经过六个月的发展 OpenSSH 8.1版本已经发布,这是一组应用程序 允许使用SSH协议通过网络进行加密的通信,作为可在SSH 2.0和SFTP上使用的开源客户端和服务器实现。
这个新版本的 OpenSSH 8.1进行了一些改进,但 亮点之一是修复了影响ssh,sshd,ssh-add和ssh-keygen的漏洞。 问题 存在于类型为XMSS的私钥解析代码中 并允许攻击者发起溢出。 该漏洞被标记为可利用,但不适用,因为XMSS密钥支持涉及默认情况下被禁用的实验功能(在便携式版本中,autoconf甚至不提供启用XMSS的选项)。
OpenSSH 8.1的主要新功能
在此新版本的OpenSSH 8.1中e已向ssh,sshd和ssh-agent添加了代码,以防止恢复位于RAM中的私钥 由于对第三方渠道(例如 幽灵, 崩溃, 罗汉默 和RAMBleed。
现在,私钥在加载到内存中时会被加密,并且只能在当场解密 使用时,剩余的剩余时间将被加密。 使用这种方法,要成功恢复私钥,攻击者必须首先恢复随机生成的16K中间密钥以加密主密钥,而这在现代攻击中很常见,恢复错误率不大。
另一个重大变化 脱颖而出是ssh-keygen 已添加 作为实验支持 为 用于创建和验证数字签名的简化方案。 可以使用存储在磁盘或ssh-agent中的普通SSH密钥创建数字签名,并通过类似于授权密钥的有效密钥列表进行验证。
名称空间信息嵌入在数字签名中,以避免在应用于多个字段(例如,电子邮件和文件)时造成混淆。
默认启用ssh-keygen以使用rsa-sha2-512算法 使用基于RSA密钥的数字签名验证证书时(在CA模式下工作时)。
这些证书与OpenSSH 7.2之前的版本不兼容 (为确保兼容性,请重写算法类型,例如,通过调用“ ssh-keygen -t ssh-rsa -s ...”)。
在ssh中,ProxyCommand表达式支持扩展扩展“%n”(地址栏中指定的主机名)。
在ssh和sshd的加密算法列表中,“ ^”符号表示时间可用于插入默认算法。 当从私有密钥检索公共密钥时,Ssh-keygen提供注释附加到密钥的输出。
Ssh-keygen添加了执行键查找操作时使用-v标志的功能(例如ssh-keygen -vF host),其指示导致显示清晰的主机签名。
最后,另一个杰出的新颖之处是 使用PKCS8作为存储私钥的备用格式的附加功能 在磁盘上。 默认情况下,将继续使用PEM格式,并且PKCS8对于与第三方应用程序兼容非常有用。
如何在Linux上安装OpenSSH 8.1?
对于那些对能够在其系统上安装此新版本的OpenSSH感兴趣的人, 现在他们可以做到 下载此源代码并 在他们的计算机上执行编译。
这是因为新版本尚未包含在主要Linux发行版的存储库中。 获取OpenSSH 8.1源代码,我们只需要打开一个终端,然后在其中输入以下命令即可:
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
完成下载, 现在,我们将使用以下命令解压缩该软件包:
tar -xvf openssh-8.1p1.tar.gz
我们输入创建的目录:
cd openssh-8.1p1.tar.gz
Y 我们可以用 以下命令:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install