หลังจากห้าเดือนของการพัฒนามีการนำเสนอ OpenSSH 8.5 พร้อมกับที่ นักพัฒนา OpenSSH เรียกคืนการถ่ายโอนที่กำลังจะเกิดขึ้นไปยังหมวดหมู่ของอัลกอริทึมที่ล้าสมัยซึ่งใช้แฮช SHA-1 เนื่องจากประสิทธิภาพในการโจมตีที่มากขึ้นด้วยคำนำหน้าที่กำหนด (ค่าใช้จ่ายในการเลือกการชนกันประมาณ 50 ดอลลาร์)
ในเวอร์ชันถัดไปวางแผนที่จะปิดใช้งานโดยค่าเริ่มต้นความสามารถในการใช้อัลกอริธึมลายเซ็นดิจิทัลคีย์สาธารณะ "ssh-rsa"ซึ่งกล่าวถึงใน RFC ดั้งเดิมสำหรับโปรโตคอล SSH และยังคงแพร่หลายอย่างมากในทางปฏิบัติ
เพื่อความราบรื่นในการเปลี่ยนไปใช้อัลกอริทึมใหม่ใน OpenSSH 8.5 การกำหนดค่า UpdateHostKeys ถูกเปิดใช้งานโดยค่าเริ่มต้น, อะไร ช่วยให้คุณสามารถเปลี่ยนไคลเอนต์ไปใช้อัลกอริทึมที่น่าเชื่อถือได้
การตั้งค่านี้เปิดใช้งานส่วนขยายโปรโตคอลพิเศษ "hostkeys@openssh.com" ซึ่งช่วยให้เซิร์ฟเวอร์หลังจากผ่านการตรวจสอบสิทธิ์เพื่อแจ้งไคลเอ็นต์ถึงคีย์โฮสต์ที่มีทั้งหมด ไคลเอนต์สามารถแสดงคีย์เหล่านี้ในไฟล์ ~ / .ssh / known_hosts ซึ่งเปิดใช้งานการจัดระเบียบการอัปเดตคีย์ของโฮสต์และทำให้ง่ายต่อการเปลี่ยนคีย์บนเซิร์ฟเวอร์
นอกจากนี้ แก้ไขช่องโหว่ที่เกิดจากการเพิ่มพื้นที่หน่วยความจำที่ว่างอยู่แล้วอีกครั้ง ใน ssh-agent ปัญหานี้ปรากฏชัดเจนตั้งแต่เปิดตัว OpenSSH 8.2 และอาจถูกใช้ประโยชน์ได้หากผู้โจมตีสามารถเข้าถึงซ็อกเก็ตเอเจนต์ ssh บนระบบโลคัล ในการทำให้สิ่งต่างๆซับซ้อนมีเพียงรูทและผู้ใช้เดิมเท่านั้นที่สามารถเข้าถึงซ็อกเก็ตได้ สถานการณ์ที่เป็นไปได้มากที่สุดของการโจมตีคือการเปลี่ยนเส้นทางตัวแทนไปยังบัญชีที่ควบคุมโดยผู้โจมตีหรือไปยังโฮสต์ที่ผู้โจมตีสามารถเข้าถึงรูทได้
นอกจากนี้ sshd ได้เพิ่มการป้องกันการส่งผ่านพารามิเตอร์ที่มีขนาดใหญ่มาก ด้วยชื่อผู้ใช้ไปยังระบบย่อย PAM ซึ่ง อนุญาตให้ปิดกั้นช่องโหว่ในโมดูลของระบบ PAM (โมดูลการตรวจสอบสิทธิ์แบบเสียบได้) ตัวอย่างเช่นการเปลี่ยนแปลงป้องกันไม่ให้ใช้ sshd เป็นเวกเตอร์เพื่อใช้ประโยชน์จากช่องโหว่ของรูทที่เพิ่งระบุใน Solaris (CVE-2020-14871)
