OpenSSH 8.5 UpdateHostKeys, түзетулер және басқаларымен келеді

Бес айлық дамудан кейін, OpenSSH 8.5 нұсқасы ұсынылған онымен бірге OpenSSH әзірлеушілері SHA-1 хэштерін қолданатын ескірген алгоритмдер санатына көшуді еске түсірді, берілген префикспен соқтығысу шабуылдарының тиімділігі жоғары болғандықтан (соқтығысуды таңдау құны шамамен 50 мың долларға бағаланады).

Келесі нұсқалардың бірінде, әдепкі бойынша «ssh-rsa» алгоритмінің ашық кілт алгоритмін пайдалану мүмкіндігін өшіруді жоспарлаңызSSH протоколы үшін бастапқы RFC-де айтылған және әлі күнге дейін тәжірибеде кеңінен қолданылады.

OpenSSH 8.5-те жаңа алгоритмдерге өтуді теңшеу үшін UpdateHostKeys әдепкі бойынша қосылады, не автоматты түрде клиенттерді сенімді алгоритмдерге ауыстыруға мүмкіндік береді.

Бұл параметр «hostkeys@openssh.com» арнайы протокол кеңейтуіне мүмкіндік береді, бұл серверге аутентификациядан өткеннен кейін клиентке барлық қол жетімді хост кілттерін хабарлауға мүмкіндік береді. Клиент бұл кілттерді ~ / .ssh / known_hosts файлында көрсете алады, бұл хост кілтінің жаңартуларын ұйымдастыруға мүмкіндік береді және сервердегі кілттерді ауыстыруды жеңілдетеді.

Екінші жағынан, босатылған жад аймағын қайта босатудан туындаған осалдықты жойды ssh-агентте. Мәселе OpenSSH 8.2 шыққаннан бері белгілі болды және егер шабуылдаушы жергілікті жүйеде ssh агент ұяшығына қол жеткізе алса, оны пайдалануы мүмкін. Мәселелерді қиындату үшін розеткаға тек root және түпнұсқа пайдаланушы ғана кіре алады. Шабуылдың ең ықтимал сценарийі - бұл агентті шабуылдаушы басқаратын тіркелгіге немесе шабуылдаушы root-рұқсаты бар хостқа бағыттау.

Сонымен қатар, sshd параметрдің өте үлкен өтуінен қорғаныс қосты PAM ішкі жүйесіне пайдаланушы атымен, ол PAM жүйесінің модульдеріндегі осалдықтарды блоктауға мүмкіндік береді (Қосылатын аутентификация модулі). Мысалы, өзгеріс sshd-ді Solaris (CVE-2020-14871) жүйесінде жақында анықталған тамыр осалдығын пайдалану үшін вектор ретінде пайдалануға жол бермейді.

Өзгерістердің үйлесімділікті бұзатын бөлігі туралы айтыладыsh және sshd тәжірибелік кілттермен алмасу әдісін қайта өңдеді ол кванттық компьютерге өрескел күш шабуылына төзімді.

Қолданылатын әдіс NTRU Prime алгоритміне негізделген кейінгі кванттық криптожүйелер үшін және X25519 қисық эллиптикалық кілттермен алмасу әдісі үшін жасалған. Sntrup4591761x25519-sha512@tinyssh.org орнына әдіс енді sntrup761x25519-sha512@openssh.com деп белгіленді (sntrup4591761 алгоритмі sntrup761-ге ауыстырылды).

Басқа өзгерістердің ішінде:

  • Ssh және sshd-де цифрлық қолтаңба қолдайтын алгоритмдердің жарнамалық тәртібі өзгертілді. Біріншісі - ECDSA орнына ED25519.
  • Ssh және sshd интерактивті сеанстарға арналған TOS / DSCP QoS параметрлері енді TCP қосылымын орнатпас бұрын орнатылады.
  • Ssh және sshd resndael-cbc@lysator.liu.se шифрлауды қолдайды, ол aes256-cbc-ге ұқсас және RFC-4253 дейін қолданылған.
  • Ssh, жаңа хост кілтін қабылдау арқылы барлық хост атаулары мен кілтпен байланысты IP-адрестердің көрсетілуін қамтамасыз етеді.
  • FIDO кілттері үшін ssh-те, PIN-код дұрыс қолданылмағандықтан және пайдаланушыдан PIN-сұраныстың жоқтығынан (мысалы, дұрыс биометрияны алу мүмкін болмаған кезде) цифрлық қолтаңбаның жұмысы сәтсіздікке ұшыраған жағдайда, PIN-кодты қайталап сұрату ұсынылады. деректер мен құрылғы PIN кодын қолмен қайта енгізді).
  • Sshd Linux-тағы seccomp-bpf негізделген құм жәшігінің механизміне қосымша жүйелік қоңырауларға қолдау көрсетеді.

Linux жүйесінде OpenSSH 8.5 қалай орнатылады?

OpenSSH-тің осы жаңа нұсқасын өз жүйелеріне орната алатындар үшін әзірге олар мұны істей алады бұның бастапқы кодын жүктеу және компиляцияны өз компьютерлерінде орындау.

Себебі жаңа нұсқасы Linux негізгі дистрибьюторларының қоймасына әлі енгізілмеген. Бастапқы кодты алу үшін сіз келесіден жасай аласыз келесі сілтеме.

Жүктеу аяқталды, енді біз пакетті келесі пәрменмен ашамыз:

tar -xvf openssh -8.5.tar.gz

Біз құрылған каталогқа кіреміз:

cd opensh-8.5

Y біз құрастыра аламыз келесі командалар:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады.

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

bool(шын)