OpenSSH 8.5 arrin me UpdateHostKeys, rregullime dhe më shumë

Pas pesë muajsh zhvillimi, paraqitet lëshimi i OpenSSH 8.5 së bashku me të cilën Zhvilluesit e OpenSSH kujtuan transferimin e ardhshëm në kategorinë e algoritmeve të vjetëruara që përdorin hashe SHA-1, për shkak të efikasitetit më të madh të sulmeve të përplasjes me një prefiks të caktuar (kostoja e përzgjedhjes së përplasjes vlerësohet në rreth 50 mijë dollarë).

Në një nga versionet e radhës, planifikoni të çaktivizoni në mënyrë të paracaktuar aftësinë për të përdorur algoritmin dixhital të nënshkrimit dixhital të çelësit publik "ssh-rsa", e cila përmendet në RFC origjinale për protokollin SSH dhe përdoret akoma gjerësisht në praktikë.

Për të zbutur kalimin në algoritme të reja në OpenSSH 8.5, konfigurimi UpdateHostKeys është aktivizuar si parazgjedhje, çfarë ju lejon të kaloni automatikisht klientët në algoritme më të besueshëm.

Ky cilësim mundëson një shtrirje të veçantë të protokollit "hostkeys@openssh.com", e cila lejon që serveri, pasi të kalojë vërtetimin, të informojë klientin për të gjitha çelësat e disponueshëm të hostit. Klienti mund t'i pasqyrojë këto çelësa në skedarin e tyre ~ / .ssh / known_hosts, i cili mundëson organizimin e azhurnimeve të çelësave të hostit dhe e bën të lehtë ndryshimin e çelësave në server.

Për më tepër, fiksoi një dobësi të shkaktuar nga ri-lirimi i një zone memorieje tashmë të çliruar në ssh-agjent. Problemi ka qenë i dukshëm që nga lëshimi i OpenSSH 8.2 dhe mund të shfrytëzohet potencialisht nëse sulmuesi ka qasje në prizën e agjentit ssh në sistemin lokal. Për t'i komplikuar gjërat, vetëm root dhe përdoruesi origjinal kanë qasje në fole. Skenari më i mundshëm i një sulmi është ridrejtimi i agjentit në një llogari të kontrolluar nga sulmuesi, ose në një host ku sulmuesi ka qasje rrënjësore.

Përveç kësaj, sshd ka shtuar mbrojtje ndaj kalimit të parametrave shumë të mëdhenj me një emër përdoruesi në nënsistemin PAM, i cili lejon bllokimin e dobësive në modulet e sistemit PAM (Moduli i Vërtetimit Pluggable). Për shembull, ndryshimi parandalon që sshd të përdoret si vektor për të shfrytëzuar një ndjeshmëri rrënjësore të identifikuar së fundmi në Solaris (CVE-2020-14871).

Për pjesën e ndryshimeve që potencialisht prishin pajtueshmërinë përmendet që ssh dhe sshd kanë ripunuar një metodë eksperimentale të shkëmbimit të çelësave e cila është rezistente ndaj sulmeve të forcës brutale në një kompjuter kuantik.

Metoda e përdorur bazohet në algoritmin NTRU Prime zhvilluar për kriptosistemet post-kuantike dhe metodën e shkëmbimit të çelësave eliptikë X25519. Në vend të sntrup4591761x25519-sha512@tinyssh.org, metoda identifikohet tani si sntrup761x25519-sha512@openssh.com (algoritmi sntrup4591761 është zëvendësuar me sntrup761).

Nga ndryshimet e tjera që bien në sy:

  • Në ssh dhe sshd, radha e algoritmeve të nënshkrimit dixhital të mbështetur nga reklamat është ndryshuar. E para tani është ED25519 në vend të ECDSA.
  • Në ssh dhe sshd, cilësimet TOS / DSCP QoS për seancat interaktive janë vendosur tani para se të krijoni një lidhje TCP.
  • Ssh dhe sshd kanë ndaluar mbështetjen e kriptimit rijndael-cbc@lysator.liu.se, i cili është identik me aes256-cbc dhe është përdorur para RFC-4253.
  • Ssh, duke pranuar një çelës të ri pritës, siguron që të shfaqen të gjithë emrat e hostit dhe adresat IP të lidhura me çelësin.
  • Në ssh për çelësat FIDO, ofrohet një kërkesë e përsëritur PIN në rast të dështimit në funksionimin e nënshkrimit dixhital për shkak të një PIN të pasaktë dhe mungesës së një kërkese PIN nga përdoruesi (për shembull, kur nuk ishte e mundur të merrej saktë biometrike të dhënat dhe pajisja futet manualisht në PIN).
  • Sshd shton mbështetje për thirrjet shtesë të sistemit në mekanizmin e sandboxit të bazuar në seccomp-bpf në Linux.

Si të instaloni OpenSSH 8.5 në Linux?

Për ata që janë të interesuar të jenë në gjendje të instalojnë këtë version të ri të OpenSSH në sistemet e tyre, tani për tani ata mund ta bëjnë atë duke shkarkuar kodin burimor të kësaj dhe duke kryer përpilimin në kompjuterët e tyre.

Kjo sepse versioni i ri nuk është përfshirë ende në depot e shpërndarjeve kryesore të Linux. Për të marrë kodin burim, mund të bëni nga lidhja e mëposhtme.

Shkarkimi u krye, tani do të zbërthejmë paketën me komandën e mëposhtme:

tar -xvf hapetsh -8.5.tar.gz

Ne hyjmë në drejtorinë e krijuar:

cd hapet-8.5

Y mund të përpilojmë me komandat e mëposhtme:

./configure - prefix = / opt --sysconfdir = / etc / ssh bëni instalimin

Bëhu i pari që komenton

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.