经过四个月的开发, 新版本 OpenSSH 8.2, 这是一个开放的客户端和服务器实现,可用于SSH 2.0和SFTP协议。 一种 启动时的主要增强功能 由OpenSSH 8.2 f欧盟使用两因素身份验证的能力 使用设备 支持U2F协议 由FIDO联盟开发。
U2F允许创建低成本的硬件令牌来确认用户的物理存在,该用户通过USB,蓝牙或NFC进行交互。 此类设备是在站点上以两因素身份验证的方式推广的,已经与所有主流浏览器兼容,并且由包括Yubico,Feitian,Thetis和Kensington在内的各种制造商生产。
要与确认用户存在的设备进行交互, OpenSSH添加了两种新类型的密钥“ ecdsa-sk”和“ ed25519-sk”,将ECDSA和Ed25519数字签名算法与SHA-256哈希结合使用。
与令牌交互的过程已转移到中间库中, 以类推方式与支持PKCS#11的库一起加载,并且是libfido2库上的链接,该库提供了通过USB与令牌进行通信的方式(两个都支持FIDO U2F / CTAP 1和FIDO 2.0 / CTAP协议)。
OpenSSH开发人员准备的libsk-libfido2中间库并包含在内核libfido2中,以及OpenBSD的HID驱动程序。
为了进行身份验证和密钥生成,必须在配置中指定“ SecurityKeyProvider”参数或设置环境变量SSH_SK_PROVIDER,并指定外部库libsk-libfido2.so的路径。
可以使用对中间层库的内置支持来构建openssh 在这种情况下,您需要设置参数“ SecurityKeyProvider = internal”。
另外,默认情况下,执行键操作时,需要对用户的物理存在进行本地确认,例如,建议触摸令牌上的传感器,这使得很难对连接令牌的系统进行远程攻击。
另一方面,新版本的 OpenSSH还宣布即将转移到使用SHA-1哈希的过时算法类别。 由于提高了碰撞攻击的效率。
为了在即将发布的版本中简化向OpenSSH中新算法的过渡, 默认情况下将启用UpdateHostKeys设置,它将自动将客户端切换到更可靠的算法。
也可以在OpenSSH 8.2中找到它, 仍然可以使用“ ssh-rsa”进行连接,但此算法已从CASignatureAlgorithms列表中删除,该列表定义了对数字化新证书有效的算法。
同样,diffie-hellman-group14-sha1算法已从默认密钥交换算法中删除。
在此新版本中突出的其他更改包括:
- 在sshd_config中添加了一个include伪指令,该伪指令允许将其他文件的内容包含在配置文件的当前位置。
- PublishAuthOptions指令已添加到sshd_config中,结合了与公钥身份验证相关的不同选项。
- 在ssh-keygen中添加了“ -O write-attestation = / path”选项,该选项允许在生成密钥时写入其他FIDO认证证书。
- ssh-keygen中添加了导出用于DSA和ECDSA密钥的PEM的功能。
- 添加了一个新的可执行文件ssh-sk-helper,用于隔离FIDO / U2F令牌访问库。
如何在Linux上安装OpenSSH 8.2?
对于那些对能够在其系统上安装此新版本的OpenSSH感兴趣的人, 现在他们可以做到 下载此源代码并 在他们的计算机上执行编译。
这是因为新版本尚未包含在主要Linux发行版的存储库中。 获取OpenSSH 8.2的源代码。 您可以从 以下链接 (在撰写本文时,镜子上尚没有该软件包,他们提到可能还要花费几个小时)
完成下载, 现在,我们将使用以下命令解压缩该软件包:
tar -xvf openssh-8.2.tar.gz
我们输入创建的目录:
cd openssh-8.2
Y 我们可以用 以下命令:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install