OpenSSH 9.9 kommer med understøttelse af en ny post-kvante hybridnøgle, forbedringer og mere

OpenSSH giver et rigt sæt af sikre tunneling-funktioner

Meddelte lanceringen af ny version af OpenSSH 9.9, en open source klient- og serverløsning, der fungerer over SSH 2.0- og SFTP-protokollerne. Den nye version fremhæves af tilføjet understøttelse af kvantebestandig nøgleudveksling, politikforbedringer, randomisering af forbindelsestimeout, rettelser og mere.

Det skal bemærkes, at OpenSSH har annonceret fuldstændig fjernelse af support til signaturalgoritmen DSA i begyndelsen af ​​2025. I denne version er DSA allerede deaktiveret som standard under kompilering. Selvom OpenSSH har deaktiveret DSA-nøgler som standard siden 2015, har den stadig opretholdt valgfri runtime-understøttelse, fordi DSA i SSHv2 RFC'erne var den eneste obligatoriske algoritme.

I øjeblikket er DSA kun tilgængelig, hvis den er aktiveret ved build, og support vil blive fjernet helt i den første udgivelse af OpenSSH i 2025.

Hvad er nyt i OpenSSH 9.9

OpenSSH 9.9 introducerer forbedringer i ssh og sshd klient og server, siden understøtter nu hybridalgoritme nøgleudveksling kaldet mlkem768x25519-sha256, som kombinerer X25519 ECDH med ML-KEM (en del af CRYSTALS-Kyber standarden). Algoritmen er designet til at være sikret både mod kvantecomputerangreb som konventionel, takket være brugen af ​​kryptografiske teknikker baseret på løsning af netværksteoretiske problemer.

Det har været tilføjet "RefuseConnection" i sshd_config-konfigurationsfilen. Denne mulighed forårsager sshd lukke forbindelsen efter det første mislykkede godkendelsesforsøg. Derudover er klassen "refuseconnection" blevet oprettet, brugt i PerSourcePenalties-direktivet, som aktiveres, når en forbindelse afbrydes under denne politik.

Ud over dette er den ssh-klienten er holdt op med at understøtte datakomprimering før godkendelse, da denne funktion udvidede angrebsfladen på SSH-servere, tillade mulige sårbarheder ved indirekte at analysere de oplysninger, der udveksles under godkendelsesprocessen. Forkomprimering var allerede tidligere blevet deaktiveret på sshd-serveren.

i ssh som i sshd, mere avancerede regler bruges nu til analyse af argumenterne i "Match"-direktivet, ligner dem i en skal. Disse regler giver dig mulighed for at arbejde med citerede strenge, herunder indlejring og muligheden for at undslippe tegn såsom "\." I konfigurationsfilen ssh_config, "Inkluder"-direktivet er blevet opdateret til at understøtte miljøvariabler og "%," substitutioner, svarende til hvordan "Match Exec-direktivet" opfører sig.

Af andre ændringer der skiller sig ud:

  • I sshd_config er der tilføjet en mulighed for at aktivere "Match"-politikken, når du forsøger at logge på med et ugyldigt brugernavn, hvilket forbedrer håndteringen af ​​uautoriseret adgang.
  • Den hybride nøgleudvekslingsalgoritme Strømlinet NTRUprime/X25519 har nu et mere brugervenligt alternativt navn: sntrup761x25519-sha512, ud over dets fulde tekniske navn sntrup761x25519-sha512@openssh.com.
  • Et ekstra lag af beskyttelse mod tab af private nøgler i væsentlige filer er blevet indbygget i komponenter ssh, sshd og ssh-agent, tilgængelig på OpenBSD, Linux og FreeBSD-systemer.
  • Nøgleadministration er blevet opdateret for at drage fordel af EVP_PKEY API fra libcrypto-biblioteket, hvilket forbedrer nøgleadministration og øger sikkerheden.
  • Tilføjet en tilfældig ændring af forbindelsestimeoutet (LoginGraceTime) inden for et område på 4 sekunder i sshd, hvilket gør det vanskeligt nøjagtigt at detektere, hvornår timeoutet udløber, hvilket øger sikkerheden mod hackingangreb

Endelig denne version løser flere problemer relateret til kodekompilering ved hjælp af Musl-biblioteket, som forbedrer dets kompatibilitet med visse udviklingsmiljøer.

Hvis du er interesseret i at lære mere om det, kan du se detaljerne på følgende link.

Hvordan installeres OpenSSH på Linux?

For dem der er interesserede i at kunne installere denne nye version af OpenSSH på deres systemer, for nu kan de gøre det downloade kildekoden til dette og udfører kompilering på deres computere.

Dette skyldes, at den nye version endnu ikke er inkluderet i arkiverne til de vigtigste Linux-distributioner. For at få kildekoden kan du gøre fra følgende link.

Udførte download, nu skal vi pakke pakken ud med følgende kommando:

tar -xvf openssh -9.9.tar.gz

Vi går ind i den oprettede mappe:

cd openssh-9.9

Y vi kan kompilere med følgende kommandoer:

./configure --prefix = / opt --sysconfdir = / etc / ssh gør make install

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.