Вышел OpenSSH версии 8.5
3 марта вышла новая версия открытого клиента и сервера OpenSSH, над которой работали 5 месяцев — 8.5. Эта реализация работает с протоколами SSH 2.0 и SFTP.
Какие основные изменения?
Скоро алгоритмы с использованием хешей SHA-1 устареют, поэтому разработчики собираются отключить возможность использовать алгоритм цифровых подписей по открытому ключу ssh-rsa по умолчанию. Чтобы проверить использование ssh-rsa у себя, попробуйте подключиться по ssh с опцией “-oHostKeyAlgorithms=-ssh-rsa”.
Полного отказа от RSA-ключей не будет. Как альтернативу можно использовать связки rsa-sha2-256 и rsa-sha2-512
Чтобы переход на новые алгоритмы был мягче, в OpenSSH 8.5 по умолчанию включена UpdateHostKeys — эта настройка сама переводит клиенты на другие алгоритмы и включает расширение протокола [email protected], который даёт серверу сообщить клиенту все доступные ключи хоста после аутентификации. Клиент может указать ключи в ~/.ssh/known_hosts, что упростит смену ключей и поможет их обновить.
Есть такой ряд нюансов в использовании UpdateHostKeys, но их могут отменить:
- ключ должен упоминаться в UserKnownHostsFile и не использоваться в GlobalKnownHostsFile;
- ключ должен присутствовать только под одним именем;
- не должен применяться сертификат хостового ключа;
- в known_hosts не должны применяться маски по имени хоста;
- должна быть отключена настройка VerifyHostKeyDNS;
- должен быть активен параметр UserKnownHostsFile.