Recientemente Programeri OpenSSH-a upravo su objavili da je verzija 8.0 ovog sigurnosnog alata za daljinsko povezivanje sa SSH protokolom gotovo je spreman za objavljivanje.
Damian Miller, jedan od glavnih programera projekta, upravo nazvan korisnička zajednica ovog alata kako bi mogli probati jer se s dovoljno očiju sve pogreške mogu na vrijeme uhvatiti.
Ljudi koji se odluče koristiti ovu novu verziju moći će Ne samo da će vam pomoći da testirate performanse i otkrijete pogreške bez neuspjeha, moći ćete otkriti i nova poboljšanja iz različitih narudžbi.
Na razini sigurnosti, na primjer, mjere ublažavanja slabosti protokola scp uvedene su u ovoj novoj verziji OpenSSH-a.
U praksi će kopiranje datoteka s scpom biti sigurnije u OpenSSH 8.0 jer će kopiranje datoteka iz udaljenog direktorija u lokalni direktorij uzrokovati da scp provjeri podudaraju li se datoteke poslane od poslužitelja s izdanim zahtjevom.
Ako se ovaj mehanizam ne bi primijenio, napadački poslužitelj mogao bi, u teoriji, presresti zahtjev isporukom zlonamjernih datoteka umjesto prvotno traženih.
Međutim, unatoč tim mjerama ublažavanja, OpenSSH ne preporučuje upotrebu scp protokola, jer je "zastario, nefleksibilan i teško ga je razriješiti".
"Preporučujemo upotrebu modernijih protokola poput sftp-a i rsync-a za prijenos datoteka", upozorio je Miller.
Što će ponuditi ova nova verzija OpenSSH-a?
U paketu «Vijesti» ove nove verzije uključuje brojne promjene koje mogu utjecati na postojeće konfiguracije.
Npr. na spomenutoj razini scp protokola, budući da se ovaj protokol temelji na udaljenoj ljusci, nema sigurnog načina da se datoteke prenesene s klijenta podudaraju s datotekama s poslužitelja.
Ako postoji razlika između generičkog klijenta i nastavka poslužitelja, klijent može odbiti datoteke s poslužitelja.
Iz tog razloga, tim OpenSSH-a pružio je scp-u novu zastavicu "-T" što onemogućuje provjere na strani klijenta kako bi se ponovno uveo gore opisani napad.
Na razini demond sshd: tim OpenSSH-a uklonio je podršku za zastarjelu sintaksu "host / port".
Host / port odvojen kosim crtama dodan je 2001. godine umjesto sintakse "host: port" za IPv6 korisnike.
Danas se sintaksa koše crte lako miješa sa CIDR notacijom, koja je također kompatibilna s OpenSSH.
Ostale novosti
Stoga je preporučljivo ukloniti koso košenje prema naprijed iz ListenAddress i PermitOpen. Uz ove promjene, u OpenSSH 8.0 dodane su nove značajke. To uključuje:
Eksperimentalna metoda razmjene ključeva za kvantna računala koja se pojavila u ovoj verziji.
Svrha ove funkcije je rješavanje sigurnosnih problema koji se mogu pojaviti prilikom raspodjele ključeva između stranaka, s obzirom na prijetnje tehnološkom napretku, poput povećanja računalne snage strojeva, novih algoritama za kvantna računala.
Da bi se to postiglo, ova se metoda oslanja na rješenje kvantne distribucije ključa (skraćeno QKD na engleskom).
Ovo rješenje koristi kvantna svojstva za razmjenu tajnih podataka, poput kriptografskog ključa.
U principu, mjerenje kvantnog sustava mijenja sustav. Nadalje, ako bi haker pokušao presresti kriptografski ključ izdan putem QKD implementacije, neizbježno bi OepnSSH-u ostavio uočljive otiske prstiju.
Nadalje, zadana veličina RSA ključa koji je ažuriran na 3072 bita.
Od ostalih objavljenih vijesti slijede sljedeće:
- Dodavanje podrške za ECDSA ključeve u PKCS tokenima
- dopuštenje "PKCS11Provide = none" da nadjača naredne instance PKCS11Provide direktive u ssh_config.
- Poruka dnevnika dodaje se za situacije kada je veza prekinuta nakon pokušaja pokretanja naredbe dok je na snazi sshd_config ForceCommand = internal-sftp ograničenje.
Za više detalja, puni popis ostalih dodataka i ispravki programskih pogrešaka dostupan je na službenoj stranici.
Možete isprobati ovu novu verziju na sljedeću poveznicu.