OpenSSH 8.5 waxay la timid UpdateHostKeys, hagaajin iyo inbadan

Darkcrizt

Daqiiqado 4

Kadib shan bilood oo horumar ah, Sii deynta OpenSSH 8.5 ayaa la soo bandhigay oo ay weheliso taas Soosaarayaasha OpenSSH waxay dib uxasuusteen wareejinta soo socota qaybta algorithms duugoobay ee isticmaala SHA-1 hashes, iyada oo ay ugu wacan tahay waxtarka weyn ee weerarada isku dhaca oo leh horgale la siiyay (qiimaha xulashada shilka waxaa lagu qiyaasaa ilaa 50 kun oo doolar).

Mid ka mid ah noocyada soo socda, qorsheyso inaad iska joojiso awoodi aad ku isticmaali laheyd furaha guud ee saxiixa saxiixa algorithm "ssh-rsa", oo lagu xusay asalka RFC ee hab maamuuska SSH welina si ballaaran loogu adeegsado ficil ahaan.

Si loo habeeyo u gudubka algorithms cusub ee OpenSSH 8.5, qaabeynta CusboonaysiintaHostKeys waa la awoodi karaa markii ugu horreysay, waa maxay wuxuu kuu ogolaanayaa inaad si toos ah macaamiisha ugu beddesho algorithms aad loogu kalsoonaan karo.

Dejintani waxay awood u siineysaa kordhinta maamuuska gaarka ah "hostkeys@openssh.com", taas oo u oggolaaneysa adeegaha, ka dib marka la gudbiyo xaqiijinta, inuu ku wargeliyo macmiilka dhammaan furayaasha martida ee la heli karo. Macaamilku wuxuu ka tarjumi karaa furayaashan feylkooda ~ / .ssh / known_hosts, kaas oo awood u siinaya abaabulka casriyeynta martigelinta isla markaana fududeyneysa in la beddelo furayaasha serverka.

Dhinaca kale, dejiyey nuglaansho ay sababtay dib-u-sii-deynta aagga xusuusta ee horay loo sii daayay wakiilka ssh-ka. Dhibaatadu way muuqatay tan iyo markii la sii daayay OpenSSH 8.2 waana suurtagal in laga faa'iideysto haddii qofka wax weerarayaa uu marin u heli karo salka wakiilka ssh ee nidaamka maxalliga ah. Si loo adkeeyo arrimaha, kaliya xididka iyo isticmaalaha asalka ah ayaa marin u heli kara godka. Xaaladda ugu macquulsan ee weerarku waxay u weecineysaa wakiilka koonto uu gacanta ku hayo qofka weerarka geystay, ama martigeliye uu weeraryahanku leeyahay xidid marin.

Sidoo kale, sshd waxay ku darsatay difaac ka hortaga marin aad u balaaran oo leh isticmaale adeegsade nidaamka hoose ee PAM, kaas oo waxay u oggolaaneysaa inay xannibto nuglaanta qaababka nidaamka PAM (Module Aqoonsiga la qaadan karo). Tusaale ahaan, isbeddelku wuxuu ka horjoogsanayaa sshd in loo isticmaalo vector ahaan si looga faa'iideysto u nuglaanta xididdada dhowaan la ogaaday ee Solaris (CVE-2020-14871).

Qeyb ka mid ah isbeddelada sida weyn u burburin kara iswaafajinta waxaa lagu xusay ssh iyo sshd waxay dib uga shaqeeyeen qaab iswaydaarsiga furaha tijaabada ah taas oo u adkaysata weerarada xoog waxshinimada ah ee kumbuyuutarka kumbuyuutarka ah.

Habka loo adeegsaday wuxuu ku saleysan yahay algorithm NTRU Prime algorithm loo sameeyay habka loo yaqaan 'post-quantum cryptosystems' iyo habka isweydaarsiga furaha ee x25519 elliptic qalooca. Halkii sntrup4591761x25519-sha512@tinyssh.org, habka ayaa hadda loo aqoonsaday inuu yahay sntrup761x25519-sha512@openssh.com (sntrup4591761 algorithm waxaa lagu beddelay sntrup761).

Isbedelada kale ee muuqda:

  • Ssh iyo sshd, amarka xayeysiinta ee lagu taageerayo algorithms saxiixa dhijitaalka ah ayaa la badalay. Midka koowaad ayaa hadda ah ED25519 halkii uu ka ahaan lahaa ECDSA.
  • Ssh iyo sshd, TOS / DSCP QoS goobaha loogu talagalay kalfadhiyada isdhexgalka ayaa hadda la dejiyay ka hor intaan la dhisin isku xirka TCP.
  • Ssh iyo sshd waxay joojiyeen taageerida rijndael-cbc@lysator.liu.se encryption, oo la mid ah aes256-cbc waxaana loo adeegsaday kahor RFC-4253.
  • Ssh, adoo aqbalaya furaha martigaliyaha cusub, wuxuu hubiyaa in dhammaan magacyada martida loo yahay iyo cinwaanada IP ee la xiriira furaha la soo bandhigo.
  • Ssh furayaasha FIDO, codsi PIN oo soo noqnoqda ayaa la bixiyaa haddii ay dhacdo in hawlgalka saxeexa dhijitaalka ah uu ku guuldareysto sababo la xiriira PIN qaldan iyo maqnaanshaha codsi PIN ee isticmaalaha (tusaale ahaan, markii aysan suurtagal ahayn in la helo biometric sax ah xogta iyo aaladda oo gacanta dib loogu soo geliyey PIN).
  • Sshd wuxuu ku darayaa taageerada nidaamka wicitaanada dheeraadka ah nidaamka sanduuqa sandboxing ee ku saleysan seccomp-bpf ee Linux.

Sidee loo rakibaa OpenSSH 8.5 Linux?

Kuwa xiiseynaya inay awoodaan inay ku rakibaan noocyadan cusub ee OpenSSH nidaamyadooda, hadda way samayn karaan soo dejinaya koodhka isha ee tan iyo fulinta kumbuyuutarradooda.

Tani waa sababta oo ah nooca cusub weli laguma darin meelaha lagu kaydiyo qaybinta ugu weyn ee Linux. Si aad u hesho lambarka isha, waxaad ka sameyn kartaa xiriirka soo socda.

Sameeyay soo dejinta, hadda waxaan ufududeyneynaa xirmada amarka soo socda:

daamur -xvf openssh-8.5.tar.gz

Waxaan galnaa galka la abuuray:

cd furan-8.5

Y waan soo ururin karnaa amarrada soo socda:

./configure --prefix = / opt --sysconfdir = / etc / ssh samee samee rakib

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.