विकासाच्या पाच महिन्यांनंतर, ओपनएसएच 8.5 चे प्रकाशन सादर केले गेले आहे जे सोबत ओपनएसएसएच विकसकांनी एसएएचए -1 हॅश वापरणार्या अप्रचलित अल्गोरिदमच्या प्रकारात आगामी हस्तांतरण परत केले, दिलेल्या उपसर्ग (टक्कर निवडीची किंमत अंदाजे 50 हजार डॉलर्स इतकी आहे) सह टक्कर हल्ल्यांच्या मोठ्या कार्यक्षमतेमुळे.
पुढील आवृत्तींपैकी एकामध्ये, डीफॉल्टनुसार अक्षम करण्याची योजना सार्वजनिक की डिजिटल स्वाक्षरी अल्गोरिदम "ssh-rsa" वापरण्याची क्षमता, ज्याचा उल्लेख एसएसएच प्रोटोकॉलसाठी मूळ आरएफसीमध्ये आहे आणि अजूनही सराव मध्ये मोठ्या प्रमाणात वापरला जातो.
ओपनएसएच 8.5, कॉन्फिगरेशनमधील नवीन अल्गोरिदममध्ये संक्रमण सुलभ करण्यासाठी अपडेटहोस्टकीज डीफॉल्टनुसार सक्षम केली जाते, काय आपणास ग्राहकांना अधिक विश्वासार्ह अल्गोरिदममध्ये स्वयंचलितपणे स्विच करण्याची परवानगी देते.
ही सेटिंग एक विशेष प्रोटोकॉल विस्तार "होस्टकेज@openssh.com" सक्षम करते, जी सर्व्हरला, प्रमाणीकरणानंतर, क्लायंटला सर्व उपलब्ध होस्ट की कळविण्यास परवानगी देते. क्लायंट या keys / .ssh / ज्ञात_होस्ट फाइलमध्ये या की प्रतिबिंबित करू शकतो, जे होस्ट की अद्यतनांचे आयोजन करण्यास सक्षम करते आणि सर्व्हरवरील की बदलण्यास सुलभ करते.
दुसरीकडे, आधीच मोकळे केलेले मेमरी एरिया पुन्हा मुक्त केल्यामुळे असुरक्षिततेचे निराकरण केले ssh-एजंट मध्ये ओपनएसएसएच .8.2.२ च्या प्रकाशीकरणापासून ही समस्या स्पष्ट झाली आहे आणि जर हल्लेखोरला स्थानिक सिस्टमवरील एसएसएस एजंट सॉकेटमध्ये प्रवेश मिळाला असेल तर त्याचे संभाव्य शोषण केले जाऊ शकते. बाबींमध्ये गुंतागुंत निर्माण करण्यासाठी, फक्त मूळ आणि मूळ वापरकर्त्याकडे सॉकेटमध्ये प्रवेश आहे. हल्ल्याची संभाव्य परिस्थिती एजंटला हल्लेखोरांद्वारे नियंत्रित केलेल्या खात्यावर किंवा आक्रमणकर्त्यास मूळ प्रवेश असलेल्या होस्टकडे पुनर्निर्देशित करते.
तसेच, sshd ने खूप मोठे पॅरामीटर पासिंगपासून संरक्षण जोडले आहे पीएएम उपप्रणालीवर वापरकर्तानाव असलेले, जे पीएएम सिस्टमच्या मॉड्यूल्समध्ये असुरक्षा अवरोधित करण्यास अनुमती देते (प्लग्जेबल ऑथेंटिकेशन मॉड्यूल). उदाहरणार्थ, हा बदल सोलारिस (सीव्हीई -2020-14871) मध्ये नुकत्याच ओळखल्या जाणार्या रूट असुरक्षिततेचे शोषण करण्यासाठी एसटीएसडीचा उपयोग वेक्टर म्हणून करण्यापासून प्रतिबंधित करते.
