Prieš kelias dienas buvo paskelbta apie naujos OpenSSH 10.0 versijos išleidimą, kuris atneša daugybę reikšmingų saugumo, efektyvumo ir pasirengimo būsimiems technologiniams iššūkiams, pavyzdžiui, postkvantinės kriptografijos, pokyčių.
Ši nauja versija visam laikui pašalina DSA palaikymą, sustiprina autentifikavimo proceso izoliaciją naudojant naują sshd-auth modulį ir priima hibridinį algoritmą kvantiniam atsparus raktų keitimas. Jame pristatomi konfigūracijos patobulinimai su išplėstinėmis išraiškomis ir didesnis lankstumas, o algoritmai modernizuojami išjungdami senąjį Diffie-Hellman.
DSA visam laikui atsisveikina „OpenSSH 10.0“.
Vienas iš svarbiausių OpenSSH 10.0 pakeitimų yra Visiškas DSA pagrįstų skaitmeninių parašų palaikymo pašalinimas, algoritmas, ilgą laiką laikomas pasenusiu, nes neatitinka dabartinių saugumo standartų. Nors DSA raktų naudojimas pagal numatytuosius nustatymus buvo išjungtas nuo 2015 m., dabar jų palaikymas visiškai pašalintas iš kodų bazės.
Didesnė autentifikavimo proceso izoliacija
Kita nauja „OpenSSH 10.0“ funkcija yra laipsniškas svarbiausių sshd serverio komponentų atskyrimas. Nors OpenSSH 9.8 versijoje sshd buvo padalintas, šioje naujoje versijoje autentifikavimo kodas perkeliamas į atskirą procesą, vadinamą sshd-auth. Tai leidžia jautriems su autentifikavimu susijusiems duomenims likti izoliuoti atskiroje atminties erdvėje, o tai suteikia papildomą apsaugą nuo galimų išankstinio autentifikavimo spragų. Be to, atsisiunčiant šį kodą po autentifikavimo, šiek tiek sumažėja atminties naudojimas.
Kvantims atsparus raktų keitimas
OpenSSH 10.0 išsiskiria tuo, kad pagal numatytuosius nustatymus priima a hibridinis raktų mainų algoritmas kad sujungia X25519 ECDH su ML-KEM (CRYSTALS-Kyber), vadinamas mlkem768x25519-sha256. Tai suteikia atsparumą kvantinėms atakoms dėl kriptografijos naudojimo, pagrįstos tinklo teorijos problemomis, kurios išlaiko tuos pačius skaičiavimo sunkumus tiek klasikinėje, tiek kvantinėje architektūroje. Abu algoritmus standartizuoja NIST, sustiprindamas pasitikėjimą jų tvirtumu.
Išplėstinės išraiškos ir konfigūracijos lankstumas
10.0 versija prideda esminių ssh_config ir sshd_config konfigūracijos failų patobulinimų. Žetonų pakeitimas ir aplinkos kintamųjų išplėtimas dabar palaikomi „SetEnv“ ir „User“ direktyvose, todėl lengviau atlikti dinamiškesnę konfigūraciją. Taip pat pridedama parinktis Match version, kuri leidžia taikyti sąlygines taisykles pagal aptiktą OpenSSH versiją.
Be to, išplečiamas atitikties išraiškų palaikymas, įskaitant sąlygas, pagrįstas seanso tipu (Match sessiontype), konkrečias komandas (Match exec-command) ir net tuščias žymas arba praleistas komandas.
Algoritmų, šifrų ir naujų valdiklių pakeitimai OpenSSH 10.0
Tęsiant senų algoritmų pašalinimas, „OpenSSH 10.0“ pagal numatytuosius nustatymus išjungia baigtinio lauko „Diffie-Hellman“ naudojimą, pašalina diffie-hellman-group* ir diffie-hellman-group-exchange-* variantus, o pirmenybę teikia modernesniems ir efektyvesniems algoritmams.
taip pat stiprinama eksploatavimo sauga: ssh-agent dabar išplauna visus įkeltus raktus, kai gauna SIGUSR1 signalą, ir buvo pridėta galimybė įjungti systemd stiliaus lizdus naudojant LISTEN_PID ir LISTEN_FDS vėliavėles.
Srityje aparatinės įrangos autentifikavimas, ssh-keygen prideda FIDO žetonų palaikymą kurios nepateikia sertifikavimo duomenų, pvz., „Windows Hello“. Taip pat įtraukta nauja eksperimentinė programa, ssh-verify-attestation, skirta patvirtinti duomenis, sugeneruotus FIDO įrenginių registruojant raktą.
Kliento patobulinimai, įrankiai ir išplėstinė konfigūracija
SSH klientas apima parinktį „VersionAddendum“, kuri leidžia į versijos eilutę įtraukti pasirinktinį tekstą – funkciją, kuri anksčiau buvo pasiekiama tik serveryje. Scp ir sftp paslaugų programos įgyja numatytąją parinktį, kuri neleidžia pakartotinai naudoti esamų ryšių, pagerina saugumą ir seanso valdymą.
Failų kaukės dabar leidžiamos direktyvose AuthorizedKeysFile ir AuthorizedPrincipalsFile, palengvinančios raktų valdymą sistemose, kuriose yra keli vartotojai arba dinaminės konfigūracijos.
Nešiojamosios versijos pakeitimai ir saugos patobulinimai
Nešiojamoje OpenSSH 10.0 versijoje ji įdiegta AWS-LC palaikymaskriptografinė biblioteka, kurią „Amazon“ sukūrė suderinamumo ir našumo tikslais. Tai prideda wtmpdb palaikymas, Šiuolaikinė wtmp versija, atspari 2038 metų leidimui. Be to, įtrauktos naujos kompiliatoriaus parinktys, leidžiančios užrakinti sshd atmintyje ir sukurti atskirą sk-libfido2 biblioteką, orientuotą į FIDO saugos raktus.
Galiausiai išspręsta kritinė saugumo problema: „DisableForwarding“ direktyva netinkamai išjungė X11 persiuntimą nei skambina ssh-agent. Nors šios parinktys pagal numatytuosius nustatymus yra išjungtos atitinkamai serveryje ir kliente, taisymas užtikrina nuoseklų ir saugų elgesį.
Kakleliai domina sužinoti daugiau apie tai, išsamią informaciją galite sužinoti šią nuorodą.
Kaip įdiegti „OpenSSH“ sistemoje „Linux“?
Tiems, kurie nori įdiegti šią naują „OpenSSH“ versiją savo sistemose, kol kas jie gali tai padaryti atsisiųsdami šio ir atlikdami kompiliaciją savo kompiuteriuose.
Taip yra todėl, kad naujoji versija dar nebuvo įtraukta į pagrindinių „Linux“ paskirstymų saugyklas. Norėdami gauti šaltinio kodą, galite tai padaryti šią nuorodą.
Atliktas atsisiuntimas, dabar mes išpakuosime paketą naudodami šią komandą:
degutas -xvf openssh-10.0.tar.gz
Įeiname į sukurtą katalogą:
CD atidaro-10.0
Y mes galime sudaryti su šias komandas:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install