OpenSSH 8.5 tiba dengan UpdateHostKeys, pembaikan dan banyak lagi

Selepas lima bulan pembangunan, pembebasan OpenSSH 8.5 diperkenalkan seiring dengan yang Pembangun OpenSSH mengingatkan pemindahan yang akan datang ke kategori algoritma usang yang menggunakan hash SHA-1, kerana kecekapan serangan perlanggaran dengan awalan tertentu (kos pemilihan perlanggaran dianggarkan sekitar 50 ribu dolar).

Dalam salah satu versi seterusnya, merancang untuk mematikan secara lalai keupayaan untuk menggunakan algoritma tandatangan digital kunci awam "ssh-rsa", yang disebut dalam RFC asli untuk protokol SSH dan masih banyak digunakan dalam praktik.

Untuk melancarkan peralihan ke algoritma baru dalam OpenSSH 8.5, konfigurasi UpdateHostKeys diaktifkan secara lalai, apa membolehkan anda menukar klien secara automatik ke algoritma yang lebih dipercayai.

Tetapan ini membolehkan peluasan protokol khas "hostkeys@openssh.com", yang membolehkan pelayan, setelah melalui pengesahan, memberitahu pelanggan tentang semua kunci hos yang ada. Pelanggan boleh menunjukkan kunci ini dalam fail ~ / .ssh / known_hostsnya, yang membolehkan mengatur kemas kini kunci hos dan menjadikannya mudah untuk menukar kunci pada pelayan.

Selain itu, memperbaiki kerentanan yang disebabkan oleh membebaskan semula kawasan memori yang sudah dibebaskan dalam ejen ssh. Masalahnya sudah jelas sejak pembebasan OpenSSH 8.2 dan berpotensi dieksploitasi jika penyerang mempunyai akses ke soket ejen ssh pada sistem tempatan. Untuk merumitkan masalah, hanya root dan pengguna asal yang mempunyai akses ke soket. Senario serangan yang paling mungkin adalah mengarahkan ejen ke akaun yang dikendalikan oleh penyerang, atau ke host di mana penyerang mempunyai akses root.

Selain itu, sshd telah menambahkan perlindungan terhadap melewati parameter yang sangat besar dengan nama pengguna untuk subsistem PAM, yang memungkinkan untuk menyekat kerentanan dalam modul sistem PAM (Modul Pengesahan Pluggable). Sebagai contoh, perubahan itu menghalang sshd digunakan sebagai vektor untuk mengeksploitasi kerentanan root yang baru dikenal pasti di Solaris (CVE-2020-14871).

Untuk bahagian perubahan yang berpotensi memecah keserasian disebutkan bahawa ssh dan sshd telah menyusun semula kaedah pertukaran kunci eksperimen yang tahan terhadap serangan brute force pada komputer kuantum.

Kaedah yang digunakan adalah berdasarkan algoritma NTRU Prime dibangunkan untuk kriptosistem pasca-kuantum dan kaedah pertukaran kunci keluk elips X25519. Daripada sntrup4591761x25519-sha512@tinyssh.org, kaedah ini sekarang dikenal pasti sebagai sntrup761x25519-sha512@openssh.com (algoritma sntrup4591761 telah digantikan oleh sntrup761).

Perubahan lain yang menonjol:

  • Dalam ssh dan sshd, susunan algoritma tandatangan digital yang disokong iklan telah diubah. Yang pertama sekarang adalah ED25519 dan bukannya ECDSA.
  • Dalam ssh dan sshd, tetapan TOS / DSCP QoS untuk sesi interaktif kini ditetapkan sebelum membuat sambungan TCP.
  • Ssh dan sshd telah berhenti menyokong enkripsi rijndael-cbc@lysator.liu.se, yang serupa dengan aes256-cbc dan digunakan sebelum RFC-4253.
  • Ssh, dengan menerima kunci host baru, memastikan bahawa semua nama host dan alamat IP yang berkaitan dengan kunci dipaparkan.
  • Dalam ssh untuk kunci FIDO, permintaan PIN berulang disediakan sekiranya berlaku kegagalan dalam operasi tandatangan digital kerana PIN yang salah dan kurangnya permintaan PIN dari pengguna (misalnya, ketika tidak mungkin mendapatkan biometrik yang betul data dan peranti memasukkan semula PIN secara manual).
  • Sshd menambah sokongan untuk panggilan sistem tambahan ke mekanisme kotak pasir berasaskan seccomp-bpf di Linux.

Bagaimana cara memasang OpenSSH 8.5 di Linux?

Bagi mereka yang berminat untuk memasang OpenSSH versi baru ini pada sistem mereka, buat masa ini mereka dapat melakukannya memuat turun kod sumber ini dan melakukan penyusunan di komputer mereka.

Ini kerana versi baru belum dimasukkan ke dalam repositori distribusi Linux utama. Untuk mendapatkan kod sumber, anda boleh melakukannya dari pautan berikut.

Selesai memuat turun, sekarang kita akan membuka zip pakej dengan arahan berikut:

tar -xvf openssh-8.5.tar.gz

Kami memasukkan direktori yang dibuat:

cd openssh-8.5

Y kita dapat menyusun dengan arahan berikut:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

Kandungan artikel mematuhi prinsip kami etika editorial. Untuk melaporkan ralat, klik di sini.

Menjadi yang pertama untuk komen

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan.

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.