Recentemente Os desenvolvedores do OpenSSH acabam de anunciar que a versão 8.0 desta ferramenta de segurança para conexão remota com o protocolo SSH está quase pronto para ser publicado.
Damian Miller, um dos principais desenvolvedores do projeto, apenas chamado de comunidade de usuários desta ferramenta para que eles possam tentar já que, com olhos suficientes, todos os erros podem ser detectados a tempo.
As pessoas que decidirem usar esta nova versão poderão Eles não apenas o ajudarão a testar o desempenho e detectar erros sem falhar, como também será capaz de descobrir novos aprimoramentos de vários pedidos.
No nível de segurança, por exemplo, medidas de mitigação para fraquezas do protocolo scp foram introduzidas nesta nova versão do OpenSSH.
Na prática, copiar arquivos com scp será mais seguro no OpenSSH 8.0 porque copiar arquivos de um diretório remoto para um diretório local fará com que o scp verifique se os arquivos enviados pelo servidor correspondem à solicitação emitida.
Se esse mecanismo não for implementado, um servidor de ataque poderia, em teoria, interceptar a solicitação, entregando arquivos maliciosos em vez dos originalmente solicitados.
No entanto, apesar dessas medidas de mitigação, OpenSSH não recomenda o uso do protocolo scp, porque é "desatualizado, inflexível e difícil de resolver."
"Recomendamos o uso de protocolos mais modernos como sftp e rsync para transferências de arquivos", advertiu Miller.
O que esta nova versão do OpenSSH oferecerá?
No pacote «Notícias» desta nova versão inclui uma série de mudanças que podem afetar as configurações existentes.
Por exemplo no nível acima mencionado do protocolo scp, uma vez que este protocolo é baseado em um shell remoto, não há como garantir que os arquivos transferidos do cliente correspondam aos do servidor.
Se houver uma diferença entre o cliente genérico e a extensão do servidor, o cliente pode rejeitar os arquivos do servidor.
Por este motivo, a equipe OpenSSH forneceu ao scp um novo sinalizador "-T" que desativa as verificações do lado do cliente para reintroduzir o ataque descrito acima.
No nível demond sshd: a equipe OpenSSH removeu o suporte para a sintaxe "host / porta" obsoleta.
Um host / porta separados por barra foi adicionado em 2001 no lugar da sintaxe "host: porta" para usuários IPv6.
Hoje, a sintaxe de barra é facilmente confundida com a notação CIDR, que também é compatível com OpenSSH.
outros desenvolvimentos
Portanto, é aconselhável remover a notação de barra de ListenAddress e PermitOpen. Além dessas mudanças, adicionamos novos recursos ao OpenSSH 8.0. Esses incluem:
Um método experimental de troca de chaves para computadores quânticos que apareceu nesta versão.
O objetivo desta função é resolver os problemas de segurança que podem surgir na distribuição de chaves entre as partes, dadas as ameaças aos avanços tecnológicos, como o aumento do poder de computação das máquinas, novos algoritmos para computadores quânticos.
Para fazer isso, este método depende da solução de distribuição de chave quântica (abreviado como QKD em inglês).
Esta solução usa propriedades quânticas para trocar informações secretas, como uma chave criptográfica.
Em princípio, medir um sistema quântico altera o sistema. Além disso, se um hacker tentasse interceptar uma chave criptográfica emitida por meio de uma implementação QKD, isso inevitavelmente deixaria impressões digitais detectáveis para OepnSSH.
Além disso, o tamanho padrão da chave RSA que foi atualizado para 3072 bits.
Das outras notícias relatadas são as seguintes:
- Adicionando suporte para chaves ECDSA em tokens PKCS
- permissão de "PKCS11Provide = none" para substituir instâncias subsequentes da diretiva PKCS11Provide em ssh_config.
- Uma mensagem de log é adicionada para situações em que uma conexão é interrompida após a tentativa de executar um comando enquanto uma restrição sshd_config ForceCommand = internal-sftp está em vigor.
Para mais detalhes, uma lista completa de outras adições e correções de bugs está disponível na página oficial.
Para experimentar esta nova versão, você pode ir para o seguinte link.