संभाव्यत: सुसंगतता बदलणार्या बदलांच्या भागासाठी हे नमूद केले आहे कीsh आणि sshd ने प्रायोगिक की एक्सचेंज पद्धत पुन्हा तयार केली जे क्वांटम संगणकावर जबरदस्तीने हल्ला करण्यासाठी प्रतिरोधक आहे.
वापरलेली पद्धत एनटीआरयू प्राइम अल्गोरिदम वर आधारित आहे पोस्ट-क्वांटम क्रिप्टोसिस्टम आणि एक्स 25519 लंबवर्तुळ वक्र की विनिमय पद्धतीसाठी विकसित केले. Sntrup4591761x25519-sha512@tinyssh.org ऐवजी, ही पद्धत आता sntrup761x25519-sha512@openssh.com म्हणून ओळखली गेली आहे (sntrup4591761 अल्गोरिदम sntrup761 ने बदलली आहे).
इतर बदल की:
- Ssh आणि sshd मध्ये, जाहिरात समर्थित डिजिटल स्वाक्षरी अल्गोरिदमची क्रमवारी बदलली गेली आहे. प्रथम आता ईसीडीएसएऐवजी ईडी 25519 आहे.
- Ssh आणि sshd मध्ये, टीसीपी कनेक्शन स्थापित करण्यापूर्वी इंटरएक्टिव सेशनसाठी TOS / DSCP QoS सेटिंग्ज आता सेट केल्या आहेत.
- एसएसएच आणि एसएसडीने रिजंडेल- cbc@lysator.liu.se एन्क्रिप्शनला समर्थन देणे थांबविले आहे, जे aes256-cbc सारखे आहे आणि आरएफसी -4253 पूर्वी वापरले गेले होते.
- Ssh, नवीन होस्ट की स्वीकारून, हे सुनिश्चित करते की की संबंधित सर्व होस्ट नावे आणि IP पत्ते प्रदर्शित केले जातील.
- एफआयडीओ कीजच्या ssh मध्ये, चुकीच्या पिनमुळे आणि डिजिटल वापरकर्त्याच्या पिन विनंतीअभावी डिजिटल स्वाक्षरी ऑपरेशनमध्ये अयशस्वी झाल्यास (उदाहरणार्थ, जेव्हा योग्य बायोमेट्रिक प्राप्त करणे शक्य नव्हते तेव्हा पुनरावृत्ती पिन विनंती प्रदान केली जाते) डेटा आणि डिव्हाइसने स्वहस्ते पिन पुन्हा प्रविष्ट केला).
- लिनक्समधील सेन्कॉम्प-बीपीएफ-आधारित सँडबॉक्सिंग यंत्रणेत एसएसडी अतिरिक्त सिस्टम कॉलसाठी समर्थन समाविष्ट करते.
लिनक्सवर ओपनएसएच 8.5 कसे स्थापित करावे?
त्यांच्या सिस्टमवर ओपनएसएचची ही नवीन आवृत्ती स्थापित करण्यात सक्षम होण्यास इच्छुक असलेल्यांसाठी, आता ते करू शकतात याचा स्त्रोत कोड डाउनलोड करणे आणि त्यांच्या संगणकावर संकलन करत आहे.
याचे कारण की नवीन आवृत्ती अद्याप मुख्य लिनक्स वितरणाच्या रिपॉझिटरीजमध्ये समाविष्ट केलेली नाही. स्त्रोत कोड मिळविण्यासाठी, आपण हे करू शकता खालील दुवा.
डाउनलोड पूर्ण झाले, आता आम्ही खालील आदेशासह पॅकेज अनझिप करणार आहोत.
tar -xvf openssh -8.5.tar.gz
आम्ही तयार केलेली निर्देशिका प्रविष्ट करतो:
सीडी ओपनश -8.5
Y आम्ही संकलित करू शकतो पुढील आज्ञा:
./configure --prefix = / opt --sysconfdir = / etc / ssh मेक मेक स्थापना करा