Négy hónapos fejlesztés után a új verziója OpenSSH 8.2, amely egy nyílt kliens és szerver megvalósítás az SSH 2.0 és SFTP protokollok használatához. A legfontosabb fejlesztések az induláskor az OpenSSH által 8.2 feu a kétfaktoros hitelesítés használatának képessége eszközök használata amelyek támogatják az U2F protokollt a FIDO szövetség fejlesztette ki.
Az U2F lehetővé teszi olcsó hardver tokenek létrehozását a felhasználó fizikai jelenlétének megerősítésére, akinek interakciója USB-n, Bluetooth-on vagy NFC-n keresztül történik. Az ilyen eszközöket a kétfaktoros hitelesítés eszközeként népszerűsítik a webhelyeken, ezek már kompatibilisek az összes főbb böngészővel, és különféle gyártók, köztük a Yubico, a Feitian, a Thetis és a Kensington gyártják.
A felhasználó jelenlétét megerősítő eszközökkel való interakcióhoz Az OpenSSH két új típusú kulcsot adott hozzá: "ecdsa-sk" és "ed25519-sk", amelyek az ECDSA és az Ed25519 digitális aláírás algoritmusokat használják az SHA-256 hash-szal kombinálva.
A tokenekkel való interakció eljárásai átkerültek egy köztes könyvtárba, amely a PKCS # 11 támogatásának könyvtárával analóg módon van betöltve, és egy link a libfido2 könyvtárban, amely eszközöket biztosít a tokenekkel való kommunikációhoz USB-n keresztül (a FIDO U2F / CTAP 1 és a FIDO 2.0 / CTAP protokollokat ketten támogatják).
Az OpenSSH fejlesztők által készített libsk-libfido2 közbenső könyvtárés tartalmazza a libfido2 rendszermagot, valamint az OpenBSD HID illesztőprogramját.
A hitelesítéshez és a kulcsok előállításához meg kell adnia a "SecurityKeyProvider" paramétert a konfigurációban, vagy be kell állítania az SSH_SK_PROVIDER környezeti változót, megadva a libsk-libfido2.so külső könyvtár elérési útját.
Lehetőség van opensh készítésére beépített támogatással a középső réteg könyvtárához és ebben az esetben be kell állítania a "SecurityKeyProvider = internal" paramétert.
Ezenkívül alapértelmezés szerint kulcsfontosságú műveletek végrehajtása esetén a felhasználó fizikai jelenlétének helyi megerősítése szükséges, például javasoljuk, hogy érintse meg a token érzékelőjét, ami megnehezíti a távoli támadások végrehajtását csatlakoztatott tokennel rendelkező rendszerek ellen. .
Másrészt a Az OpenSSH bejelentette a közelgő áthelyezést az elavult algoritmusok kategóriájába, amelyek SHA-1 hash-t használnak. az ütközési támadások hatékonyságának növekedése miatt.
Az OpenSSH új algoritmusaira való áttérés megkönnyítése érdekében egy következő kiadásban: az UpdateHostKeys beállítás alapértelmezés szerint engedélyezve lesz, amely automatikusan megbízhatóbb algoritmusokra kapcsolja az ügyfeleket.
Megtalálható az OpenSSH 8.2-ben is, az "ssh-rsa" használatával továbbra is fennáll a kapcsolat lehetősége, de ez az algoritmus törlődik a CASignatureAlgorithms listáról, amely meghatározza az új tanúsítványok digitális aláírásához érvényes algoritmusokat.
Hasonlóképpen, a diffie-hellman-group14-sha1 algoritmust eltávolították az alapértelmezett kulcscsere algoritmusokból.
Az új verzióban kiemelkedő többi változás közül:
- Az sshd_config fájlhoz hozzáadási irányelv került, amely lehetővé teszi más fájlok tartalmának a konfigurációs fájl aktuális pozíciójába való felvételét.
- A PublishAuthOptions irányelv hozzá lett adva az sshd_config fájlhoz, amely a nyilvános kulcs hitelesítésével kapcsolatos különböző lehetőségeket ötvözi.
- Az "-O write-attestation = / path" opció hozzáadva az ssh-keygen-hez, amely lehetővé teszi további FIDO tanúsítványok írását kulcsok előállításakor.
- Az ssh-keygen hozzáadódott a PEM exportálásához a DSA és az ECDSA kulcsokhoz.
- Hozzáadott egy új ssh-sk-helper futtatható fájlt, amely a FIDO / U2F token hozzáférési könyvtár elkülönítésére szolgál.
Hogyan telepítsem az OpenSSH 8.2-et Linuxra?
Azok számára, akik érdeklődnek az OpenSSH új verziójának telepítése iránt, egyelőre megtehetik ennek forráskódjának letöltése és az összeállítás elvégzése a számítógépeiken.
Az új verzió ugyanis még nem került be a fő Linux disztribúciók tárházába. Az OpenSSH 8.2 forráskódjának megszerzése. Ezt megteheti a alábbi linkre (a csomag megírása idején a csomag még nem áll rendelkezésre a tükrökön, és megemlítik, hogy még néhány órát igénybe vehet)
Kész a letöltés, most kibontjuk a csomagot a következő paranccsal:
tar -xvf openssh-8.2.tar.gz
Belépünk a létrehozott könyvtárba:
cd openssh-8.2
Y összeállíthatjuk a következő parancsokat:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install