%3F%20.png)
Trabajo en una agencia gubernamental. Estamos ejecutando un cliente sftp y un servidor sftp en un sistema DMZ donde recibimos y enviamos archivos a través de Internet.
Nuestro ambiente:
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 de enero de 2017
Versión de Linux 3.10.0-1160.102.1.el7.x86_64 ([correo electrónico protegido]) (gcc versión 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC)) #1 SMP lunes 25 de septiembre 05:00:52 EDT 2023
Red_Hat_Enterprise_Linux-Release_Notes-7-en-US-7-2.el7.noarch
servidor-de-lanzamiento-redhat-7.9-8.el7_9.x86_64
Intel(R) Xeon(R)
Nuestro problema es que uno de nuestros socios quiere actualizar la versión de openssh pero no sabemos qué versión es la más estable y segura. He estado buscando en el sitio OpenSSH y en otros lugares pero no encontré ninguna buena respuesta.
Nuestra pregunta: ¿Qué versión de openssh en Linux recomienda en términos de estabilidad y seguridad (seguridad sftp)?
Saludos
Anders
Respuesta1
Como ya estás usando REL, te sugiero que sigas con él, aunque deberías actualizar a la versión 8 o 9. Como ha señalado @tink, REL incluye parches de seguridad en sus paquetes sin cambiar los números de versión principal/menor, por lo que será muy fácil para ti. seguro allí.
Si es posible, es posible que desee habilitar FIPS 140-2 para aplicar una lista de cifrados y MAC aprobados por NIST. De lo contrario, puede configurar sshd para utilizar un conjunto restringido de cifrados que se sabe que son más seguros.
Finalmente, una pregunta. Si su socio quiere cambiar las versiones de openssh, ¿cómo afecta eso al servidor que está ejecutando?
Respuesta2
En general: intenta mantenerte actualizado y aplicar todos los parches de seguridad. Así que lo último es lo mejor (normalmente). Hay vulnerabilidades de 2017 en OpenSSH anterior a 7.6, por lo que si le preocupa la seguridad, debería haber estado actualizando hace mucho tiempo.
En cuanto a la estabilidad: si usas RedHat, usar ssh desde los repositorios de RedHat te dará una versión estable.
Siempre puede leer las notas de la versión y buscar los avisos de seguridad. Citar:
- ssh(1), sshd(8) en OpenSSH anterior a la versión 9.6. Debilidad en el intercambio inicial de claves ("Terrapin Attack")
- ssh-agent(1) en OpenSSH entre 8.9 y 9.5 (inclusive) Aplicación incompleta de restricciones de destino a claves de tarjetas inteligentes.
- ssh-agent(1) en OpenSSH entre 5.5 y 9.3p1 (inclusive) ejecución remota de código relacionado con proveedores PKCS#11
- ssh(1) en OpenSSH entre 6.5 y 9.1 (inclusive). ssh(1) no pudo comprobar la validez de los nombres DNS devueltos por libc.
- sshd en OpenSSH entre 6.2 y 8.7 (inclusive). sshd(8) no pudo inicializar correctamente grupos suplementarios al ejecutar AuthorizedKeysCommand o AuthorizedPrincipalsCommand
Yo diría que cualquier valor por debajo de 9,6 es un problema de seguridad.
Realmente: permanecer en una versión tan antigua es un problema mayor en términos de estabilidad y seguridad que realizar una actualización completa a la última versión.
Respuesta3
Eso dependerá de su nivel de servicio con Redhat. 7 deja de recibir soporte 2 en dos meses.
Redhat normalmente aplica/porta parches de seguridad sin cambiar los números de versión principales de los paquetes base; esto es cierto tanto para el kernel como para las aplicaciones. Actualmente no tengo acceso a ninguna máquina redhat o centos, por lo que no puedo verificar cuándo se OpenSSH_7.4p1actualizó por última vez (pruebe algo como rpm -qa --last|grep ssh, no he usado RHEL en Yonks).