Recientemente Οι προγραμματιστές του OpenSSH μόλις ανακοίνωσαν ότι η έκδοση 8.0 αυτού του εργαλείου ασφαλείας για απομακρυσμένη σύνδεση με το πρωτόκολλο SSH είναι σχεδόν έτοιμο για δημοσίευση.
Ντάμιεν Μίλερ, ένας από τους κύριους προγραμματιστές του έργου, που ονομάστηκε κοινότητα χρηστών αυτού του εργαλείου ώστε να μπορούν να το δοκιμάσουν αφού, με αρκετά μάτια, όλα τα σφάλματα μπορούν να εντοπιστούν εγκαίρως.
Τα άτομα που αποφασίζουν να χρησιμοποιήσουν αυτήν τη νέα έκδοση θα έχουν τη δυνατότητα Όχι μόνο θα σας βοηθήσουν να ελέγξετε την απόδοση και να εντοπίσετε σφάλματα χωρίς αποτυχία, αλλά θα μπορείτε επίσης να ανακαλύψετε νέες βελτιώσεις από διάφορες παραγγελίες.
Σε επίπεδο ασφάλειας, Για παράδειγμα, έχουν ληφθεί μέτρα μετριασμού για αδυναμίες πρωτοκόλλου scp σε αυτή τη νέα έκδοση του OpenSSH.
Στην πράξη, η αντιγραφή αρχείων με scp θα είναι πιο ασφαλής στο OpenSSH 8.0 επειδή η αντιγραφή αρχείων από έναν απομακρυσμένο κατάλογο σε έναν τοπικό κατάλογο θα κάνει το scp να ελέγξει εάν τα αρχεία που αποστέλλονται από τον διακομιστή ταιριάζουν με το εκδοθέν αίτημα.
Εάν αυτός ο μηχανισμός δεν είχε εφαρμοστεί, ένας διακομιστής επίθεσης θα μπορούσε, θεωρητικά, να υποκλέψει το αίτημα παραδίδοντας κακόβουλα αρχεία αντί εκείνων που είχαν αρχικά ζητηθεί.
Ωστόσο, παρά αυτά τα μέτρα μετριασμού, το OpenSSH δεν συνιστά τη χρήση του πρωτοκόλλου scp, επειδή είναι "ξεπερασμένο, άκαμπτο και δύσκολο να επιλυθεί."
"Σας συνιστούμε να χρησιμοποιήσετε πιο σύγχρονα πρωτόκολλα, όπως sftp και rsync για μεταφορά αρχείων", προειδοποίησε ο Miller.
Τι θα προσφέρει αυτή η νέα έκδοση του OpenSSH;
Στο πακέτο «Νέα» αυτής της νέας έκδοσης περιλαμβάνει έναν αριθμό αλλαγών που ενδέχεται να επηρεάσουν τις υπάρχουσες διαμορφώσεις.
Π.χ. στο προαναφερθέν επίπεδο του πρωτοκόλλου scp, δεδομένου ότι αυτό το πρωτόκολλο βασίζεται σε ένα απομακρυσμένο κέλυφος, δεν υπάρχει σίγουρος τρόπος ότι τα αρχεία που μεταφέρονται από τον πελάτη ταιριάζουν με αυτά του διακομιστή.
Εάν υπάρχει διαφορά μεταξύ του γενικού προγράμματος-πελάτη και της επέκτασης διακομιστή, ο πελάτης μπορεί να απορρίψει τα αρχεία από το διακομιστή.
Για το λόγο αυτό, η ομάδα του OpenSSH παρείχε στο scp μια νέα σημαία "-T" που απενεργοποιεί τους ελέγχους από την πλευρά του πελάτη για να επαναφέρει την επίθεση που περιγράφεται παραπάνω.
Στο επίπεδο demond sshd: η ομάδα του OpenSSH κατάργησε την υποστήριξη για τη σύνταξη "host / port" που έχει καταργηθεί.
Ένας κεντρικός υπολογιστής / θύρα διαχωρισμένη με κάθετο προστέθηκε το 2001 στη θέση της σύνταξης "host: port" για χρήστες IPv6.
Σήμερα η σύνταξη slash συγχέεται εύκολα με τη σημείωση CIDR, η οποία είναι επίσης συμβατή με το OpenSSH.
Άλλες καινοτομίες
Επομένως, συνιστάται να αφαιρέσετε τη συμβολοσειρά προς τα εμπρός από το ListenAddress και το PermitOpen. Εκτός από αυτές τις αλλαγές, έχουμε προσθέσει νέες δυνατότητες στο OpenSSH 8.0. Αυτά περιλαμβάνουν:
Μια πειραματική μέθοδος ανταλλαγής κλειδιών για κβαντικούς υπολογιστές που έχει εμφανιστεί σε αυτήν την έκδοση.
Ο σκοπός αυτής της λειτουργίας είναι να επιλύσει τα προβλήματα ασφαλείας που μπορεί να προκύψουν κατά τη διανομή κλειδιών μεταξύ των μερών, δεδομένων των απειλών για την τεχνολογική πρόοδο, όπως η αύξηση της υπολογιστικής ισχύος των μηχανημάτων, οι νέοι αλγόριθμοι για τους κβαντικούς υπολογιστές.
Για να γίνει αυτό, αυτή η μέθοδος βασίζεται στη λύση διανομής κβαντικών κλειδιών (QKD για συντομία).
Αυτή η λύση χρησιμοποιεί κβαντικές ιδιότητες για την ανταλλαγή μυστικών πληροφοριών, όπως ένα κρυπτογραφικό κλειδί.
Κατ 'αρχήν, η μέτρηση ενός κβαντικού συστήματος μεταβάλλει το σύστημα. Επιπλέον, εάν ένας χάκερ προσπαθούσε να υποκλέψει ένα κρυπτογραφικό κλειδί που εκδόθηκε μέσω μιας εφαρμογής QKD, θα αφήσει αναπόφευκτα ανιχνεύσιμα δακτυλικά αποτυπώματα για το OepnSSH.
Επιπλέον, το προεπιλεγμένο μέγεθος του κλειδιού RSA που έχει ενημερωθεί σε 3072 bit.
Από τις άλλες ειδήσεις που αναφέρονται είναι οι ακόλουθες:
- Προσθήκη υποστήριξης για κλειδιά ECDSA σε διακριτικά PKCS
- την άδεια του "PKCS11Provide = none" να παρακάμψει τις επόμενες παρουσίες της PKCS11Provide οδηγίας στο ssh_config.
- Ένα μήνυμα καταγραφής προστίθεται για καταστάσεις όπου μια σύνδεση διακόπτεται μετά την προσπάθεια εκτέλεσης μιας εντολής ενώ ισχύει ένας περιορισμός sshd_config ForceCommand = internal-sftp.
Για περισσότερες λεπτομέρειες, υπάρχει μια πλήρης λίστα με άλλες προσθήκες και διορθώσεις σφαλμάτων στην επίσημη σελίδα.
Για να δοκιμάσετε αυτήν τη νέα έκδοση μπορείτε να πάτε στον παρακάτω σύνδεσμο.