經過五個月的發展,介紹了OpenSSH 8.5的發行版 伴隨著 OpenSSH開發人員回想起即將轉移到使用SHA-1哈希的過時算法類別中, 由於具有給定前綴的碰撞攻擊的效率更高(碰撞選擇的成本估計約為50萬美元)。
在下一個版本中,計劃默認禁用使用公鑰數字簽名算法“ ssh-rsa”的功能,它在SSH協議的原始RFC中提到,並且在實踐中仍被廣泛使用。
為了順利過渡到OpenSSH 8.5中的新算法,請配置 默認情況下,UpdateHostKeys已啟用, 什麼 使您可以自動將客戶端切換到更可靠的算法。
此設置啟用特殊的協議擴展名“ hostkeys@openssh.com”,該擴展名允許服務器在通過身份驗證後將所有可用的主機密鑰通知客戶端。 客戶端可以在〜/ .ssh / known_hosts文件中反映這些密鑰,從而可以組織主機密鑰更新並輕鬆更改服務器上的密鑰。
此外, 修復了由於重新釋放已釋放的內存區域而導致的漏洞 在ssh-agent中。 自從OpenSSH 8.2發行以來,該問題就很明顯了,如果攻擊者可以訪問本地系統上的ssh代理套接字,則有可能被利用。 使事情變得複雜的是,只有root用戶和原始用戶才能訪問套接字。 攻擊最可能的情況是將代理重定向到攻擊者控制的帳戶,或者重定向到攻擊者俱有root訪問權的主機。
另外, sshd增加了防止超大參數傳遞的保護 帶有PAM子系統的用戶名, 允許阻止PAM系統模塊中的漏洞 (可插入身份驗證模塊)。 例如,此更改阻止sshd用作利用Solaris中最近發現的根漏洞的媒介(CVE-2020-14871)。
對於可能破壞兼容性的部分更改,提到了ssh和sshd重新設計了一種實驗性的密鑰交換方法 可以抵抗量子計算機上的暴力攻擊。
使用的方法基於NTRU Prime算法 開髮用於後量子密碼系統和X25519橢圓曲線密鑰交換方法。 該方法現在標識為sntrup4591761x25519-sha512@openssh.com,而不是sntrup761x25519-sha512@tinyssh.org(sntrup4591761算法已由sntrup761代替)。
在其他突出的變化中:
- 在ssh和sshd中,廣告支持的數字簽名算法的順序已更改。 現在,第一個是ED25519,而不是ECDSA。
- 在ssh和sshd中,現在在建立TCP連接之前設置交互式會話的TOS / DSCP QoS設置。
- SSH和SSHD已停止支持rijndael-cbc@lysator.liu.se加密,該加密與aes256-cbc相同,並且在RFC-4253之前使用。
- 通過接受新的主機密鑰,Ssh可以確保顯示與該密鑰關聯的所有主機名和IP地址。
- 在用於FIDO密鑰的ssh中,如果由於不正確的PIN和用戶缺少PIN請求而導致數字簽名操作失敗(例如,當無法獲得正確的生物識別信息時),則會提供重複的PIN請求數據,然後設備手動重新輸入PIN)。
- Sshd在Linux中基於seccomp-bpf的沙箱機制中增加了對其他系統調用的支持。
如何在Linux上安裝OpenSSH 8.5?
對於那些對能夠在其係統上安裝此新版本的OpenSSH感興趣的人, 現在他們可以做到 下載此源代碼並 在他們的計算機上執行編譯。
這是因為新版本尚未包含在主要Linux發行版的存儲庫中。 要獲取源代碼,您可以從 以下鏈接.
完成下載, 現在,我們將使用以下命令解壓縮該軟件包:
tar -xvf openssh-8.5.tar.gz
我們輸入創建的目錄:
光盤openssh-8.5
Y 我們可以用 以下命令:
./configure --prefix = / opt --sysconfdir = / etc / ssh進行安裝