Phiên bản mới của OpenSSH 8.8 đã được phát hành và phiên bản mới này nổi bật với việc vô hiệu hóa khả năng sử dụng chữ ký điện tử theo mặc định dựa trên các khóa RSA với hàm băm SHA-1 ("ssh-rsa").
Kết thúc hỗ trợ cho chữ ký "ssh-rsa" là do sự gia tăng hiệu quả của các cuộc tấn công va chạm với một tiền tố cho trước (chi phí đoán vụ va chạm ước tính khoảng 50 nghìn đô la). Để kiểm tra việc sử dụng ssh-rsa trên hệ thống, bạn có thể thử kết nối qua ssh với tùy chọn "-oHostKeyAlgorithm = -ssh-rsa".
Ngoài ra, hỗ trợ chữ ký RSA với hàm băm SHA-256 và SHA-512 (rsa-sha2-256 / 512), được hỗ trợ kể từ OpenSSH 7.2, không thay đổi. Trong hầu hết các trường hợp, việc kết thúc hỗ trợ cho "ssh-rsa" sẽ không yêu cầu bất kỳ thao tác thủ công nào. bởi người dùng, vì cài đặt UpdateHostKeys trước đây đã được bật theo mặc định trong OpenSSH, cài đặt này tự động dịch máy khách sang các thuật toán đáng tin cậy hơn.
Phiên bản này vô hiệu hóa chữ ký RSA bằng cách sử dụng thuật toán băm SHA-1 vỡ nợ. Thay đổi này đã được thực hiện vì thuật toán băm SHA-1 là bị phá vỡ mật mã và có thể tạo tiền tố đã chọn xung đột băm bởi
Đối với hầu hết người dùng, thay đổi này sẽ ẩn và có không cần thay thế các phím ssh-rsa. OpenSSH tuân thủ RFC8332 Chữ ký RSA / SHA-256/512 từ phiên bản 7.2 và các khóa ssh-rsa hiện có nó sẽ tự động sử dụng thuật toán mạnh nhất bất cứ khi nào có thể.
Để di chuyển, phần mở rộng giao thức "hostkeys@openssh.com" được sử dụng«, Cho phép máy chủ, sau khi vượt qua xác thực, thông báo cho máy khách về tất cả các khóa máy chủ có sẵn. Khi kết nối với các máy chủ có phiên bản OpenSSH rất cũ ở phía máy khách, bạn có thể chọn lọc đảo ngược khả năng sử dụng chữ ký "ssh-rsa" bằng cách thêm ~ / .ssh / config
Phiên bản mới cũng khắc phục sự cố bảo mật do sshd gây ra, kể từ OpenSSH 6.2, khởi tạo không chính xác nhóm người dùng khi thực hiện các lệnh được chỉ định trong chỉ thị AuthorizedKeysCommand và AuthorizedPrincipalsCommand.
Các chỉ thị này sẽ đảm bảo rằng các lệnh được chạy dưới một người dùng khác, nhưng trên thực tế, chúng kế thừa danh sách các nhóm được sử dụng khi khởi động sshd. Về khả năng, hành vi này, với các cấu hình hệ thống nhất định, cho phép bộ điều khiển đang chạy có được các đặc quyền bổ sung trên hệ thống.
Ghi chú phát hành chúng cũng bao gồm một cảnh báo về ý định thay đổi tiện ích scp mặc định để sử dụng SFTP thay vì giao thức SCP / RCP kế thừa. SFTP thực thi các tên phương thức dễ dự đoán hơn và các mẫu không xử lý chung được sử dụng trong các tên tệp thông qua trình bao ở phía máy chủ lưu trữ khác, tạo ra các mối lo ngại về bảo mật.
Đặc biệt, khi sử dụng SCP và RCP, máy chủ quyết định tệp và thư mục nào sẽ gửi cho máy khách và máy khách chỉ kiểm tra tính đúng đắn của tên đối tượng được trả về, điều này, trong trường hợp không có kiểm tra thích hợp ở phía máy khách, cho phép máy chủ để truyền các tên tệp khác với những tên được yêu cầu.
SFTP thiếu những vấn đề này, nhưng không hỗ trợ việc mở rộng các tuyến đặc biệt như "~ /". Để giải quyết sự khác biệt này, trong phiên bản trước của OpenSSH, một phần mở rộng SFTP mới đã được đề xuất trong việc triển khai máy chủ SFTP để hiển thị đường dẫn ~ / và ~ người dùng /.
Cuối cùng nếu bạn muốn biết thêm về nó về phiên bản mới này, bạn có thể kiểm tra chi tiết bằng cách truy cập liên kết sau.
Làm thế nào để cài đặt OpenSSH 8.8 trên Linux?
Đối với những người quan tâm đến việc có thể cài đặt phiên bản OpenSSH mới này trên hệ thống của họ, bây giờ họ có thể làm điều đó tải xuống mã nguồn của cái này và thực hiện biên dịch trên máy tính của họ.
Điều này là do phiên bản mới vẫn chưa được đưa vào kho của các bản phân phối Linux chính. Để lấy mã nguồn, bạn có thể làm từ liên kết tiếp theo.
Đã tải xong, bây giờ chúng ta sẽ giải nén gói bằng lệnh sau:
tar -xvf openssh-8.8.tar.gz
Chúng tôi nhập thư mục đã tạo:
cd openssh-8.8
Y chúng tôi có thể biên dịch với các lệnh sau:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install