Nos hacemos eco del lanzamiento de la nueva versión del que es el servidor SSH más popular en entornos Linux. OpenSSH 8.2 acaba de ser lanzado con diferentes mejoras y novedades. Eso sí, hay que mencionar que no está disponible únicamente para equipos Linux, ya que lo podemos encontrar en otros dispositivos también.
Novedades de OpenSSH 8.2
Hay que mencionar que como ocurre normalmente con cada nueva versión hay mejoras en rendimiento y funcionalidad, pero también en cuanto a seguridad. OpenSSH cuenta con una implementación completa del protocolo SSH 2.0, que es el más utilizado hoy en día. También incluye soporte para usuario y servidor SFTP.
Respecto a la seguridad hay que mencionar que la versión de OpenSSH 8.2 elimina el “ssh-rsa” (RSA/SHA1) y va a utilizar de manera predeterminada rsa-sha2-512 para firmar nuevos certificados. Hay que tener en cuenta que las versiones de OpenSSH anteriores a 7.2 no son compatibles con el nuevo RSA / SHA2.
En caso de los clientes/servidores más antiguos podrán utilizar otro tipo de clave CA como puede ser ssh-ed25519, que es compatible desde OpenSSH 6.5 o alguna de las opciones ecdsa-sha2-nistp256 /384/521, que son válidas desde la versión 5.7.
También hay que mencionar que esta nueva versión elimina diffie-hellman-group14-sha1 para intercambiar claves de forma predeterminada entre cliente y servidor.
Incorpora soporte para FIDO/U2F
Sin duda una de las novedades más destacadas de OpenSSH 8.2 es el soporte para autenticadores de hardware FIDO/U2F. Como sabemos se trata de un estándar abierto que permite mediante hardware la autenticación de dos factores a la hora de navegar por Internet.
En OpenSSH, los dispositivos FIDO son compatibles con nuevos tipos clave públicas «ecdsa-sk» y «ed25519-sk», junto con los correspondientes tipos de certificados.
ssh-keygen puede usarse para generar una clave respaldada por el token FIDO y puede utilizarse como cualquier otro tipo de clave compatible con OpenSSH, siempre que el token de hardware esté conectado.
También hay que tener en cuenta que los tokens FIDO generalmente requieren que el usuario autorice la operación con algún toque o pulsando.
Las claves FIDO/U2F de OpenSSH están compuestas de dos partes. Por un lado tenemos un identificador de clave que se almacena en el archivo de clave privada del disco y por otro lado una clave privada por dispositivo que es exclusivo de cada token FIDO/U2F y que no se puede exportar mediante token de hardware. Ambas son combinadas por hardware a la hora de autenticarse.
Por otra parte, OpenSSH 8.2 ha resuelto una serie de bugs que estaban presentes en la versión anterior. Hay una gran comunidad detrás que van aportando problemas que encuentran y posteriormente son aplicados en las nuevas versiones. Por ello siempre es recomendable contar con las últimas actualizaciones y tener siempre los parches de seguridad instalados. Por un lado vamos a mejorar el rendimiento de ese software o dispositivo, pero por otra parte también podremos evitar problemas de seguridad que puedan afectarnos.
Os dejamos el changelog donde podéis ver en detalle todos los cambios de OpenSSH 8.2. También os dejamos un completo tutorial para configurar un servidor SSH en Linux.