안정성과 보안(sftp 보안) 측면에서 Linux에 가장 적합한 openssh 버전은 무엇입니까? [폐쇄]

Question 1

이미 REL을 사용하고 계시기 때문에 버전 8이나 9로 업그레이드를 하셔야 하지만 계속해서 사용하시는 것을 추천드립니다. @tink가 지적했듯이 REL은 주/부 버전 번호를 변경하지 않고 보안 패치를 패키지로 백포트하므로 꽤 안전할 것입니다.

가능하다면 FIPS 140-2를 활성화하여 NIST 승인 암호 및 MAC 목록을 적용할 수 있습니다. 실패할 경우 더 안전하다고 알려진 제한된 암호 세트를 사용하도록 sshd를 구성할 수 있습니다.

마지막 질문. 파트너가 openssh 버전을 전환하려는 경우 실행 중인 서버에 어떤 영향을 미치나요?

Answer

이미 REL을 사용하고 계시기 때문에 버전 8이나 9로 업그레이드를 하셔야 하지만 계속해서 사용하시는 것을 추천드립니다. @tink가 지적했듯이 REL은 주/부 버전 번호를 변경하지 않고 보안 패치를 패키지로 백포트하므로 꽤 안전할 것입니다.

가능하다면 FIPS 140-2를 활성화하여 NIST 승인 암호 및 MAC 목록을 적용할 수 있습니다. 실패할 경우 더 안전하다고 알려진 제한된 암호 세트를 사용하도록 sshd를 구성할 수 있습니다.

마지막 질문. 파트너가 openssh 버전을 전환하려는 경우 실행 중인 서버에 어떤 영향을 미치나요?

Question 2

일반적으로 최신 상태를 유지하고 모든 보안 패치를 적용하십시오. 따라서 최신 것이 가장 좋습니다(보통). 7.6 이전 버전의 OpenSSH는 2017년부터 취약했기 때문에 보안이 걱정된다면 오래 전에 업그레이드해야 합니다.

안정성에 관해서: RedHat을 사용하는 경우 RedHat 저장소에서 ssh를 사용하면 안정적인 버전이 제공됩니다.

언제든지 릴리스 노트를 읽고 보안 권장 사항을 검색할 수 있습니다. 인용하자면:

OpenSSH 9.6 이전 버전의 ssh(1), sshd(8). 초기 키 교환("테라핀 공격")의 약점
OpenSSH 8.9와 9.5(포함) 사이의 ssh-agent(1)에는 스마트 카드 키에 대한 대상 제약 조건이 불완전하게 적용되어 있습니다.
OpenSSH의 ssh-agent(1) 및 5.5에서 9.3p1(포함) 사이의 PKCS#11 공급자와 관련된 원격 코드 실행
OpenSSH 6.5와 9.1(포함) 사이의 ssh(1). ssh(1)은 libc에서 반환된 DNS 이름의 유효성을 확인할 수 없습니다.
OpenSSH의 sshd는 6.2에서 8.7 사이입니다. AuthorizedKeysCommand 또는 AuthorizedPrincipalsCommand를 실행할 때 sshd(8)가 보충 그룹을 제대로 초기화하지 못함

9.6 미만의 버전은 보안 문제라고 말하고 싶습니다.

사실입니다. 이렇게 오래된 버전을 유지하는 것은 최신 버전으로 완전히 업그레이드하는 것보다 안정성과 보안 측면에서 더 큰 문제입니다.

Answer

일반적으로 최신 상태를 유지하고 모든 보안 패치를 적용하십시오. 따라서 최신 것이 가장 좋습니다(보통). 7.6 이전 버전의 OpenSSH는 2017년부터 취약했기 때문에 보안이 걱정된다면 오래 전에 업그레이드해야 합니다.

안정성에 관해서: RedHat을 사용하는 경우 RedHat 저장소에서 ssh를 사용하면 안정적인 버전이 제공됩니다.

언제든지 릴리스 노트를 읽고 보안 권장 사항을 검색할 수 있습니다. 인용하자면:

OpenSSH 9.6 이전 버전의 ssh(1), sshd(8). 초기 키 교환("테라핀 공격")의 약점
OpenSSH 8.9와 9.5(포함) 사이의 ssh-agent(1)에는 스마트 카드 키에 대한 대상 제약 조건이 불완전하게 적용되어 있습니다.
OpenSSH의 ssh-agent(1) 및 5.5에서 9.3p1(포함) 사이의 PKCS#11 공급자와 관련된 원격 코드 실행
OpenSSH 6.5와 9.1(포함) 사이의 ssh(1). ssh(1)은 libc에서 반환된 DNS 이름의 유효성을 확인할 수 없습니다.
OpenSSH의 sshd는 6.2에서 8.7 사이입니다. AuthorizedKeysCommand 또는 AuthorizedPrincipalsCommand를 실행할 때 sshd(8)가 보충 그룹을 제대로 초기화하지 못함

9.6 미만의 버전은 보안 문제라고 말하고 싶습니다.

사실입니다. 이렇게 오래된 버전을 유지하는 것은 최신 버전으로 완전히 업그레이드하는 것보다 안정성과 보안 측면에서 더 큰 문제입니다.

Question 3

이는 Redhat에 대한 서비스 수준에 따라 다릅니다. 7은 2개월 후에 더 이상 지원되지 않습니다2.

https://access.redhat.com/product-life-cycles?product=Red%20Hat%20Enterprise%20Linux,OpenShift%20Container%20Platform%204

Redhat은 일반적으로 기본 패키지의 주요 버전 번호를 변경하지 않고 보안 패치를 적용/백포트합니다. 이는 커널과 애플리케이션 모두에 해당됩니다. 현재 Redhat 또는 Centos 시스템에 액세스할 수 없으므로 OpenSSH_7.4p1마지막 업데이트 시간을 확인할 수 없습니다(비슷한 것을 시도하십시오 rpm -qa --last|grep ssh. 저는 RHEL을 사용하지 않았습니다).

Answer

이는 Redhat에 대한 서비스 수준에 따라 다릅니다. 7은 2개월 후에 더 이상 지원되지 않습니다2.

https://access.redhat.com/product-life-cycles?product=Red%20Hat%20Enterprise%20Linux,OpenShift%20Container%20Platform%204

Redhat은 일반적으로 기본 패키지의 주요 버전 번호를 변경하지 않고 보안 패치를 적용/백포트합니다. 이는 커널과 애플리케이션 모두에 해당됩니다. 현재 Redhat 또는 Centos 시스템에 액세스할 수 없으므로 OpenSSH_7.4p1마지막 업데이트 시간을 확인할 수 없습니다(비슷한 것을 시도하십시오 rpm -qa --last|grep ssh. 저는 RHEL을 사용하지 않았습니다).

안정성과 보안(sftp 보안) 측면에서 Linux에 가장 적합한 openssh 버전은 무엇입니까? [폐쇄]

답변1

답변2

답변3

관련 정보