Bidh OpenSSH 8.5 a ’ruighinn le UpdateHostKeys, fix agus barrachd

Às deidh còig mìosan de leasachadh, tha sgaoileadh OpenSSH 8.5 air a thaisbeanadh cuide ri dè Chuimhnich luchd-leasachaidh OpenSSH air a ’ghluasad a bha ri thighinn chun roinn de algorithms seann-fhasanta a bhios a’ cleachdadh hashes SHA-1, mar thoradh air èifeachdas nas motha de ionnsaighean bualadh le ro-leasachan sònraichte (thathas a ’meas gu bheil cosgais taghadh nan tubaistean timcheall air 50 mìle dolar).

Ann an aon de na h-ath dreachan, dèan plana gus an comas algairim ainm-sgrìobhte didseatach iuchair phoblach "ssh-rsa" a chleachdadh, a tha air ainmeachadh anns an RFC tùsail airson protocol SSH agus a tha fhathast air a chleachdadh gu farsaing ann an cleachdadh.

Gus an gluasad gu algorithm ùra a dhèanamh rèidh ann an OpenSSH 8.5, an rèiteachadh Tha UpdateHostKeys air a chomasachadh gu bunaiteach, dè a ’leigeil leat teachdaichean atharrachadh gu algorithm nas earbsaiche.

Tha an suidheachadh seo a ’comasachadh leudachadh protocol sònraichte“ hostkeys@openssh.com ”, a leigeas leis an fhrithealaiche, às deidh dha a dhol seachad air dearbhadh, innse don neach-cleachdaidh mu na h-iuchraichean aoigheachd a tha rim faighinn. Faodaidh an neach-dèiligidh na h-iuchraichean sin a nochdadh anns an fhaidhle ~ / .ssh / known_hosts aca, a leigeas le bhith ag eagrachadh prìomh ùrachaidhean aoigheachd agus ga dhèanamh furasta iuchraichean atharrachadh air an fhrithealaiche.

Air an làimh eile, socraich so-leòntachd air adhbhrachadh le bhith ag ath-shaoradh àite cuimhne a chaidh a shaoradh mu thràth ann an ssh-agent. Tha an duilgheadas air a bhith follaiseach bho chaidh OpenSSH 8.2 a leigeil ma sgaoil agus dh ’fhaodadh e a bhith air a chleachdadh ma tha cothrom aig an neach-ionnsaigh air socaid àidseant ssh air an t-siostam ionadail. Gus cùisean a dhèanamh duilich, chan eil ach an fhreumh agus an neach-cleachdaidh tùsail a ’faighinn cothrom air an t-socaid. Is e an suidheachadh as coltaiche de ionnsaigh ath-stiùireadh an àidseant gu cunntas a tha fo smachd an neach-ionnsaigh, no gu aoigh far a bheil ruigsinneachd aig an neach-ionnsaigh.

Cuideachd, tha sshd air dìon a chuir ris an aghaidh paramadair glè mhòr a ’dol seachad le ainm-cleachdaiche gu fo-shiostam PAM, a a ’ceadachadh cugallachd a bhacadh ann am modalan an t-siostam PAM (Modal Dearbhaidh Pluggable). Mar eisimpleir, tha an t-atharrachadh a ’cur casg air sshd a bhith air a chleachdadh mar vectar gus brath a ghabhail air so-leòntachd a chaidh ainmeachadh o chionn ghoirid ann an Solaris (CVE-2020-14871).

Airson a ’phàirt de na h-atharrachaidhean a dh’ fhaodadh a bhith a ’briseadh co-fhreagarrachd tha e air ainmeachadh gu bheil stha sh agus sshd air modh iomlaid iuchrach deuchainneach ath-obrachadh a tha an aghaidh ionnsaighean feachd brùideil air coimpiutair cuantamach.

