Πρόσφατα ανακοινώθηκε η κυκλοφορία της νέας έκδοσης του OpenSSH 9.0, μια εφαρμογή ανοιχτού πελάτη και διακομιστή για εργασία με τα πρωτόκολλα SSH 2.0 και SFTP.
Για όσους δεν γνωρίζουν το OpenSSH (Open Secure Shell) πρέπει να το γνωρίζουν Αυτό είναι ένα σύνολο εφαρμογών που επιτρέπουν κρυπτογραφημένες επικοινωνίες μέσω δικτύου, χρησιμοποιώντας το πρωτόκολλο SSH. Δημιουργήθηκε ως μια ελεύθερη και ανοιχτή εναλλακτική λύση στο πρόγραμμα Secure Shell, το οποίο είναι ιδιόκτητο λογισμικό.
Η σουίτα OpenSSH περιλαμβάνει τα ακόλουθα βοηθητικά προγράμματα και δαίμονες γραμμής εντολών:
- scp: που αντικαθιστά το rcp.
- sftp - μια αντικατάσταση για ftp για αντιγραφή αρχείων μεταξύ υπολογιστών.
- ssh - Μια αντικατάσταση για rlogin, rsh και telnet για να επιτρέπεται η πρόσβαση στο κέλυφος σε ένα απομακρυσμένο μηχάνημα.
- ssh-add και ssh-agent: ένα σύνολο βοηθητικών προγραμμάτων για τη διευκόλυνση του ελέγχου ταυτότητας διατηρώντας τα κλειδιά έτοιμα και αποφεύγοντας την ανάγκη εισαγωγής φράσεων πρόσβασης κάθε φορά που χρησιμοποιούνται.
- ssh-keygen - Ένα εργαλείο για την επιθεώρηση και τη δημιουργία κλειδιών RSA, DSA και ελλειπτικών καμπυλών που χρησιμοποιούνται για έλεγχο ταυτότητας χρήστη και κεντρικού υπολογιστή.
- ssh-keyscan: που σαρώνει μια λίστα κεντρικών υπολογιστών και συλλέγει τα δημόσια κλειδιά τους.
- sshd: ο δαίμονας διακομιστή SSH.
Κύρια νέα χαρακτηριστικά του OpenSSH 9.0
Στη νέα έκδοση, το βοηθητικό πρόγραμμα Scp μετακινήθηκε από προεπιλογή για χρήση SFTP αντί για το παλαιού τύπου πρωτόκολλο SCP/RCP.
Το SFTP χρησιμοποιεί πιο προβλέψιμες μεθόδους χειρισμού ονομάτων και δεν χρησιμοποιεί επεξεργασία κελύφους μοτίβων σφαιρών σε ονόματα αρχείων στην άλλη πλευρά του κεντρικού υπολογιστή, γεγονός που δημιουργεί προβλήματα ασφαλείας. Συγκεκριμένα, όταν χρησιμοποιείτε SCP και RCP, ο διακομιστής αποφασίζει ποια αρχεία και καταλόγους θα στείλει στον πελάτηκαι ο υπολογιστής-πελάτης ελέγχει μόνο την ορθότητα των ονομάτων αντικειμένων που επιστρέφονται, γεγονός που, ελλείψει κατάλληλων ελέγχων από τον πελάτη, επιτρέπει στον διακομιστή να μεταβιβάσει άλλα ονόματα αρχείων που διαφέρουν από αυτά που ζητήθηκαν.
Πρωτόκολλο Το SFTP δεν έχει αυτά τα προβλήματα, αλλά δεν υποστηρίζει ειδική επέκταση διαδρομής. όπως "~/". Για να αντιμετωπιστεί αυτή η διαφορά, από το OpenSSH 8.7, η υλοποίηση διακομιστή SFTP υποστηρίζει την επέκταση πρωτοκόλλου "expand-path@openssh.com" για την επέκταση των διαδρομών ~/ και ~ χρήστη/.
Όταν χρησιμοποιούν SFTP, οι χρήστες ενδέχεται επίσης να αντιμετωπίσουν ασυμβατότητες που προκαλείται από την ανάγκη να διπλασιαστούν οι χαρακτήρες επέκτασης διαδρομής διαφυγής σε αιτήματα SCP και RCP για να αποτραπεί η ερμηνεία τους στην απομακρυσμένη πλευρά.
