посилання.
Закінчило завантаження, тепер ми збираємося розпакувати пакет наступною командою:
tar -xvf openssh-8.7.tar.gz
Вводимо створений каталог:
cd openssh-8.7
Y ми можемо скомпілювати з наступні команди:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install