OpenSSH 8.5 版本

經過五個月的開發，OpenSSH 8.5 現已發布，它是一個透過 SSH 2.0 和 SFTP 協定工作的客戶端和伺服器的開源實作。

OpenSSH 開發人員已提醒即將棄用使用 SHA-1 雜湊的演算法，原因是使用給定前綴進行碰撞攻擊的效率更高（估計進行一次碰撞攻擊的成本約為 50 萬美元）。在即將發布的某個版本中，他們計劃默認禁用使用公鑰“ssh-rsa”進行數位簽名的功能，該演算法在 SSH 協議的原始 RFC 中有所提及，並且在實踐中仍然廣泛使用。

要測試 ssh-rsa 在您的系統上的使用情況，您可以嘗試使用“-oHostKeyAlgorithms=-ssh-rsa”選項透過 ssh 連線。 同時，預設禁用「ssh-rsa」數位簽章並不意味著完全放棄使用RSA金鑰，因為除了SHA-1之外，SSH協定還允許使用其他雜湊計算演算法。 特別是，除了“ssh-rsa”之外，仍然可以使用“rsa-sha2-256”（RSA/SHA256）和“rsa-sha2-512”（RSA/SHA512）捆綁包。

為了平滑過渡到新演算法，OpenSSH 8.5 新增了 UpdateHostKeys 設置，可自動將客戶端遷移到更安全的演算法。此設定啟用了一個特殊的協定擴充“hostkeys@openssh.com”，允許伺服器在身份驗證後告知客戶端所有可用的主機金鑰。用戶端可以將這些金鑰儲存在其 ~/.ssh/known_hosts 檔案中，從而實現主機金鑰的更新並簡化金鑰輪換。 服務器.

UpdateHostKeys 的使用受到一些將來可能會被刪除的警告的限制：密鑰必須在 UserKnownHostsFile 中引用，並且不能在 GlobalKnownHostsFile 中使用； 密鑰必須僅存在於一個名稱下； 不應使用主機密鑰憑證； 在known_hosts 中不應使用主機名稱掩碼； 必須禁用VerifyHostKeyDNS設定； UserKnownHostsFile 參數必須處於作用中狀態。

建議的遷移演算法包括基於RFC2 RSA SHA-256 的rsa-sha512-8332/2（自OpenSSH 7.2 起支援並預設使用）、ssh-ed25519（自OpenSSH 6.5 起支援）和基於ecdsa-sha2-nistp256/384 521 RFC5656 ECDSA（自 OpenSSH 5.7 起支援）。

其他變化：

• 安全變更：
  • ssh-agent 中修正了一個由重複釋放已釋放記憶體區域所導致的漏洞。該問題自 OpenSSH 8.2 起就存在，如果攻擊者能夠存取本機系統上的 ssh-agent 套接字，則可能被利用。由於只有 root 使用者和原始使用者才能存取該套接字，因此利用起來比較複雜。最可能的攻擊場景是將代理重定向到攻擊者控制的帳戶，或重定向到攻擊者擁有 root 存取權限的主機。
  • sshd 已獲得保護，不再允許將包含使用者名稱的超長參數傳遞給 PAM 子系統，這有助於阻止 PAM（可插入式驗證模組）系統模組中的漏洞。例如，此變更可防止 sshd 被用作利用 Solaris 中最近發現的 root 漏洞 (CVE-2020-14871) 的媒介。
• 可能破壞相容性的變更：
  • 一種能夠抵禦量子電腦暴力破解攻擊的實驗性金鑰交換方法已在 ssh 和 sshd 中重新設計。量子電腦在解決自然數分解素因數問題上速度更快，而這個問題是現代非對稱加密演算法的基礎，在經典處理器上無法有效解決。此方法基於為後量子密碼系統開發的 NTRU Prime 演算法和 X25519 橢圓曲線金鑰交換方法。此方法的位址不再是 sntrup4591761x25519-sha512@tinyssh.org，而是 sntrup761x25519-sha512@openssh.com（sntrup4591761 演算法已被 sntrup761 取代）。
  • ssh 和 sshd 中支援的數位簽章演算法的發布順序已變更。現在先提供 ED25519，而不是 ECDSA。
  • 在 ssh 和 sshd 中，互動式會話的 TOS/DSCP 服務品質參數現在是在建立 TCP 連線之前設定的。
  • ssh 和 sshd 已經放棄了對 rijndael-cbc@lysator.liu.se 密碼的支持，該密碼與 aes256-cbc 相同，在 RFC-4253 之前使用。
  • CheckHostIP 參數預設是停用的，這幾乎沒有什麼好處，但在使用時會使負載平衡器後面的主機的金鑰輪換變得更加困難。
• sshd 新增了 PerSourceMaxStartups 和 PerSourceNetBlockSize 設置，用於根據客戶端位址限制處理程序啟動的強度。與常規的 MaxStartups 設定相比，這些設定可以更精細地控制進程啟動限制。
• ssh 和 sshd 中新增了新的 LogVerbose 設置，可讓您強制提高轉儲到日誌中的偵錯資訊的級別，並能夠按模式、功能和檔案進行過濾。
• 在 SSH 中，接受新的主機金鑰時，會顯示所有主機名稱。 IP位址與密鑰關聯。
• 在 ssh 中，允許指定 UserKnownHostsFile=none 選項，以在識別主機金鑰時停用 known_hosts 檔案的使用。
• ssh 的 ssh_config 中已新增 KnownHostsCommand 設定，可讓您從指定命令的輸出中取得 known_hosts 資料。
• 為 ssh 的 ssh_config 新增了 PermitRemoteOpen 選項，以便在使用帶有 SOCKS 的 RemoteForward 選項時限制目標。
• 在 FIDO 金鑰的 ssh 中，如果由於 PIN 不正確或用戶沒有提出 PIN 請求而導致數位簽章操作失敗（例如，當無法取得正確的生物特徵資料且裝置回退到手動 PIN 輸入時），則會提供重複的 PIN 要求。
• 在 sshd 中，平台上的進程隔離機制是基於 seccomp-bpf 的。 Linux 增加了對其他系統呼叫的支援。
• contrib/ssh-copy-id 實用程式已更新。

來源： opennet.ru