OpenSSH (Open Secure Shell) es un conjunto de herramientas de red utilizadas para establecer conexiones seguras entre dos equipos a través de Internet. Desde 1999 esta herramienta ha ido ganando un gran número de usuarios gracias a su naturaleza OpenSource, su funcionalidad y compatibilidad y a que es una herramienta totalmente gratuita para todos los usuarios, por lo que cuando hablamos de OpenSSH generalmente estamos hablando de una herramienta estándar para establecer conexiones seguras.
Gracias a OpenSSH todo el tráfico que realicemos a través de los diferentes protocolos utilizados para establecer conexiones remotas viajará por la red cifrado, impidiendo que piratas informáticos y terceras personas no autorizadas puedan acceder a nuestros datos. Esta herramienta sustituye los principales protocolos inseguros como telnet, rcp y ftp por sus respectivos ssh, scp y sftp.
Mantener esta herramienta actualizada es muy importante para poder estar seguros de que sólo utilizamos conexiones seguras. Hace algunas horas los responsables del desarrollo de OpenSSH han liberado finalmente su versión 7.0 que llega, principalmente, con importantes mejoras de seguridad tanto para las conexiones como para evitar el uso de protocolos inseguros.
Principales cambios de OpenSSH 7.0
Los cambios que se han introducido en el nuevo OpenSSH 7.0 respecto a la versión 6.9 son:
- Novedades en OpenSSH 7.0
- Nuevas opciones de configuración en ssh_config
- El parámetro PubkeyAcceptedKeyTypes controla los tipos de claves válidos para iniciar sesión.
- El parámetro HostKeyAlgorithms controla los tipos de claves válidas para el inicio de sesión del host.
- El parámetro PermitRootLogin ahora permite el uso del valor «prohibit-password», mucho menos ambiguo que el actual.
- Cambios en SSH y SSHD
- Las opciones de varios parámetros como Ciphers, MACs, KexAlgorithms, HostKeyAlgorithms, PubkeyAcceptedKeyTypes y HostbasedKeyTypes pueden llevar un «+» delante para indicar que esa opción es la por defecto.
- Nuevas opciones de configuración en ssh_config
- Problemas de seguridad en SSHD 8 (estándar y portable)
- Solucionado un fallo en OpenSSH 6.8 y 6.9 que permitía a un atacante escribir mensajes aleatorios en una terminal TTY, incluidos comandos de salida.
- En la versión portable se ha solucionado un fallo en la separación de privilegios que podía llegar incluso a permitir la ejecución de código arbitrario remoto. En la versión portable también se ha solucionado un fallo de seguridad que permitía comprometer el proceso pre-autenticación.
- Solucionado un fallo de seguridad que podría comprometer el proceso de autenticación y permitía a piratas informáticos realiza miles de intentos de inicio de sesión por segundo.
- Problemas de compatibilidad
- El soporte para la versión 1 de SSH está desactivado por defecto.
- El soporte para las claves diffie-hellman-group1-sha1 de 1024-bits está desactivado por defecto.
- Los protocolos ssh-dss y ssh-dss-cert-* están desactivados por defecto.
- Se ha eliminado el soporte para los certificados en formato v00
- En la configuración de sshd_config se ha cambiado el parámetro PermitRootLogin a «prohibido».
- El parámetro PermitRootLogin=without-password/prohibit-password ahora banea todos los métodos de inicio de sesión sin claves públicas, dominios o la autenticación GSSAPI.
- Bugs y otros errores menores solucionados.
Los responsables del desarrollo avisan de que en las próximas versiones de la herramienta se va a eliminar la compatibilidad con las llaves RSA inferiores a 1024 bits. También se eliminarán ciertos protocolos de cifrado como blowfish-cbc, cast128-cbc, todas las variantes de arcfour y el rijndael-cbc para AES. También recuerdan que el algoritmo MD5 HMAC también está desactivado por defecto.
La lista completa de cambios, las notas del lanzamiento y la descarga se encuentran disponibles desde su página web principal.
¿Has actualizado ya a la nueva versión 7.0 de OpenSSH?