經過四個月的開發, 新版本 OpenSSH 8.2, 這是一個開放的客戶端和服務器實現,可用於SSH 2.0和SFTP協議。 一種 啟動時的主要增強功能 由OpenSSH 8.2 f歐盟使用兩因素身份驗證的能力 使用設備 支持U2F協議 由FIDO聯盟開發。
U2F允許創建低成本硬件令牌來確認用戶的物理存在,該用戶通過USB,藍牙或NFC進行交互。 此類設備是在站點上以兩因素身份驗證的方式推廣的,已經與所有主流瀏覽器兼容,並且由包括Yubico,Feitian,Thetis和Kensington在內的各種製造商生產。
要與確認用戶存在的設備進行互動, OpenSSH添加了兩種新類型的密鑰“ ecdsa-sk”和“ ed25519-sk”,將ECDSA和Ed25519數字簽名算法與SHA-256哈希結合使用。
與令牌交互的過程已轉移到中間庫中, 以類推方式加載了PKCS#11支持庫,並且它是libfido2庫上的鏈接,它提供了通過USB與令牌通信的方式(兩個都支持FIDO U2F / CTAP 1和FIDO 2.0 / CTAP協議)。
OpenSSH開發人員準備的libsk-libfido2中間庫並包含在內核libfido2中,以及OpenBSD的HID驅動程序。
為了進行身份驗證和密鑰生成,必須在配置中指定“ SecurityKeyProvider”參數或設置環境變量SSH_SK_PROVIDER,並指定外部庫libsk-libfido2.so的路徑。
可以使用對中間層庫的內置支持來構建openssh 在這種情況下,您需要設置參數“ SecurityKeyProvider = internal”。
另外,默認情況下,執行鍵操作時,需要對用戶的物理存在進行本地確認,例如,建議觸摸令牌上的傳感器,這使得很難對連接令牌的系統進行遠程攻擊。
另一方面,新版本的 OpenSSH還宣布即將使用SHA-1哈希轉移到過時算法類別中 由於提高了碰撞攻擊的效率。
為了在即將發布的版本中簡化向OpenSSH中新算法的過渡, 默認情況下將啟用UpdateHostKeys設置,它將自動將客戶端切換到更可靠的算法。
也可以在OpenSSH 8.2中找到它, 仍然可以使用“ ssh-rsa”進行連接,但此算法已從CASignatureAlgorithms列表中刪除,該列表定義了對數字化新證書有效的算法。
同樣,diffie-hellman-group14-sha1算法已從默認密鑰交換算法中刪除。
在此新版本中突出的其他更改包括:
- 在sshd_config中添加了一個include偽指令,該偽指令允許將其他文件的內容包含在配置文件的當前位置。
- PublishAuthOptions指令已添加到sshd_config中,結合了與公鑰身份驗證相關的不同選項。
- 在ssh-keygen中添加了“ -O write-attestation = / path”選項,該選項允許在生成密鑰時寫入其他FIDO認證證書。
- ssh-keygen中添加了導出用於DSA和ECDSA密鑰的PEM的功能。
- 添加了一個新的可執行文件ssh-sk-helper,用於隔離FIDO / U2F令牌訪問庫。
如何在Linux上安裝OpenSSH 8.2?
對於那些對能夠在其係統上安裝此新版本的OpenSSH感興趣的人, 現在他們可以做到 下載此源代碼並 在他們的計算機上執行編譯。
這是因為新版本尚未包含在主要Linux發行版的存儲庫中。 獲取OpenSSH 8.2的源代碼。 您可以從 下一個鏈接 (在撰寫本文時,鏡子上尚沒有該軟件包,他們提到可能還要花費幾個小時)
完成下載, 現在,我們將使用以下命令解壓縮該軟件包:
tar -xvf openssh-8.2.tar.gz
我們輸入創建的目錄:
cd openssh-8.2
Y 我們可以用 以下命令:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install