OpenSSH 8.5 нь UpdateHostKeys, засварууд болон бусад зүйлсийн хамт ирдэг

Таван сар хөгжүүлсний дараа, OpenSSH 8.5 хувилбарыг танилцуулж байна хамт OpenSSH хөгжүүлэгчид удахгүй SHA-1 хэш ашигладаг хуучирсан алгоритмын ангилалд шилжүүлэхээ эргэн санав. өгөгдсөн угтвартай мөргөлдөх довтолгооны илүү үр дүнтэй байдгаас шалтгаалан (мөргөлдөөний сонголтын өртөг ойролцоогоор 50 мянган доллараар үнэлэгддэг).

Дараагийн хувилбаруудын аль нэгэнд, нийтийн түлхүүр тоон гарын үсгийн "ssh-rsa" алгоритмыг ашиглах боломжийг анхдагчаар идэвхгүй болгохоор төлөвлөж байна.SSH протоколын анхны RFC-д дурдсан бөгөөд одоо ч практикт өргөн хэрэглэгддэг.

OpenSSH 8.5 дээрх шинэ алгоритм руу шилжих шилжилтийг жигд болгохын тулд тохиргоог хийнэ UpdateHostKeys нь анхдагчаар идэвхждэг, юу үйлчлүүлэгчдийг илүү найдвартай алгоритм руу автоматаар шилжүүлэх боломжийг танд олгоно.

Энэ тохиргоо нь "hostkeys@openssh.com" тусгай протоколын өргөтгөлийг идэвхжүүлдэг бөгөөд сервер нь нэвтрэлт танилт хийсний дараа клиентэд байгаа бүх хост түлхүүрийг мэдээлэх боломжийг олгодог. Үйлчлүүлэгч эдгээр түлхүүрүүдийг ~ / .ssh / known_hosts файлдаа тусгаж чаддаг бөгөөд энэ нь хост түлхүүрийн шинэчлэлтийг зохион байгуулах боломжийг олгодог бөгөөд сервер дээрх түлхүүрүүдийг солиход хялбар болгодог.

Нөгөөтэйгүүр, аль хэдийн суллагдсан санах ойн хэсгийг дахин чөлөөлснөөс үүссэн эмзэг байдлыг арилгасан ssh-agent дээр. Асуудал нь OpenSSH 8.2 хувилбар гарснаас хойш ил болсон бөгөөд хэрэв халдагч локал систем дээрх ssh агент сокет руу нэвтрэх боломжтой бол үүнийг ашиглах боломжтой юм. Асуудлыг төвөгтэй болгохын тулд зөвхөн root болон анхны хэрэглэгч сокет руу нэвтрэх эрхтэй. Довтолгооны хамгийн магадлалтай хувилбар бол агентийг халдагчийн хяналтан дахь данс руу, эсвэл халдагч root хандалттай хост руу шилжүүлэх явдал юм.

Мөн түүнчлэн, sshd нь маш том параметр дамжуулахаас хамгаалалтыг нэмэгдүүлсэн PAM дэд системд хэрэглэгчийн нэртэй хамт PAM системийн модулиудын эмзэг байдлыг хаах боломжийг олгодог (Залгагдаж болох баталгаажуулалтын модуль). Жишээлбэл, өөрчлөлт нь sshd-ийг Solaris (CVE-2020-14871) -д саяхан тогтоогдсон язгуур эмзэг байдлыг ашиглах вектор болгон ашиглахаас сэргийлдэг.

Тохиромжтой байдлыг эвдэж болзошгүй өөрчлөлтүүдийн нэгэнд дурьдсан болноsh болон sshd нь туршилтын түлхүүр солилцох аргыг дахин боловсруулсан болно квант компьютер руу хүчирхийлэл үйлдэхэд тэсвэртэй.

Ашигласан арга нь NTRU Prime алгоритм дээр суурилдаг квантын дараах криптосистем ба X25519 эллиптик муруйн түлхүүр солилцооны аргад зориулан боловсруулсан болно. Sntrup4591761x25519-sha512@tinyssh.org-ийн оронд уг аргыг sntrup761x25519-sha512@openssh.com (sntrup4591761 алгоритмийг sntrup761-ээр сольсон) гэж тодорхойлсон болно.

Бусад өөрчлөлтүүдээс:

  • Ssh ба sshd-д дижитал гарын үсгийн алгоритмыг дэмждэг зар сурталчилгааны дарааллыг өөрчилсөн. Эхнийх нь одоо ECDSA-ийн оронд ED25519 юм.
  • Ssh ба sshd-д интерактив сешнүүдийн TOS / DSCP QoS тохиргоог TCP холболт үүсгэхээс өмнө тохируулсан болно.
  • Ssh ба sshd нь aes256-cbc-тэй ижил бөгөөд RFC-4253-ээс өмнө ашиглаж байсан rijndael-cbc@lysator.liu.se шифрлэлтийг дэмжихээ больсон.
  • Ssh нь шинэ хост түлхүүрийг хүлээн авснаар түлхүүртэй холбоотой бүх хостын нэр, IP хаягийг харуулах болно.
  • FIDO түлхүүрүүдийн хувьд ssh-д тоон гарын үсгийн үйл ажиллагаа буруу, хэрэглэгчийн ПИН хүсэлт аваагүйгээс болж алдаа гарсан тохиолдолд давтан ПИН хүсэлтийг гаргадаг (жишээлбэл, зөв ​​биометрийг авах боломжгүй байсан тохиолдолд) өгөгдөл ба төхөөрөмжийг гараар дахин PIN оруулсан).
  • Sshd нь Линукс дахь seccomp-bpf-д суурилсан хамгаалагдсан хязгаарлагдмал орчинд ашиглах механизмын нэмэлт дуудлагад дэмжлэг үзүүлдэг.

Linux дээр OpenSSH 8.5-ийг хэрхэн суулгах вэ?

OpenSSH-ийн энэхүү шинэ хувилбарыг систем дээрээ суулгах боломжтой байгаа хүмүүст зориулж одоогоор тэд үүнийг хийж чадна Үүний эх кодыг татаж авах болон компьютер дээрээ хөрвүүлэлт хийж байна.

Учир нь шинэ хувилбар нь Линуксийн үндсэн дистрибьютерийн санд хараахан ороогүй байна. Эх кодыг авахын тулд та дараахь зүйлийг хийж болно дараах холбоос.

Татаж авалт дууссан, одоо бид багцыг задлахдаа дараах тушаалаар тайлах гэж байна.

tar -xvf openssh -8.5.tar.gz

Бид үүсгэсэн директорыг оруулна уу:

cd opensh-8.5

Y бид нэгтгэж болно дараах тушаалууд:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.