OpenSSH 8.5附带UpdateHostKeys,修复程序和更多功能

经过五个月的发展,介绍了OpenSSH 8.5的发行版 伴随着 OpenSSH开发人员回想起即将转移到使用SHA-1哈希的过时算法类别中, 由于具有给定前缀的碰撞攻击的效率更高(碰撞选择的成本估计约为50万美元)。

在下一个版本中,他们计划默认禁用使用公钥数字签名算法“ ssh-rsa”的功能,它在SSH协议的原始RFC中提到,并且在实践中仍广泛使用。

为了顺利过渡到OpenSSH 8.5中的新算法,请配置 默认情况下,UpdateHostKeys已启用什么 使您可以自动将客户端切换到更可靠的算法。

此设置启用特殊的协议扩展名“ hostkeys@openssh.com”,该扩展名允许服务器在通过身份验证后将所有可用的主机密钥通知客户端。 客户端可以在〜/ .ssh / known_hosts文件中反映这些密钥,从而可以组织主机密钥更新并轻松更改服务器上的密钥。

此外, 修复了由于重新释放已释放的内存区域而导致的漏洞 在ssh-agent中。 自从OpenSSH 8.2发行以来,该问题就很明显了,如果攻击者可以访问本地系统上的ssh代理套接字,则有可能被利用。 使问题复杂化的是,只有root用户和原始用户才能访问套接字。 攻击最可能的情况是将代理重定向到攻击者控制的帐户,或者重定向到攻击者具有root访问权的主机。

另外, sshd增加了防止超大参数传递的保护 带有PAM子系统的用户名, 允许阻止PAM系统模块中的漏洞 (可插入身份验证模块)。 例如,此更改阻止sshd用作利用Solaris中最近发现的根漏洞的媒介(CVE-2020-14871)。

对于可能破坏兼容性的部分更改,提到了ssh和sshd重新设计了实验性的密钥交换方法 可以抵抗量子计算机上的暴力攻击。

使用的方法基于NTRU Prime算法 开发用于后量子密码系统和X25519椭圆曲线密钥交换方法。 该方法现在标识为sntrup4591761x25519-sha512@openssh.com,而不是sntrup761x25519-sha512@tinyssh.org(sntrup4591761算法已由sntrup761代替)。

在其他突出的变化中:

  • 在ssh和sshd中,广告支持的数字签名算法的顺序已更改。 现在,第一个是ED25519,而不是ECDSA。
  • 在ssh和sshd中,现在在建立TCP连接之前设置交互式会话的TOS / DSCP QoS设置。
  • SSH和SSHD已停止支持rijndael-cbc@lysator.liu.se加密,该加密与aes256-cbc相同,并且在RFC-4253之前使用。
  • 通过接受新的主机密钥,Ssh可以确保显示与该密钥关联的所有主机名和IP地址。
  • 在用于FIDO密钥的ssh中,如果由于不正确的PIN和用户缺少PIN请求而导致数字签名操作失败(例如,当无法获得正确的生物识别信息时),则会提供重复的PIN请求数据,然后设备手动重新输入PIN)。
  • Sshd在Linux中基于seccomp-bpf的沙箱机制中增加了对其他系统调用的支持。

如何在Linux上安装OpenSSH 8.5?

对于那些对能够在其系统上安装此新版本的OpenSSH感兴趣的人, 现在他们可以做到 下载此源代码并 在他们的计算机上执行编译。

这是因为新版本尚未包含在主要Linux发行版的存储库中。 要获取源代码,您可以从 以下链接.

完成下载, 现在,我们将使用以下命令解压缩该软件包:

tar -xvf openssh-8.5.tar.gz

我们输入创建的目录:

光盘openssh-8.5

Y 我们可以用 以下命令:

./configure --prefix = / opt --sysconfdir = / etc / ssh进行安装

成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。