Openssh: Neue Logging-Option mildert Phishing-Attacken
Openssh 5.6 kann die hostbasierte Authentifizierung über zertifizierte Schlüssel abwickeln. Sie müssen in der Datei known_hosts mit dem entsprechenden Vermerk eingetragen sein. CA-Schlüssel, die in einem PKCS#11-Token gespeichert wurden, können zum Signieren eines CA-Zertifikats verwendet werden.
Das Format zertifizierter Schlüssel wurde verändert und wird als ssh-{dss, rsa}-cert-v01@openssh.com identifiziert. Es enthält unter anderem ein neues Feld für eine Seriennummer, die beim Signieren eines Zertifikats hinzugefügt wird. Das Nonce-Feld(öffnet im neuen Fenster) wurde an den Anfang des Zertifikats verschoben, um sie besser gegen Angriffe zu schützen. Das ältere Format v00 kann weiterhin zum Signieren von Zertifikaten für die Authentifizierung verwendet werden. Es wird mindestens noch ein Jahr unterstützt, danach soll das Format ausgemustert und entfernt werden.
Mit der Option ControlPersist wird bei einer Verbindung ein SSH-Multiplex-Master im Hintergrund gestartet, der die Verbindung unbegrenzt offen hält, sofern der Benutzer nicht selbst ein Timeout bestimmt, das die Verbindung nach einem vordefinierten Zeitraum der Inaktivität schließt. Die Multiplex-Verbindung unterstützt auch Remote Forwarding mit dynamischer Port-Zuweisung. Bei einer solchen Verbindung kann Openssh die zugewiesene Portnummer an den Benutzer ausgeben.
Weitere Details zu den Neuerungen und den Bugfixes, die in dieser Version eingeflossen sind, haben die Entwickler in den Release-Notes(öffnet im neuen Fenster) zusammengefasst. Der Quellcode für Linux, Mac OS X oder Solaris liegt auf vielen Spiegelservern weltweit zum Download bereit(öffnet im neuen Fenster). Meist sind die Binärpakete in den Repositories diverser Distributionen in wenigen Tagen verfügbar.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.