Life is simple.You make choices and you don’t look back.
OpenSSH8.4已经发布更新,有需要的可以在文末下载。
OpenSSH 8.4 的一大变化是弃用 SHA-1 算法,ssh-rsa 公钥签名算法将在未来发布的版本中默认禁用。开发者称,对 SHA-1 算法发动选择前缀攻击的花费不到 5 万美元,因此他们决定未来默认将其禁用。虽然存在更好的替代,但 SHA-1 算法至今仍然被广泛使用。可选的替代算法包括:RFC8332 RSA SHA-2 签名算法 rsa-sha2-256/512;ssh-ed25519 签名算法;RFC5656 ECDSA 算法ecdsa-sha2-nistp256/384/521。
OpenSSH 是 100% 完整的 SSH 协议 2.0 版本的实现,并且包括 sftp 客户端和服务器支持,它用于远程登录的主要连接工具。OpenSSH 对所有流量进行加密,避免窃听、连接劫持等攻击。此外,OpenSSH 还提供了一整套安全隧道功能、多种身份验证方法和复杂的配置选项。
自 OpenSSH 8.3 以来的变更:
新特性
· 支持每次使用都需要输入 PIN 码的 FIDO 密钥,这些密钥通过应用了新的"verify-required"选项的 ssh-keygen 来生成,当使用需要 PIN 码的密钥时,会提示用户输入 PIN 码来完成签名操作
· authorized_keys 现在支持新的"verify-required"选项,要求 FIDO 签名断言令牌被验证,FIDO 协议支持多种用户验证方法,但目前 OpenSSH 只支持 PIN 验证
· 添加对验证 FIDO Webauthn 签名的支持,Webauthn 是在 Web 浏览器中使用 FIDO 密钥的标准
· -A 标志可显式启用 scp 和 sftp 中的代理转发
Bugfix
· 更好地支持多个附加的 FIDO 令牌
· 支持长度大于 256k 的 sshd_config 文件
· 针对 Xcode 12 的配置修复
此外, 由于 SHA-1 哈希算法被发现构造前缀碰撞攻击成本已降至低于 5 万美元(实际为 4.5 万美元),因此开发团队决定禁用 ssh-rsa 公钥签名算法。虽然存在更好的替代方案,但 SHA-1 算法至今仍然被广泛使用。部分替代方案包括 RFC8332 RSA SHA-2 签名算法 rsa-sha2-256/512、ssh-ed25519 签名算法与 RFC5656 ECDSA 算法。目前这些算法在 OpenSSH 中都已经支持。
本地下载:OpenSSH8.4p1.tar.gz
官方下载:OpenSSH8.4p1.tar.gz (比较慢,推荐本地下载)
传送门:升级OpenSSH 8.4p1的详细图文步骤【附安装包、脚本】
Every day is beautiful if you choose to see it
随机数:906723498938
本文来源于:https://www.fcblog.cn/post/53.html
