উন্নয়নের পাঁচ মাস পরেওপেনএসএসএইচ 8.5 এর প্রকাশ উপস্থাপন করা হয়েছে যা বরাবর ওপেনএসএসএইচ বিকাশকারীরা আসন্ন স্থানান্তরকে অচল অ্যালগরিদমগুলির বিভাগে যা SHA-1 হ্যাশ ব্যবহার করে, প্রদত্ত উপসর্গের সাথে সংঘর্ষের আক্রমণগুলির বৃহত্তর দক্ষতার কারণে (সংঘর্ষ নির্বাচনের ব্যয়টি প্রায় 50 হাজার ডলার হিসাবে ধরা হয়)।
পরবর্তী সংস্করণ এক, জনসাধারণের কী ডিজিটাল স্বাক্ষর অ্যালগরিদম "ssh-rsa" ব্যবহার করার ক্ষমতা ডিফল্টরূপে অক্ষম করার পরিকল্পনা করুন, যা এসএসএইচ প্রোটোকলের জন্য মূল আরএফসিতে উল্লেখ করা হয়েছে এবং এখনও অনুশীলনে ব্যাপকভাবে ব্যবহৃত হয়।
ওপেনএসএসএইচ 8.5, কনফিগারেশনে নতুন অ্যালগরিদমে রূপান্তরটি মসৃণ করতে আপডেটহস্টকিগুলি ডিফল্টরূপে সক্ষম হয়, কি আপনাকে স্বয়ংক্রিয়ভাবে ক্লায়েন্টদের আরও নির্ভরযোগ্য অ্যালগরিদমে স্যুইচ করতে দেয়।
এই সেটিংটি একটি বিশেষ প্রোটোকল এক্সটেনশান "হোস্টকিজ@openssh.com" সক্ষম করে, যা প্রমাণীকরণ পাস করার পরে সার্ভারকে ক্লায়েন্টকে সমস্ত উপলব্ধ হোস্ট কীগুলির অবহিত করতে দেয়। ক্লায়েন্টটি তাদের ~ / .ssh / known_hosts ফাইলে এই কীগুলি প্রতিফলিত করতে পারে যা হোস্ট কী আপডেটগুলি সংগঠিত করতে সক্ষম করে এবং সার্ভারে কীগুলি পরিবর্তন করা সহজ করে।
অন্যদিকে, ইতিমধ্যে মুক্ত হওয়া মেমরি অঞ্চলটি মুক্ত করার ফলে একটি দুর্বলতা স্থির করা হয়েছে ssh- এজেন্টে। ওপেনএসএসএইচ 8.2 প্রকাশের পর থেকেই সমস্যাটি প্রকট হয়ে উঠেছে এবং আক্রমণকারী যদি স্থানীয় সিস্টেমে এসএসএল এজেন্ট সকেটে অ্যাক্সেস পেয়ে থাকে তবে সম্ভাব্যভাবে কাজে লাগানো যেতে পারে। বিষয়গুলিকে জটিল করার জন্য, কেবল রুট এবং মূল ব্যবহারকারীর সকেটে অ্যাক্সেস রয়েছে। আক্রমণটির সম্ভবত সম্ভাব্য পরিস্থিতি এজেন্টকে আক্রমণকারীর দ্বারা নিয়ন্ত্রিত কোনও অ্যাকাউন্টে বা কোনও হোস্টে আক্রমণকারীকে রুট অ্যাক্সেসে পুনঃনির্দেশিত করে।
উপরন্তু, sshd খুব বড় প্যারামিটার পাসিংয়ের বিরুদ্ধে সুরক্ষা যুক্ত করেছে পিএএম সাবসিস্টেমের একটি ব্যবহারকারীর নাম সহ, যা প্যাম সিস্টেমের মডিউলগুলিতে দুর্বলতাগুলিকে ব্লক করতে দেয় (প্লাগেবল প্রমাণীকরণ মডিউল)। উদাহরণস্বরূপ, পরিবর্তনটি সোলারিসের (সিভিই -2020-14871) সম্প্রতি সনাক্ত করা মূল দুর্বলতা কাজে লাগাতে ভেক্টর হিসাবে ব্যবহৃত হতে এসএসডিএডকে বাধা দেয়।
সামঞ্জস্যতা সম্ভাব্যভাবে পরিবর্তন করে এমন অংশগুলির জন্য এটি উল্লেখ করা হয়েছেsh এবং sshd একটি পরীক্ষামূলক কী বিনিময় পদ্ধতি পুনরায় কাজ করেছে যা কোয়ান্টাম কম্পিউটারে জোর করে আক্রমণ প্রতিরোধী।
