經過四個月的開發 發布了新版 OpenSSH 8.7 在其中 添加了實驗性數據傳輸模式 scp 使用 SFTP 協議而不是傳統使用的 SCP/RCP 協議。
SFTP 使用更可預測的方法來處理名稱 並且它沒有在另一台主機端使用 glob shell 模板處理,這會引起安全問題,加上 '-s' 標誌已被提議在 scp 中啟用 SFTP,但計劃在未來更改為該協議默認。
另一個引人注目的變化是 實現 SFTP 擴展以擴展路由的 sftp-server ~ / 和 ~ user /,這是 scp 所必需的。 公用事業 scp 改變了在兩個遠程主機之間複製文件時的行為,現在默認情況下通過中間本地主機完成。 這種方法避免了將不必要的憑據傳輸到第一台主機和 shell 中文件名的三重解釋(在源、目標和本地系統端),以及在使用 SFTP 時,它允許您在以下情況下使用所有方法身份驗證訪問遠程主機,而不僅僅是非交互式方法
另外, ssh 和 sshd 都將客戶端和服務器都移動到使用文件解析器 的配置 更嚴格的使用 shell 規則 處理引號、空格和轉義字符。
新的解析器也不會忽略傳遞的假設,例如省略選項中的參數(例如,現在您不能將 DenyUsers 指令留空)、未關閉的引號和指定多個“=”符號。
當使用 DNS SSHFP 記錄驗證密鑰時,ssh 現在驗證所有匹配的記錄,而不僅僅是那些包含特定類型的數字簽名的記錄。 在 ssh-keygen 中,當使用 -Ochallenge 選項生成 FIDO 密鑰時,內置層現在用於散列,而不是 libfido2 工具,允許您使用大於或小於 32 字節的挑戰序列。 在 sshd 中,當處理 authorized_keys 文件中的 environment = "..." 指令時,現在接受第一個匹配項,並且 1024 個環境變量名稱的限制生效。
OpenSSH 開發人員也可以警告轉移到過時算法的類別 使用 SHA-1 哈希,由於具有給定前綴的碰撞攻擊的效率更高(碰撞選擇的成本估計約為 50 美元)。
在下一個版本中,計劃在默認情況下禁用使用“ssh-rsa”公鑰數字簽名算法的能力,該算法在原始 RFC 中針對 SSH 協議有提及,並且在實踐中仍然廣泛使用。
要在系統上測試 ssh-rsa 的使用,您可以嘗試通過 ssh 使用選項“-oHostKeyAlgorithms = -ssh-rsa”進行連接。 同時,默認禁用“ssh-rsa”數字簽名並不意味著完全拒絕使用 RSA 密鑰,因為除了 SHA-1 之外,SSH 協議還允許使用其他算法來計算哈希值。 特別是,除了“ssh-rsa”之外,還可以使用鏈接“rsa-sha2-256”(RSA / SHA256)和“rsa-sha2-512”(RSA / SHA512).
為了順利過渡到 OpenSSH 中的新算法,UpdateHostKeys 設置以前默認啟用,允許您自動將客戶端切換到更可靠的算法。
最後,如果您想了解更多有關此新版本的信息,可以諮詢詳細信息。 通過轉到以下鏈接。
如何在Linux上安裝OpenSSH 8.7?
對於那些對能夠在其係統上安裝此新版本的OpenSSH感興趣的人, 現在他們可以做到 下載此源代碼並 在他們的計算機上執行編譯。
這是因為新版本尚未包含在主要Linux發行版的存儲庫中。 要獲取源代碼,您可以從 下一個鏈接.
完成下載, 現在,我們將使用以下命令解壓縮該軟件包:
tar -xvf openssh-8.7.tar.gz
我們輸入創建的目錄:
cd openssh-8.7
Y 我們可以用 以下命令:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install