nylig OpenSSH-udviklere annoncerede netop den version 8.0 af dette sikkerhedsværktøj til fjernforbindelse med SSH-protokollen den er næsten klar til offentliggørelse.
Damian Miller, en af hovedudviklerne af projektet, netop kaldet brugerfællesskabet af dette værktøj så de kan prøve det da alle fejl kan fanges i tide med nok øjne.
Folk, der beslutter at bruge denne nye version, vil kunne Ikke kun vil de hjælpe dig med at teste ydeevne og opdage fejl uden at fejle, du vil også være i stand til at opdage nye forbedringer fra forskellige ordrer.
På sikkerhedsniveau for eksempel er der indført afbødningsforanstaltninger for scp-protokolsvagheder i denne nye version af OpenSSH.
I praksis vil kopiering af filer med scp være mere sikker i OpenSSH 8.0, fordi kopiering af filer fra en fjernmappe til en lokal mappe får scp til at kontrollere, om de filer, der sendes af serveren, matcher den udstedte anmodning.
Hvis denne mekanisme ikke blev implementeret, kunne en angrebsserver i teorien opfange anmodningen ved at levere ondsindede filer i stedet for dem, der oprindeligt blev anmodet om.
På trods af disse afbødningsforanstaltninger anbefaler OpenSSH imidlertid ikke brugen af scp-protokollen, fordi den er "forældet, ufleksibel og vanskelig at løse."
"Vi anbefaler at bruge mere moderne protokoller som sftp og rsync til filoverførsler," advarede Miller.
Hvad vil denne nye version af OpenSSH tilbyde?
I pakken «Nyheder» til denne nye version inkluderer et antal ændringer, der kan påvirke eksisterende konfigurationer.
Fx på ovennævnte niveau af scp-protokollen, da denne protokol er baseret på en fjernskal, der er ingen sikker måde, at filerne, der overføres fra klienten, matcher den fra serveren.
Hvis der er en forskel mellem den generiske klient og serverudvidelsen, kan klienten afvise filerne fra serveren.
Af denne grund har OpenSSH-teamet forsynet scp med et nyt "-T" -flag som deaktiverer kontrol på klientsiden for at genindføre angrebet beskrevet ovenfor.
På demond sshd-niveau: OpenSSH-teamet fjernede understøttelse af den forældede "vært / port" -syntaks.
En skråstilsepareret vært / port blev tilføjet i 2001 i stedet for "vært: port" -syntaks for IPv6-brugere.
I dag er skråstregsyntaks let forvekslet med CIDR-notation, som også understøttes af OpenSSH.
Andre nyheder
Derfor tilrådes det at fjerne den fremadrettede skråstregsnotation fra ListenAddress og PermitOpen. Ud over disse ændringer, vi har tilføjet nye funktioner til OpenSSH 8.0. Disse inkluderer:
En eksperimentel metode til nøgleudveksling for kvantecomputere, der er vist i denne version.
Formålet med denne funktion er at løse sikkerhedsproblemer, der kan opstå, når man distribuerer nøgler mellem parter, i betragtning af truslerne mod teknologiske fremskridt, såsom stigningen i maskiners computerkraft, nye algoritmer til kvantecomputere.
For at gøre dette er denne metode afhængig af kvantenøgledistributionsløsningen (forkortet QKD på engelsk).
Denne løsning bruger kvanteegenskaber til at udveksle hemmelig information, såsom en kryptografisk nøgle.
I princippet ændres måling af et kvantesystem. Også, hvis en hacker forsøgte at opfange en kryptografisk nøgle, der blev udstedt gennem en QKD-implementering, ville den uundgåeligt efterlade detekterbare fingeraftryk til OepnSSH.
Endvidere standardstørrelsen på RSA-nøglen, som er blevet opdateret til 3072 bit.
Af de andre rapporterede nyheder er følgende:
- Tilføjelse af support til ECDSA-nøgler i PKCS-tokens
- tilladelse fra "PKCS11Provide = none" til at tilsidesætte efterfølgende forekomster af PKCS11Provide-direktivet i ssh_config.
- En logmeddelelse tilføjes til situationer, hvor en forbindelse er brudt efter at have forsøgt at køre en kommando, mens en sshd_config ForceCommand = intern-sftp-begrænsning er i kraft.
For flere detaljer er en komplet liste over andre tilføjelser og fejlrettelser tilgængelig på den officielle side.
For at prøve denne nye version kan du gå til følgende link.