ব্যবহৃত পদ্ধতিটি এনটিআরইউ প্রাইম অ্যালগরিদমের উপর ভিত্তি করে পোস্ট-কোয়ান্টাম ক্রিপ্টোসিস্টেম এবং এক্স 25519 উপবৃত্তাকার বক্র কী কী বিনিময় পদ্ধতির জন্য বিকাশিত। Sntrup4591761x25519-sha512@tinyssh.org এর পরিবর্তে, পদ্ধতিটি এখন sntrup761x25519-sha512@openssh.com হিসাবে চিহ্নিত করা হয়েছে (sntrup4591761 অ্যালগরিদম sntrup761 দ্বারা প্রতিস্থাপন করা হয়েছে)।
অন্যান্য পরিবর্তনগুলির মধ্যে যেগুলি দাঁড়িয়ে আছে:
- Ssh এবং sshd এ, ডিজিটাল স্বাক্ষরযুক্ত অ্যালগোরিদম সমর্থিত বিজ্ঞাপনের ক্রম পরিবর্তন করা হয়েছে। প্রথমটি এখন ইসিডিএসএর পরিবর্তে ইডি 25519।
- Ssh এবং sshd- এ, TCP সংযোগ স্থাপনের আগে ইন্টারঅ্যাকটিভ সেশনের জন্য TOS / DSCP QoS সেটিংস সেট করা আছে।
- Ssh এবং sshd রিজান্ডেল- cbc@lysator.liu.se এনক্রিপশন সমর্থন করা বন্ধ করেছে, যা aes256-cbc এর অনুরূপ এবং আরএফসি -২২৫৩ এর আগে ব্যবহৃত হয়েছিল।
- Ssh, একটি নতুন হোস্ট কী গ্রহণ করে, নিশ্চিত করে যে কীটির সাথে সম্পর্কিত সমস্ত হোস্টের নাম এবং আইপি ঠিকানা প্রদর্শিত হবে।
- এফআইডিও কীগুলির জন্য এসএসএসে, একটি ভুল পিনের কারণে ডিজিটাল স্বাক্ষর ক্রিয়ায় ব্যর্থতা এবং ব্যবহারকারীর কাছ থেকে পিনের অনুরোধের অভাবের ক্ষেত্রে পুনরাবৃত্ত পিন অনুরোধ সরবরাহ করা হয় (উদাহরণস্বরূপ, যখন সঠিক বায়োমেট্রিক প্রাপ্ত করা সম্ভব ছিল না) ডেটা এবং ডিভাইসটি ম্যানুয়ালি পিনটিতে পুনরায় প্রবেশ করেছে)।
- লিনাক্সের সেকম্পম্প-বিপিএফ-ভিত্তিক স্যান্ডবক্সিং ব্যবস্থায় অতিরিক্ত সিস্টেম কলগুলির জন্য এসএসডি সমর্থন যোগ করে।
লিনাক্সে ওপেনএসএইচ 8.5 ইনস্টল করবেন কীভাবে?
যারা তাদের সিস্টেমে ওপেনএসএসএইচের এই নতুন সংস্করণটি ইনস্টল করতে সক্ষম হতে আগ্রহী তাদের জন্য, আপাতত তারা এটি করতে পারে এর উত্স কোড ডাউনলোড করা এবং তাদের কম্পিউটারে সংকলন সম্পাদন।
এটি কারণ যে নতুন সংস্করণটি এখনও মূল লিনাক্স বিতরণগুলির সংগ্রহস্থলগুলিতে অন্তর্ভুক্ত করা হয়নি। উত্স কোডটি পেতে, আপনি এটি থেকে করতে পারেন নিম্নলিখিত লিঙ্ক.
ডাউনলোড সম্পন্ন, এখন আমরা নিম্নলিখিত কমান্ডের সাহায্যে প্যাকেজটি আনজিপ করতে চলেছি:
tar -xvf ওপেনশ -8.5.tar.gz
আমরা তৈরি ডিরেক্টরি লিখুন:
সিডি ওপেনশ -8.5
Y আমরা সঙ্গে সংকলন করতে পারেন নিম্নলিখিত আদেশগুলি:
./configure --prefix = / opt --sysconfdir = / etc / ssh মেক মেক ইনস্টল