Вышел OpenSSH версии 8.5

3 марта вышла новая версия открытого клиента и сервера OpenSSH, над которой работали 5 месяцев — 8.5. Эта реализация работает с протоколами SSH 2.0 и SFTP.

Какие основные изменения?

Скоро алгоритмы с использованием хешей SHA-1 устареют, поэтому разработчики собираются отключить возможность использовать алгоритм цифровых подписей по открытому ключу ssh-rsa по умолчанию. Чтобы проверить использование ssh-rsa у себя, попробуйте подключиться по ssh с опцией “-oHostKeyAlgorithms=-ssh-rsa”.

Полного отказа от RSA-ключей не будет. Как альтернативу можно использовать связки rsa-sha2-256 и rsa-sha2-512

Чтобы переход на новые алгоритмы был мягче, в OpenSSH 8.5 по умолчанию включена UpdateHostKeys — эта настройка сама переводит клиенты на другие алгоритмы и включает расширение протокола [email protected], который даёт серверу сообщить клиенту все доступные ключи хоста после аутентификации. Клиент может указать ключи в ~/.ssh/known_hosts, что упростит смену ключей и поможет их обновить.

Есть такой ряд нюансов в использовании UpdateHostKeys, но их могут отменить:

  • ключ должен упоминаться в UserKnownHostsFile и не использоваться в GlobalKnownHostsFile; 
  • ключ должен присутствовать только под одним именем; 
  • не должен применяться сертификат хостового ключа; 
  • в known_hosts не должны применяться маски по имени хоста; 
  • должна быть отключена настройка VerifyHostKeyDNS; 
  • должен быть активен параметр UserKnownHostsFile.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *