Sau năm tháng phát triển, bản phát hành OpenSSH 8.5 được trình bày cùng với đó Các nhà phát triển OpenSSH đã nhắc lại việc chuyển giao sắp tới sang danh mục các thuật toán lỗi thời sử dụng hàm băm SHA-1, do hiệu quả cao hơn của các cuộc tấn công va chạm với một tiền tố nhất định (chi phí của việc lựa chọn va chạm được ước tính vào khoảng 50 nghìn đô la).
Trong một trong những phiên bản tiếp theo, có kế hoạch tắt theo mặc định khả năng sử dụng thuật toán chữ ký số khóa công khai "ssh-rsa", được đề cập trong RFC ban đầu cho giao thức SSH và vẫn còn rất phổ biến trong thực tế.
Để chuyển đổi mượt mà sang các thuật toán mới trong OpenSSH 8.5, cấu hình UpdateHostKeys được bật theo mặc định, gì cho phép bạn tự động chuyển đổi máy khách sang các thuật toán đáng tin cậy hơn.
Cài đặt này cho phép một phần mở rộng giao thức đặc biệt "hostkeys@openssh.com", cho phép máy chủ, sau khi vượt qua xác thực, thông báo cho máy khách về tất cả các khóa máy chủ hiện có. Máy khách có thể phản ánh các khóa này trong tệp ~ / .ssh / known_hosts của nó, cho phép tổ chức cập nhật khóa máy chủ và giúp dễ dàng thay đổi khóa trên máy chủ.
Hơn nữa, đã sửa một lỗ hổng do giải phóng lại vùng bộ nhớ đã được giải phóng trong ssh-agent. Vấn đề đã rõ ràng kể từ khi phát hành OpenSSH 8.2 và có khả năng bị khai thác nếu kẻ tấn công có quyền truy cập vào ổ cắm tác nhân ssh trên hệ thống cục bộ. Để làm phức tạp mọi thứ, chỉ root và người dùng ban đầu mới có quyền truy cập vào socket. Kịch bản có khả năng xảy ra nhất của một cuộc tấn công là chuyển hướng tác nhân đến tài khoản do kẻ tấn công kiểm soát hoặc đến một máy chủ mà kẻ tấn công có quyền truy cập root.
Bên cạnh đó, sshd đã thêm bảo vệ chống lại việc truyền tham số rất lớn với tên người dùng vào hệ thống con PAM, cho phép chặn các lỗ hổng trong các mô-đun của hệ thống PAM (Mô-đun xác thực có thể cài đặt). Ví dụ: thay đổi ngăn sshd được sử dụng làm vectơ để khai thác lỗ hổng gốc được xác định gần đây trong Solaris (CVE-2020-14871).
Đối với một phần của những thay đổi có khả năng phá vỡ khả năng tương thích, người ta đề cập rằng ssh và sshd đã làm lại một phương pháp trao đổi khóa thử nghiệm có khả năng chống lại các cuộc tấn công vũ phu vào máy tính lượng tử.
Phương pháp được sử dụng dựa trên thuật toán NTRU Prime được phát triển cho các hệ mật mã hậu lượng tử và phương pháp trao đổi khóa đường cong elliptic X25519. Thay vì sntrup4591761x25519-sha512@tinyssh.org, phương thức hiện được xác định là sntrup761x25519-sha512@openssh.com (thuật toán sntrup4591761 đã được thay thế bằng sntrup761).
Trong số những thay đổi khác nổi bật:
- Trong ssh và sshd, thứ tự của các thuật toán chữ ký số được hỗ trợ quảng cáo đã được thay đổi. Đầu tiên bây giờ là ED25519 thay vì ECDSA.
- Trong ssh và sshd, cài đặt TOS / DSCP QoS cho các phiên tương tác hiện được đặt trước khi thiết lập kết nối TCP.
- Ssh và sshd đã ngừng hỗ trợ mã hóa rijndael-cbc@lysator.liu.se, giống với aes256-cbc và được sử dụng trước RFC-4253.
- Ssh, bằng cách chấp nhận một khóa máy chủ mới, đảm bảo rằng tất cả các tên máy chủ và địa chỉ IP được liên kết với khóa đều được hiển thị.
- Trong ssh dành cho khóa FIDO, yêu cầu mã PIN lặp lại được cung cấp trong trường hợp hoạt động chữ ký điện tử không thành công do mã PIN không chính xác và thiếu yêu cầu mã PIN từ người dùng (ví dụ: khi không thể lấy sinh trắc học chính xác dữ liệu và thiết bị đã nhập lại mã PIN theo cách thủ công).
- Sshd bổ sung hỗ trợ cho các lệnh gọi hệ thống bổ sung cho cơ chế hộp cát dựa trên seccomp-bpf trên Linux.
Làm thế nào để cài đặt OpenSSH 8.5 trên Linux?
Đối với những người quan tâm đến việc có thể cài đặt phiên bản OpenSSH mới này trên hệ thống của họ, bây giờ họ có thể làm điều đó tải xuống mã nguồn của cái này và thực hiện biên dịch trên máy tính của họ.
Điều này là do phiên bản mới vẫn chưa được đưa vào kho của các bản phân phối Linux chính. Để lấy mã nguồn, bạn có thể làm từ liên kết sau.
Đã tải xong, bây giờ chúng ta sẽ giải nén gói bằng lệnh sau:
tar -xvf openssh-8.5.tar.gz
Chúng tôi nhập thư mục đã tạo:
cd openssh-8.5
Y chúng tôi có thể biên dịch với các lệnh sau:
./configure --prefix = / opt --sysconfdir = / etc / ssh thực hiện cài đặt