安定性とセキュリティ (sftp セキュリティ) に関して、Linux に最適な OpenSSH バージョンはどれですか?

すでに REL をご使用なので、バージョン 8 または 9 にアップグレードしたほうがよいですが、REL を使い続けることをお勧めします。@tink が指摘したように、REL はメジャー/マイナー バージョン番号を変更せずにセキュリティ パッチをパッケージにバックポートするため、非常に安全です。

可能であれば、FIPS 140-2 を有効にして、NIST 承認の暗号と MAC のリストを強制することをお勧めします。それができない場合は、より安全であることがわかっている制限された暗号セットを使用するように sshd を構成できます。

最後に質問です。パートナーが OpenSSH のバージョンを切り替えたい場合、実行しているサーバーにどのような影響がありますか?

一般的には、常に最新の状態を保ち、すべてのセキュリティ パッチを適用するようにしてください。したがって、通常は最新のものが最適です。2017 年から OpenSSH 7.6 より前に脆弱性が存在するため、セキュリティを懸念している場合は、かなり前にアップグレードしておく必要があります。

安定性に関しては、RedHat を使用する場合は、RedHat リポジトリから ssh を使用すると安定したバージョンが得られます。

リリース ノートを読んだり、セキュリティ アドバイザリを検索したりして、いつでも確認することができます。引用:

• OpenSSH バージョン 9.6 以前の ssh(1)、sshd(8)。初期鍵交換の脆弱性 ("Terrapin Attack")
• OpenSSH 8.9 から 9.5 (含む) の ssh-agent(1) では、スマートカード キーへの宛先制約の適用が不完全です。
• OpenSSH 5.5 から 9.3p1 (含む) までの ssh-agent(1) で、PKCS#11 プロバイダーに関連するリモート コード実行の脆弱性が発見されました。
• OpenSSH 6.5 から 9.1 (含む) までの ssh(1)。ssh(1) は、libc から返された DNS 名の有効性をチェックできませんでした。
• OpenSSH 6.2 から 8.7 (含む) の sshd。sshd(8) は、AuthorizedKeysCommand または AuthorizedPrincipalsCommand の実行時に補助グループを正しく初期化できませんでした。

9.6 未満はセキュリティ上の問題であると言えます。

本当に、これほど古いバージョンを使い続けることは、最新バージョンに完全にアップグレードするよりも、安定性とセキュリティの面で大きな問題になります。

それは、Red Hat のサービス レベルによって異なります。7 は 2 か月以内にサポートが終了します。

https://access.redhat.com/product-life-cycles?product=Red%20Hat%20Enterprise%20Linux、OpenShift%20Container%20Platform%204 をご覧ください。

Redhat は通常、ベース パッケージのメジャー バージョン番号を変更せずにセキュリティ パッチを適用/バックポートします。これはカーネルとアプリケーションの両方に当てはまります。現在、Redhat または Centos マシンにアクセスできないため、最終更新日を確認できませんOpenSSH_7.4p1( などを試してくださいrpm -qa --last|grep ssh。私は RHEL を長年使用していません)。