Įtraukta Pastaruoju metu „OpenSSH“ kūrėjai ką tik paskelbė, kad 8.0 versija šio saugos įrankio nuotoliniam ryšiui su SSH protokolu jis beveik paruoštas paskelbti.
Damienas Milleris, vienas pagrindinių projekto kūrėjų, ką tik paskambinęs vartotojų bendruomenei šio įrankio kad jie galėtų tai išbandyti kadangi, turint pakankamai akių, visas klaidas galima laiku sugauti.
Žmonės, nusprendę naudoti šią naują versiją, galės Jie ne tik padės jums išbandyti našumą ir neabejotinai aptikti klaidas, bet ir galėsite atrasti naujų patobulinimų iš įvairių užsakymų.
Saugumo lygiu pavyzdžiui, šioje naujojoje „OpenSSH“ versijoje buvo įdiegtos scp protokolo silpnybių mažinimo priemonės.
Praktiškai failų kopijavimas naudojant scp bus saugesnis naudojant „OpenSSH 8.0“, nes nukopijavus failus iš nuotolinio katalogo į vietinį katalogą scp patikrins, ar serverio siunčiami failai atitinka išduotą užklausą.
Jei šis mechanizmas nebūtų įgyvendintas, atakos serveris teoriškai galėtų perimti užklausą pateikdamas kenkėjiškus failus, o ne iš pradžių prašomus.
Nepaisant šių švelninimo priemonių, OpenSSH nerekomenduoja naudoti scp protokolo, nes jis yra „pasenęs, nelankstus ir sunkiai išsprendžiamas“.
"Failų perdavimui rekomenduojame naudoti modernesnius protokolus, tokius kaip" sftp "ir" rsync ", - įspėjo Milleris.
Ką pasiūlys ši nauja „OpenSSH“ versija?
Šios naujos versijos pakete «Naujienos» apima daug pakeitimų, kurie gali turėti įtakos esamoms konfigūracijoms.
Pavyzdžiui, minėtu scp protokolo lygiu, nes šis protokolas yra pagrįstas nuotoliniu apvalkalu, nėra tikro, ar iš kliento perkelti failai sutampa su serverio failais.
Jei yra skirtumas tarp bendro kliento ir serverio plėtinio, klientas gali atmesti failus iš serverio.
Dėl šios priežasties „OpenSSH“ komanda scp pateikė naują „-T“ vėliavą kuris išjungia kliento patikrinimus, kad vėl būtų atkurta aukščiau aprašyta ataka.
Demond sshd lygiu: OpenSSH komanda pašalino nebenaudojamos „pagrindinio kompiuterio / prievado“ sintaksės palaikymą.
2001 m. Vietoj „host: port“ sintaksės IPv6 vartotojams buvo pridėtas pasviruoju brūkšniu atskirtas kompiuteris / prievadas.
Šiandien brūkšnio sintaksė yra lengvai supainiota su CIDR žymėjimu, kuris taip pat suderinamas su „OpenSSH“.
Kitos naujovės
Todėl patartina pašalinti pasvirojo brūkšnio žymėjimą iš „ListenAddress“ ir „PermitOpen“. Be šių pakeitimų, mes turime naujų funkcijų, pridėtų prie „OpenSSH 8.0“. Jie apima:
Šioje versijoje pasirodęs eksperimentinis kvantinių kompiuterių raktų mainų metodas.
Šios funkcijos tikslas yra išspręsti saugumo problemas, kurios gali kilti paskirstant raktus tarp šalių, atsižvelgiant į grėsmes technologinei pažangai, pavyzdžiui, padidėjus mašinų skaičiavimo galiai, naujiems kvantinių kompiuterių algoritmams.
Norėdami tai padaryti, šis metodas remiasi kvantinio rakto paskirstymo sprendimu (angliškai sutrumpintas QKD).
Šis sprendimas naudoja kvantines savybes keisdamasis slapta informacija, pavyzdžiui, kriptografiniu raktu.
Iš esmės matuojant kvantinę sistemą sistema keičiama. Be to, jei įsilaužėlis bandė perimti kriptografinį raktą, išduotą įgyvendinant QKD, tai neišvengiamai paliks aptinkamus OepnSSH pirštų atspaudus.
Be to, numatytasis RSA rakto dydis, kuris buvo atnaujintas iki 3072 bitų.
Iš kitų praneštų naujienų yra šios:
- ECDSA raktų palaikymo pridėjimas PKCS žetonuose
- „PKCS11Provide = none“ leidimas nepaisyti vėlesnių PKCS11Provide direktyvos egzempliorių ssh_config.
- Žurnalo pranešimas pridedamas tais atvejais, kai bandant paleisti komandą nutrūksta ryšys, kol galioja sshd_config ForceCommand = internal-sftp apribojimas.
Norėdami gauti daugiau informacijos, oficialiame puslapyje rasite išsamų kitų papildymų ir klaidų taisymų sąrašą.
Norėdami išbandyti šią naują versiją, galite pereiti į šią nuorodą.