Nach fünf Monaten Entwicklungwird die Veröffentlichung von OpenSSH 8.5 eingeführt zusammen mit denen OpenSSH-Entwickler erinnerten an die bevorstehende Übertragung in die Kategorie veralteter Algorithmen, die SHA-1-Hashes verwenden. aufgrund der höheren Effizienz von Kollisionsangriffen mit einem bestimmten Präfix (die Kosten für die Kollisionsauswahl werden auf etwa 50 US-Dollar geschätzt)
In einer der nächsten Versionen, planen Sie, die Möglichkeit zur Verwendung des Algorithmus für die digitale Signatur mit öffentlichem Schlüssel "ssh-rsa" standardmäßig zu deaktivieren., das im ursprünglichen RFC für das SSH-Protokoll erwähnt wird und in der Praxis immer noch weit verbreitet ist.
Um den Übergang zu neuen Algorithmen in OpenSSH 8.5 zu erleichtern, wird die Konfiguration UpdateHostKeys ist standardmäßig aktiviertWelche Mit dieser Option können Sie Clients automatisch auf zuverlässigere Algorithmen umstellen.
Diese Einstellung aktiviert eine spezielle Protokollerweiterung "hostkeys@openssh.com", mit der der Server nach bestandener Authentifizierung den Client über alle verfügbaren Hostschlüssel informieren kann. Der Client kann diese Schlüssel in seiner Datei ~ / .ssh / unknown_hosts wiedergeben, wodurch Host-Schlüsselaktualisierungen organisiert und das Ändern von Schlüsseln auf dem Server vereinfacht werden.
Außerdem Es wurde eine Sicherheitsanfälligkeit behoben, die durch die erneute Freigabe eines bereits freigegebenen Speicherbereichs verursacht wurde in ssh-agent. Das Problem ist seit der Veröffentlichung von OpenSSH 8.2 offensichtlich und kann möglicherweise ausgenutzt werden, wenn der Angreifer Zugriff auf den Ssh-Agent-Socket auf dem lokalen System hat. Um die Sache zu verkomplizieren, haben nur root und der ursprüngliche Benutzer Zugriff auf den Socket. Das wahrscheinlichste Szenario eines Angriffs besteht darin, den Agenten auf ein vom Angreifer kontrolliertes Konto oder auf einen Host umzuleiten, auf dem der Angreifer Root-Zugriff hat.
Zusätzlich sshd hat einen zusätzlichen Schutz gegen das Übergeben sehr großer Parameter hinzugefügt mit einem Benutzernamen zum PAM-Subsystem, das ermöglicht das Blockieren von Schwachstellen in den Modulen des PAM-Systems (Pluggable Authentication Module). Die Änderung verhindert beispielsweise, dass sshd als Vektor verwendet wird, um eine kürzlich identifizierte Root-Sicherheitsanfälligkeit in Solaris auszunutzen (CVE-2020-14871).
Für den Teil der Änderungen, die möglicherweise die Kompatibilität beeinträchtigen, wird erwähnt, dass ssh und sshd haben eine experimentelle Schlüsselaustauschmethode überarbeitet Das ist resistent gegen Brute-Force-Angriffe auf einen Quantencomputer.
Die verwendete Methode basiert auf dem NTRU Prime-Algorithmus entwickelt für Post-Quanten-Kryptosysteme und die elliptische Kurvenschlüsselaustauschmethode X25519. Anstelle von sntrup4591761x25519-sha512@tinyssh.org wird die Methode jetzt als sntrup761x25519-sha512@openssh.com identifiziert (der Algorithmus sntrup4591761 wurde durch sntrup761 ersetzt).
Von den anderen Änderungen, die auffallen:
- In ssh und sshd wurde die Reihenfolge der werbefinanzierten Algorithmen für digitale Signaturen geändert. Der erste ist jetzt ED25519 anstelle von ECDSA.
- In ssh und sshd werden jetzt die TOS / DSCP-QoS-Einstellungen für interaktive Sitzungen festgelegt, bevor eine TCP-Verbindung hergestellt wird.
- Ssh und sshd unterstützen die rijndael-cbc@lysator.liu.se-Verschlüsselung nicht mehr, die mit aes256-cbc identisch ist und vor RFC-4253 verwendet wurde.
- Durch Akzeptieren eines neuen Hostschlüssels stellt Ssh sicher, dass alle mit dem Schlüssel verknüpften Hostnamen und IP-Adressen angezeigt werden.
- In ssh für FIDO-Schlüssel wird eine wiederholte PIN-Anforderung bereitgestellt, wenn der Vorgang der digitalen Signatur aufgrund einer falschen PIN und des Fehlens einer PIN-Anforderung des Benutzers fehlschlägt (z. B. wenn es nicht möglich war, die richtige Biometrie zu erhalten Daten und das Gerät gab die PIN manuell erneut ein).
- Sshd unterstützt den seccomp-bpf-basierten Sandboxing-Mechanismus unter Linux um Unterstützung für zusätzliche Systemaufrufe.
Wie installiere ich OpenSSH 8.5 unter Linux?
Für diejenigen, die daran interessiert sind, diese neue Version von OpenSSH auf ihren Systemen installieren zu können, jetzt können sie es tun Herunterladen des Quellcodes von diesem und Durchführen der Kompilierung auf ihren Computern.
Dies liegt daran, dass die neue Version noch nicht in den Repositorys der wichtigsten Linux-Distributionen enthalten ist. Um den Quellcode zu erhalten, können Sie von den folgenden Link.
Fertig den Download, Jetzt entpacken wir das Paket mit dem folgenden Befehl:
tar -xvf openssh-8.5.tar.gz
Wir geben das erstellte Verzeichnis ein:
cd öffnetsh-8.5
Y wir können mit kompilieren die folgenden Befehle:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install