สำหรับส่วนของการเปลี่ยนแปลงที่อาจทำลายความเข้ากันได้นั้นมีการกล่าวถึง ssh และ sshd ได้ปรับปรุงวิธีการแลกเปลี่ยนคีย์ทดลองใหม่ ซึ่งทนทานต่อการโจมตีด้วยกำลังดุร้ายบนคอมพิวเตอร์ควอนตัม
วิธีการที่ใช้ขึ้นอยู่กับอัลกอริทึม NTRU Prime พัฒนาขึ้นสำหรับระบบเข้ารหัสหลังควอนตัมและวิธีการแลกเปลี่ยนคีย์โค้งวงรี X25519 แทนที่จะเป็น sntrup4591761x25519-sha512@tinyssh.org ตอนนี้วิธีนี้ถูกระบุว่าเป็น sntrup761x25519-sha512@openssh.com (อัลกอริทึม sntrup4591761 ถูกแทนที่ด้วย sntrup761)
การเปลี่ยนแปลงอื่น ๆ ที่โดดเด่น:
- ใน ssh และ sshd ลำดับของอัลกอริธึมลายเซ็นดิจิทัลที่รองรับการโฆษณามีการเปลี่ยนแปลง อย่างแรกคือ ED25519 แทนที่จะเป็น ECDSA
- ใน ssh และ sshd ตอนนี้การตั้งค่า TOS / DSCP QoS สำหรับเซสชันแบบโต้ตอบจะถูกตั้งค่าก่อนที่จะสร้างการเชื่อมต่อ TCP
- Ssh และ sshd หยุดสนับสนุนการเข้ารหัส rijndael-cbc@lysator.liu.se ซึ่งเหมือนกับ aes256-cbc และใช้ก่อน RFC-4253
- Ssh โดยการยอมรับคีย์โฮสต์ใหม่ทำให้แน่ใจว่าชื่อโฮสต์และที่อยู่ IP ทั้งหมดที่เชื่อมโยงกับคีย์นั้นจะแสดงขึ้น
- ใน ssh สำหรับคีย์ FIDO จะมีการร้องขอ PIN ซ้ำในกรณีที่เกิดความล้มเหลวในการดำเนินการลายเซ็นดิจิทัลเนื่องจาก PIN ไม่ถูกต้องและไม่มีคำขอ PIN จากผู้ใช้ (ตัวอย่างเช่นเมื่อไม่สามารถขอรับ PIN ที่ถูกต้องได้ ข้อมูลไบโอเมตริกซ์และอุปกรณ์ป้อน PIN อีกครั้งด้วยตนเอง)
- Sshd เพิ่มการสนับสนุนสำหรับการเรียกระบบเพิ่มเติมไปยังกลไกแซนด์บ็อกซ์ที่ใช้ seccomp-bpf บน Linux
จะติดตั้ง OpenSSH 8.5 บน Linux ได้อย่างไร?
สำหรับผู้ที่สนใจสามารถติดตั้ง OpenSSH เวอร์ชันใหม่นี้บนระบบของตนได้ ตอนนี้พวกเขาทำได้ ดาวน์โหลดซอร์สโค้ดของสิ่งนี้และ ดำเนินการรวบรวมบนคอมพิวเตอร์ของพวกเขา
เนื่องจากเวอร์ชันใหม่ยังไม่รวมอยู่ในที่เก็บของลีนุกซ์หลัก หากต้องการรับซอร์สโค้ดคุณสามารถทำได้จาก ลิงค์ต่อไปนี้.
ดาวน์โหลดเสร็จแล้ว ตอนนี้เราจะคลายซิปแพ็คเกจด้วยคำสั่งต่อไปนี้:
tar -xvf opensh-8.5.tar.gz
เราเข้าสู่ไดเร็กทอรีที่สร้างขึ้น:
ซีดี openssh-8.5
Y เราสามารถรวบรวมด้วย คำสั่งต่อไปนี้:
./configure --prefix = / opt --sysconfdir = / etc / ssh ทำการติดตั้ง