我在政府机构工作。我们在 DMZ 系统上运行 sftp 客户端和 sftp 服务器,通过互联网接收和发送文件。
我们的环境:
OpenSSH_7.4p1、OpenSSL 1.0.2k-fips 2017 年 1 月 26 日
Linux版本3.10.0-1160.102.1.el7.x86_64([电子邮件受保护]) (gcc 版本 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) ) #1 SMP 2023 年 9 月 25 日星期一 05:00:52 EDT
Red_Hat_Enterprise_Linux-Release_Notes-7-en-US-7-2.el7.noarch
redhat-release-server-7.9-8.el7_9.x86_64
英特尔(R) 至强(R)
我们的问题是,我们的合作伙伴之一想要升级 openssh 版本,但我们不知道哪个版本最稳定、最安全。我一直在查看 OpenSSH 网站和其他地方,但没有找到任何好的答案。
我们的问题:就稳定性和安全性(sftp 安全性)而言,您推荐 Linux 上的 openssh 版本是什么?
问候
安德斯
答案1
由于您已经在使用 REL,我建议您继续使用它,尽管您应该升级到版本 8 或 9。 正如 @tink 所指出的,REL 将安全补丁向后移植到其软件包中,而不更改主/次版本号,因此您将非常那里很安全。
如果可能,您可能希望启用 FIPS 140-2 来强制执行 NIST 批准的密码和 MAC 列表。如果失败,您可以将 sshd 配置为使用一组已知更安全的受限密码。
最后,一个问题。如果您的合作伙伴想要切换 openssh 版本,这对您正在运行的服务器有何影响?
答案2
一般来说:尝试保持最新状态并应用所有安全补丁。所以最新的是最好的(通常)。 OpenSSH 7.6 之前的版本从 2017 年开始就存在漏洞,因此如果您担心安全性,您应该早就升级了。
至于稳定性:如果您使用 RedHat,则使用 RedHat 存储库中的 ssh 将为您提供稳定的版本。
您可以随时阅读发行说明并搜索安全建议。去引用:
- OpenSSH 9.6 之前版本中的 ssh(1)、sshd(8)。初始密钥交换的弱点(“Terrapin Attack”)
- OpenSSH 8.9 和 9.5(含)之间的 ssh-agent(1) 对智能卡密钥的目标约束应用不完整。
- OpenSSH 中的 ssh-agent(1) 以及 5.5 和 9.3p1(含)之间与 PKCS#11 提供程序相关的远程代码执行
- OpenSSH 6.5 和 9.1(含)之间的 ssh(1)。 ssh(1) 无法检查从 libc 返回的 DNS 名称的有效性。
- OpenSSH 中的 sshd 介于 6.2 和 8.7(含)之间。 sshd(8) 在执行 AuthorizedKeysCommand 或 AuthorizedPrincipalsCommand 时无法正确初始化补充组
我想说,低于 9.6 的任何内容都是安全问题。
确实:在稳定性和安全性方面,保留这么旧的版本比完全升级到最新版本是一个更大的问题。
答案3
这取决于您对 Redhat 的服务水平。 7 在两个月内不再支持 2。
Redhat 通常会应用/反向移植安全补丁,而不更改基础包的主要版本号;对于内核和应用程序都是如此。我目前无法访问任何 redhat 或 centos 计算机,因此无法验证您的OpenSSH_7.4p1上次更新时间(尝试类似的方法rpm -qa --last|grep ssh,我在 yonks 中没有使用过 RHEL)。