Recientemente מפתחי OpenSSH הודיעו זה עתה על גרסה 8.0 של כלי אבטחה זה לחיבור מרחוק עם פרוטוקול SSH הוא כמעט מוכן לפרסום.
דמיאן מילר, אחד המפתחים העיקריים של הפרויקט, שנקרא רק קהילת המשתמשים של הכלי הזה כדי שהם יוכלו לנסות את זה מכיוון שעם מספיק עיניים ניתן לתפוס את כל השגיאות בזמן.
אנשים שיחליטו להשתמש בגרסה החדשה הזו יוכלו לא רק שהם יעזרו לכם לבדוק ביצועים ולזהות באגים מבלי להיכשל, תוכלו גם לגלות שיפורים חדשים מהזמנות שונות.
ברמת האבטחה, לדוגמא, אמצעי הפחתה עבור חולשות פרוטוקול scp הוכנסו בגרסה החדשה הזו של OpenSSH.
בפועל, העתקת קבצים עם scp תהיה מאובטחת יותר ב- OpenSSH 8.0 מכיוון שהעתקת קבצים מספריה מרוחקת לספרייה מקומית תגרום ל- scp לבדוק אם הקבצים שנשלחו על ידי השרת תואמים לבקשה שהונפקה.
אם מנגנון זה לא מיושם, שרת התקפה יכול, בתיאוריה, ליירט את הבקשה על ידי מסירת קבצים זדוניים במקום אלה שהתבקשו במקור.
עם זאת, למרות אמצעי הפחתה אלה, OpenSSH אינו ממליץ על שימוש בפרוטוקול scp, משום שהוא "מיושן, לא גמיש וקשה לפתור."
"אנו ממליצים להשתמש בפרוטוקולים מודרניים יותר כמו sftp ו- rsync להעברת קבצים," הזהיר מילר.
מה תציע הגרסה החדשה הזו של OpenSSH?
בחבילה «חדשות» של גרסה חדשה זו כולל מספר שינויים שעשויים להשפיע על תצורות קיימות.
לדוגמה: ברמה האמורה של פרוטוקול scpמכיוון שפרוטוקול זה מבוסס על מעטפת מרוחקת, אין דרך בטוחה שהקבצים שהועברו מהלקוח תואמים את זה מהשרת.
אם יש הבדל בין הלקוח הגנרי לבין סיומת השרת, הלקוח יכול לדחות את הקבצים מהשרת.
מסיבה זו צוות OpenSSH סיפק ל scp דגל "-T" חדש המשבית בדיקות מצד הלקוח בכדי להחזיר את ההתקפה המתוארת לעיל.
ברמת sshd השדה: צוות OpenSSH הסיר את התמיכה בתחביר ה"מארח / יציאה "שהוצא משימוש.
מארח / יציאה המופרדים מקו סלאש התווסף בשנת 2001 במקום התחביר "host: port" עבור משתמשי IPv6.
כיום תחביר קו נטוי מתבלבל בקלות עם סימון CIDR, הנתמך גם על ידי OpenSSH.
חידושים אחרים
לכן, מומלץ להסיר את סימון הנטייה קדימה מ- ListenAddress ו- PermitOpen. בנוסף לשינויים אלה, יש לנו תכונות חדשות שנוספו ל- OpenSSH 8.0. אלו כוללים:
שיטה ניסיונית להחלפת מפתח למחשבים קוונטיים שהופיעה בגרסה זו.
מטרת פונקציה זו היא לפתור בעיות אבטחה שיכולות להתעורר בעת חלוקת מפתחות בין צדדים, לאור האיומים על ההתקדמות הטכנולוגית, כמו הגדלת כוח המחשוב של מכונות, אלגוריתמים חדשים למחשבים קוונטיים.
לשם כך, שיטה זו מסתמכת על פתרון חלוקת המפתח הקוונטי (בקיצור QKD).
פתרון זה משתמש בתכונות קוונטיות כדי להחליף מידע סודי, כגון מפתח הצפנה.
באופן עקרוני מדידת מערכת קוונטית משנה את המערכת. כמו כן, אם האקר ינסה ליירט מפתח הצפנה שהונפק באמצעות יישום QKD, הוא בהכרח ישאיר טביעות אצבע הניתנות לזיהוי ל- OepnSSH.
יתר על כן, גודל ברירת המחדל של מפתח RSA שעודכן ל- 3072 סיביות.
מהחדשות האחרות המדווחות הן:
- הוספת תמיכה למפתחות ECDSA בטוקני PKCS
- ההרשאה של "PKCS11Provide = none" לבטל את המופעים הבאים של הוראת PKCS11Provide ב- ssh_config.
- הודעת יומן מתווספת במצבים שבהם חיבור נשבר לאחר שניסה להריץ פקודה בזמן שאילוץ sshd_config ForceCommand = פנימי sftp הוא למעשה.
לפרטים נוספים, רשימה מלאה של תוספות ותיקוני באגים נוספים זמינה בדף הרשמי.
כדי לנסות את הגרסה החדשה הזו אתה יכול ללכת לקישור הבא.