ProHoster > Blog > balita sa internet > OpenSSH 8.5 nga pagpagawas

OpenSSH 8.5 nga pagpagawas

Pagkahuman sa lima ka bulan nga pag-uswag, ang pagpagawas sa OpenSSH 8.5, usa ka bukas nga pagpatuman sa usa ka kliyente ug server alang sa pagtrabaho sa mga protocol sa SSH 2.0 ug SFTP, gipresentar.

Gipahinumdoman kami sa mga developer sa OpenSSH sa umaabot nga pag-decommissioning sa mga algorithm gamit ang SHA-1 nga mga hash tungod sa dugang nga kahusayan sa mga pag-atake sa pagbangga nga adunay gihatag nga prefix (ang gasto sa pagpili sa usa ka bangga gibanabana nga gibana-bana nga $ 50 ka libo). Sa usa sa umaabot nga pagpagawas, sila nagplano sa pag-disable pinaagi sa default ang abilidad sa paggamit sa "ssh-rsa" public key digital signature algorithm, nga gihisgutan sa orihinal nga RFC alang sa SSH protocol ug nagpabilin nga kaylap sa praktis.

Aron masulayan ang paggamit sa ssh-rsa sa imong mga sistema, mahimo nimong sulayan ang pagkonektar pinaagi sa ssh gamit ang kapilian nga "-oHostKeyAlgorithms=-ssh-rsa". Sa samang higayon, ang pag-disable sa "ssh-rsa" nga mga digital nga pirma pinaagi sa default wala magpasabot sa usa ka kompleto nga pagbiya sa paggamit sa RSA nga mga yawe, tungod kay dugang sa SHA-1, ang SSH protocol nagtugot sa paggamit sa uban nga hash nga mga algorithm sa pagkalkula. Sa partikular, dugang sa "ssh-rsa", magpabilin nga posible nga gamiton ang "rsa-sha2-256" (RSA/SHA256) ug "rsa-sha2-512" (RSA/SHA512) nga mga bundle.

Aron mahapsay ang transisyon ngadto sa bag-ong mga algorithm, ang OpenSSH 8.5 naglakip sa setting sa UpdateHostKeys, nga awtomatikong mobalhin sa mga kliyente ngadto sa mas luwas nga mga algorithm. Kini nga setting nagpahimo sa usa ka espesyal nga extension sa protocol, "hostkeys@openssh.com," nga nagtugot sa server sa pagpahibalo sa kliyente sa tanan nga magamit nga mga host key pagkahuman sa authentication. Mahimo tipigan sa kliyente kini nga mga key sa iyang ~/.ssh/known_hosts file, nga nagtugot sa mga pag-update sa host key ug nagpasayon ​​sa pagtuyok sa key. server.

Ang paggamit sa UpdateHostKeys gilimitahan sa daghang mga caveat nga mahimong tangtangon sa umaabot: ang yawe kinahanglan nga i-reference sa UserKnownHostsFile ug dili gamiton sa GlobalKnownHostsFile; ang yawe kinahanglang anaa ubos sa usa lamang ka ngalan; ang usa ka host key certificate kinahanglan dili gamiton; sa known_hosts masks sa host name dili angay gamiton; ang VerifyHostKeyDNS setting kinahanglan nga disable; Kinahanglan nga aktibo ang parameter sa UserKnownHostsFile.

Ang girekomendar nga mga algorithm alang sa paglalin naglakip sa rsa-sha2-256/512 base sa RFC8332 RSA SHA-2 (gisuportahan sukad sa OpenSSH 7.2 ug gigamit sa default), ssh-ed25519 (gisuportahan sukad sa OpenSSH 6.5) ug ecdsa-sha2-nistp256/384/521 base sa RFC5656 ECDSA (gisuportahan sukad sa OpenSSH 5.7).

Uban pang mga pagbag-o:

