新版本 OpenSSH 8.8 已經發布 和這個新版本 突出顯示默認禁用使用數字簽名的能力 基於帶有 SHA-1 哈希值的 RSA 密鑰(“ssh-rsa”)。
結束對“ssh-rsa”簽名的支持 是由於碰撞攻擊的有效性增加 帶有給定的前綴(猜測碰撞的成本估計約為 50 萬美元)。 要在系統上測試 ssh-rsa 的使用,您可以嘗試通過 ssh 使用選項“-oHostKeyAlgorithms = -ssh-rsa”進行連接。
此外,自 OpenSSH 256 起支持的 SHA-512 和 SHA-2 (rsa-sha256-512 / 7.2) 散列對 RSA 簽名的支持沒有改變。 在大多數情況下,結束對“ssh-rsa”的支持不需要任何手動操作。 用戶,因為 UpdateHostKeys 設置以前在 OpenSSH 中默認啟用,它會自動將客戶端轉換為更可靠的算法。
此版本使用 SHA-1 散列算法禁用 RSA 簽名 默認。 由於 SHA-1 哈希算法是 密碼被破壞,並且可以創建選擇的前綴 散列衝突由
對於大多數用戶來說,這種變化應該是不可見的,並且有 無需更換 ssh-rsa 密鑰。 OpenSSH 符合 RFC8332 來自 256 版的 RSA / SHA-512/7.2 簽名和現有的 ssh-rsa 密鑰 只要有可能,它就會自動使用最強的算法。
對於遷移,使用協議擴展“hostkeys@openssh.com”«,這允許服務器在通過身份驗證後將所有可用的主機密鑰通知客戶端。 在客戶端連接到具有非常舊版本的 OpenSSH 的主機時,您可以通過添加 ~/.ssh/config 有選擇地反轉使用“ssh-rsa”簽名的能力
新版本 還修復了由 sshd 引起的安全問題,因為 OpenSSH 6.2,在執行 AuthorizedKeysCommand 和 AuthorizedPrincipalsCommand 指令中指定的命令時錯誤地初始化用戶組。
這些指令應該確保命令在不同的用戶下運行,但實際上它們繼承了啟動 sshd 時使用的組列表。 考慮到某些系統配置,這種行為可能允許運行中的控制器在系統上獲得額外的權限。
發行說明 它們還包括有關打算更改 scp 實用程序的警告 默認 使用 SFTP 而不是傳統的 SCP/RCP 協議。 SFTP 強制執行更可預測的方法名稱,並且通過另一主機端的 shell 在文件名中使用全局非處理模式,從而產生安全問題。
特別是在使用 SCP 和 RCP 時,服務器決定向客戶端發送哪些文件和目錄,客戶端只檢查返回的對象名稱的正確性,這在客戶端沒有適當檢查的情況下,允許服務器傳輸與請求的文件名不同的其他文件名。
SFTP沒有這些問題,但是不支持“~/”等特殊路由的擴展。 為了解決這個差異,在之前版本的 OpenSSH 中,在 SFTP 服務器實現中提出了一個新的 SFTP 擴展來公開 ~/ 和 ~ 用戶 / 路徑。
終於 如果您有興趣了解更多信息 關於這個新版本,您可以查看詳細信息 通過轉到以下鏈接。
如何在Linux上安裝OpenSSH 8.8?
對於那些對能夠在其係統上安裝此新版本的OpenSSH感興趣的人, 現在他們可以做到 下載此源代碼並 在他們的計算機上執行編譯。
這是因為新版本尚未包含在主要Linux發行版的存儲庫中。 要獲取源代碼,您可以從 下一個鏈接.
完成下載, 現在,我們將使用以下命令解壓縮該軟件包:
tar -xvf openssh-8.8.tar.gz
我們輸入創建的目錄:
cd openssh-8.8
Y 我們可以用 以下命令:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install