לאחר חמישה חודשי התפתחות, מוצגת המהדורה של OpenSSH 8.5 יחד עם אשר מפתחי OpenSSH נזכרו בהעברה הקרובה לקטגוריית האלגוריתמים המיושנים המשתמשים בחשיש SHA-1, בשל היעילות הגדולה יותר של התקפות התנגשות עם קידומת נתונה (עלות בחירת ההתנגשות נאמדת בכ- 50 אלף דולר).
באחת הגרסאות הבאות, מתכננים להשבית כברירת מחדל את היכולת להשתמש באלגוריתם החתימה הדיגיטלית של המפתח הציבורי "ssh-rsa", אשר מוזכר ב- RFC המקורי לפרוטוקול SSH ועדיין נמצא בשימוש נרחב בפועל.
כדי להחליק את המעבר לאלגוריתמים חדשים ב- OpenSSH 8.5, התצורה UpdateHostKeys מופעלת כברירת מחדל, מה מאפשר לך להחליף לקוחות באופן אוטומטי לאלגוריתמים אמינים יותר.
הגדרה זו מאפשרת סיומת פרוטוקול מיוחדת "hostkeys@openssh.com", המאפשרת לשרת, לאחר העברת האימות, ליידע את הלקוח על כל מפתחות המארח הזמינים. הלקוח יכול לשקף את המפתחות הללו בקובץ ~ / .ssh / known_hosts שלהם, המאפשר ארגון עדכוני מפתח מארח ומקלה על שינוי המפתחות בשרת.
יתר על כן, תיקן פגיעות הנגרמת משחרור מחדש של אזור זיכרון שכבר שוחרר ב- ssh-agent. הבעיה ניכרה מאז שחרורו של OpenSSH 8.2 ועלולה להיות מנוצלת אם לתוקף יש גישה לשקע הסוכן ssh במערכת המקומית. כדי לסבך את העניינים, רק ל- root ולמשתמש המקורי יש גישה לשקע. התרחיש הסביר ביותר להתקפה הוא הפניית הסוכן לחשבון הנשלט על ידי התוקף, או למארח שבו לתוקף יש גישה שורשית.
בנוסף, sshd הוסיף הגנה מפני העברת פרמטרים גדולה מאוד עם שם משתמש למערכת המשנה PAM, אשר מאפשר לחסום פרצות במודולים של מערכת ה- PAM (מודול אימות ניתן לחיבור). לדוגמא, השינוי מונע את השימוש ב- sshd כווקטור לניצול פגיעות שורש שזוהתה לאחרונה ב- Solaris (CVE-2020-14871).
בחלק מהשינויים שעלולים לשבור תאימות מוזכר שsh ו- sshd עיבדו מחדש שיטת החלפת מפתח ניסיונית העמיד בפני התקפות כוח ברוטו על מחשב קוונטי.
השיטה בה משתמשים מבוססת על האלגוריתם NTRU Prime פותח עבור מערכות קריפטה לאחר קוונטיות ושיטת החלפת מפתח עקומת האליפטי X25519. במקום sntrup4591761x25519-sha512@tinyssh.org, השיטה מזוהה כעת כ- sntrup761x25519-sha512@openssh.com (האלגוריתם sntrup4591761 הוחלף על ידי sntrup761).
משאר השינויים הבולטים:
- ב- ssh ו- sshd, שונה סדר הפרסום האלגוריתמים הנתמכים על חתימות דיגיטליות. הראשון הוא עכשיו ED25519 במקום ECDSA.
- ב- ssh ו- sshd, הגדרות TOS / DSCP QoS למפגשים אינטראקטיביים מוגדרות כעת לפני יצירת חיבור TCP.
- Ssh ו- sshd הפסיקו לתמוך בהצפנה rijndael-cbc@lysator.liu.se, שזהה ל- aes256-cbc והיה בשימוש לפני RFC-4253.
- Ssh, על ידי קבלת מפתח מארח חדש, מבטיח שכל שמות המארח וכתובות ה- IP המשויכים למפתח מוצגים.
- ב- ssh למפתחות FIDO, בקשת PIN חוזרת ונשנית במקרה של כשל בפעולת החתימה הדיגיטלית עקב PIN שגוי והעדר בקשת PIN מהמשתמש (למשל, כאשר לא ניתן היה להשיג ביומטריה נכונה. נתונים והמכשיר הזין מחדש את ה- PIN באופן ידני).
- Sshd מוסיף תמיכה בשיחות מערכת נוספות למנגנון ארגז החול מבוסס seccomp-bpf בלינוקס.
כיצד להתקין את OpenSSH 8.5 על לינוקס?
למי שמעוניין להיות מסוגל להתקין גרסה חדשה זו של OpenSSH על מערכותיהם, בינתיים הם יכולים לעשות את זה הורדת קוד המקור של זה ו - ביצוע האוסף במחשבים שלהם.
הסיבה לכך היא שהגרסה החדשה עדיין לא נכללה במאגרים של הפצות הלינוקס העיקריות. כדי לקבל את קוד המקור, אתה יכול לעשות מ הקישור הבא.
בוצע ההורדה, עכשיו אנחנו הולכים לפתוח את החבילה עם הפקודה הבאה:
זפת -xvf openssh-8.5.tar.gz
אנו נכנסים לספרייה שנוצרה:
תקליטור openssh-8.5
Y אנחנו יכולים לקמפל עם הפקודות הבאות:
./configure - prefix = / opt --sysconfdir = / etc / ssh לבצע את ההתקנה