Pēc piecu mēnešu attīstības, tiek prezentēts OpenSSH 8.5 izlaidums kopā ar kuru OpenSSH izstrādātāji atgādināja par gaidāmo pāreju uz novecojušo algoritmu kategoriju, kas izmanto SHA-1 jaucējkrānus, sakarā ar lielāku sadursmes uzbrukumu efektivitāti ar noteiktu prefiksu (sadursmes izvēles izmaksas tiek lēstas aptuveni 50 tūkstošos dolāru).
Vienā no nākamajām versijām, pēc noklusējuma plānojat atspējot iespēju izmantot publiskās atslēgas digitālā paraksta algoritmu "ssh-rsa", kas sākotnējā RFC ir pieminēts SSH protokolam un joprojām tiek plaši izmantots praksē.
Lai izlīdzinātu pāreju uz jauniem algoritmiem OpenSSH 8.5, konfigurācija UpdateHostKeys ir iespējots pēc noklusējuma, kas ļauj automātiski pārslēgt klientus uz uzticamākiem algoritmiem.
Šis iestatījums ļauj izveidot īpašu protokola paplašinājumu "hostkeys@openssh.com", kas ļauj serverim pēc autentifikācijas nodošanas informēt klientu par visām pieejamajām resursdatora atslēgām. Klients var atspoguļot šīs atslēgas failā ~ / .ssh / known_hosts, kas ļauj organizēt resursdatora atslēgu atjauninājumus un atvieglo servera atslēgu nomaiņu.
Turklāt, novērsta ievainojamība, ko izraisīja jau atbrīvotas atmiņas zonas atkārtota atbrīvošana in ssh-aģents. Problēma ir bijusi acīmredzama kopš OpenSSH 8.2 izlaišanas, un to varētu potenciāli izmantot, ja uzbrucējam ir piekļuve vietējās sistēmas ssh agent ligzdai. Lai sarežģītu situāciju, ligzdai var piekļūt tikai root un sākotnējais lietotājs. Visticamākais uzbrukuma scenārijs ir aģenta novirzīšana uz kontu, kuru kontrolē uzbrucējs, vai resursdatoru, kurā uzbrucējam ir root piekļuve.
Turklāt, sshd ir pievienojusi aizsardzību pret ļoti lielu parametru nodošanu ar PAM apakšsistēmas lietotājvārdu, kas ļauj bloķēt ievainojamības PAM sistēmas moduļos (Pievienojamais autentifikācijas modulis). Piemēram, izmaiņas neļauj sshd izmantot kā vektoru, lai izmantotu nesen identificēto sakņu ievainojamību Solaris (CVE-2020-14871).
Par izmaiņu daļu, kas potenciāli var sabojāt saderību, tiek minēts, ka ssh un sshd ir pārstrādājuši eksperimentālu atslēgu apmaiņas metodi kas ir izturīgs pret rupja spēka uzbrukumiem kvantu datoram.
Izmantotās metodes pamatā ir NTRU Prime algoritms izstrādāts postkvantu kriptosistēmām un X25519 eliptiskās līknes atslēgu apmaiņas metodei. Sntrup4591761x25519-sha512@tinyssh.org vietā metode tagad tiek identificēta kā sntrup761x25519-sha512@openssh.com (algoritms sntrup4591761 ir aizstāts ar sntrup761).
Starp pārējām izmaiņām, kas izceļas:
- Ssh un sshd ir mainīta digitālā paraksta algoritmu reklamēšanas kārtība. Pirmais tagad ir ED25519, nevis ECDSA.
- Ssh un sshd TOS / DSCP QoS iestatījumi interaktīvajām sesijām tagad ir iestatīti pirms TCP savienojuma izveidošanas.
- Ssh un sshd pārtrauca atbalstīt šifrēšanu rijndael-cbc@lysator.liu.se, kas ir identisks aes256-cbc un tika izmantots pirms RFC-4253.
- Ssh, pieņemot jaunu resursdatora atslēgu, nodrošina, ka tiek parādīti visi ar atslēgu saistītie resursdatoru nosaukumi un IP adreses.
- FIDO atslēgu ssh atkārtots PIN pieprasījums tiek nodrošināts, ja digitālā paraksta operācijā rodas kļūmes nepareiza PIN un lietotāja pieprasījuma trūkuma dēļ (piemēram, ja nebija iespējams iegūt pareizu biometrisko informāciju). dati un ierīce manuāli atkārtoti ievadīja PIN).
- Sshd pievieno atbalstu papildu sistēmas izsaukumiem uz seccomp-bpf balstītu smilškastes mehānismu Linux.
Kā Linux instalēt OpenSSH 8.5?
Tiem, kurus interesē iespēja instalēt šo jauno OpenSSH versiju savās sistēmās, pagaidām viņi to var izdarīt lejupielādējot šī un veicot kompilāciju savos datoros.
Tas ir tāpēc, ka jaunā versija vēl nav iekļauta galveno Linux izplatīšanas krātuvēs. Lai iegūtu avota kodu, varat to izdarīt no šo saiti.
Gatavs lejupielādei, tagad mēs izslēdzam paketi ar šādu komandu:
darva -xvf openssh-8.5.tar.gz
Mēs ievadām izveidoto direktoriju:
CD openssh-8.5
Y mēs varam apkopot ar šādas komandas:
./configure --prefix = / opt --sysconfdir = / etc / ssh padara make install