Στο SFTP, αυτή η διαφυγή δεν είναι απαραίτητη και τα επιπλέον εισαγωγικά μπορεί να προκαλέσουν σφάλμα μεταφοράς δεδομένων. Ταυτόχρονα, οι προγραμματιστές του OpenSSH αρνήθηκαν να προσθέσουν μια επέκταση για την επανάληψη της συμπεριφοράς του scp σε αυτήν την περίπτωση, καθώς η διπλή διαφυγή θεωρείται ως ένα ελάττωμα που δεν έχει νόημα να επαναληφθεί.
Άλλες αλλαγές που ξεχωρίζουν σε αυτή τη νέα έκδοση του OpenSSH 9.0 είναι ότι Τα ssh και sshd έχουν έναν υβριδικό αλγόριθμο ανταλλαγής κλειδιών Το "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime) ενεργοποιημένο από προεπιλογή, ανθεκτικό στην ωμή βία σε κβαντικούς υπολογιστές και σε συνδυασμό με το ECDH/x25519 για να αποκλείσει πιθανά προβλήματα στο NTRU Prime που ενδέχεται να προκύψουν στο μέλλον. Στη λίστα KexAlgorithms, η οποία καθορίζει τη σειρά με την οποία επιλέγονται οι μέθοδοι ανταλλαγής κλειδιών, ο αναφερόμενος αλγόριθμος κατατάσσεται πλέον πρώτος και έχει προτεραιότητα έναντι των αλγορίθμων ECDH και DH.
Από την άλλη πλευρά, επισημαίνεται επίσης ότι οι κβαντικοί υπολογιστές δεν έχουν φτάσει ακόμη στο επίπεδο της παραδοσιακής αποκρυπτογράφησης κλειδιών, αλλά τη χρήση υβριδικής προστασίας θα προστατεύει τους χρήστες από επιθέσεις που σχετίζονται με την αποθήκευση των παρεμποδισμένων περιόδων σύνδεσης SSH με την προσδοκία ότι θα μπορούν να αποκρυπτογραφηθούν στο μέλλον, όταν θα γίνουν διαθέσιμοι οι απαραίτητοι κβαντικοί υπολογιστές.
Η επέκταση Το "copy-data" προστέθηκε στον sftp-server, που επιτρέπει την αντιγραφή δεδομένων από την πλευρά του διακομιστή, χωρίς τη μεταφορά τους στον πελάτη, εάν τα αρχεία προέλευσης και προορισμού βρίσκονται στον ίδιο διακομιστή.
Επίσης η εντολή "cp" προστέθηκε στο βοηθητικό πρόγραμμα sftp για να αναγκάσει τον πελάτη να αντιγράψει αρχεία από την πλευρά του διακομιστή.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό σχετικά με αυτήν τη νέα έκδοση, μπορείτε να ελέγξετε τις λεπτομέρειες μεταβαίνοντας στον παρακάτω σύνδεσμο.
Πώς να εγκαταστήσετε το OpenSSH 9 σε Linux;
Για όσους ενδιαφέρονται να εγκαταστήσουν αυτήν τη νέα έκδοση του OpenSSH στα συστήματά τους, για τώρα μπορούν να το κάνουν λήψη του πηγαίου κώδικα αυτού και εκτελούν τη συλλογή στους υπολογιστές τους.
Αυτό συμβαίνει επειδή η νέα έκδοση δεν έχει ακόμη συμπεριληφθεί στα αποθετήρια των κύριων διανομών Linux. Για να λάβετε τον πηγαίο κώδικα, μπορείτε να το κάνετε από το παρακάτω σύνδεσμο.
Έγινε η λήψη, τώρα θα αποσυμπιέσουμε το πακέτο με την ακόλουθη εντολή:
tar -xvf openssh-9.0.tar.gz
Μπαίνουμε στον δημιουργημένο κατάλογο:
cd openssh-9.0
Y μπορούμε να συντάξουμε με τις ακόλουθες εντολές:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install
Ευχαριστούμε για το άρθρο που είναι πολύ ενδιαφέρον και χρήσιμο, αλλά το σεμινάριο εγκατάστασης δεν είναι σωστό:
Όταν το αρχείο openssh-9.0.tar.gz είναι αποσυμπιεσμένο, με την παρεχόμενη εντολή, δεν δημιουργεί έναν φάκελο openssh-9.0, αλλά τον αποσυμπιέζει στην ακόλουθη διαδρομή:
./ssh
Τέλος πάντων και πρόσβαση στον αποσυμπιεσμένο φάκελο, κατά την εκκίνηση της εντολής:
./configure --prefix=/opt --sysconfdir=/etc/ssh
η απάντηση είναι η εξής:
αρχείο ή κατάλογος δεν υπάρχει: ./configure
Σας ευχαριστώ πολύ.