OpenSSH 8.5, UpdateHostKeys, düzeltmeler ve daha fazlasıyla birlikte geliyor

Beş aylık geliştirmeden sonra, OpenSSH 8.5 sürümü tanıtıldı hangisiyle birlikte OpenSSH geliştiricileri, SHA-1 hash'lerini kullanan eski algoritmalar kategorisine yapılacak aktarımı hatırladılar. belirli bir ön ek ile çarpışma saldırılarının daha yüksek verimliliği nedeniyle (çarpışma seçiminin maliyeti yaklaşık 50 bin dolar olarak tahmin edilmektedir).

Sonraki versiyonlardan birinde, varsayılan olarak "ssh-rsa" ortak anahtar dijital imza algoritmasını kullanma özelliğini devre dışı bırakmayı planlıyorlarSSH protokolü için orijinal RFC'de bahsedilen ve pratikte hala yaygın olarak kullanılmaktadır.

OpenSSH 8.5'te yeni algoritmalara geçişi kolaylaştırmak için yapılandırma UpdateHostKeys varsayılan olarak etkindirne istemcileri otomatik olarak daha güvenilir algoritmalara geçirmenize olanak tanır.

Bu ayar, sunucunun kimlik doğrulamasını geçtikten sonra istemciye tüm mevcut ana bilgisayar anahtarlarını bildirmesine olanak tanıyan özel bir protokol uzantısı olan "hostkeys@openssh.com" u etkinleştirir. İstemci, bu anahtarları ~ / .ssh / known_hosts dosyasında yansıtabilir, bu da ana bilgisayar anahtarı güncellemelerinin düzenlenmesini sağlar ve sunucudaki anahtarları değiştirmeyi kolaylaştırır.

Ayrıca, Zaten serbest bırakılmış bir bellek alanını yeniden serbest bırakmanın neden olduğu bir güvenlik açığı düzeltildi ssh-agent içinde. Sorun, OpenSSH 8.2'nin piyasaya sürülmesinden bu yana açıkça görülüyordu ve saldırganın yerel sistemdeki ssh aracı soketine erişimi varsa kötüye kullanma olasılığı var. Konuları karmaşıklaştırmak için, yalnızca kök ve orijinal kullanıcının sokete erişimi vardır. Saldırının en olası senaryosu, aracıyı saldırgan tarafından kontrol edilen bir hesaba veya saldırganın root erişimine sahip olduğu bir ana bilgisayara yönlendirmektir.

Buna ek olarak, sshd, çok büyük parametre geçişlerine karşı koruma ekledi PAM alt sistemine bir kullanıcı adı ile PAM sisteminin modüllerindeki güvenlik açıklarını engellemeye izin verir (Takılabilir Kimlik Doğrulama Modülü). Örneğin, değişiklik sshd'nin Solaris'te yakın zamanda tanımlanan bir kök güvenlik açığından yararlanmak için vektör olarak kullanılmasını engelliyor (CVE-2020-14871).

Değişikliklerin potansiyel olarak uyumluluğu bozan kısmı için,sh ve sshd, deneysel bir anahtar değişim yöntemini yeniden çalıştı Kuantum bilgisayardaki kaba kuvvet saldırılarına karşı dirençlidir.

Kullanılan yöntem, NTRU Prime algoritmasına dayanmaktadır kuantum sonrası şifreleme sistemleri ve X25519 eliptik eğri anahtar değişim yöntemi için geliştirilmiştir. Sntrup4591761x25519-sha512@tinyssh.org yerine, yöntem artık sntrup761x25519-sha512@openssh.com olarak tanımlanmıştır (sntrup4591761 algoritması sntrup761 ile değiştirilmiştir).

Öne çıkan diğer değişikliklerden:

  • Ssh ve sshd'de reklam destekli dijital imza algoritmalarının sırası değiştirildi. İlki artık ECDSA yerine ED25519.
  • Ssh ve sshd'de, etkileşimli oturumlar için TOS / DSCP QoS ayarları artık bir TCP bağlantısı kurulmadan önce ayarlanmıştır.
  • Ssh ve sshd, aes256-cbc ile aynı olan ve RFC-4253'ten önce kullanılan rijndael-cbc@lysator.liu.se şifrelemesini desteklemeyi durdurdu.
  • Ssh, yeni bir ana bilgisayar anahtarını kabul ederek, anahtarla ilişkili tüm ana bilgisayar adlarının ve IP adreslerinin görüntülenmesini sağlar.
  • FIDO anahtarları için ssh'da, yanlış bir PIN nedeniyle dijital imza işleminde bir başarısızlık olması ve kullanıcıdan PIN isteğinin olmaması (örneğin, doğru biyometrik veriler elde edilemediğinde) tekrarlanan bir PIN isteği sağlanır. veriler ve cihaz PIN'i manuel olarak yeniden girmiştir).
  • Sshd, Linux'taki seccomp-bpf tabanlı korumalı alan mekanizmasına ek sistem çağrıları için destek ekler.

OpenSSH 8.5 Linux'a nasıl kurulur?

OpenSSH'nin bu yeni sürümünü sistemlerine yükleyebilmek isteyenler için, şimdilik yapabilirler bunun kaynak kodunu indirmek ve derlemeyi bilgisayarlarında gerçekleştirmek.

Bunun nedeni, yeni sürümün ana Linux dağıtımlarının depolarına henüz dahil edilmemiş olmasıdır. Kaynak kodunu almak için şunları yapabilirsiniz: aşağıdaki bağlantı.

İndirme tamamlandı, şimdi paketi aşağıdaki komutla açacağız:

tar -xvf openssh-8.5.tar.gz

Oluşturulan dizine giriyoruz:

cd açılırsh-8.5

Y ile derleyebiliriz aşağıdaki komutlar:

./configure --prefix = / opt --sysconfdir = / etc / ssh make install

İlk yorumu siz

Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.