Sau bốn tháng phát triển việc phát hành phiên bản mới của OpenSSH 8.7 đã được giới thiệu trong đó một chế độ truyền dữ liệu thử nghiệm đã được thêm vào để xử lý bằng giao thức SFTP thay vì giao thức SCP / RCP được sử dụng truyền thống.
SFTP sử dụng một phương pháp xử lý tên dễ đoán hơn và nó không sử dụng quy trình xử lý mẫu khung hình cầu ở phía máy chủ khác, điều này gây ra vấn đề bảo mật, cộng với cờ '-s' đã được đề xuất để bật SFTP trong scp, nhưng nó được lên kế hoạch thay đổi trong tương lai đối với giao thức này bằng cách vỡ nợ.
Một thay đổi khác nổi bật là sftp-server triển khai các phần mở rộng SFTP để mở rộng các tuyến đường ~ / và ~ user /, được yêu cầu cho scp. Tính thiết thực scp đã thay đổi hành vi khi sao chép tệp giữa hai máy chủ từ xa, hiện được thực hiện theo mặc định thông qua máy chủ cục bộ trung gian. Cách tiếp cận này tránh việc chuyển các thông tin xác thực không cần thiết đến máy chủ đầu tiên và giải thích ba tên tệp trong trình bao (ở phía nguồn, đích và hệ thống cục bộ), cũng như khi sử dụng SFTP, nó cho phép bạn sử dụng tất cả các phương pháp xác thực khi truy cập máy chủ từ xa và không chỉ các phương pháp không tương tác
Bên cạnh đó, cả ssh và sshd đã chuyển cả máy khách và máy chủ để sử dụng trình phân tích cú pháp tệp Của cấu hình nghiêm ngặt hơn bằng cách sử dụng các quy tắc shell để xử lý dấu ngoặc kép, dấu cách và ký tự thoát.
Trình phân tích cú pháp mới cũng không bỏ qua các giả định đã truyền, chẳng hạn như bỏ qua các đối số trong các tùy chọn (ví dụ: bây giờ bạn không thể để trống chỉ thị DenyUsers), dấu ngoặc kép và chỉ định nhiều ký hiệu "=".
Khi sử dụng bản ghi DNS SSHFP để xác minh khóa, ssh hiện xác minh tất cả các bản ghi phù hợp, không chỉ những bản ghi chứa một loại chữ ký số cụ thể. Trong ssh-keygen, khi tạo khóa FIDO với tùy chọn -Ochallenge, lớp tích hợp hiện được sử dụng để băm, thay vì các công cụ libfido2, cho phép bạn sử dụng chuỗi thử thách lớn hơn hoặc nhỏ hơn 32 byte. Trong sshd, khi xử lý chỉ thị môi trường = "..." trong các tệp ủy quyền, khớp đầu tiên hiện được chấp nhận và giới hạn 1024 tên biến môi trường có hiệu lực.
Các nhà phát triển OpenSSH cũngcảnh báo về việc chuyển sang loại thuật toán lỗi thời sử dụng hàm băm SHA-1, do hiệu quả cao hơn của các cuộc tấn công va chạm với một tiền tố nhất định (chi phí lựa chọn va chạm ước tính khoảng 50 đô la).
Trong bản phát hành tiếp theo, nó được lên kế hoạch để vô hiệu hóa theo mặc định khả năng sử dụng thuật toán chữ ký số khóa công khai "ssh-rsa", được đề cập trong RFC ban đầu cho giao thức SSH và vẫn được sử dụng rộng rãi trong thực tế.
Để kiểm tra việc sử dụng ssh-rsa trên các hệ thống, bạn có thể thử kết nối qua ssh với tùy chọn "-oHostKeyAlgorithm = -ssh-rsa". Đồng thời, vô hiệu hóa chữ ký số "ssh-rsa" theo mặc định không có nghĩa là từ chối hoàn toàn việc sử dụng khóa RSA, vì ngoài SHA-1, giao thức SSH cho phép sử dụng các thuật toán khác để tính toán băm. Đặc biệt, ngoài "ssh-rsa", sẽ có thể sử dụng các liên kết "rsa-sha2-256" (RSA / SHA256) và "rsa-sha2-512" (RSA / SHA512).
Để chuyển đổi suôn sẻ sang các thuật toán mới trong OpenSSH, cài đặt UpdateHostKeys trước đó đã được bật theo mặc định, cho phép bạn tự động chuyển đổi máy khách sang các thuật toán đáng tin cậy hơn.
Cuối cùng các bạn quan tâm muốn biết thêm về phiên bản mới này có thể tham khảo chi tiết bằng cách truy cập liên kết sau.
Làm thế nào để cài đặt OpenSSH 8.7 trên Linux?
Đối với những người quan tâm đến việc có thể cài đặt phiên bản OpenSSH mới này trên hệ thống của họ, bây giờ họ có thể làm điều đó tải xuống mã nguồn của cái này và thực hiện biên dịch trên máy tính của họ.
Điều này là do phiên bản mới vẫn chưa được đưa vào kho của các bản phân phối Linux chính. Để lấy mã nguồn, bạn có thể làm từ liên kết tiếp theo.
Đã tải xong, bây giờ chúng ta sẽ giải nén gói bằng lệnh sau:
tar -xvf openssh-8.7.tar.gz
Chúng tôi nhập thư mục đã tạo:
cd openssh-8.7
Y chúng tôi có thể biên dịch với các lệnh sau:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install