OpenSSH 8.5 अपडेटहॉस्टके, फिक्स और अधिक के साथ आता है

पांच महीने के विकास के बादओपनएसएसएच 8.5 का विमोचन प्रस्तुत किया गया है जिसके साथ ओपनएसएसएच डेवलपर्स ने आगामी स्थानांतरण को अप्रचलित एल्गोरिदम की श्रेणी में वापस बुलाया, जो SHA-1 हैश का उपयोग करते हैं, दिए गए उपसर्ग के साथ टकराव के हमलों की अधिक दक्षता के कारण (टक्कर के चयन की लागत लगभग 50 हजार डॉलर आंकी गई है)।

अगले संस्करणों में से एक में, सार्वजनिक कुंजी डिजिटल हस्ताक्षर एल्गोरिथ्म "ssh-rsa" का उपयोग करने की क्षमता को डिफ़ॉल्ट रूप से अक्षम करने की योजना, जो SSH प्रोटोकॉल के लिए मूल RFC में उल्लिखित है और अभी भी व्यवहार में व्यापक रूप से उपयोग किया जाता है।

OpenSSH 8.5, कॉन्फ़िगरेशन में नए एल्गोरिदम में संक्रमण को सुचारू करने के लिए UpdateHostKeys डिफ़ॉल्ट रूप से सक्षम है, क्या आपको ग्राहकों को स्वचालित रूप से अधिक विश्वसनीय एल्गोरिदम पर स्विच करने की अनुमति देता है।

यह सेटिंग एक विशेष प्रोटोकॉल एक्सटेंशन "hostkeys@openssh.com" को सक्षम करती है, जो सर्वर को सभी उपलब्ध होस्ट कुंजी के क्लाइंट को सूचित करने के लिए प्रमाणीकरण के बाद अनुमति देता है। क्लाइंट इन कुंजियों को अपनी ~ / .ssh / ज्ञात_होस्ट फ़ाइल में प्रतिबिंबित कर सकता है, जो होस्ट कुंजी अपडेट को व्यवस्थित करने में सक्षम बनाता है और सर्वर पर कुंजियों को बदलना आसान बनाता है।

इसके अलावा, पहले से मुक्त मेमोरी क्षेत्र को फिर से मुक्त करने के कारण एक भेद्यता तय ssh- एजेंट में ओपनएसएसएच 8.2 की रिहाई के बाद से समस्या स्पष्ट हो गई है और संभावित रूप से इसका फायदा उठाया जा सकता है अगर हमलावर के पास स्थानीय सिस्टम पर ssh एजेंट सॉकेट तक पहुंच हो। मामलों को जटिल करने के लिए, केवल रूट और मूल उपयोगकर्ता के पास सॉकेट तक पहुंच है। एक हमले का सबसे संभावित परिदृश्य एजेंट को हमलावर द्वारा नियंत्रित खाते में, या एक मेजबान के लिए भेज रहा है, जहां हमलावर रूट की पहुंच है।

इसके अलावा, sshd ने बहुत बड़े पैरामीटर के गुजरने से सुरक्षा को जोड़ा है PAM सबसिस्टम के उपयोगकर्ता नाम के साथ, जो PAM प्रणाली के मॉड्यूल में कमजोरियों को ब्लॉक करने की अनुमति देता है (प्लगेबल ऑथेंटिकेशन मॉड्यूल)। उदाहरण के लिए, परिवर्तन sshd को सोलारिस (CVE-2020-14871) में हाल ही में पहचाने गए रूट भेद्यता का फायदा उठाने के लिए एक वेक्टर के रूप में उपयोग करने से रोकता है।

उन परिवर्तनों के भाग के लिए जो संभावित रूप से संगतता को तोड़ते हैं, यह उल्लेख किया गया है कि एसश और sshd ने एक प्रायोगिक कुंजी विनिमय विधि को फिर से काम किया है जो एक क्वांटम कंप्यूटर पर ब्रूट बल के हमलों के लिए प्रतिरोधी है।

उपयोग की गई विधि NTRU प्राइम एल्गोरिथ्म पर आधारित है क्वांटम क्रिप्टो सिस्टम और X25519 अण्डाकार वक्र कुंजी विनिमय विधि के लिए विकसित किया गया है। Sntrup4591761x25519-sha512@tinyssh.org के बजाय, विधि अब sntrup761x25519-sha512@openssh.com (sntrup4591761 एल्गोरिथ्म sntrup761 द्वारा प्रतिस्थापित किया गया है) के रूप में पहचानी जाती है।

अन्य परिवर्तनों में से जो खड़े हैं:

  • Ssh और sshd में, विज्ञापन समर्थित डिजिटल हस्ताक्षर एल्गोरिदम के क्रम को बदल दिया गया है। पहले ECDSA के बजाय अब ED25519 है।
  • Ssh और sshd में, TCP / DSCP QoS सेटिंग इंटरएक्टिव सत्र के लिए अब एक TCP कनेक्शन स्थापित करने से पहले सेट की गई हैं।
  • Ssh और sshd ने rijndael-cbc@lysator.liu.se एन्क्रिप्शन का समर्थन करना बंद कर दिया है, जो कि aes256-cbc के समान है और RFC-4253 से पहले उपयोग किया गया था।
  • Ssh, एक नई होस्ट कुंजी स्वीकार करके, सुनिश्चित करता है कि सभी होस्ट नाम और IP पते कुंजी से जुड़े हुए हैं।
  • FIDO कुंजी के लिए ssh में, एक गलत पिन के कारण डिजिटल हस्ताक्षर संचालन में विफलता और उपयोगकर्ता से पिन अनुरोध की कमी (उदाहरण के लिए, जब सही बायोमेट्रिक प्राप्त करना संभव नहीं था, तब बार-बार पिन अनुरोध प्रदान किया जाता है। डेटा और डिवाइस ने मैन्युअल रूप से पिन को फिर से दर्ज किया)।
  • Sshd, Linux में seccomp-bpf- आधारित सैंडबॉक्सिंग तंत्र के लिए अतिरिक्त सिस्टम कॉल के लिए समर्थन जोड़ता है।

लिनक्स पर ओपनएसएसएच 8.5 कैसे स्थापित करें?

जो लोग अपने सिस्टम पर OpenSSH के इस नए संस्करण को स्थापित करने में सक्षम होने के लिए इच्छुक हैं, अभी के लिए वे ऐसा कर सकते हैं इस के सोर्स कोड को डाउनलोड करना और अपने कंप्यूटर पर संकलन प्रदर्शन कर रहे हैं।

ऐसा इसलिए है क्योंकि नए संस्करण को अभी तक मुख्य लिनक्स वितरण के रिपॉजिटरी में शामिल नहीं किया गया है। स्रोत कोड प्राप्त करने के लिए, आप कर सकते हैं निम्नलिखित लिंक.

डाउनलोड किया, अब हम निम्नलिखित कमांड के साथ पैकेज को अनज़िप करने जा रहे हैं:

tar -xvf खुलता है-8.5.tar.gz

हम निर्मित निर्देशिका दर्ज करते हैं:

सीडी ओपनश-8.5

Y हम साथ संकलन कर सकते हैं निम्नलिखित आदेश:

./configure --prefix = / opt --sysconfdir = / etc / ssh मेक इनस्टॉल करें

पहली टिप्पणी करने के लिए

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।