%3F%20.png)
Я работаю в государственном учреждении. Мы используем sftp-клиент и sftp-сервер в системе DMZ, где мы получаем и отправляем файлы через интернет.
Наше окружение:
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 января 2017 г.
Linux версии 3.10.0-1160.102.1.el7.x86_64 ([email protected]) (gcc версия 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) ) #1 SMP пн сен 25 05:00:52 EDT 2023
Red_Hat_Enterprise_Linux-Release_Notes-7-en-US-7-2.el7.noarch
redhat-release-server-7.9-8.el7_9.x86_64
Intel(R) Xeon(R)
Наша проблема в том, что один из наших партнеров хочет обновить версию openssh, но мы не знаем, какая версия самая стабильная и безопасная. Я искал на сайте OpenSSH и в других местах, но не нашел хорошего ответа.
Наш вопрос: Какую версию OpenSH для Linux вы рекомендуете с точки зрения стабильности и безопасности (безопасность SFTP)?
С уважением
Андерс
решение1
Поскольку вы уже используете REL, я бы посоветовал вам остаться на ней, хотя вам следует обновиться до версии 8 или 9. Как отметил @tink, REL портирует исправления безопасности в свои пакеты, не меняя основные/дополнительные номера версий, так что вы будете в полной безопасности.
Если возможно, вы можете включить FIPS 140-2, чтобы обеспечить список шифров и MAC, одобренных NIST. Если это невозможно, вы можете настроить sshd на использование ограниченного набора шифров, которые, как известно, более безопасны.
Наконец, вопрос. Если ваш партнер захочет сменить версию openssh, как это повлияет на сервер, который вы используете?
решение2
В общем: старайтесь быть в курсе событий и применяйте все исправления безопасности. Поэтому последнее — лучшее (обычно). В OpenSSH до версии 7.6 есть уязвимости с 2017 года, поэтому если вы беспокоитесь о безопасности, вам давно следовало обновиться.
Что касается стабильности: если вы используете RedHat, то использование ssh из репозиториев RedHat даст вам стабильную версию.
Вы всегда можете прочитать примечания к выпуску и поискать рекомендации по безопасности. Цитата:
- ssh(1), sshd(8) в OpenSSH до версии 9.6. Уязвимость в начальном обмене ключами («Terrapin Attack»)
- ssh-agent(1) в OpenSSH между 8.9 и 9.5 (включительно) Неполное применение ограничений назначения к ключам смарт-карт.
- ssh-agent(1) в OpenSSH между 5.5 и 9.3p1 (включительно) удаленное выполнение кода, относящегося к поставщикам PKCS#11
- ssh(1) в OpenSSH между 6.5 и 9.1 (включительно). ssh(1) не смог проверить DNS-имена, возвращаемые libc, на допустимость.
- sshd в OpenSSH между 6.2 и 8.7 (включительно). sshd(8) не смог правильно инициализировать дополнительные группы при выполнении AuthorizedKeysCommand или AuthorizedPrincipalsCommand
Я бы сказал, что все, что ниже 9,6, является проблемой безопасности.
На самом деле: оставаться на такой старой версии — более серьезная проблема с точки зрения стабильности и безопасности, чем выполнять полное обновление до последней версии.
решение3
Это будет зависеть от вашего уровня обслуживания в RedHat. Поддержка 7 прекращается через два месяца.
Redhat обычно применяет/портирует исправления безопасности без изменения основных номеров версий базовых пакетов; это справедливо как для ядра, так и для приложений. В настоящее время у меня нет доступа к машинам Redhat или Centos, поэтому я не могу проверить, когда вы в OpenSSH_7.4p1последний раз обновлялись (попробуйте что-нибудь вроде rpm -qa --last|grep ssh, я давно не пользовался RHEL).