最近 OpenSSH開発者は、バージョン8.0を発表しました SSHプロトコルとのリモート接続のためのこのセキュリティツールの 公開の準備がほぼ整っています。
ダミアンミラー, プロジェクトの主要な開発者のXNUMX人で、ユーザーコミュニティと呼ばれています このツールの 彼らはそれを試すことができます 十分な目があれば、すべてのエラーを時間内に捉えることができるからです。
この新しいバージョンを使用することを決定した人は、次のことができるようになります パフォーマンスのテストとバグの検出に失敗することなく役立つだけでなく、さまざまな注文から新しい拡張機能を発見することもできます。
セキュリティレベルでは、 たとえば、この新しいバージョンのOpenSSHでは、scpプロトコルの弱点に対する緩和策が導入されています。
実際には、リモートディレクトリからローカルディレクトリにファイルをコピーすると、サーバーから送信されたファイルが発行された要求と一致するかどうかがscpによってチェックされるため、OpenSSH8.0ではscpを使用してファイルをコピーする方が安全です。
このメカニズムが実装されていない場合、理論的には、攻撃サーバーは最初に要求されたファイルの代わりに悪意のあるファイルを配信することによって要求を傍受する可能性があります。
ただし、これらの緩和策にもかかわらず、OpenSSHはscpプロトコルの使用を推奨していません。これは、「時代遅れで、柔軟性がなく、解決が難しい」ためです。
「ファイル転送には、sftpやrsyncなどの最新のプロトコルを使用することをお勧めします」とMiller氏は警告しました。
この新しいバージョンのOpenSSHは何を提供しますか?
この新しいバージョンのパッケージ«ニュース» 既存の構成に影響を与える可能性のある多くの変更が含まれています。
例えば scpプロトコルの前述のレベルで、このプロトコルはリモートシェルに基づいているため、 クライアントから転送されたファイルがサーバーから転送されたファイルと一致する確実な方法はありません。
汎用クライアントとサーバー拡張機能に違いがある場合、クライアントはサーバーからのファイルを拒否できます。
このため、OpenSSHチームはscpに新しい「-T」フラグを提供しました これにより、クライアント側のチェックが無効になり、上記の攻撃が再導入されます。
demond sshdレベル:OpenSSHチームは、非推奨の「ホスト/ポート」構文のサポートを削除しました。
2001年に、IPv6ユーザーの「host:port」構文の代わりにスラッシュで区切られたホスト/ポートが追加されました。
今日、スラッシュ構文は、OpenSSHとも互換性のあるCIDR表記と簡単に混同されます。
その他のニュース
したがって、ListenAddressおよびPermitOpenからスラッシュ表記を削除することをお勧めします。 これらの変更に加えて、 OpenSSH8.0に新機能が追加されました。 これらには以下が含まれます:
このバージョンに登場した量子コンピューターの鍵交換の実験的方法.
この機能の目的は、機械の計算能力の向上、量子コンピューターの新しいアルゴリズムなどの技術的進歩に対する脅威を考慮して、当事者間でキーを配布するときに発生する可能性のあるセキュリティ問題を解決することです。
これを行うために、この方法は量子鍵配送ソリューション(略してQKD)に依存しています。
このソリューションは、量子プロパティを使用して、暗号化キーなどの秘密情報を交換します。
原則として、量子系を測定すると系が変化します。 さらに、ハッカーがQKD実装を通じて発行された暗号化キーを傍受しようとすると、必然的にOepnSSHに検出可能なフィンガープリントが残ります。
さらに、 3072ビットに更新されたRSAキーのデフォルトサイズ。
報告されている他のニュースは次のとおりです。
- PKCSトークンでのECDSAキーのサポートの追加
- ssh_config内のPKCS11Provideディレクティブの後続のインスタンスをオーバーライドするための「PKCS11Provide = none」の権限。
- sshd_config ForceCommand = internal-sftp制約が有効なときにコマンドを実行しようとした後に接続が切断された場合に、ログメッセージが追加されます。
詳細については、その他の追加機能とバグ修正の完全なリストが公式ページにあります。
この新しいバージョンを試すには、 次のリンクへ。