Öt hónap fejlesztés után, bemutatjuk az OpenSSH 8.5 kiadását amellyel együtt Az OpenSSH fejlesztői felidézték a közelgő áthelyezést az elavult algoritmusok kategóriájába, amelyek SHA-1 kivonatokat használnak, egy adott előtaggal történő ütközési támadások nagyobb hatékonysága miatt (az ütközés kiválasztásának költségét körülbelül 50 ezer dollárra becsülik).
A következő verziók egyikében, alapértelmezés szerint meg kívánja tiltani az "ssh-rsa" nyilvános kulcsú digitális aláírás algoritmus használatának lehetőségét, amelyet az eredeti RFC említ az SSH protokollhoz, és a gyakorlatban még mindig széles körben használják.
Az OpenSSH 8.5 új algoritmusokra való átmenetének simítása érdekében konfigurálja a konfigurációt Az UpdateHostKeys alapértelmezés szerint engedélyezve van, mit lehetővé teszi az ügyfelek automatikus átkapcsolását megbízhatóbb algoritmusokra.
Ez a beállítás lehetővé teszi a "hostkeys@openssh.com" speciális protokoll kiterjesztést, amely lehetővé teszi a szerver számára, hogy a hitelesítés átadása után tájékoztassa az ügyfelet az összes elérhető gazdagépkulcsról. Az ügyfél ezeket a kulcsokat a ~ / .ssh / known_hosts fájljukban tükrözi, ami lehetővé teszi a gazdagépkulcs-frissítések szervezését, és megkönnyíti a szerver kulcsainak megváltoztatását.
Sőt, javított egy sebezhetőséget, amelyet egy már felszabadult memóriaterület újraszabadítása okozott ssh-ügynökben. A probléma az OpenSSH 8.2 kiadása óta nyilvánvaló, és potenciálisan kihasználható, ha a támadónak hozzáférése van a helyi rendszer ssh agent socketjéhez. A helyzet bonyolítása érdekében csak a root és az eredeti felhasználó férhet hozzá a foglalathoz. A támadás legvalószínűbb forgatókönyve az ügynök átirányítása a támadó által ellenőrzött számlára, vagy olyan gazdagépre, ahol a támadónak root hozzáférése van.
Ezen túlmenően, Az sshd védelmet adott a nagyon nagy paraméter-átadással szemben felhasználónévvel a PAM alrendszerhez, amely lehetővé teszi a PAM rendszer moduljaiban található sebezhetőségek blokkolását (Pluggable Authentication Module). Például a változás megakadályozza, hogy az sshd-t vektorként használják egy nemrégiben azonosított gyökér biztonsági rés kihasználására a Solarisban (CVE-2020-14871).
A kompatibilitást potenciálisan tönkretevő változások részéről megemlítik, hogy ssh és sshd átdolgozták egy kísérleti kulcscsere módszert amely ellenáll a kvantum számítógépet érő erőszakos támadásoknak.
Az alkalmazott módszer az NTRU Prime algoritmuson alapszik a kvantum utáni kriptoszisztémákhoz és az X25519 elliptikus görbe kulcscsere-módszerhez kifejlesztve. Az sntrup4591761x25519-sha512@tinyssh.org helyett a metódust most sntrup761x25519-sha512@openssh.com néven azonosítják (az sntrup4591761 algoritmust sntrup761 váltotta fel).
A többi kiemelkedő változás közül:
- Az ssh és sshd fájlokban a digitális aláírással támogatott algoritmusok reklámozásának sorrendje megváltozott. Az első most ED25519 az ECDSA helyett.
- Az ssh és az sshd fájlokban az interaktív munkamenetek TOS / DSCP QoS-beállításai már meg vannak adva a TCP-kapcsolat létrehozása előtt.
- Az Ssh és az sshd felhagyott az aes256-cbc-vel megegyező és az RFC-4253 előtt használt rijndael-cbc@lysator.liu.se titkosítás támogatásával.
- Az Ssh egy új gazdagépkulcs elfogadásával biztosítja, hogy a kulcshoz társított összes gazdagépnév és IP-cím megjelenjen.
- A FIDO kulcsok ssh-jében megismételt PIN-kérést adunk meg a digitális aláírás művelet meghibásodása esetén, hibás PIN-kód és a felhasználó által elküldött PIN-kérés hiánya miatt (például amikor nem sikerült a helyes biometrikus adatokat beszerezni) és az eszköz manuálisan írta be újra a PIN-kódot).
- Az Sshd támogatja a további rendszerhívásokat a seccomp-bpf-alapú sandboxing mechanizmusban a Linuxban.
Hogyan telepítsem az OpenSSH 8.5-et Linuxra?
Azok számára, akik érdeklődnek az OpenSSH új verziójának telepítése iránt, egyelőre megtehetik ennek forráskódjának letöltése és az összeállítás elvégzése a számítógépeiken.
Az új verzió ugyanis még nem került be a fő Linux disztribúciók tárházába. A forráskód megszerzéséhez megteheti a következő link.
Kész a letöltés, most kibontjuk a csomagot a következő paranccsal:
tar -xvf openssh -8.5.tar.gz
Belépünk a létrehozott könyvtárba:
cd openssh-8.5
Y összeállíthatjuk a következő parancsokat:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install