Recientemente Разработчиците на OpenSSH току-що обявиха, че версия 8.0 на този инструмент за сигурност за отдалечена връзка със SSH протокола почти е готов за публикуване.
Деймиън Милър, един от основните разработчици на проекта, просто наречен потребителска общност на този инструмент за да могат да го опитат тъй като с достатъчно очи всички грешки могат да бъдат засечени навреме.
Хората, които решат да използват тази нова версия, ще могат Те не само ще ви помогнат да тествате производителността и да откривате грешки, без да се проваляте, но и ще можете да откривате нови подобрения от различни поръчки.
На ниво сигурност, например в тази нова версия на OpenSSH са въведени мерки за смекчаване на слабостите на протокола scp.
На практика копирането на файлове с scp ще бъде по-сигурно в OpenSSH 8.0, тъй като копирането на файлове от отдалечена директория в локална директория ще накара scp да провери дали изпратените от сървъра файлове отговарят на издадената заявка.
Ако този механизъм не бъде реализиран, на теория сървърът за атаки би могъл да прихване заявката, като достави злонамерени файлове вместо първоначално поисканите.
Въпреки тези мерки за смекчаване, OpenSSH не препоръчва използването на scp протокола, тъй като той е „остарял, негъвкав и труден за разрешаване“.
„Препоръчваме да използвате по-модерни протоколи като sftp и rsync за прехвърляне на файлове“, предупреди Милър.
Какво ще предложи тази нова версия на OpenSSH?
В пакета «Новини» на тази нова версия включва редица промени, които могат да повлияят на съществуващите конфигурации.
Например на гореспоменатото ниво на scp протокола, тъй като този протокол се основава на отдалечена обвивка, няма сигурен начин файловете, прехвърлени от клиента, да съвпадат с тези от сървъра.
Ако има разлика между общия клиент и разширението на сървъра, клиентът може да отхвърли файловете от сървъра.
Поради тази причина екипът на OpenSSH предостави на scp нов флаг "-T" което деактивира проверките от страна на клиента, за да въведе отново атаката, описана по-горе.
На ниво демонд sshd: екипът на OpenSSH премахна поддръжката за остарелия синтаксис "хост / порт".
Хост / порт, разделен с наклонена черта, беше добавен през 2001 г. вместо синтаксиса "хост: порт" за потребителите на IPv6.
Днес синтаксисът на наклонена черта лесно се бърка с нотация CIDR, която е съвместима и с OpenSSH.
Други новости
Поради това е препоръчително да премахнете носа на наклонената черта от ListenAddress и PermitOpen. В допълнение към тези промени, имаме нови функции, добавени към OpenSSH 8.0. Те включват:
Експериментален метод за обмен на ключове за квантови компютри, който се появи в тази версия.
Целта на тази функция е да реши проблемите със сигурността, които могат да възникнат при разпределяне на ключове между страните, предвид заплахите за технологичния напредък, като увеличаване на изчислителната мощ на машините, нови алгоритми за квантови компютри.
За целта този метод разчита на решението за разпределение на квантовия ключ (съкратено QKD на английски).
Това решение използва квантови свойства за обмен на секретна информация, като например криптографски ключ.
По принцип измерването на квантова система променя системата. Също така, ако хакер се опита да прихване криптографски ключ, издаден чрез изпълнение на QKD, това неизбежно би оставило откриваеми пръстови отпечатъци за OepnSSH.
Освен това, размера по подразбиране на RSA ключа, който е актуализиран до 3072 бита.
От другите съобщени новини са следните:
- Добавяне на поддръжка за ECDSA ключове в PKCS маркери
- разрешение на "PKCS11Provide = none", за да замени следващите екземпляри на директивата PKCS11Provide в ssh_config.
- Съобщение в дневника се добавя за ситуации, при които връзката е прекъсната след опит за изпълнение на команда, докато е в сила ограничение sshd_config ForceCommand = internal-sftp.
За повече подробности, пълен списък с други допълнения и корекции на грешки е на разположение на официалната страница.
Можете да опитате тази нова версия към следната връзка.