Нова версія OpenSSH 8.8 вже вийшов і ця нова версія виділяється тим, що за замовчуванням відключає можливість використання цифрових підписів на основі ключів RSA з хешем SHA-1 ("ssh-rsa").
Припинення підтримки підписів "ssh-rsa" обумовлено підвищенням ефективності зіткнення з заданою префіксом (вартість вгадування зіткнення оцінюється приблизно в 50 тисяч доларів). Щоб перевірити використання ssh-rsa в системі, ви можете спробувати підключитися через ssh з опцією "-oHostKeyAlgorithms = -ssh-rsa".
Крім того, підтримка підписів RSA з хешами SHA-256 та SHA-512 (rsa-sha2-256 / 512), які підтримуються з OpenSSH 7.2, не змінилася. У більшості випадків припинення підтримки "ssh-rsa" не вимагатиме жодних дій вручну. користувачами, оскільки параметр UpdateHostKeys раніше був увімкнений за замовчуванням у OpenSSH, що автоматично переводить клієнтів на більш надійні алгоритми.
Ця версія вимикає підписи RSA за допомогою алгоритму хешування SHA-1 за замовчуванням. Ця зміна була внесена, оскільки є алгоритм хешування SHA-1 криптографічно зламаний, і можна створити обраний префікс хеш -зіткнення за
Для більшості користувачів ця зміна має бути непомітною, і вона є немає необхідності замінювати ключі ssh-rsa. OpenSSH сумісний з RFC8332 Підписи RSA / SHA-256 /512 з версії 7.2 та існуючі ключі ssh-rsa він автоматично буде використовувати найсильніший алгоритм, коли це можливо.
Для міграції використовується розширення протоколу "hostkeys@openssh.com"«, Що дозволяє серверу після проходження автентифікації повідомляти клієнта про всі доступні ключі хоста. Під час підключення до хостів із дуже старими версіями OpenSSH на стороні клієнта можна вибірково скасувати можливість використання підписів "ssh-rsa", додавши ~ / .ssh / config
Нова версія також усуває проблему безпеки, викликану sshd, оскільки OpenSSH 6.2, неправильна ініціалізація групи користувачів під час виконання команд, зазначених у директивах AuthorizedKeysCommand та AuthorizedPrincipalsCommand.
Ці директиви повинні гарантувати, що команди виконуються під іншим користувачем, але насправді вони успадкували список груп, що використовуються при запуску sshd. Потенційно, така поведінка, враховуючи певні системні конфігурації, дозволила запущеному контролеру отримати додаткові привілеї в системі.
Примітки до випуску вони також містять попередження про намір змінити утиліту scp за замовчуванням використовувати SFTP замість застарілого протоколу SCP / RCP. SFTP застосовує більш передбачувані назви методів, а глобальні шаблони необроблення використовуються в іменах файлів через оболонку на стороні іншого хоста, створюючи проблеми безпеки.
Зокрема, при використанні SCP та RCP сервер вирішує, які файли та каталоги надсилати клієнту, а клієнт лише перевіряє правильність повернутих назв об’єктів, що за відсутності належних перевірок на стороні клієнта дозволяє сервер для передачі інших назв файлів, які відрізняються від запитуваних.
SFTP не має цих проблем, але не підтримує розширення спеціальних маршрутів, таких як "~ /". Щоб усунути цю різницю, у попередній версії OpenSSH було запропоновано нове розширення SFTP у реалізації сервера SFTP, щоб відкрити шляхи ~ / та ~ користувача /.
В кінці кінців якщо вам цікаво дізнатись більше про це про цю нову версію, ви можете перевірити деталі перейшовши за таким посиланням.
Як встановити OpenSSH 8.8 на Linux?
Для тих, хто зацікавлений у можливості встановити цю нову версію OpenSSH на свої системи, наразі вони можуть це зробити завантаження вихідного коду цього і виконуючи компіляцію на своїх комп’ютерах.
Це пов’язано з тим, що нова версія ще не включена до сховищ основних дистрибутивів Linux. Щоб отримати вихідний код, ви можете зробити це за допомогою наступна посилання.
Закінчило завантаження, тепер ми збираємося розпакувати пакет наступною командою:
tar -xvf openssh-8.8.tar.gz
Вводимо створений каталог:
cd openssh-8.8
Y ми можемо скомпілювати з наступні команди:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install