Po pěti měsících vývoje, je představena verze OpenSSH 8.5 spolu s ním Vývojáři OpenSSH připomněli nadcházející převod do kategorie zastaralých algoritmů, které používají hash SHA-1, kvůli vyšší efektivitě kolizních útoků s danou předponou (cena za výběr kolize se odhaduje na asi 50 tisíc dolarů).
V jedné z dalších verzí, plán ve výchozím nastavení zakázat možnost používat algoritmus digitálního podpisu veřejného klíče "ssh-rsa", který je zmíněn v původním RFC pro protokol SSH a je v praxi stále široce používán.
Pro usnadnění přechodu na nové algoritmy v OpenSSH 8.5, konfigurace UpdateHostKeys je ve výchozím nastavení povolen, co umožňuje automaticky přepínat klienty na spolehlivější algoritmy.
Toto nastavení povoluje speciální příponu protokolu „hostkeys@openssh.com“, která serveru umožňuje po předání ověření informovat klienta o všech dostupných klíčích hostitele. Klient může tyto klíče odrážet ve svém souboru ~ / .ssh / known_hosts, který umožňuje organizovat aktualizace klíčů hostitele a usnadňuje změnu klíčů na serveru.
Kromě toho, opravena chyba zabezpečení způsobená opětovným uvolněním již uvolněné oblasti paměti v ssh-agent. Problém je zřejmý od vydání OpenSSH 8.2 a lze jej potenciálně zneužít, pokud má útočník přístup k zásuvce agenta ssh v místním systému. Aby to bylo složitější, má k soketu přístup pouze root a původní uživatel. Nejpravděpodobnějším scénářem útoku je přesměrování agenta na účet ovládaný útočníkem nebo na hostitele, kde má útočník přístup root.
Navíc, sshd přidal ochranu proti předávání velmi velkých parametrů s uživatelským jménem do subsystému PAM, který umožňuje blokovat chyby v modulech systému PAM (Pluggable Authentication Module). Tato změna například zabrání tomu, aby byl sshd použit jako vektor k zneužití nedávno zjištěné chyby zabezpečení root v systému Solaris (CVE-2020-14871).
U části změn, které potenciálně narušují kompatibilitu, je uvedeno, že ssh a sshd přepracovali experimentální metodu výměny klíčů který je odolný proti útokům hrubou silou na kvantový počítač.
Použitá metoda je založena na algoritmu NTRU Prime vyvinutý pro postkvantové kryptosystémy a metodu výměny klíčů eliptickou křivkou X25519. Místo sntrup4591761x25519-sha512@tinyssh.org je metoda nyní identifikována jako sntrup761x25519-sha512@openssh.com (algoritmus sntrup4591761 byl nahrazen sntrup761).
Z dalších změn, které vynikají:
- V ssh a sshd bylo změněno pořadí algoritmů digitálního podpisu podporovaných reklamou. První je nyní ED25519 místo ECDSA.
- V ssh a sshd je nyní nastaveno nastavení TOS / DSCP QoS pro interaktivní relace před navázáním připojení TCP.
- Ssh a sshd přestaly podporovat šifrování rijndael-cbc@lysator.liu.se, které je identické s aes256-cbc a bylo použito před RFC-4253.
- Ssh přijetím nového klíče hostitele zajistí, že se zobrazí všechny názvy hostitelů a adresy IP spojené s klíčem.
- V ssh pro klíče FIDO je poskytován opakovaný požadavek na PIN v případě selhání operace digitálního podpisu kvůli nesprávnému PIN a chybějícímu požadavku na PIN od uživatele (například když nebylo možné získat správné biometrické údaje data a zařízení ručně znovu zadalo PIN).
- Sshd přidává podporu pro další systémová volání mechanismu sandboxingu založeného na seccomp-bpf v Linuxu.
Jak nainstalovat OpenSSH 8.5 na Linux?
Pro ty, kteří mají zájem o instalaci této nové verze OpenSSH do svých systémů, teď to mohou udělat stažení zdrojového kódu tohoto a provedení kompilace na svých počítačích.
Je to proto, že nová verze ještě nebyla zahrnuta do úložišť hlavních distribucí Linuxu. Chcete-li získat zdrojový kód, můžete to udělat z následující odkaz.
Dokončete stahování, nyní rozbalíme balíček pomocí následujícího příkazu:
tar -xvf openssh -8.5.tar.gz
Vstupujeme do vytvořeného adresáře:
cd openssh-8.5
Y můžeme sestavit s následující příkazy:
./configure --prefix = / opt --sysconfdir = / etc / ssh provést make install