Nedavno Programeri OpenSSH upravo su najavili da je verzija 8.0 ovog sigurnosnog alata za daljinsko povezivanje sa SSH protokolom gotovo je spreman za objavljivanje.
Damian Miller, jedan od glavnih programera projekta, upravo nazvan korisnička zajednica ovog alata tako da mogu probati jer se s dovoljno očiju sve pogreške mogu na vrijeme uhvatiti.
Ljudi koji se odluče za upotrebu ove nove verzije moći će Ne samo da će vam pomoći da testirate performanse i otkrijete greške bez neuspjeha, moći ćete otkriti i nova poboljšanja iz različitih narudžbi.
Na nivou sigurnosti, na primjer, mjere ublažavanja slabosti protokola scp uvedene su u ovoj novoj verziji OpenSSH.
U praksi će kopiranje datoteka s scp-om biti sigurnije u OpenSSH 8.0, jer će kopiranje datoteka iz udaljenog direktorija u lokalni direktorij uzrokovati da scp provjeri podudaraju li se datoteke poslane od servera s izdanim zahtjevom.
Ako se ovaj mehanizam ne bi primijenio, poslužitelj napada mogao bi, u teoriji, presresti zahtjev isporukom zlonamernih datoteka umjesto prvobitno traženih.
Međutim, uprkos ovim mjerama ublažavanja, OpenSSH ne preporučuje upotrebu scp protokola, jer je "zastario, nefleksibilan i teško ga je razriješiti".
"Preporučujemo upotrebu modernijih protokola poput sftp-a i rsync-a za prijenos datoteka", upozorio je Miller.
Šta će ponuditi ova nova verzija OpenSSH?
U paketu «Novosti» ove nove verzije uključuje brojne promjene koje mogu utjecati na postojeće konfiguracije.
Na primjer, na gore spomenutom nivou scp protokola, budući da se ovaj protokol temelji na udaljenoj ljusci, ne postoji siguran način da se datoteke prenesene s klijenta podudaraju s datotekama sa servera.
Ako postoji razlika između generičkog klijenta i ekstenzije poslužitelja, klijent može odbiti datoteke s poslužitelja.
Iz tog razloga, OpenSSH tim je scp-u dao novu "-T" zastavicu što onemogućava provjere na strani klijenta za ponovno uvođenje gore opisanog napada.
Na nivou demond sshd: OpenSSH tim uklonio je podršku za zastarjelu sintaksu "host / port".
Host / port odvojen kosim crtama dodan je 2001. godine umjesto sintakse "host: port" za IPv6 korisnike.
Danas se sintaksa koše crte lako zamijeni sa CIDR notacijom, koja je također kompatibilna s OpenSSH.
Ostale novine
Stoga je poželjno ukloniti nosaju kosu crtu iz ListenAddress i PermitOpen. Pored ovih promjena, u OpenSSH 8.0 dodane su nove funkcije. Oni uključuju:
Eksperimentalna metoda razmjene ključeva za kvantne računare koja se pojavila u ovoj verziji.
Svrha ove funkcije je rješavanje sigurnosnih problema koji mogu nastati prilikom raspodjele ključeva između strana, s obzirom na prijetnje tehnološkom napretku, poput povećanja računske snage mašina, novih algoritama za kvantne računare.
Da bi se to postiglo, ova metoda se oslanja na rješenje kvantne distribucije ključa (skraćeno QKD na engleskom).
Ovo rješenje koristi kvantna svojstva za razmjenu tajnih informacija, poput kriptografskog ključa.
U principu, mjerenje kvantnog sistema mijenja sistem. Nadalje, ako bi haker pokušao presretnuti kriptografski ključ izdan putem QKD implementacije, neizbježno bi OepnSSH-u ostavio uočljive otiske prstiju.
Sa druge strane, zadana veličina RSA ključa koji je ažuriran na 3072 bita.
Od ostalih objavljenih vijesti su sljedeće:
- Dodavanje podrške za ECDSA ključeve u PKCS tokenima
- dozvola "PKCS11Provide = none" da poništi naredne instance PKCS11Provide direktive u ssh_config.
- Dodaje se poruka dnevnika za situacije kada je veza prekinuta nakon pokušaja pokretanja naredbe dok je na snazi sshd_config ForceCommand = internal-sftp ograničenje.
Za više detalja, puni popis ostalih dodataka i ispravki grešaka dostupan je na službenoj stranici.
Možete isprobati ovu novu verziju na sljedeći link.