Недавно Разработчики OpenSSH только что объявили, что версия 8.0 этого инструмента безопасности для удаленного подключения по протоколу SSH он почти готов к публикации.
Дэмиен Миллер, один из основных разработчиков проекта, просто названный сообществом пользователей этого инструмента чтобы они могли попробовать это поскольку при наличии достаточного количества глаз все ошибки можно обнаружить вовремя.
Люди, которые решат использовать эту новую версию, смогут Они не только помогут вам протестировать производительность и безошибочно выявлять ошибки, вы также сможете обнаружить новые улучшения из различных заказов.
На уровне безопасности например, меры по устранению недостатков протокола scp были введены в этой новой версии OpenSSH.
На практике копирование файлов с помощью scp будет более безопасным в OpenSSH 8.0, поскольку копирование файлов из удаленного каталога в локальный каталог заставит scp проверять, соответствуют ли файлы, отправленные сервером, выданному запросу.
Если бы этот механизм не был реализован, сервер атаки теоретически мог бы перехватить запрос, доставив вредоносные файлы вместо первоначально запрошенных.
Однако, несмотря на эти меры по снижению риска, OpenSSH не рекомендует использовать протокол scp, поскольку он «устарел, негибкий и трудноразрешимый».
«Мы рекомендуем использовать для передачи файлов более современные протоколы, такие как sftp и rsync», - предостерег Миллер.
Что предлагает эта новая версия OpenSSH?
В пакете «Новости» этой новой версии включает ряд изменений, которые могут повлиять на существующие конфигурации.
Например, на вышеупомянутом уровне протокола scp, поскольку этот протокол основан на удаленной оболочке, нет надежного способа, чтобы файлы, переданные от клиента, соответствовали файлам с сервера.
Если существует разница между общим клиентом и расширением сервера, клиент может отклонить файлы с сервера.
По этой причине команда OpenSSH предоставила scp новый флаг "-T" который отключает проверки на стороне клиента для повторного введения описанной выше атаки.
На уровне demond sshd: команда OpenSSH удалила поддержку устаревшего синтаксиса «хост / порт».
Разделенные косой чертой хост / порт были добавлены в 2001 году вместо синтаксиса «хост: порт» для пользователей IPv6.
Сегодняшний синтаксис слэша легко спутать с нотацией CIDR, которая также совместима с OpenSSH.
Прочие новинки
Поэтому рекомендуется удалить косую черту из ListenAddress и PermitOpen. Помимо этих изменений, у нас есть новые функции, добавленные в OpenSSH 8.0. Это включает:
В этой версии появился экспериментальный метод обмена ключами для квантовых компьютеров..
Целью этой функции является решение проблем безопасности, которые могут возникнуть при распределении ключей между сторонами, учитывая угрозы технологическому прогрессу, такие как увеличение вычислительной мощности машин, новые алгоритмы для квантовых компьютеров.
Для этого в этом методе используется решение квантового распределения ключей (сокращенно QKD на английском языке).
Это решение использует квантовые свойства для обмена секретной информацией, такой как криптографический ключ.
В принципе, измерение квантовой системы меняет систему. Более того, если хакер попытается перехватить криптографический ключ, выданный посредством реализации QKD, он неизбежно оставит обнаруживаемые отпечатки пальцев для OepnSSH.
Кроме того, размер ключа RSA по умолчанию, который был обновлен до 3072 бит.
Из других новостей сообщается следующее:
- Добавление поддержки ключей ECDSA в токены PKCS
- разрешение «PKCS11Provide = none» на переопределение последующих экземпляров директивы PKCS11Provide в ssh_config.
- Сообщение журнала добавляется для ситуаций, когда соединение разрывается после попытки выполнить команду, когда действует ограничение sshd_config ForceCommand = internal-sftp.
Для получения более подробной информации полный список других дополнений и исправлений доступен на официальной странице.
Чтобы попробовать эту новую версию, вы можете пойти по следующей ссылке.