OpenSSH 8.8 arriba dient adéu a el suport de ssh-rsa, correccions d'errors i mes

La nova versió de OpenSSH 8.8 ja va ser alliberada i aquesta nova versió es destaca per desactivar per defecte la capacitat d'usar signatures digitals basades en claus RSA amb un hash SHA-1 ( «ssh-rsa»).

El cap de l'suport per a les firmes «ssh-rsa» es deu a un augment en l'efectivitat dels atacs de col·lisió amb un prefix donat (el cost d'endevinar la col·lisió s'estima en uns 50 mil dòlars). Per provar l'ús de ssh-rsa en un sistema, es pot intentar fer la connexió a través de ssh amb l'opció «-oHostKeyAlgorithms = -ssh-rsa».

A més de que el suport per a signatures RSA amb hash SHA-256 i SHA-512 (rsa-sha2-256 / 512), que són compatibles des OpenSSH 7.2, no ha canviat. En la majoria dels casos, per tal d'el suport per «ssh-rsa» no requerirà cap acció manual per part dels usuaris, ja que la configuració UpdateHostKeys estava prèviament habilitada per defecte en OpenSSH, que tradueix automàticament als clients a algoritmes més fiables.

Aquesta versió deshabilita les signatures RSA mitjançant l'algoritme hash SHA-1 per defecte. Aquest canvi s'ha realitzat ja que l'algoritme hash SHA-1 és criptogràficament trencat, i és possible crear el prefix triat col·lisions hash per

Per a la majoria dels usuaris, aquest canvi hauria de ser invisible i hi ha no cal reemplaçar les claus ssh-rsa. OpenSSH és compatible amb RFC8332 Firmes RSA / SHA-256/512 des de la versió 7.2 i claus ssh-rsa existents utilitzarà automàticament l'algoritme més fort sempre que sigui possible.

Per a la migració, s'utilitza l'extensió de protocol «hostkeys@openssh.com«, Que permet el servidor, després de passar l'autenticació, informar el client sobre totes les claus de host disponibles. A l'connectar-se a hosts amb versions molt antigues de OpenSSH al costat de el client, pot revertir selectivament la capacitat d'usar signatures «ssh-rsa» afegint ~ / .ssh / config

La nova versió també corregeix un problema de seguretat causat per sshd, des OpenSSH 6.2, Inicialitzant incorrectament el grup d'usuaris a l'executar ordres especificats en les directives AuthorizedKeysCommand i AuthorizedPrincipalsCommand.

Aquestes directives haurien de garantir que les ordres s'executin amb un usuari diferent, però de fet van heretar la llista de grups utilitzats a l'iniciar sshd. Potencialment, aquest comportament, donades certes configuracions de sistema, va permetre a el controlador en execució obtenir privilegis addicionals en el sistema.

Les notes de la versió també inclouen una advertència sobre la intenció de canviar la utilitat scp defecte per utilitzar SFTP en lloc de el protocol SCP / RCP heretat. El SFTP aplica noms de mètodes més predictibles, i s'utilitzen patrons globals sense processament en els noms d'arxiu a través del shell al costat de l'altre host, el que crea problemes de seguretat.

En particular, quan s'usa SCP i RCP, el servidor decideix quins arxius i directoris enviar a el client, i el client només verifica l'exactitud dels noms dels objectes retornats, el que, en absència de les verificacions adequades a la banda de el client , permet el servidor per transmetre altres noms d'arxiu que difereixin de les sol·licitades.

SFTP no té aquests problemes, però no admet l'expansió de rutes especials com «~ /». Per abordar aquesta diferència, en la versió anterior d'OpenSSH, es va proposar una nova extensió SFTP en la implementació de servidor SFTP per exposar les rutes ~ / i ~ user /.

Finalment si estàs interessat en conèixer més a l'respecte sobre aquesta nova versió, pots consultar els detalls dirigint-te a el següent enllaç.

¿Com instal·lar OpenSSH 8.8 en Linux?

Per als que estiguin interessats en poder instal·lar aquesta nova versió d'OpenSSH en els seus sistemes, de moment podran fer-ho descarregant el codi font d'aquest i realitzant la compilació en els seus equips.

Això és degut al fet que la nova versió encara no s'ha inclòs dins dels repositoris de les principals distribucions de Linux. Per obtenir el codi font, pots fer des del següent enllaç.

Feta la descàrrega, ara anem a descomprimir el paquet amb la següent comanda:

tar -xvf openssh-8.8.tar.gz

Entrem a directori creat:

cd openssh-8.8

Y podrem realitzar la compilació amb les següents comandes:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.