Sau bốn tháng phát triển, việc phát hành phiên bản mới của OpenSSH 8.2, là một triển khai máy khách và máy chủ mở để hoạt động trên các giao thức SSH 2.0 và SFTP. A các cải tiến quan trọng khi ra mắt bởi OpenSSH 8.2 feu khả năng sử dụng xác thực hai yếu tố sử dụng các thiết bị hỗ trợ giao thức U2F được phát triển bởi liên minh FIDO.
U2F cho phép tạo mã thông báo phần cứng chi phí thấp để xác nhận sự hiện diện vật lý của người dùng, người có tương tác thông qua USB, Bluetooth hoặc NFC. Các thiết bị như vậy được quảng cáo như một phương tiện xác thực hai yếu tố trên các trang web, đã tương thích với tất cả các trình duyệt chính và được sản xuất bởi các nhà sản xuất khác nhau bao gồm Yubico, Feitian, Thetis và Kensington.
Để tương tác với các thiết bị xác nhận sự hiện diện của người dùng, OpenSSH đã thêm hai loại khóa mới "ecdsa-sk" và "ed25519-sk", sử dụng thuật toán chữ ký số ECDSA và Ed25519 kết hợp với hàm băm SHA-256.
Các thủ tục để tương tác với các mã thông báo đã được chuyển đến một thư viện trung gian, được tải tương tự với thư viện để hỗ trợ PKCS # 11 và là một liên kết trên thư viện libfido2, cung cấp phương tiện giao tiếp với mã thông báo qua USB (hai giao thức FIDO U2F / CTAP 1 và FIDO 2.0 / CTAP được hỗ trợ).
Thư viện trung gian libsk-libfido2 do các nhà phát triển OpenSSH chuẩn bịvà bao gồm trong hạt nhân libfido2, cũng như trình điều khiển HID cho OpenBSD.
Để xác thực và tạo khóa, bạn phải chỉ định tham số "SecurityKeyProvider" trong cấu hình hoặc đặt biến môi trường SSH_SK_PROVIDER, chỉ định đường dẫn đến thư viện bên ngoài libsk-libfido2.so.
Có thể xây dựng openssh với hỗ trợ tích hợp cho thư viện lớp giữa và trong trường hợp này bạn cần đặt tham số "SecurityKeyProvider = internal".
Ngoài ra, theo mặc định, khi các thao tác chính được thực hiện, cần phải có xác nhận cục bộ về sự hiện diện vật lý của người dùng, chẳng hạn như đề xuất chạm vào cảm biến trên mã thông báo, điều này gây khó khăn cho việc thực hiện các cuộc tấn công từ xa vào hệ thống có mã thông báo được kết nối .
Mặt khác, phiên bản mới của OpenSSH cũng đã thông báo về việc chuyển giao sắp tới sang danh mục các thuật toán lỗi thời sử dụng hàm băm SHA-1. do sự gia tăng hiệu quả của các cuộc tấn công va chạm.
Để dễ dàng chuyển đổi sang các thuật toán mới trong OpenSSH trong bản phát hành sắp tới, cài đặt UpdateHostKeys sẽ được bật theo mặc định, điều này sẽ tự động chuyển máy khách sang các thuật toán đáng tin cậy hơn.
Nó cũng có thể được tìm thấy trong OpenSSH 8.2, khả năng kết nối bằng "ssh-rsa" vẫn còn, nhưng thuật toán này bị xóa khỏi danh sách CASignatureAlgorithm, danh sách này xác định các thuật toán hợp lệ để ký điện tử các chứng chỉ mới.
Tương tự, thuật toán diffie-hellman-group14-sha1 đã bị xóa khỏi các thuật toán trao đổi khóa mặc định.
Các thay đổi khác nổi bật trong phiên bản mới này:
- Chỉ thị bao gồm đã được thêm vào sshd_config, cho phép đưa nội dung của các tệp khác vào vị trí hiện tại của tệp cấu hình.
- Chỉ thị PublishAuthOptions đã được thêm vào sshd_config, kết hợp các tùy chọn khác nhau liên quan đến xác thực khóa công khai.
- Đã thêm tùy chọn "-O write-attestation = / path" vào ssh-keygen, cho phép ghi các chứng chỉ chứng nhận FIDO bổ sung khi tạo khóa.
- Khả năng xuất PEM cho các khóa DSA và ECDSA đã được thêm vào ssh-keygen.
- Đã thêm một tệp thực thi mới ssh-sk-helper được sử dụng để cô lập thư viện truy cập mã thông báo FIDO / U2F.
Làm thế nào để cài đặt OpenSSH 8.2 trên Linux?
Đối với những người quan tâm đến việc có thể cài đặt phiên bản OpenSSH mới này trên hệ thống của họ, bây giờ họ có thể làm điều đó tải xuống mã nguồn của cái này và thực hiện biên dịch trên máy tính của họ.
Điều này là do phiên bản mới vẫn chưa được đưa vào kho của các bản phân phối Linux chính. Để lấy mã nguồn cho OpenSSH 8.2. Bạn có thể làm điều này từ liên kết tiếp theo (tại thời điểm viết gói này vẫn chưa có sẵn trên gương và họ đề cập rằng có thể mất vài giờ nữa)
Đã tải xong, bây giờ chúng ta sẽ giải nén gói bằng lệnh sau:
tar -xvf openssh-8.2.tar.gz
Chúng tôi nhập thư mục đã tạo:
cd openssh-8.2
Y chúng tôi có thể biên dịch với các lệnh sau:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install