Baru-baru ini Pembangun OpenSSH baru sahaja mengumumkan bahawa versi 8.0 alat keselamatan ini untuk sambungan jauh dengan protokol SSH ia hampir siap untuk diterbitkan.
Damian Miller, salah satu pemaju utama projek, baru sahaja disebut komuniti pengguna alat ini supaya mereka dapat mencubanya kerana, dengan mata yang cukup, semua kesalahan dapat ditangkap tepat pada masanya.
Orang yang memutuskan untuk menggunakan versi baru ini akan dapat Mereka bukan sahaja dapat membantu anda menguji prestasi dan mengesan kesalahan tanpa gagal, anda juga akan dapat menemui peningkatan baru dari pelbagai pesanan.
Di peringkat keselamatan, sebagai contoh, langkah-langkah pengurangan kelemahan protokol scp telah diperkenalkan dalam OpenSSH versi baru ini.
Dalam praktiknya, menyalin fail dengan scp akan lebih aman di OpenSSH 8.0 kerana menyalin fail dari direktori jauh ke direktori tempatan akan menyebabkan scp memeriksa apakah fail yang dikirim oleh pelayan sesuai dengan permintaan yang dikeluarkan.
Sekiranya mekanisme ini tidak dilaksanakan, pelayan serangan dapat, secara teori, memintas permintaan dengan mengirimkan fail berbahaya dan bukan yang awalnya diminta.
Namun, di sebalik langkah-langkah mitigasi ini, OpenSSH tidak mengesyorkan penggunaan protokol scp, kerana "usang, tidak fleksibel, dan sulit diselesaikan."
"Kami mengesyorkan menggunakan protokol yang lebih moden seperti sftp dan rsync untuk pemindahan fail," Miller memberi amaran.
Apa yang akan ditawarkan OpenSSH versi baru ini?
Dalam pakej «Berita» versi baru ini merangkumi sejumlah perubahan yang mungkin mempengaruhi konfigurasi yang ada.
Contohnya pada tahap protokol scp yang disebutkan di atas, kerana protokol ini didasarkan pada shell jarak jauh, tidak ada cara pasti bahawa fail yang dipindahkan dari klien sepadan dengan fail dari pelayan.
Sekiranya terdapat perbezaan antara klien generik dan pelanjutan pelayan, pelanggan boleh menolak fail dari pelayan.
Atas sebab ini, pasukan OpenSSH telah memberikan bendera "-T" baru kepada scp yang melumpuhkan pemeriksaan sisi pelanggan untuk memperkenalkan semula serangan yang dijelaskan di atas.
Pada tahap sshd demond: pasukan OpenSSH mengeluarkan sokongan untuk sintaks "host / port" yang tidak digunakan lagi.
Host / port yang dipisahkan slash ditambahkan pada tahun 2001 sebagai ganti sintaks "host: port" untuk pengguna IPv6.
Hari ini sintaks slash mudah dikelirukan dengan notasi CIDR, yang juga disokong oleh OpenSSH.
Berita lain
Oleh itu, disarankan untuk menghapus notasi garis miring ke depan dari ListenAddress dan PermitOpen. Sebagai tambahan kepada perubahan ini, kami mempunyai ciri baru yang ditambahkan pada OpenSSH 8.0. Ini termasuk:
Kaedah eksperimen pertukaran kunci untuk komputer kuantum yang telah muncul dalam versi ini.
Tujuan fungsi ini adalah untuk menyelesaikan masalah keselamatan yang dapat timbul ketika mengedarkan kunci antara pihak, mengingat ancaman terhadap kemajuan teknologi, seperti peningkatan kekuatan pengkomputeran mesin, algoritma baru untuk komputer kuantum.
Untuk melakukan ini, kaedah ini bergantung pada penyelesaian pengagihan kunci kuantum (disingkat QKD dalam bahasa Inggeris).
Penyelesaian ini menggunakan sifat kuantum untuk bertukar maklumat rahsia, seperti kunci kriptografi.
Pada prinsipnya, mengukur sistem kuantum mengubah sistem. Juga, jika penggodam cuba memintas kunci kriptografi yang dikeluarkan melalui pelaksanaan QKD, ia pasti akan meninggalkan cap jari yang dapat dikesan untuk OepnSSH.
Tambahan pula, saiz lalai kunci RSA yang telah dikemas kini menjadi 3072 bit.
Dari berita lain yang dilaporkan adalah seperti berikut:
- Menambah sokongan untuk kunci ECDSA dalam token PKCS
- kebenaran "PKCS11Provide = none" untuk menggantikan contoh arahan PKCS11Provide berikutnya di ssh_config.
- Mesej log ditambahkan untuk situasi di mana sambungan terputus setelah cuba menjalankan perintah sementara kekangan sshd_config ForceCommand = internal-sftp sedang berlaku.
Untuk keterangan lebih lanjut, senarai lengkap penambahan dan pembetulan pepijat lain boleh didapati di halaman rasmi.
Untuk mencuba versi baru ini, anda boleh pergi ke pautan berikut.