Recientemente OpenSSH arendajad teatasid just sellest versioonist 8.0 SSH-protokolliga kaugühendamiseks selle turvatööriista see on peaaegu valmis avaldamiseks.
Damian Miller, üks projekti peamisi arendajaid, kutsus just kasutajaskonda selle tööriista et nad saaksid seda proovida kuna piisava pilguga saab kõik vead õigel ajal tabatud.
Inimesed, kes otsustavad seda uut versiooni kasutada, saavad seda teha Need mitte ainult ei aita teil jõudlust testida ja vigu tuvastada ilma ebaõnnestumiseta, vaid saate avastada ka mitmesuguseid tellimuste uusi täiustusi.
Turvalisuse tasemel näiteks on selles OpenSSH uues versioonis kasutusele võetud scp-protokolli nõrkuste leevendamise meetmed.
Praktikas on failide kopeerimine scp-ga OpenSSH 8.0-s turvalisem, kuna failide kopeerimine kaugkataloogist kohalikku kataloogi põhjustab scp-le kontrolli, kas serveri saadetud failid vastavad väljastatud taotlusele.
Kui seda mehhanismi ei rakendata, võib ründeserver teoreetiliselt päringu kinni pidada, edastades algselt nõutute asemel pahatahtlikke faile.
Vaatamata nendele leevendusmeetmetele ei soovita OpenSSH kasutada scp-protokolli, sest see on "aegunud, paindumatu ja seda on raske lahendada".
"Soovitame failide edastamiseks kasutada moodsamaid protokolle nagu sftp ja rsync," hoiatas Miller.
Mida see OpenSSH uus versioon pakub?
Selle uue versiooni pakendis «Uudised» sisaldab mitmeid muudatusi, mis võivad olemasolevaid konfiguratsioone mõjutada.
Nt ülalnimetatud scp-protokolli tasemel, kuna see protokoll põhineb kaugkestal, pole kindlat viisi, kuidas kliendilt edastatud failid vastavad serverist pärinevatele failidele.
Kui üldisel kliendil ja serveri laiendusel on erinevusi, saab klient failid serverist tagasi lükata.
Sel põhjusel on OpenSSH meeskond andnud scp-le uue "-T" lipu mis keelab ülalkirjeldatud rünnaku taastamiseks kliendipoolsed kontrollid.
Demond sshd tasemel: OpenSSH-i meeskond eemaldas toetuse iganenud "host / port" süntaksile.
Kaldkriipsuga eraldatud host / port lisati 2001. aastal IPv6 kasutajate süntaks "host: port" asemel.
Tänapäeval on kaldkriipsu süntaks kergesti segi CIDR-i tähistusega, mis ühildub ka OpenSSH-ga.
Muud uuendused
Seetõttu on soovitav eemaldada kaldkriipsu märge rakendustest ListenAddress ja PermitOpen. Lisaks nendele muudatustele meil on OpenSSH 8.0-le lisatud uusi funktsioone. Need sisaldavad:
Selles versioonis ilmunud kvantarvutite võtmevahetuse eksperimentaalne meetod.
Selle funktsiooni eesmärk on lahendada turvaprobleemid, mis võivad tekkida võtmete jaotamisel osapoolte vahel, arvestades tehnoloogia arengule ähvardavaid ohte, nagu masinate arvutusvõimsuse suurenemine, kvantarvutite uued algoritmid.
Selleks toetub see meetod kvantvõtijaotuse lahendusele (inglise keeles lühend QKD).
See lahendus kasutab salajase teabe, näiteks krüptovõtme, vahetamiseks kvantomadusi.
Põhimõtteliselt muudab kvantsüsteemi mõõtmine süsteemi. Samuti, kui häkker üritaks QKD-rakenduse kaudu välja antud krüptovõtit vahele saada, jätaks see OepnSSH-le paratamatult tuvastatavad sõrmejäljed.
Lisaks RSA võtme vaikimisi suurus, mida on uuendatud 3072 bitini.
Muudest teatatud uudistest on järgmised:
- ECDSA võtmete toe lisamine PKCS-märkides
- loa "PKCS11Provide = none" alistamiseks järgnevad PKCS11Provide-i eksemplarid jaotises ssh_config.
- Logiteade lisatakse olukordade jaoks, kus ühendus katkeb pärast käsu käivitamist, kui sshd_config ForceCommand = internal-sftp piirang kehtib.
Lisateabe saamiseks on ametlikul lehel saadaval täielik loetelu muudest täiendustest ja veaparandustest.
Selle uue versiooni proovimiseks võite minna järgmisele lingile.