Nylig OpenSSH-utviklere kunngjorde nettopp den versjonen 8.0 av dette sikkerhetsverktøyet for ekstern forbindelse med SSH-protokollen den er nesten klar til å bli publisert.
Damian Miller, en av hovedutviklerne av prosjektet, bare kalt brukerfellesskapet av dette verktøyet slik at de kan prøve det siden, med nok øyne, kan alle feil bli fanget i tide.
Folk som bestemmer seg for å bruke denne nye versjonen, vil kunne Ikke bare vil de hjelpe deg med å teste ytelse og oppdage feil uten å mislykkes, du vil også kunne oppdage nye forbedringer fra forskjellige ordrer.
På sikkerhetsnivå, for eksempel er avbøtende tiltak for scp-protokollsvakheter blitt introdusert i denne nye versjonen av OpenSSH.
I praksis vil kopiering av filer med scp være sikrere i OpenSSH 8.0 fordi kopiering av filer fra en ekstern katalog til en lokal katalog vil føre til at scp sjekker om filene som sendes av serveren samsvarer med den utstedte forespørselen.
Hvis denne mekanismen ikke ble implementert, kunne en angrepsserver i teorien avskjære forespørselen ved å levere ondsinnede filer i stedet for de som opprinnelig ble bedt om.
Til tross for disse avbøtende tiltakene anbefaler ikke OpenSSH imidlertid bruk av scp-protokollen, fordi den er "utdatert, ufleksibel og vanskelig å løse."
"Vi anbefaler å bruke mer moderne protokoller som sftp og rsync for filoverføring," advarte Miller.
Hva vil denne nye versjonen av OpenSSH tilby?
I pakken «Nyheter» til denne nye versjonen inkluderer en rekke endringer som kan påvirke eksisterende konfigurasjoner.
Eg på ovennevnte nivå av scp-protokollen, siden denne protokollen er basert på et eksternt skall, det er ingen sikker måte at filene som overføres fra klienten samsvarer med den fra serveren.
Hvis det er en forskjell mellom den generiske klienten og serverutvidelsen, kan klienten avvise filene fra serveren.
Av denne grunn har OpenSSH-teamet gitt scp et nytt "-T" -flagg som deaktiverer sjekker på klientsiden for å gjeninnføre angrepet beskrevet ovenfor.
På demond sshd-nivå: OpenSSH-teamet fjernet støtte for den utdaterte "vert / port" -syntaks.
En skråstrek-delt vert / port ble lagt til i 2001 i stedet for "vert: port" -syntaks for IPv6-brukere.
I dag er slash-syntaksen lett forvekslet med CIDR-notasjon, som også er kompatibel med OpenSSH.
Andre nyheter
Derfor anbefales det å fjerne fremover skråstrek-notasjonen fra ListenAddress og PermitOpen. I tillegg til disse endringene, vi har lagt til nye funksjoner i OpenSSH 8.0. Disse inkluderer:
En eksperimentell metode for nøkkelutveksling for kvantecomputere som har dukket opp i denne versjonen.
Hensikten med denne funksjonen er å løse sikkerhetsproblemer som kan oppstå når man distribuerer nøkler mellom parter, gitt truslene mot teknologiske fremskritt, for eksempel økningen i datakraften til maskiner, nye algoritmer for kvantedatamaskiner.
For å gjøre dette, er denne metoden avhengig av kvantenøkkelfordelingsløsningen (forkortet QKD på engelsk).
Denne løsningen bruker kvanteegenskaper for å utveksle hemmelig informasjon, for eksempel en kryptografisk nøkkel.
I prinsippet endrer systemet måling av et kvantesystem. Videre, hvis en hacker skulle forsøke å fange opp en kryptografisk nøkkel utstedt gjennom en QKD-implementering, ville den uunngåelig etterlate detekterbare fingeravtrykk for OepnSSH.
Videre standardstørrelsen på RSA-nøkkelen som er oppdatert til 3072 bits.
Av de andre rapporterte nyhetene er følgende:
- Legger til støtte for ECDSA-nøkler i PKCS-tokens
- tillatelse fra "PKCS11Provide = none" for å overstyre påfølgende forekomster av PKCS11Provide-direktivet i ssh_config.
- En loggmelding legges til for situasjoner der en forbindelse er brutt etter å ha prøvd å kjøre en kommando mens en sshd_config ForceCommand = intern-sftp-begrensning er i kraft.
For mer informasjon er en fullstendig liste over andre tillegg og feilrettinger tilgjengelig på den offisielle siden.
For å prøve denne nye versjonen kan du gå til følgende lenke.