OpenSSH 8.5 kënnt mat UpdateHostKeys, Fixen a méi

No fënnef Méint Entwécklung, gëtt d'Verëffentlechung vum OpenSSH 8.5 presentéiert zesumme mat deem OpenSSH Entwéckler hunn de kommende Transfert an d'Kategorie vu veralteten Algorithmen erënnert, déi SHA-1 Hashen benotzen, wéinst der méi grousser Effizienz vu Kollisiounsattacken mat engem gegebene Präfix (d'Käschte vun der Kollisiounsauswiel ginn op ongeféier 50 Dausend Dollar geschat).

An enger vun den nächste Versiounen, plangt Standard auszeschalten d'Fäegkeet fir den ëffentleche Schlëssel digital Ënnerschrëft Algorithmus "ssh-rsa" ze benotzen, deen am Original RFC fir den SSH Protokoll ernimmt gëtt an nach ëmmer an der Praxis benotzt gëtt.

Fir den Iwwergank zu neien Algorithmen an OpenSSH 8.5 ze glat, d'Konfiguratioun UpdateHostKeys ass standardiséiert, waat erlaabt Iech Clienten automatesch op méi zouverléisseg Algorithmen ze wiesselen.

Dës Astellung erméiglecht eng speziell Protokollerweiterung "hostkeys@openssh.com", déi et dem Server erlaabt, nodeems d'Authentifikatioun passéiert ass, de Client vun all verfügbaren Hostschlësselen z'informéieren. De Client kann dës Schlësselen an hirer ~ / .ssh / known_hosts Datei reflektéieren, wat et méiglech mécht Host-Aktualiséierungen z'organiséieren an et einfach ze maachen d'Schlësselen um Server z'änneren.

Op där anerer Säit, eng Schwachstelle fixéiert déi verursaacht gouf duerch e fräie befreiende Gedächtnisberäich nei an ssh-Agent. De Problem ass zënter der Verëffentlechung vum OpenSSH 8.2 kloer a kéint potenziell exploitéiert ginn wann den Ugräifer Zougang zum ssh Agent Socket um lokale System huet. Fir d'Saach ze komplizéieren, hunn nëmmen root an den originelle Benotzer Zougang zum Socket. Dat héchstwahrscheinlech Szenario vun engem Ugrëff ass den Agent ëmgeleet op e Kont kontrolléiert vum Ugräifer, oder op en Host wou den Ugräifer root Zougang huet.

Och, sshd huet Schutz bäigefüügt géint ganz grouss Parameterpassage mat engem Benotzernumm zum PAM Subsystem, deen erlaabt Schwachstelle bei de Moduler vum PAM System ze blockéieren (Pluggbar Authentifikatiounsmodul). Zum Beispill verhënnert d'Ännerung datt sshd als Vektor benotzt gëtt fir eng kierzlech identifizéiert Root Schwachstelle zu Solaris (CVE-2020-14871) auszenotzen.

Fir den Deel vun den Ännerungen déi potenziell Kompatibilitéit briechen, gëtt erwähnt datt ssh an sshd hunn eng experimentell Schlësselenaustauschmethod nei gemaach wat resistent ass géint brutal Kraaftattacken op engem Quantecomputer.

Déi benotzt Method baséiert um NTRU Prime Algorithmus entwéckelt fir post-quantum Kryptosystemer an d'X25519 elliptesch Curve Key Austauschmethod. Amplaz sntrup4591761x25519-sha512@tinyssh.org gëtt d'Method elo als sntrup761x25519-sha512@openssh.com identifizéiert (sntrup4591761 Algorithmus gouf duerch sntrup761 ersat).

Vun den aneren Ännerungen déi opfalen:

  • An ssh an sshd ass d'Bestellung vun de Reklammen ënnerstëtzt digital Ënnerschrëft Algorithmen geännert. Déi éischt ass elo ED25519 amplaz ECDSA.
  • An ssh an sshd sinn TOS / DSCP QoS Astellunge fir interaktiv Sessions elo gesat ier eng TCP Verbindung gegrënnt gëtt.
  • Ssh an sshd hu gestoppt d'Ënnerstëtzung vun der rijndael-cbc@lysator.liu.se Verschlësselung, déi identesch mat aes256-cbc a gouf virum RFC-4253 benotzt.
  • Ssh, andeems en en neie Hostschlëssel acceptéiert, garantéiert datt all Hostennamen an IP Adressen déi mam Schlëssel verbonne sinn ugewisen ginn.
  • An ssh fir FIDO Schlëssele gëtt eng widderholl PIN Ufro geliwwert am Fall vun engem Feeler bei der digitaler Ënnerschrëft Operatioun wéinst enger falscher PIN an dem Mangel u PIN Ufro vum Benotzer (zum Beispill wann et net méiglech war richteg biometresch Daten an den Apparat manuell de PIN agefouert).
  • Sshd füügt Ënnerstëtzung fir zousätzlech Systemanrufe fir de seccomp-bpf-baséiert Sandboxing Mechanismus bei Linux bäi.

Wéi installéiere ech OpenSSH 8.5 op Linux?

Fir déi, déi interesséiert sinn dës nei Versioun vun OpenSSH op hir Systemer ze installéieren, fir elo kënnen se et maachen eroflueden vum Quellcode vun dësem an d'Kompilatioun op hire Computeren ausféieren.

Dëst ass well déi nei Versioun nach net an de Repositories vun den Haapt Linux Distributiounen opgeholl gouf. Fir de Quellcode ze kréien, kënnt Dir vun de folgende Link.

Den Download gemaach, elo wäerte mir de Package mam folgenden Kommando auspacken:

tar -xvf openssh-8.5.tar.gz

Mir ginn an de erstallt Verzeechnes:

cd openssh-8.5

Y kënne mir mat kompiléieren déi folgend Kommandoen:

./configure --prefix = / opt --sysconfdir = / etc / ssh maacht installéieren

Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.