Sau sáu tháng phát triển Bản phát hành OpenSSH 8.1 đã được công bố, là một tập hợp các ứng dụng cho phép giao tiếp được mã hóa qua mạng, sử dụng giao thức SSH, dưới dạng triển khai máy khách và máy chủ mã nguồn mở để hoạt động trên SSH 2.0 và SFTP.
Phiên bản mới này của OpenSSH 8.1 đi kèm với một số cải tiếnnhưng một trong những điểm nổi bật là bản sửa lỗi ảnh hưởng đến ssh, sshd, ssh-add và ssh-keygen. Vấn đề có trong mã phân tích khóa cá nhân với loại XMSS và cho phép kẻ tấn công bắt đầu tràn. Lỗ hổng được đánh dấu là có thể khai thác được, nhưng không áp dụng được, vì hỗ trợ phím XMSS đề cập đến các tính năng thử nghiệm bị tắt theo mặc định (trong phiên bản di động, autoconf thậm chí không cung cấp tùy chọn để bật XMSS).
Các tính năng mới chính của OpenSSH 8.1
Trong phiên bản mới này của OpenSSH 8.1 se đã thêm mã vào ssh, sshd và ssh-agent ngăn không cho khôi phục khóa cá nhân nằm trong RAM do các cuộc tấn công vào các kênh của bên thứ ba, chẳng hạn như Quang phổ, cuộc khủng hoảng, hàngbúa và RAMBleed.
Khóa cá nhân hiện được mã hóa khi được tải vào bộ nhớ và chỉ được giải mã tại chỗ sử dụng, phần còn lại của thời gian còn lại được mã hóa. Với cách tiếp cận này, để khôi phục thành công khóa cá nhân, trước tiên kẻ tấn công phải khôi phục khóa trung gian 16K được tạo ngẫu nhiên để mã hóa khóa chính, điều này khó xảy ra với tỷ lệ lỗi khôi phục là điển hình của các cuộc tấn công hiện đại.
Một thay đổi lớn khác nổi bật là ssh-keygen cái nào đã được thêm vào như hỗ trợ thử nghiệm para một chương trình đơn giản hóa để tạo và xác minh chữ ký điện tử. Chữ ký điện tử có thể được tạo bằng cách sử dụng các khóa SSH thông thường được lưu trữ trên đĩa hoặc trong ssh-agent và được xác minh bằng danh sách các khóa hợp lệ tương tự như các khóa được ủy quyền.
Thông tin không gian tên được nhúng trong chữ ký điện tử để tránh nhầm lẫn khi áp dụng trong nhiều trường (ví dụ: cho email và tệp).
Ssh-keygen được bật theo mặc định để sử dụng thuật toán rsa-sha2-512 khi xác minh chứng chỉ bằng chữ ký điện tử dựa trên khóa RSA (khi làm việc ở chế độ CA).
Các chứng chỉ này không tương thích với các phiên bản trước OpenSSH 7.2 (Để đảm bảo tính tương thích, hãy ghi đè loại thuật toán, ví dụ: bằng cách gọi "ssh-keygen -t ssh-rsa -s ...").
Trong ssh, biểu thức ProxyCommand hỗ trợ mở rộng bao trùm "% n" (tên máy chủ được chỉ định trong thanh địa chỉ).
Trong danh sách các thuật toán mã hóa cho ssh và sshd, ký hiệu "^" đểthời gian có thể được sử dụng để chèn các thuật toán mặc định. Ssh-keygen cung cấp đầu ra của một nhận xét được đính kèm với khóa khi khóa công khai được truy xuất từ khóa riêng tư.
Ssh-keygen thêm khả năng sử dụng cờ -v khi thực hiện các thao tác tra cứu khóa (ví dụ: máy chủ ssh-keygen -vF), dấu hiệu dẫn đến việc hiển thị chữ ký máy chủ rõ ràng.
Cuối cùng, một điểm mới nổi bật khác là bổ sung khả năng sử dụng PKCS8 như một định dạng thay thế để lưu trữ các khóa riêng tư Trên đĩa. Theo mặc định, định dạng PEM tiếp tục được sử dụng và PKCS8 có thể hữu ích để tương thích với các ứng dụng của bên thứ ba.
Làm thế nào để cài đặt OpenSSH 8.1 trên Linux?
Đối với những người quan tâm đến việc có thể cài đặt phiên bản OpenSSH mới này trên hệ thống của họ, bây giờ họ có thể làm điều đó tải xuống mã nguồn của cái này và thực hiện biên dịch trên máy tính của họ.
Điều này là do phiên bản mới vẫn chưa được đưa vào kho của các bản phân phối Linux chính. Để lấy mã nguồn OpenSSH 8.1, chúng ta chỉ cần mở một thiết bị đầu cuối và trong đó, chúng ta sẽ nhập lệnh sau:
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
Đã tải xong, bây giờ chúng ta sẽ giải nén gói bằng lệnh sau:
tar -xvf openssh-8.1p1.tar.gz
Chúng tôi nhập thư mục đã tạo:
cd openssh-8.1p1.tar.gz
Y chúng tôi có thể biên dịch với các lệnh sau:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install