Το OpenSSH 8.5 φτάνει με το UpdateHostKeys, διορθώσεις και άλλα

DarkcriztΕνημερώθηκε στις

Δεν υπάρχουν σχόλια

Μετά από πέντε μήνες ανάπτυξης, παρουσιάζεται η έκδοση του OpenSSH 8.5 μαζί με το οποίο Οι προγραμματιστές του OpenSSH υπενθύμισαν την επερχόμενη μεταφορά στην κατηγορία των παρωχημένων αλγορίθμων που χρησιμοποιούν SHA-1 κατακερματισμούς, λόγω της μεγαλύτερης αποτελεσματικότητας των επιθέσεων σύγκρουσης με ένα δεδομένο πρόθεμα (το κόστος της επιλογής σύγκρουσης εκτιμάται σε περίπου 50 χιλιάδες δολάρια).

Σε μία από τις επόμενες εκδόσεις, σχεδιάστε να απενεργοποιήσετε από προεπιλογή τη δυνατότητα χρήσης του αλγορίθμου ψηφιακής υπογραφής δημόσιου κλειδιού "ssh-rsa", το οποίο αναφέρεται στο πρωτότυπο RFC για το πρωτόκολλο SSH και εξακολουθεί να χρησιμοποιείται ευρέως στην πράξη.

Για την ομαλή μετάβαση σε νέους αλγόριθμους στο OpenSSH 8.5, η διαμόρφωση Το UpdateHostKeys είναι ενεργοποιημένο από προεπιλογή, τι σας επιτρέπει να αλλάζετε αυτόματα πελάτες σε πιο αξιόπιστους αλγόριθμους.

Αυτή η ρύθμιση επιτρέπει μια ειδική επέκταση πρωτοκόλλου "hostkeys@openssh.com", η οποία επιτρέπει στον διακομιστή, αφού περάσει τον έλεγχο ταυτότητας, να ενημερώσει τον πελάτη για όλα τα διαθέσιμα κλειδιά κεντρικού υπολογιστή. Ο πελάτης μπορεί να απεικονίσει αυτά τα κλειδιά στο αρχείο ~ / .ssh / known_hosts, το οποίο επιτρέπει την οργάνωση ενημερώσεων κλειδιών κεντρικού υπολογιστή και διευκολύνει την αλλαγή κλειδιών στο διακομιστή.

Επιπλέον, διόρθωσε μια ευπάθεια που προκαλείται από την απελευθέρωση μιας ήδη απελευθερωμένης περιοχής μνήμης στο ssh-πράκτορα. Το πρόβλημα ήταν προφανές από την κυκλοφορία του OpenSSH 8.2 και θα μπορούσε ενδεχομένως να αξιοποιηθεί εάν ο εισβολέας έχει πρόσβαση στην υποδοχή ssh agent στο τοπικό σύστημα. Για να περιπλέξει τα πράγματα, μόνο ο root και ο αρχικός χρήστης έχουν πρόσβαση στην υποδοχή. Το πιο πιθανό σενάριο μιας επίθεσης είναι η ανακατεύθυνση του πράκτορα σε έναν λογαριασμό που ελέγχεται από τον εισβολέα ή σε έναν κεντρικό υπολογιστή όπου ο εισβολέας έχει πρόσβαση root.

Επιπλέον, Το sshd έχει προσθέσει προστασία από πολύ μεγάλες παραμέτρους που περνούν με όνομα χρήστη στο υποσύστημα PAM, το οποίο επιτρέπει τον αποκλεισμό τρωτών σημείων στις μονάδες του συστήματος PAM (Ενσωματωμένη μονάδα ελέγχου ταυτότητας). Για παράδειγμα, η αλλαγή αποτρέπει τη χρήση του sshd ως φορέα για την εκμετάλλευση μιας ευπάθειας ρίζας που εντοπίστηκε πρόσφατα στο Solaris (CVE-2020-14871).

