Az OpenSSH 8.2 a 2FA hitelesítési tokenek támogatásával érkezik

A2F OpenSSH

Négy hónapos fejlesztés után a új verziója OpenSSH 8.2, amely egy nyílt kliens és szerver megvalósítás az SSH 2.0 és SFTP protokollok használatához. A legfontosabb fejlesztések az induláskor az OpenSSH által 8.2 feu a kétfaktoros hitelesítés használatának képessége eszközök használata amelyek támogatják az U2F protokollt a FIDO szövetség fejlesztette ki.

Az U2F lehetővé teszi olcsó hardver tokenek létrehozását a felhasználó fizikai jelenlétének megerősítésére, akinek interakciója USB-n, Bluetooth-on vagy NFC-n keresztül történik. Az ilyen eszközöket a kétfaktoros hitelesítés eszközeként népszerűsítik a webhelyeken, ezek már kompatibilisek az összes főbb böngészővel, és különféle gyártók, köztük a Yubico, a Feitian, a Thetis és a Kensington gyártják.

A felhasználó jelenlétét megerősítő eszközökkel való interakcióhoz Az OpenSSH két új típusú kulcsot adott hozzá: "ecdsa-sk" és "ed25519-sk", amelyek az ECDSA és az Ed25519 digitális aláírás algoritmusokat használják az SHA-256 hash-szal kombinálva.

A tokenekkel való interakció eljárásai átkerültek egy köztes könyvtárba, amely a PKCS # 11 támogatásának könyvtárával analóg módon van betöltve, és egy link a libfido2 könyvtárban, amely eszközöket biztosít a tokenekkel való kommunikációhoz USB-n keresztül (a FIDO U2F / CTAP 1 és a FIDO 2.0 / CTAP protokollokat ketten támogatják).

Az OpenSSH fejlesztők által készített libsk-libfido2 közbenső könyvtárés tartalmazza a libfido2 rendszermagot, valamint az OpenBSD HID illesztőprogramját.

A hitelesítéshez és a kulcsok előállításához meg kell adnia a "SecurityKeyProvider" paramétert a konfigurációban, vagy be kell állítania az SSH_SK_PROVIDER környezeti változót, megadva a libsk-libfido2.so külső könyvtár elérési útját.

Lehetőség van opensh készítésére beépített támogatással a középső réteg könyvtárához és ebben az esetben be kell állítania a "SecurityKeyProvider = internal" paramétert.

Ezenkívül alapértelmezés szerint kulcsfontosságú műveletek végrehajtása esetén a felhasználó fizikai jelenlétének helyi megerősítése szükséges, például javasoljuk, hogy érintse meg a token érzékelőjét, ami megnehezíti a távoli támadások végrehajtását csatlakoztatott tokennel rendelkező rendszerek ellen. .

Másrészt a Az OpenSSH bejelentette a közelgő áthelyezést az elavult algoritmusok kategóriájába, amelyek SHA-1 hash-t használnak. az ütközési támadások hatékonyságának növekedése miatt.

Az OpenSSH új algoritmusaira való áttérés megkönnyítése érdekében egy következő kiadásban: az UpdateHostKeys beállítás alapértelmezés szerint engedélyezve lesz, amely automatikusan megbízhatóbb algoritmusokra kapcsolja az ügyfeleket.

Megtalálható az OpenSSH 8.2-ben is, az "ssh-rsa" használatával továbbra is fennáll a kapcsolat lehetősége, de ez az algoritmus törlődik a CASignatureAlgorithms listáról, amely meghatározza az új tanúsítványok digitális aláírásához érvényes algoritmusokat.

Hasonlóképpen, a diffie-hellman-group14-sha1 algoritmust eltávolították az alapértelmezett kulcscsere algoritmusokból.

Az új verzióban kiemelkedő többi változás közül:

  • Az sshd_config fájlhoz hozzáadási irányelv került, amely lehetővé teszi más fájlok tartalmának a konfigurációs fájl aktuális pozíciójába való felvételét.
  • A PublishAuthOptions irányelv hozzá lett adva az sshd_config fájlhoz, amely a nyilvános kulcs hitelesítésével kapcsolatos különböző lehetőségeket ötvözi.
  • Az "-O write-attestation = / path" opció hozzáadva az ssh-keygen-hez, amely lehetővé teszi további FIDO tanúsítványok írását kulcsok előállításakor.
  • Az ssh-keygen hozzáadódott a PEM exportálásához a DSA és az ECDSA kulcsokhoz.
  • Hozzáadott egy új ssh-sk-helper futtatható fájlt, amely a FIDO / U2F token hozzáférési könyvtár elkülönítésére szolgál.

Hogyan telepítsem az OpenSSH 8.2-et Linuxra?

Azok számára, akik érdeklődnek az OpenSSH új verziójának telepítése iránt, egyelőre megtehetik ennek forráskódjának letöltése és az összeállítás elvégzése a számítógépeiken.

Az új verzió ugyanis még nem került be a fő Linux disztribúciók tárházába. Az OpenSSH 8.2 forráskódjának megszerzése. Ezt megteheti a alábbi linkre (a csomag megírása idején a csomag még nem áll rendelkezésre a tükrökön, és megemlítik, hogy még néhány órát igénybe vehet)

Kész a letöltés, most kibontjuk a csomagot a következő paranccsal:

tar -xvf openssh-8.2.tar.gz

Belépünk a létrehozott könyvtárba:

cd openssh-8.2

Y összeállíthatjuk a következő parancsokat:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: AB Internet Networks 2008 SL
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.