OpenSSH 8.5 inawasili na UpdateHostKeys, marekebisho na zaidi

Giza | | Ilisasishwa | maombi

Hakuna maoni

Baada ya miezi mitano ya maendeleo, kutolewa kwa OpenSSH 8.5 kunaletwa pamoja na ambayo Watengenezaji wa OpenSSH walikumbuka uhamisho unaokuja kwenye kitengo cha algorithms za kizamani zinazotumia haraka za SHA-1, kwa sababu ya ufanisi mkubwa wa mashambulio ya mgongano na kiambishi awali (gharama ya uteuzi wa mgongano inakadiriwa kuwa karibu dola elfu 50).

Katika moja ya matoleo yanayofuata, panga kulemaza kwa chaguo-msingi uwezo wa kutumia algorithm ya saini muhimu ya dijiti ya umma "ssh-rsa", ambayo inatajwa katika RFC asili ya itifaki ya SSH na bado inatumiwa sana katika mazoezi.

Ili kulainisha mpito kwa algorithms mpya katika OpenSSH 8.5, usanidi SasishoHostKeys imewezeshwa na chaguo-msingi, nini hukuruhusu kubadili wateja kiotomatiki kwa algorithms ya kuaminika zaidi.

Mpangilio huu unawezesha ugani maalum wa itifaki "hostkeys@openssh.com", ambayo inaruhusu seva, baada ya kupitisha uthibitishaji, kumjulisha mteja juu ya funguo zote zinazopatikana za mwenyeji. Mteja anaweza kuonyesha funguo hizi katika faili yake ya ~ / .ssh / known_hosts, ambayo inawezesha kuandaa sasisho muhimu za mwenyeji na inafanya iwe rahisi kubadilisha funguo kwenye seva.

Aidha, kurekebisha udhaifu unaosababishwa na kufungua tena eneo la kumbukumbu lililofunguliwa tayari katika wakala wa ssh. Shida imekuwa dhahiri tangu kutolewa kwa OpenSSH 8.2 na inaweza kutumiwa ikiwa mshambuliaji anaweza kupata tundu la wakala wa ssh kwenye mfumo wa ndani. Kufanya ugumu wa mambo, ni mzizi tu na mtumiaji wa asili ndiye anayeweza kufikia tundu. Hali inayowezekana ya shambulio inaelekeza wakala kwenye akaunti inayodhibitiwa na mshambuliaji, au kwa mwenyeji ambapo mshambuliaji ana ufikiaji wa mizizi.

Aidha, sshd imeongeza ulinzi dhidi ya kupita kwa parameter kubwa sana na jina la mtumiaji kwa mfumo mdogo wa PAM, ambayo inaruhusu kuzuia udhaifu katika moduli za mfumo wa PAM (Moduli ya Uthibitishaji inayoweza kubadilishwa). Kwa mfano, mabadiliko yanazuia sshd kutumiwa kama vector kutumia udhaifu wa mizizi uliotambuliwa hivi karibuni huko Solaris (CVE-2020-14871).

Kwa sehemu ya mabadiliko ambayo yanaweza kuvunja utangamano imetajwa kuwa ssh na sshd wamefanya upya njia ya majaribio ya ubadilishaji ufunguo ambayo ni sugu kwa shambulio la nguvu ya brute kwenye kompyuta ya quantum.

Njia inayotumiwa inategemea algorithm kuu ya NTRU iliyotengenezwa kwa mifumo ya mfumo wa kuchanganua baada ya idadi na njia ya ubadilishanaji wa mviringo wa X25519 elliptic. Badala ya sntrup4591761x25519-sha512@tinyssh.org, njia hiyo sasa imetambuliwa kama sntrup761x25519-sha512@openssh.com (sntrup4591761 algorithm imebadilishwa na sntrup761).

Ya mabadiliko mengine ambayo huonekana wazi:

  • Katika ssh na sshd, agizo la matangazo linalounga mkono saini za dijiti limebadilishwa. Ya kwanza sasa ni ED25519 badala ya ECDSA.
  • Katika ssh na sshd, mipangilio ya TOS / DSCP QoS ya vikao vya maingiliano sasa imewekwa kabla ya kuanzisha unganisho la TCP.
  • Ssh na sshd wameacha kuunga mkono usimbuaji wa rijndael-cbc@lysator.liu.se, ambao unafanana na aes256-cbc na ulitumika kabla ya RFC-4253.
  • Ssh, kwa kukubali ufunguo mpya wa mwenyeji, inahakikisha kuwa majina yote ya mwenyeji na anwani za IP zinazohusiana na ufunguo zinaonyeshwa.
  • Katika ssh ya funguo za FIDO, ombi linalorudiwa la PIN hutolewa ikiwa kutofaulu kwa operesheni ya sahihi ya dijiti kwa sababu ya PIN isiyo sahihi na ukosefu wa ombi la PIN kutoka kwa mtumiaji (kwa mfano, wakati haikuwezekana kupata biometriska data na kifaa imeingiza tena PIN).
  • Sshd inaongeza msaada kwa simu za mfumo wa ziada kwa utaratibu wa sandboxing ya seccomp-bpf-based in Linux.

Jinsi ya kufunga OpenSSH 8.5 kwenye Linux?

Kwa wale ambao wana nia ya kuweza kusanikisha toleo hili jipya la OpenSSH kwenye mifumo yao, kwa sasa wanaweza kufanya hivyo kupakua nambari ya chanzo ya hii na wakifanya mkusanyiko kwenye kompyuta zao.

Hii ni kwa sababu toleo jipya bado halijajumuishwa kwenye hazina za mgawanyo kuu wa Linux. Ili kupata nambari ya chanzo, unaweza kufanya kutoka kiunga kifuatacho.

Nimemaliza kupakua, sasa tutafungua kifurushi na amri ifuatayo:

tar -xvf kufungua-8.5.tar.gz

Tunaingia saraka iliyoundwa:

cd inafungua-8.5

Y tunaweza kukusanya na amri zifuatazo:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

Yaliyomo kwenye kifungu hicho yanazingatia kanuni zetu za maadili ya uhariri. Kuripoti kosa bonyeza hapa.

Kuwa wa kwanza kutoa maoni

Acha maoni yako

Anwani yako ya barua si kuchapishwa. Mashamba required ni alama na *

*

*

  1. Kuwajibika kwa data: Miguel Ángel Gatón
  2. Kusudi la data: Kudhibiti SpAM, usimamizi wa maoni.
  3. Uhalali: Idhini yako
  4. Mawasiliano ya data: Takwimu hazitawasilishwa kwa watu wengine isipokuwa kwa wajibu wa kisheria.
  5. Uhifadhi wa data: Hifadhidata iliyohifadhiwa na Mitandao ya Occentus (EU)
  6. Haki: Wakati wowote unaweza kupunguza, kuokoa na kufuta habari yako.