%3F%20.png)
Eu trabalho em uma agência governamental. Estamos executando um cliente SFTP e um servidor SFTP em um sistema DMZ onde recebemos e enviamos arquivos pela Internet.
Nosso ambiente:
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 de janeiro de 2017
Linux versão 3.10.0-1160.102.1.el7.x86_64 ([e-mail protegido]) (gcc versão 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC)) #1 SMP segunda-feira, 25 de setembro 05:00:52 EDT 2023
Red_Hat_Enterprise_Linux-Release_Notes-7-en-US-7-2.el7.noarch
redhat-release-server-7.9-8.el7_9.x86_64
Intel(R) Xeon(R)
Nosso problema é que um de nossos parceiros deseja atualizar a versão do openssh, mas não sabemos qual versão é mais estável e segura. Estive pesquisando o site OpenSSH e outros lugares, mas não encontrei nenhuma boa resposta.
Nossa pergunta: Qual versão do openssh no Linux você recomenda quando se trata de estabilidade e segurança (sftp security)?
Cumprimentos
Anders
Responder1
Como você já está usando o REL, sugiro continuar com ele, embora você deva atualizar para a versão 8 ou 9. Como @tink apontou, o REL faz backport de patches de segurança em seus pacotes sem alterar os números de versão principal/secundária, então você será muito seguro lá.
Se possível, convém ativar o FIPS 140-2 para impor uma lista de cifras e MACs aprovados pelo NIST. Caso contrário, você pode configurar o sshd para usar um conjunto restrito de cifras que são conhecidas por serem mais seguras.
Finalmente, uma pergunta. Se o seu parceiro deseja mudar as versões do openssh, como isso afeta o servidor que você está executando?
Responder2
Em geral: tente manter-se atualizado e aplicar todos os patches de segurança. Então o mais recente é melhor (normalmente). Existem vulnerabilidades de 2017 no OpenSSH anteriores ao 7.6, portanto, se você está preocupado com a segurança, você deveria estar atualizando há muito tempo.
Quanto à estabilidade: se você usa RedHat, usar ssh dos repositórios RedHat lhe dará uma versão estável.
Você sempre pode ler as notas de versão e pesquisar os avisos de segurança. Citar:
- ssh(1), sshd(8) no OpenSSH anterior à versão 9.6. Fraqueza na troca inicial de chaves ("Ataque Terrapin")
- ssh-agent(1) no OpenSSH entre 8.9 e 9.5 (inclusive) Aplicação incompleta de restrições de destino às chaves do cartão inteligente.
- ssh-agent(1) em OpenSSH entre 5.5 e 9.3p1 (inclusive) execução remota de código relacionado a provedores PKCS#11
- ssh(1) no OpenSSH entre 6.5 e 9.1 (inclusive). ssh(1) falhou ao verificar a validade dos nomes DNS retornados da libc.
- sshd no OpenSSH entre 6.2 e 8.7 (inclusive). sshd(8) falhou ao inicializar corretamente grupos suplementares ao executar um AuthorizedKeysCommand ou AuthorizedPrincipalsCommand
Eu diria que qualquer coisa abaixo de 9,6 é uma questão de segurança.
Sério: permanecer em uma versão tão antiga é um problema maior em termos de estabilidade e segurança do que fazer uma atualização completa para a versão mais recente.
Responder3
Isso dependerá do seu nível de serviço com o redhat. 7 sai do suporte 2 em dois meses.
O Redhat normalmente aplica/faz backport de patches de segurança sem alterar os números de versão principais dos pacotes básicos; isso é verdade tanto para o kernel quanto para os aplicativos. Atualmente não tenho acesso a nenhuma máquina redhat ou centos, então não posso verificar quando a sua OpenSSH_7.4p1foi atualizada pela última vez (tente algo como rpm -qa --last|grep ssh, não usei RHEL em yonks).