Tha an dòigh a chaidh a chleachdadh stèidhichte air algorithm NTRU Prime air a leasachadh airson cryptosystems post-quantum agus modh iomlaid prìomh lùb elliptic X25519. An àite sntrup4591761x25519-sha512@tinyssh.org, tha am modh a-nis air a chomharrachadh mar sntrup761x25519-sha512@openssh.com (chaidh sntrup4591761 a chur an àite algorithm sntrup761).

De na h-atharrachaidhean eile a tha a ’seasamh a-mach:

  • Ann an ssh agus sshd, chaidh òrdugh sanasachd algorithm taic didseatach atharrachadh. Is e a ’chiad fhear a-nis ED25519 an àite ECDSA.
  • Ann an ssh agus sshd, tha na roghainnean TOS / DSCP QoS airson seiseanan eadar-ghnìomhach a-nis air an suidheachadh mus tèid ceangal TCP a stèidheachadh.
  • Tha Ssh agus sshd air stad a chuir taic ris a ’chrioptachadh rijndael-cbc@lysator.liu.se, a tha co-ionann ri aes256-cbc agus a chaidh a chleachdadh ro RFC-4253.
  • Bidh Ssh, le bhith a ’gabhail ri iuchair aoigheachd ùr, a’ dèanamh cinnteach gu bheil gach ainm aoigheachd agus seòladh IP co-cheangailte ris an iuchair air a thaisbeanadh.
  • Ann an ssh airson iuchraichean FIDO, tha iarrtas PIN a-rithist air a thoirt seachad ma dh ’fhàillig ann an obrachadh ainm-sgrìobhte didseatach mar thoradh air PIN ceàrr agus dìth iarrtas PIN bhon neach-cleachdaidh (mar eisimpleir, nuair nach robh e comasach biometric ceart fhaighinn chaidh dàta agus an inneal a-steach a-rithist am PIN).
  • Bidh Sshd a ’cur taic ri gairmean siostaim a bharrachd ris an dòigh bogsa gainmhich stèidhichte air seccomp-bpf ann an Linux.

Mar a stàlaicheas tu OpenSSH 8.5 air Linux?

Dhaibhsan aig a bheil ùidh ann a bhith comasach air an dreach ùr seo de OpenSSH a stàladh air na siostaman aca, airson a-nis is urrainn dhaibh a dhèanamh a ’luchdachadh sìos còd stòr seo agus a ’coileanadh an cothlamadh air na coimpiutairean aca.

Tha seo air sgàth nach deach an dreach ùr a thoirt a-steach fhathast ann an stòran nam prìomh sgaoilidhean Linux. Gus an còd stòr fhaighinn, faodaidh tu a dhèanamh bho an ceangal a leanas.

Rinn thu an luchdachadh sìos, a-nis tha sinn a ’dol a unzip a’ phacaid leis an àithne a leanas:

tar -xvf openssh-8.5.tar.gz

Bidh sinn a ’dol a-steach don chlàr cruthaichte:

cd openssh-8.5

Y is urrainn dhuinn cur ri chèile na h-òrdughan a leanas:

./configure --prefix = / opt --sysconfdir = / etc / ssh dèan stàladh

Tha susbaint an artaigil a ’cumail ri na prionnsapalan againn de moraltachd deasachaidh. Gus aithris a dhèanamh air mearachd cliog an seo.

Bi a 'chiad fhear a thog beachd

Fàg do bheachd

Seòladh-d cha tèid fhoillseachadh. Feum air achaidhean air an comharrachadh le *

*

*

  1. Uallach airson an dàta: Miguel Ángel Gatón
  2. Adhbhar an dàta: Smachd air SPAM, riaghladh bheachdan.
  3. Dìleab: Do chead
  4. Conaltradh an dàta: Cha tèid an dàta a thoirt do threas phàrtaidhean ach a-mhàin fo dhleastanas laghail.
  5. Stòradh dàta: Stòr-dàta air a chumail le Occentus Networks (EU)
  6. Còraichean: Aig àm sam bith faodaidh tu am fiosrachadh agad a chuingealachadh, fhaighinn air ais agus a dhubhadh às.