Ostatnio Deweloperzy OpenSSH właśnie ogłosili, że wersja 8.0 tego narzędzia bezpieczeństwa do zdalnego połączenia z protokołem SSH jest prawie gotowy do publikacji.
Damian Miller, jeden z głównych twórców projektu, nazywany właśnie społecznością użytkowników tego narzędzia aby mogli tego spróbować ponieważ mając wystarczająco dużo oczu, wszystkie błędy można wykryć na czas.
Osoby, które zdecydują się korzystać z tej nowej wersji, będą mogły Nie tylko pomogą Ci przetestować wydajność i wykryć błędy bez awarii, ale także będziesz mógł odkrywać nowe ulepszenia z różnych zamówień.
Na poziomie bezpieczeństwa na przykład środki łagodzące słabości protokołu scp zostały wprowadzone w tej nowej wersji OpenSSH.
W praktyce kopiowanie plików za pomocą scp będzie bezpieczniejsze w OpenSSH 8.0, ponieważ kopiowanie plików z katalogu zdalnego do katalogu lokalnego spowoduje, że scp sprawdzi, czy pliki wysłane przez serwer są zgodne z wysłanym żądaniem.
Gdyby ten mechanizm nie został zaimplementowany, atakujący serwer mógłby teoretycznie przechwycić żądanie, dostarczając złośliwe pliki zamiast tych, których pierwotnie zażądano.
Jednak pomimo tych środków łagodzących, OpenSSH nie zaleca stosowania protokołu scp, ponieważ jest on „przestarzały, nieelastyczny i trudny do rozwiązania”.
„Zalecamy używanie bardziej nowoczesnych protokołów, takich jak sftp i rsync do przesyłania plików” - ostrzega Miller.
Co zaoferuje ta nowa wersja OpenSSH?
W pakiecie «Nowości» tej nowej wersji zawiera szereg zmian, które mogą mieć wpływ na istniejące konfiguracje.
Np. na wyżej wspomnianym poziomie protokołu scpponieważ ten protokół jest oparty na zdalnej powłoce, nie ma pewności, czy pliki przesłane z klienta odpowiadają tym z serwera.
Jeśli istnieje różnica między standardowym klientem a rozszerzeniem serwera, klient może odrzucić pliki z serwera.
Z tego powodu zespół OpenSSH dostarczył scp nową flagę „-T” co wyłącza testy po stronie klienta w celu ponownego wprowadzenia ataku opisanego powyżej.
Na demondowym poziomie sshd: zespół OpenSSH usunął obsługę przestarzałej składni „host / port”.
Oddzielony ukośnikiem host / port został dodany w 2001 roku w miejsce składni „host: port” dla użytkowników IPv6.
Obecnie składnię ukośnika można łatwo pomylić z notacją CIDR, która jest również obsługiwana przez OpenSSH.
Inne nowości
Dlatego zaleca się usunięcie znaku ukośnika z listy ListenAddress i PermitOpen. Oprócz tych zmian, mamy nowe funkcje dodane do OpenSSH 8.0. Obejmują one:
Eksperymentalna metoda wymiany kluczy do komputerów kwantowych, która pojawiła się w tej wersji.
Celem tej funkcji jest rozwiązywanie problemów bezpieczeństwa, które mogą pojawić się podczas dystrybucji kluczy między stronami, biorąc pod uwagę zagrożenia dla postępu technologicznego, takie jak wzrost mocy obliczeniowej maszyn, nowe algorytmy dla komputerów kwantowych.
Aby to zrobić, metoda ta opiera się na rozwiązaniu kwantowej dystrybucji klucza (w skrócie QKD).
To rozwiązanie wykorzystuje właściwości kwantowe do wymiany tajnych informacji, takich jak klucz kryptograficzny.
W zasadzie pomiar systemu kwantowego zmienia system. Ponadto, jeśli haker próbowałby przechwycić klucz kryptograficzny wydany przez implementację QKD, nieuchronnie pozostawiłby wykrywalne odciski palców dla OepnSSH.
Ponadto domyślny rozmiar klucza RSA, który został zaktualizowany do 3072 bitów.
Z innych zgłoszonych wiadomości są następujące:
- Dodanie obsługi kluczy ECDSA w tokenach PKCS
- uprawnienie „PKCS11Provide = none” do przesłonięcia kolejnych instancji dyrektywy PKCS11Provide w ssh_config.
- Komunikat dziennika jest dodawany do sytuacji, w których połączenie zostaje zerwane po próbie uruchomienia polecenia, gdy obowiązuje ograniczenie sshd_config ForceCommand = internal-sftp.
Aby uzyskać więcej informacji, pełna lista innych dodatków i poprawek błędów jest dostępna na oficjalnej stronie.
Aby wypróbować tę nową wersję, możesz przejść do poniższego łącza.