최근에 OpenSSH 개발자는 방금 버전 8.0을 발표했습니다. SSH 프로토콜을 사용한 원격 연결을위한이 보안 도구 게시 할 준비가 거의되었습니다.
데미안 밀러, 프로젝트의 주요 개발자 중 한 명으로 방금 사용자 커뮤니티라고 불렀습니다. 이 도구의 그래서 그들은 그것을 시도 할 수 있습니다 충분한 눈으로 모든 오류를 제때 잡을 수 있기 때문입니다.
이 새 버전을 사용하기로 결정한 사람들은 실패없이 성능을 테스트하고 오류를 감지하는 데 도움이 될뿐만 아니라 다양한 주문에서 새로운 개선 사항을 발견 할 수도 있습니다.
보안 수준에서 예를 들어,이 OpenSSH의 새 버전에는 scp 프로토콜 약점에 대한 완화 조치가 도입되었습니다.
실제로 원격 디렉토리에서 로컬 디렉토리로 파일을 복사하면 scp가 서버에서 보낸 파일이 발급 된 요청과 일치하는지 확인하기 때문에 scp를 사용하여 파일을 복사하는 것이 OpenSSH 8.0에서 더 안전합니다.
이 메커니즘이 구현되지 않은 경우 공격 서버는 이론적으로 원래 요청한 파일 대신 악성 파일을 전달하여 요청을 가로 챌 수 있습니다.
그러나 이러한 완화 조치에도 불구하고 OpenSSH는 scp 프로토콜의 사용을 권장하지 않습니다. "오래되고 유연하지 않으며 해결하기 어렵 기 때문"입니다.
Miller는 "파일 전송을 위해 sftp 및 rsync와 같은 최신 프로토콜을 사용하는 것이 좋습니다."라고 경고했습니다.
이 새로운 OpenSSH 버전은 무엇을 제공합니까?
이 새 버전의«뉴스»패키지 기존 구성에 영향을 줄 수있는 여러 변경 사항이 포함되어 있습니다.
예 앞서 언급 한 scp 프로토콜 수준에서,이 프로토콜은 원격 셸을 기반으로하기 때문에 클라이언트에서 전송 된 파일이 서버에서 전송 된 파일과 일치하는지 확실하지 않습니다.
일반 클라이언트와 서버 확장이 다른 경우 클라이언트는 서버에서 파일을 거부 할 수 있습니다.
이러한 이유로 OpenSSH 팀은 scp에 새로운 "-T"플래그를 제공했습니다. 위에서 설명한 공격을 재 도입하기 위해 클라이언트 측 검사를 비활성화합니다.
sshd 수준에서 : OpenSSH 팀은 더 이상 사용되지 않는 "호스트 / 포트"구문에 대한 지원을 제거했습니다.
2001 년에 IPv6 사용자를위한 "host : port"구문 대신 슬래시로 구분 된 호스트 / 포트가 추가되었습니다.
오늘날 슬래시 구문은 OpenSSH에서도 지원하는 CIDR 표기법과 쉽게 혼동됩니다.
기타 참신
따라서 ListenAddress 및 PermitOpen에서 슬래시 표기법을 제거하는 것이 좋습니다. 이러한 변경 사항 외에도 OpenSSH 8.0에 새로운 기능이 추가되었습니다. 여기에는 다음이 포함됩니다.
이 버전에 등장한 양자 컴퓨터의 키 교환 실험 방법.
이 기능의 목적은 기계 컴퓨팅 파워의 증가, 양자 컴퓨터의 새로운 알고리즘과 같은 기술 발전에 대한 위협을 감안하여 당사자간에 키를 배포 할 때 발생할 수있는 보안 문제를 해결하는 것입니다.
이를 위해이 방법은 양자 키 배포 솔루션 (줄여서 QKD)에 의존합니다.
이 솔루션은 양자 속성을 사용하여 암호화 키와 같은 비밀 정보를 교환합니다.
원칙적으로 양자 시스템을 측정하면 시스템이 변경됩니다. 또한 해커가 QKD 구현을 통해 발급 된 암호화 키를 가로 채려고하면 불가피하게 OepnSSH에 대해 감지 가능한 지문을 남깁니다.
또한, 3072 비트로 업데이트 된 RSA 키의 기본 크기.
보고 된 다른 뉴스는 다음과 같습니다.
- PKCS 토큰에서 ECDSA 키에 대한 지원 추가
- ssh_config에서 PKCS11Provide 지시문의 후속 인스턴스를 대체하기위한 "PKCS11Provide = none"의 권한.
- sshd_config ForceCommand = internal-sftp 제약 조건이 적용되는 동안 명령 실행을 시도한 후 연결이 끊어진 상황에 대한 로그 메시지가 추가됩니다.
자세한 내용은 공식 페이지에서 기타 추가 및 버그 수정의 전체 목록을 확인할 수 있습니다.
이 새 버전을 시도하려면 다음 링크에.