SSH-Audit项目关于OpenSSH扩展协议RFC8308的兼容性分析

在SSH协议安全审计工具SSH-Audit的使用过程中，发现了一个关于OpenSSH对RFC8308扩展协议支持的有趣现象。RFC8308定义了SSH协议中的扩展信息协商机制（ext-info-s和ext-info-c），该标准允许SSH客户端和服务器在连接过程中交换额外的能力信息。

根据OpenSSH官方文档，ext-info-c（客户端扩展信息）功能自7.2版本开始实现，而ext-info-s（服务端扩展信息）功能则是在较新的9.6版本才加入。这一时间差在技术社区中曾引发过一些混淆，特别是在不同Linux发行版的OpenSSH实现中表现不一致时。

技术分析表明，Debian 12系统搭载的OpenSSH 9.2版本确实没有包含ext-info-s功能，这并非因为发行版做了特殊修改，而是因为该功能在OpenSSH上游代码中直到9.6版本才被实现。这一发现纠正了先前关于Debian移除该功能的误解。

对于安全审计人员而言，理解这一细节非常重要：

1. ext-info-c自OpenSSH 7.2起就存在于客户端能力中
2. ext-info-s则是9.6版本才加入的服务端功能
3. 不同Linux发行版可能运行不同版本的OpenSSH，功能支持会有所差异

SSH-Audit工具已更新其检测逻辑，现在能够准确识别并标注这些扩展功能的支持情况，包括它们各自所需的OpenSSH最低版本。这一改进有助于安全人员更精确地评估SSH服务的功能完整性和潜在的安全配置问题。

在实际安全评估中，审计人员应当注意：虽然RFC8308扩展不是安全必需功能，但它们的缺失可能表明系统运行着较旧的OpenSSH版本，这可能连带其他更重要的安全更新也未得到应用。同时，这些扩展功能的支持情况也可以作为指纹识别的一部分，帮助确定远程SSH服务的具体实现和版本范围。