Για το μέρος των αλλαγών που ενδέχεται να σπάσουν τη συμβατότητα αναφέρεται ότι είναιΟι sh και sshd έχουν επεξεργαστεί εκ νέου μια πειραματική μέθοδο ανταλλαγής κλειδιών το οποίο είναι ανθεκτικό σε βίαιες επιθέσεις σε έναν κβαντικό υπολογιστή.

Η μέθοδος που χρησιμοποιείται βασίζεται στον αλγόριθμο NTRU Prime αναπτύχθηκε για μετα-κβαντικά κρυπτοσυστήματα και τη μέθοδο ανταλλαγής κλειδιού ελλειπτικής καμπύλης X25519. Αντί του sntrup4591761x25519-sha512@tinyssh.org, η μέθοδος αναγνωρίζεται πλέον ως sntrup761x25519-sha512@openssh.com (ο αλγόριθμος sntrup4591761 έχει αντικατασταθεί από sntrup761).

Από τις άλλες αλλαγές που ξεχωρίζουν:

  • Στα ssh και sshd, η σειρά των αλγορίθμων ψηφιακής υπογραφής που υποστηρίζονται από διαφημίσεις άλλαξε. Το πρώτο είναι τώρα το ED25519 αντί του ECDSA.
  • Στα ssh και sshd, οι ρυθμίσεις TOS / DSCP QoS για διαδραστικές συνεδρίες έχουν πλέον οριστεί πριν από τη δημιουργία σύνδεσης TCP.
  • Οι Ssh και sshd έχουν σταματήσει να υποστηρίζουν την κρυπτογράφηση rijndael-cbc@lysator.liu.se, η οποία είναι πανομοιότυπη με το aes256-cbc και χρησιμοποιήθηκε πριν από το RFC-4253.
  • Το Ssh, αποδεχόμενος ένα νέο κλειδί κεντρικού υπολογιστή, διασφαλίζει ότι εμφανίζονται όλα τα ονόματα κεντρικών υπολογιστών και οι διευθύνσεις IP που σχετίζονται με το κλειδί.
  • Σε ssh για κλειδιά FIDO, παρέχεται ένα επαναλαμβανόμενο αίτημα PIN σε περίπτωση αποτυχίας στη λειτουργία ψηφιακής υπογραφής λόγω λανθασμένου PIN και έλλειψης αιτήματος PIN από το χρήστη (για παράδειγμα, όταν δεν ήταν δυνατή η απόκτηση σωστού βιομετρικού στοιχείου δεδομένα και η συσκευή εισήγαγαν ξανά το PIN με μη αυτόματο τρόπο).
  • Το Sshd προσθέτει υποστήριξη για πρόσθετες κλήσεις συστήματος στον μηχανισμό sandboxing που βασίζεται σε seccomp-bpf στο Linux.

Πώς να εγκαταστήσετε το OpenSSH 8.5 σε Linux;

Για όσους ενδιαφέρονται να εγκαταστήσουν αυτήν τη νέα έκδοση του OpenSSH στα συστήματά τους, για τώρα μπορούν να το κάνουν λήψη του πηγαίου κώδικα αυτού και εκτελούν τη συλλογή στους υπολογιστές τους.

Αυτό συμβαίνει επειδή η νέα έκδοση δεν έχει ακόμη συμπεριληφθεί στα αποθετήρια των κύριων διανομών Linux. Για να λάβετε τον πηγαίο κώδικα, μπορείτε να το κάνετε από τον ακόλουθο σύνδεσμο.

Έγινε η λήψη, τώρα θα αποσυμπιέσουμε το πακέτο με την ακόλουθη εντολή:

tar -xvf ανοίγει -8.5.tar.gz

Μπαίνουμε στον δημιουργημένο κατάλογο:

cd ανοίγει-8.5

Y μπορούμε να συντάξουμε με τις ακόλουθες εντολές:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

Γίνε ο πρώτος που θα σχολιάσει

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.