„OpenSSH 8.5“ atkeliauja su „UpdateHostKeys“, taisymais ir dar daugiau

Po penkių mėnesių plėtros, pristatomas „OpenSSH 8.5“ leidimas kartu su kuriuo „OpenSSH“ kūrėjai priminė būsimą perkėlimą į pasenusių algoritmų, naudojančių SHA-1 maišos, kategoriją, dėl didesnio susidūrimo atakų su nurodytu priešdėliu efektyvumo (susidūrimo pasirinkimo kaina yra maždaug 50 tūkst. dolerių).

Vienoje iš kitų versijų, planuojame pagal nutylėjimą išjungti galimybę naudoti viešojo rakto skaitmeninio parašo algoritmą „ssh-rsa“, kuris paminėtas SSH protokolo pirminiame RFC ir vis dar yra labai paplitęs praktikoje.

Norėdami sklandžiai pereiti prie naujų algoritmų OpenSSH 8.5, konfigūracija „UpdateHostKeys“ įgalinta pagal numatytuosius nustatymus, ką leidžia automatiškai perjungti klientus į patikimesnius algoritmus.

Šis nustatymas įgalina specialų protokolo plėtinį „hostkeys@openssh.com“, kuris leidžia serveriui, praėjus autentifikavimą, informuoti klientą apie visus galimus pagrindinio kompiuterio raktus. Šiuos raktus klientas gali atspindėti faile ~ / .ssh / known_hosts, kuris leidžia organizuoti pagrindinio kompiuterio rakto atnaujinimus ir palengvina raktų keitimą serveryje.

Be to, pašalino pažeidžiamumą, kurį sukėlė vėl atlaisvindamas jau atlaisvintą atminties sritį ssh-agente. Problema buvo akivaizdi nuo „OpenSSH 8.2“ išleidimo ir gali būti panaudota, jei užpuolikas turi prieigą prie vietos sistemos ssh agento lizdo. Kad būtų sudėtingiau, prieigą prie lizdo turi tik root ir pirminis vartotojas. Labiausiai tikėtinas atakos scenarijus yra agento nukreipimas į užpuoliko valdomą sąskaitą arba pagrindinį kompiuterį, kuriame užpuolikas turi prieigą prie šaknų.

Be to, sshd pridėjo apsaugą nuo labai didelių parametrų perdavimo su PAM posistemio vartotojo vardu, kuris leidžia užblokuoti PAM sistemos modulių pažeidžiamumą (Prijungiamas autentifikavimo modulis). Pavyzdžiui, pakeitimas neleidžia „sshd“ naudoti kaip vektoriaus norint išnaudoti neseniai nustatytą „Solaris“ šaknies pažeidžiamumą (CVE-2020-14871).

Pakeitimams, kurie gali sugadinti suderinamumą, minima, kad ssh ir sshd pertvarkė eksperimentinį raktų mainų metodą kuris atsparus žiaurios jėgos atakoms kvantiniame kompiuteryje.

Naudojamas metodas pagrįstas NTRU Prime algoritmu sukurta postkvantinėms kriptosistemoms ir X25519 elipsinės kreivės raktų mainų metodui. Vietoj sntrup4591761x25519-sha512@tinyssh.org metodas dabar identifikuojamas kaip sntrup761x25519-sha512@openssh.com (algoritmas sntrup4591761 buvo pakeistas sntrup761).

Iš kitų išsiskiriančių pakeitimų:

  • Programose ssh ir sshd pakeista reklamavimo palaikomų skaitmeninio parašo algoritmų tvarka. Pirmasis dabar yra ED25519, o ne ECDSA.
  • „Ssh“ ir „sshd“ formatuose interaktyvių sesijų TOS / DSCP QoS parametrai dabar nustatyti prieš užmezgant TCP ryšį.
  • „Ssh“ ir „sshd“ nebeteikia rijndael-cbc@lysator.liu.se šifravimo, kuris yra identiškas aes256-cbc ir buvo naudojamas prieš RFC-4253.
  • „Ssh“, priimdama naują pagrindinį raktą, užtikrina, kad būtų rodomi visi pagrindinio kompiuterio vardai ir IP adresai, susieti su raktu.
  • FIDO raktų ssh faile pateikiama pakartotinė PIN užklausa, jei nepavyksta atlikti skaitmeninio parašo operacijos dėl neteisingo PIN kodo ir trūksta vartotojo PIN kodo užklausos (pavyzdžiui, kai nebuvo įmanoma gauti teisingos biometrinės duomenys ir prietaisas rankiniu būdu vėl įvedė PIN kodą).
  • „Sshd“ prideda papildomų sistemos iškvietimų palaikymą „seccomp-bpf“ pagrindu veikiančiame „sandboxing“ sistemoje „Linux“.

Kaip įdiegti „OpenSSH 8.5“ sistemoje „Linux“?

Tiems, kurie nori įdiegti šią naują „OpenSSH“ versiją savo sistemose, kol kas jie gali tai padaryti atsisiųsdami šio ir atlikdami kompiliaciją savo kompiuteriuose.

Taip yra todėl, kad naujoji versija dar nebuvo įtraukta į pagrindinių „Linux“ paskirstymų saugyklas. Norėdami gauti šaltinio kodą, galite tai padaryti šią nuorodą.

Atliktas atsisiuntimas, dabar mes išpakuosime paketą naudodami šią komandą:

degutas -xvf openssh-8.5.tar.gz

Įeiname į sukurtą katalogą:

CD atidaro-8.5

Y mes galime sudaryti su šias komandas:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

Būkite pirmas, kuris pakomentuos

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.