OpenSSH 7.0 domyślnie bez obsługi SSH 1

Damien Miller z zespołu programistów projektu OpenSSH ogłosił wczoraj na liście dyskusyjnej wydanie OpenSSH w wersji 7.0. OpenSSH posiada pełną implementację protokołu SSH 2.0 oraz zawiera obsługę serwera i klienta sftp. Dodatkowo podczas kompilacji można włączyć wsparcie dla protokołu SSH w wersji 1.3 i 1.5. Nowa wersja przynosi sporo poprawek bezpieczeństwa, skupionych przede wszystkim na przestarzałych słabych oraz niebezpiecznych metodach szyfrowania.

Zmiany w porównaniu do OpenSSH 6.9 zawierają między innymi naprawę błędu występującego w wersji 6.8 i 6.9 polegającego na nieprawidłowym ustawianiu uprawnień (dostępne do zapisu dla wszystkich) dla TTY, poprawioną separację uprawnień związanej z obsługą PAM, czy też błędu pozwalającego na obejście MaxAuthTries przy użyciu autentykacji interaktywnej gdzie w odpowiednio krótkim czasie można było wykonać tysiące prób logowania za jednym razem.

Nowa wersja przynosi też zmiany, które są mogą być potencjalnie niekompatybilne z serwerami używającymi poprzednich wersji: domyślne wyłączenie na etapie kompilacji obsługi protokołu SSH w wersji 1, wyłączenie obsługi 1024-bitowego klucza diffie-hellman-group1-sha1, czy też kluczy hostów i użytkowników ssh-dss, ssh-dss-cert-*. Usunięte zostało również wsparcie dla przestarzałego formatu certyfikatu v00. Domyślnie w pliku konfiguracyjnym sshd_config opcja PermitRootLogin została zmieniona z “yes” na “prohibit-password”, zaś ustawienie jej wartości “without-password” lub “prohibit-password” blokuje automatycznie metody interaktywne autentykacji, pozwalając do zalogowania tylko przez klucz publiczny.

Wśród nowych funkcji znajdziemy między innymi nową opcję konfiguracyjną klienta PubkeyAcceptedKeyTypes do kontroli typu klucza publicznego, który ma być dostępny do autentykacji użytkownika, oraz analogiczna HostKeyAlgorithms w konfiguracji serwera ustawiająca typy kluczy publicznych, które mają być dostępne. Opcje Ciphers, MACs, KexAlgorithms,    HostKeyAlgorithms, PubkeyAcceptedKeyTypes i HostbasedKeyTypes mogą teraz dodawać zestawy algorytmów szyfrowania, zamiast je tylko zastępować. W takim przypadku należy dodać przed wartością znak +, np: HostKeyAlgorithms=+ssh-dss (dzięki temu zestaw domyślnych algorytmów zostaje zachowany z dodatkową obsługą ssh-dss). PermitRootLogin w konfiguracji serwera może teraz akceptować argument “prohibit-password” jako bardziej jednoznaczny synonim wartości “without-password”.

Na liście poprawek znajdziemy między innymi poprawienie kompatybilności dla Cisco i większej ilości wersji PuTTY, poprawę niektórych zaniedbań i błędów w dokumentacji PROTOCOL i PROTOCOL.mux, wzbogacenie manuala ssh o lepszy opis przekierowania gniazd domen, pomijanie niezainicjalizowanych slotów PKCS#11, naprawę ładowania kluczy kiedy są one obecne czy też nieignorowanie hostowanych kluczy PKCS#11 z pustym CKA_ID.

Pojawiły się też zapowiedzi wykluczeń w następnych wersjach: odrzucanie wszystkich kluczy RSA mniejszych niż 1024 bity (obecnie minimum to 768), domyślne wyłączenie metod szyfrowania: blowfish-cbc, cast128-cbc, wszystkich wariantów arcfour, aliasów rijndael-cbc dla AES oraz bazujących na MD5 algorytmów HMAC.

Całość ogłoszenia na stronie projektu: http://www.openssh.com/txt/release-7.0

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Poprzedni post

[Arch Linux] AuN – Zadbaj o aktualizacje systemu

Następny post

Kali Linux 2.0 wydany

Powiązane posty
Otwieranie bazy danych w KeePassXC

KeePassXC – program do bezpiecznego przechowywania haseł w Linuksie

admin123 i dupa8 to nie są dobre hasła - chociaż jak się często uważa, najbardziej popularne. Dobre hasła to długie hasła z dużą ilością różnych znaków - małych i dużych liter, cyfr oraz znaków specjalnych. W Linuksie zarządzaj bezpiecznie wszystkimi hasłami wykorzystując program open source - menedżer haseł KeePassXC
Więcej...

Amarok 2.8 wydany

Deweloperzy Amaroka udostępnili wydanie 2.8 odtwarzacza, o nazwie kodowej Return To The Origin. W jego najnowszym wydaniu dodano m.in. nowy aplet do wizualizacji analizatora dźwięku, płynne wyciszanie podczas pauzowania oraz wiele udoskonaleń w interfejsie graficznym i wydajności.

 

Amarok to odtwarzacz muzyki dla środowiska KDE, charakteryzujący się szerokim wykorzystaniem bazy multimediów. W najnowszym wydaniu 2.8 deweloperzy szczególny nacisk położyli na poprawę stabilności, wydajności i dopracowania programu — podobnej jak w serii 1.x odtwarzacza.

Więcej...