Toleo la OpenSSH 8.8 limechapishwa, utekelezaji wazi wa mteja na seva kwa kufanya kazi kwa kutumia itifaki za SSH 2.0 na SFTP. Toleo hili linajulikana kwa kuzima kwa chaguo-msingi uwezo wa kutumia sahihi za dijitali kulingana na funguo za RSA zilizo na heshi ya SHA-1 (βssh-rsaβ).
Kusitishwa kwa usaidizi wa saini za "ssh-rsa" ni kutokana na kuongezeka kwa ufanisi wa mashambulizi ya mgongano na kiambishi awali kilichotolewa (gharama ya kuchagua mgongano inakadiriwa kuwa takriban $ 50 elfu). Ili kujaribu matumizi ya ssh-rsa kwenye mifumo yako, unaweza kujaribu kuunganisha kupitia ssh na chaguo la "-oHostKeyAlgorithms=-ssh-rsa". Usaidizi wa sahihi za RSA zilizo na SHA-256 na SHA-512 heshi (rsa-sha2-256/512), ambazo zimetumika tangu OpenSSH 7.2, bado hazijabadilika.
Katika hali nyingi, kukomesha usaidizi wa "ssh-rsa" hakutahitaji vitendo vyovyote vya mikono kutoka kwa watumiaji, kwa kuwa OpenSSH hapo awali ilikuwa na mipangilio ya UpdateHostKeys iliyowezeshwa kwa chaguomsingi, ambayo huhamisha wateja kiotomatiki hadi kwenye algoriti zinazotegemeka zaidi. Kwa uhamiaji, ugani wa itifaki "[barua pepe inalindwa]", kuruhusu seva, baada ya uthibitishaji, kumjulisha mteja kuhusu funguo zote za mwenyeji zinazopatikana. Iwapo utaunganishwa kwa wapangishaji na matoleo ya zamani sana ya OpenSSH kwenye upande wa mteja, unaweza kuchagua kurejesha uwezo wa kutumia sahihi za "ssh-rsa" kwa kuongeza ~/.ssh/config: Pandisha old_hostname HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms + ssh-rsa
Toleo jipya pia hutatua suala la usalama linalosababishwa na sshd, kuanzia na OpenSSH 6.2, kutoanzisha kikundi cha watumiaji ipasavyo wakati wa kutekeleza amri zilizobainishwa katika maagizo ya AuthorizedKeysCommand na AuthorizedPrincipalsCommand. Maagizo haya yalitakiwa kuruhusu amri kuendeshwa chini ya mtumiaji tofauti, lakini kwa kweli walirithi orodha ya vikundi vilivyotumika wakati wa kuendesha sshd. Uwezekano, tabia hii, mbele ya mipangilio fulani ya mfumo, iliruhusu kidhibiti kilichozinduliwa kupata mapendeleo ya ziada kwenye mfumo.
Dokezo jipya la toleo pia linajumuisha onyo kwamba scp itakuwa chaguomsingi kwa SFTP badala ya itifaki ya urithi ya SCP/RCP. SFTP hutumia mbinu zinazoweza kutabirika zaidi za kushughulikia majina na haitumii uchakataji wa ganda la ruwaza za globu katika majina ya faili kwenye upande wa seva pangishi nyingine, ambayo huzua matatizo ya usalama. Hasa, wakati wa kutumia SCP na RCP, seva huamua ni faili gani na saraka za kutuma kwa mteja, na mteja huangalia tu usahihi wa majina ya kitu kilichorejeshwa, ambayo, kwa kukosekana kwa ukaguzi sahihi kwa upande wa mteja, inaruhusu. seva ya kuhamisha majina mengine ya faili ambayo ni tofauti na yale yaliyoombwa. Itifaki ya SFTP haina matatizo haya, lakini haiauni upanuzi wa njia maalum kama vile "~/". Ili kushughulikia tofauti hii, toleo la awali la OpenSSH lilianzisha kiendelezi kipya cha itifaki ya SFTP kwa ~/ na ~user/ njia katika utekelezaji wa seva ya SFTP.
Chanzo: opennet.ru