我在政府機構工作。我們在 DMZ 系統上執行 sftp 用戶端和 sftp 伺服器,透過網際網路接收和傳送檔案。
我們的環境:
OpenSSH_7.4p1、OpenSSL 1.0.2k-fips 2017 年 1 月 26 日
Linux版本3.10.0-1160.102.1.el7.x86_64([電子郵件受保護]) (gcc 版本 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) ) #1 SMP 2023 年 9 月 25 日星期一 05:00:52 EDT
Red_Hat_Enterprise_Linux-Release_Notes-7-en-US-7-2.el7.noarch
redhat-release-server-7.9-8.el7_9.x86_64
英特爾(R) 至強(R)
我們的問題是,我們的合作夥伴之一想要升級 openssh 版本,但我們不知道哪個版本最穩定、最安全。我一直在查看 OpenSSH 網站和其他地方,但沒有找到任何好的答案。
我們的問題:就穩定性和安全性(sftp 安全性)而言,您推薦 Linux 上的 openssh 版本是什麼?
問候
安德斯
答案1
由於您已經在使用REL,我建議您繼續使用它,儘管您應該升級到版本8 或9。 正如@tink 所指出的,REL 將安全補丁向後移植到其軟體包中,而不更改主/次版本號,因此您將非常那裡很安全。
如果可能,您可能想要啟用 FIPS 140-2 來強制執行 NIST 核准的密碼和 MAC 清單。如果做不到這一點,您可以將 sshd 配置為使用一組已知更安全的受限密碼。
最後,一個問題。如果您的合作夥伴想要切換 openssh 版本,這對您正在運行的伺服器有何影響?
答案2
一般來說:嘗試保持最新狀態並套用所有安全性修補程式。所以最新的是最好的(通常)。 OpenSSH 7.6 之前的版本從 2017 年開始就存在漏洞,因此如果您擔心安全性,您應該早就升級了。
至於穩定性:如果您使用 RedHat,則使用 RedHat 儲存庫中的 ssh 將為您提供穩定的版本。
您可以隨時閱讀發行說明並蒐索安全建議。去引用:
- OpenSSH 9.6 先前版本中的 ssh(1)、sshd(8)。初始金鑰交換的弱點(“Terrapin Attack”)
- OpenSSH 8.9 和 9.5(含)之間的 ssh-agent(1) 對智慧卡金鑰的目標限制應用不完整。
- OpenSSH 中的 ssh-agent(1) 以及 5.5 和 9.3p1(含)之間與 PKCS#11 提供者相關的遠端程式碼執行
- OpenSSH 6.5 和 9.1(含)之間的 ssh(1)。 ssh(1) 無法檢查從 libc 傳回的 DNS 名稱的有效性。
- OpenSSH 中的 sshd 介於 6.2 和 8.7(含)之間。 sshd(8) 執行 AuthorizedKeysCommand 或 AuthorizedPrincipalsCommand 時無法正確初始化補充組
我想說,低於 9.6 的任何內容都是安全問題。
確實:在穩定性和安全性方面,保留這麼舊的版本比完全升級到最新版本是一個更大的問題。
答案3
這取決於您對 Redhat 的服務等級。 7 在兩個月內不再支援 2。
Redhat 通常會套用/反向移植安全性補丁,而不會更改基礎包的主要版本號;對於內核和應用程式都是如此。我目前無法存取任何 redhat 或 centos 計算機,因此無法驗證您的OpenSSH_7.4p1上次更新時間(嘗試類似的方法rpm -qa --last|grep ssh,我在 yonks 中沒有使用過 RHEL)。