  • Mga pagbag-o sa seguridad:
    • Usa ka kahuyang tungod sa pag-re-free sa usa ka na-libre na nga lugar sa panumduman (doble-free) naayo sa ssh-agent. Ang isyu anaa na sukad sa pagpagawas sa OpenSSH 8.2 ug posibleng mapahimuslan kon ang tig-atake adunay access sa ssh-agent socket sa lokal nga sistema. Ang nakapalisud sa pagpahimulos mao nga ang gamut lamang ug ang orihinal nga tiggamit adunay access sa socket. Ang labing lagmit nga senaryo sa pag-atake mao nga ang ahente gi-redirect sa usa ka account nga kontrolado sa tig-atake, o sa usa ka host diin ang tig-atake adunay root access.
    • Ang sshd adunay dugang nga proteksyon batok sa pagpasa sa dagkong mga parameter nga adunay ngalan sa user ngadto sa subsystem sa PAM, nga nagtugot kanimo sa pagbabag sa mga kahuyangan sa mga module sa sistema sa PAM (Pluggable Authentication Module). Pananglitan, ang pagbag-o nagpugong sa sshd nga gamiton ingon usa ka vector aron mapahimuslan ang usa ka bag-o nga nadiskubre nga pagkahuyang sa gamut sa Solaris (CVE-2020-14871).
  • Posible nga makaguba sa mga pagbag-o sa pagkaangay:
    • Usa ka eksperimental nga paagi sa pagbayloay sa yawe nga makasugakod sa brute-force nga pag-atake sa usa ka quantum computer gidesinyo pag-usab sa ssh ug sshd. Ang mga kompyuter sa quantum mas paspas sa pagsulbad sa problema sa pag-factor sa usa ka natural nga numero ngadto sa mga prime factor, nga nagbase sa modernong asymmetric encryption algorithms ug dili epektibong masulbad sa mga klasikal nga processor. Ang pamaagi nga gigamit gibase sa NTRU Prime algorithm nga gihimo alang sa post-quantum cryptosystems ug ang X25519 elliptic curve key exchange method. Imbis nga sntrup4591761x25519-sha512@tinyssh.org, ang pamaagi karon giila nga sntrup761x25519-sha512@openssh.com (ang sntrup4591761 algorithm gipulihan sa sntrup761).
    • Sa ssh ug sshd, ang han-ay sa gisuportahan nga digital signature algorithm gipahibalo nausab. Gitanyag na karon ang ED25519 imbes nga ECDSA.
    • Sa ssh ug sshd, ang pagtakda sa TOS/DSCP nga kalidad sa mga parametro sa serbisyo alang sa interactive nga mga sesyon nahimo na karon sa dili pa magtukod ug TCP nga koneksyon.
    • Ang ssh ug sshd naghulog sa suporta alang sa rijndael-cbc@lysator.liu.se cipher, nga parehas sa aes256-cbc ug gigamit sa wala pa ang RFC-4253.
    • Sa kasagaran, ang CheckHostIP parameter gi-disable, ang kaayohan niini gamay ra, apan ang paggamit niini labi nga nagpalisud sa pag-rotate sa yawe alang sa mga host luyo sa mga balanse sa pagkarga.
  • Ang mga setting sa PerSourceMaxStartups ug PerSourceNetBlockSize gidugang sa sshd aron limitahan ang kakusog sa paglansad sa mga tigdumala base sa adres sa kliyente. Gitugotan ka niini nga mga parameter nga mas maayo nga makontrol ang limitasyon sa paglansad sa proseso, kung itandi sa kinatibuk-ang setting sa MaxStartups.
  • Usa ka bag-ong setting sa LogVerbose ang gidugang sa ssh ug sshd, nga nagtugot kanimo sa kusog nga pagpataas sa lebel sa impormasyon sa pag-debug nga gihulog sa log, nga adunay katakus sa pagsala pinaagi sa mga template, mga gimbuhaton ug mga file.
  • Sa ssh, kon modawat og bag-ong host key, ang tanang host name ipakita ug Mga IP address, nga nalangkit sa yawe.
  • Gitugotan sa ssh ang UserKnownHostsFile=walay kapilian nga dili magamit ang paggamit sa nahibal-an nga_hosts file sa pag-ila sa mga yawe sa host.
  • Usa ka setting sa KnownHostsCommand ang gidugang sa ssh_config para sa ssh, nga nagtugot kanimo sa pagkuha sa mga datos nga nailhan_hosts gikan sa output sa gitakda nga sugo.
  • Gidugang ang usa ka PermitRemoteOpen nga kapilian sa ssh_config para sa ssh aron tugutan ka nga mapugngan ang destinasyon kung gamiton ang kapilian nga RemoteForward nga adunay SOCKS.
  • Sa ssh alang sa FIDO nga mga yawe, ang usa ka gibalikbalik nga hangyo sa PIN gihatag kung adunay usa ka digital nga pirma nga operasyon nga mapakyas tungod sa usa ka sayup nga PIN ug ang gumagamit wala giaghat alang sa usa ka PIN (pananglitan, kung ang husto nga biometric data dili makuha ug ang ang device nahulog balik sa manwal nga PIN entry).
  • Sa sshd, ang mekanismo sa pag-inusara sa proseso nga nakabase sa seccomp-bpf sa plataporma Linux Gidugang ang suporta para sa dugang nga mga tawag sa sistema.
  • Ang contrib/ssh-copy-id utility na-update na.

Source: opennet.ru

Pagpalit kasaligan nga pag-host alang sa mga site nga adunay proteksyon sa DDoS, mga server sa VPS VDS 🔥 Pagpalit og kasaligang website hosting nga adunay proteksyon sa DDoS, VPS VDS servers | ProHoster