Pagkatapos ng limang buwan ng pag-unlad, ang pagpapalabas ng OpenSSH 8.5 ay ipinakilala kasabay nito Naalala ng mga developer ng OpenSSH ang paparating na paglipat sa kategorya ng mga lipas na algorithm na gumagamit ng mga hash ng SHA-1, dahil sa higit na kahusayan ng mga pag-atake ng banggaan na may isang naibigay na unlapi (ang halaga ng pagpili ng banggaan ay tinatayang humigit-kumulang 50 libong dolyar).
Sa isa sa mga susunod na bersyon, planuhin na huwag paganahin sa pamamagitan ng default ang kakayahang gamitin ang pampublikong key digital signature algorithm na "ssh-rsa", na nabanggit sa orihinal na RFC para sa SSH protocol at malawak pa ring ginagamit sa pagsasanay.
Upang makinis ang paglipat sa mga bagong algorithm sa OpenSSH 8.5, ang pagsasaayos Pinapagana ang UpdateHostKeys bilang default, Ano nagbibigay-daan sa iyo upang awtomatikong ilipat ang mga kliyente sa mas maaasahang mga algorithm.
Nagbibigay-daan ang setting na ito ng isang espesyal na extension ng protocol na "hostkeys@openssh.com", na nagpapahintulot sa server, pagkatapos na maipasa ang pagpapatotoo, upang ipaalam sa kliyente ang lahat ng magagamit na mga key ng host. Maaaring ipakita ng kliyente ang mga key na ito sa ~ / .ssh / kilala_hosts na file, na nagbibigay-daan sa pag-aayos ng mga pangunahing pag-update ng host at ginagawang madali upang baguhin ang mga key sa server.
Bukod dito, naayos ang isang kahinaan na sanhi ng muling paglaya ng isang napalaya na na lugar ng memorya sa ssh-agent. Ang problema ay maliwanag mula nang ilabas ang OpenSSH 8.2 at maaaring pagsamantalahan kung may access ang magsasalakay sa ssh agent socket sa lokal na system. Upang gawing kumplikado ang mga bagay, ang ugat lamang at ang orihinal na gumagamit ang may access sa socket. Ang malamang na senaryo ng isang pag-atake ay ang pag-redirect ng ahente sa isang account na kinokontrol ng umaatake, o sa isang host kung saan ang pag-atake ay may root access.
Bukod dito, Ang sshd ay nagdagdag ng proteksyon laban sa napakalaking pagpasa ng parameter na may isang username sa PAM subsystem, kung saan pinapayagan na harangan ang mga kahinaan sa mga module ng PAM system (Pluggable Authentication Module). Halimbawa, pinipigilan ng pagbabago ang sshd na magamit bilang isang vector upang samantalahin ang isang kamakailang natukoy na kahinaan sa ugat sa Solaris (CVE-2020-14871).
Para sa bahagi ng mga pagbabago na maaaring masira ang pagiging tugma nabanggit na sAng sh at sshd ay muling gumawa ng isang pang-eksperimentong pangunahing pamamaraan ng palitan na lumalaban sa mabangis na pag-atake ng lakas sa isang computer na kabuuan.
Ang ginamit na pamamaraan ay batay sa NTRU Prime algorithm binuo para sa post-quantum cryptosystems at ang X25519 elliptic curve key exchange na pamamaraan. Sa halip na sntrup4591761x25519-sha512@tinyssh.org, ang pamamaraan ay nakilala ngayon bilang sntrup761x25519-sha512@openssh.com (sntrup4591761 algorithm ay pinalitan ng sntrup761).
Sa iba pang mga pagbabago na namumukod-tangi:
- Sa ssh at sshd, ang pagkakasunud-sunod ng advertising na suportado ng mga digital na algorithm ng lagda ay nabago. Ang una ngayon ay ED25519 sa halip na ECDSA.
- Sa ssh at sshd, ang mga setting ng TOS / DSCP QoS para sa mga interactive session ay itinakda na bago magtaguyod ng isang koneksyon sa TCP.
- Huminto sa pagsuporta ang Ssh at sshd sa rijndael-cbc@lysator.liu.se na naka-encrypt, na magkapareho sa aes256-cbc at ginamit bago ang RFC-4253.
- Ang Ssh, sa pamamagitan ng pagtanggap ng isang bagong key ng host, ay tinitiyak na ang lahat ng mga pangalan ng host at IP address na nauugnay sa susi ay ipinapakita.
- Sa ssh para sa mga key ng FIDO, ang isang paulit-ulit na kahilingan sa PIN ay ibinibigay sakaling mabigo ang pagpapatakbo ng digital signature dahil sa isang maling PIN at kawalan ng isang kahilingan sa PIN mula sa gumagamit (halimbawa, kung kailan hindi posible na makakuha ng tamang biometric manu-manong muling ipinasok ang data at ang aparato sa PIN).
- Nagdagdag ng suporta ang Sshd para sa karagdagang mga tawag sa system sa seccomp-bpf-based na sandboxing na mekanismo sa Linux.
Paano i-install ang OpenSSH 8.5 sa Linux?
Para sa mga interesadong ma-install ang bagong bersyon ng OpenSSH na ito sa kanilang mga system, sa ngayon kaya nila ito pagda-download ng source code ng ito at isinasagawa ang pagtitipon sa kanilang mga computer.
Ito ay dahil ang bagong bersyon ay hindi pa naisasama sa mga repository ng pangunahing pamamahagi ng Linux. Upang makuha ang source code, maaari mong gawin mula sa ang sumusunod na link.
Tapos na ang pag-download, ngayon ay ilalabas namin ang zip sa package gamit ang sumusunod na utos:
tar -xvf openssh-8.5.tar.gz
Ipinasok namin ang nilikha na direktoryo:
ang cd ay buksan-8.5
Y maaari tayong makipagsama ang mga sumusunod na utos:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install