بعد خمسة أشهر من التطوير، يتم تقديم إصدار OpenSSH 8.5 مع ذلك استدعى مطورو OpenSSH النقل القادم إلى فئة الخوارزميات القديمة التي تستخدم تجزئات SHA-1 ، بسبب الكفاءة الأكبر لهجمات الاصطدام ببادئة معينة (تقدر تكلفة اختيار التصادم بحوالي 50 ألف دولار).
في أحد الإصدارات التالية، تخطط لتعطيل القدرة افتراضيًا على استخدام خوارزمية التوقيع الرقمي للمفتاح العام "ssh-rsa"، وهو مذكور في RFC الأصلي لبروتوكول SSH ولا يزال يستخدم على نطاق واسع في الممارسة.
لتسهيل الانتقال إلى الخوارزميات الجديدة في OpenSSH 8.5 ، التكوين يتم تمكين UpdateHostKeys افتراضيًا، ماذا يسمح لك بتبديل العملاء تلقائيًا إلى خوارزميات أكثر موثوقية.
يتيح هذا الإعداد امتداد بروتوكول خاص "hostkeys@openssh.com" ، والذي يسمح للخادم ، بعد تمرير المصادقة ، بإبلاغ العميل بجميع مفاتيح المضيف المتاحة. يمكن للعميل عكس هذه المفاتيح في ملف ~ / .ssh / known_hosts الخاص به ، والذي يمكّن من تنظيم تحديثات مفتاح المضيف ويسهل تغيير المفاتيح على الخادم.
وعلاوة على ذلك، إصلاح ثغرة أمنية ناتجة عن إعادة تحرير منطقة ذاكرة تم تحريرها بالفعل في وكيل ssh. كانت المشكلة واضحة منذ إصدار OpenSSH 8.2 ويمكن استغلالها إذا كان المهاجم لديه وصول إلى مقبس وكيل ssh على النظام المحلي. لتعقيد الأمور ، فقط الجذر والمستخدم الأصلي لهما حق الوصول إلى المقبس. السيناريو الأكثر احتمالاً للهجوم هو إعادة توجيه العميل إلى حساب يتحكم فيه المهاجم ، أو إلى مضيف يتمتع فيه المهاجم بحق الوصول إلى الجذر.
وبالإضافة إلى ذلك، أضاف sshd الحماية ضد تمرير المعلمات الكبيرة جدًا باسم مستخدم للنظام الفرعي PAM ، والذي يسمح بحظر الثغرات الأمنية في وحدات نظام PAM (وحدة المصادقة القابلة للتوصيل). على سبيل المثال ، يمنع التغيير استخدام sshd كناقل لاستغلال ثغرة أمنية تم تحديدها مؤخرًا في Solaris (CVE-2020-14871).
بالنسبة للجزء من التغييرات التي من المحتمل أن تكسر التوافق ، فقد ذكر أن sلقد أعاد كل من sh و sshd صياغة طريقة تجريبية لتبادل المفاتيح وهو مقاوم لهجمات القوة الغاشمة على الكمبيوتر الكمومي.
تعتمد الطريقة المستخدمة على خوارزمية NTRU Prime تم تطويره لأنظمة التشفير ما بعد الكم وطريقة تبادل مفتاح المنحنى الإهليلجي X25519. بدلاً من sntrup4591761x25519-sha512@tinyssh.org ، تم تحديد الطريقة الآن على أنها sntrup761x25519-sha512@openssh.com (تم استبدال خوارزمية sntrup4591761 بـ sntrup761).
من التغييرات الأخرى التي تبرز:
- في ssh و sshd ، تم تغيير ترتيب خوارزميات التوقيع الرقمي المدعومة للإعلان. الأول هو الآن ED25519 بدلاً من ECDSA.
- في ssh و sshd ، يتم الآن تعيين إعدادات TOS / DSCP QoS للجلسات التفاعلية قبل إنشاء اتصال TCP.
- توقف Ssh و sshd عن دعم تشفير rijndael-cbc@lysator.liu.se ، وهو مطابق لـ aes256-cbc وكان مستخدمًا قبل RFC-4253.
- يضمن Ssh ، بقبول مفتاح مضيف جديد ، عرض جميع أسماء المضيفين وعناوين IP المرتبطة بالمفتاح.
- في ssh لمفاتيح FIDO ، يتم تقديم طلب PIN متكرر في حالة حدوث فشل في عملية التوقيع الرقمي بسبب رقم التعريف الشخصي غير الصحيح وعدم وجود طلب PIN من المستخدم (على سبيل المثال ، عندما لم يكن من الممكن الحصول على القياسات الحيوية الصحيحة البيانات والجهاز يدوياً إعادة إدخال PIN).
- يضيف Sshd دعمًا لاستدعاءات النظام الإضافية إلى آلية وضع الحماية المستندة إلى seccomp-bpf في Linux.
كيفية تثبيت OpenSSH 8.5 على نظام Linux؟
بالنسبة لأولئك المهتمين بالقدرة على تثبيت هذا الإصدار الجديد من OpenSSH على أنظمتهم ، في الوقت الحالي يمكنهم فعل ذلك تنزيل الكود المصدري لهذا و إجراء التجميع على أجهزة الكمبيوتر الخاصة بهم.
هذا لأن الإصدار الجديد لم يتم تضمينه بعد في مستودعات توزيعات Linux الرئيسية. للحصول على شفرة المصدر ، يمكنك القيام بذلك من الرابط التالي.
تم التنزيل ، سنقوم الآن بفك ضغط الحزمة باستخدام الأمر التالي:
القطران -xvf يفتحsh-8.5.tar.gz
ندخل إلى الدليل الذي تم إنشاؤه:
يفتح القرص المضغوط - 8.5
Y يمكننا تجميعها الأوامر التالية:
./configure --prefix = / opt --sysconfdir = / etc / ssh اجعل التثبيت