Recientemente Vývojári OpenSSH práve oznámili túto verziu 8.0 tohto bezpečnostného nástroja na vzdialené pripojenie s protokolom SSH je takmer pripravený na zverejnenie.
Damian Miller, jeden z hlavných vývojárov projektu, ktorý sa volá komunita používateľov tohto nástroja aby to mohli vyskúšať pretože s dostatkom očí sa dajú všetky chyby zachytiť včas.
Ľudia, ktorí sa rozhodnú používať túto novú verziu, budú môcť Nielen, že vám pomôžu otestovať výkon a zistiť chyby bez zlyhania, ale tiež budete môcť objavovať nové vylepšenia z rôznych objednávok.
Na úrovni zabezpečenia napríklad v tejto novej verzii OpenSSH boli zavedené zmierňujúce opatrenia pre nedostatky protokolu scp.
V praxi bude kopírovanie súborov pomocou scp v OpenSSH 8.0 bezpečnejšie, pretože kopírovanie súborov zo vzdialeného adresára do lokálneho adresára spôsobí, že program scp skontroluje, či sa súbory odoslané serverom zhodujú s vydanou požiadavkou.
Ak by tento mechanizmus nebol implementovaný, útočný server by teoreticky mohol zachytiť požiadavku doručením škodlivých súborov namiesto tých, ktoré boli pôvodne požadované.
Napriek týmto zmierňujúcim opatreniam však OpenSSH neodporúča použitie protokolu scp, pretože je „zastaraný, nepružný a ťažko riešiteľný“.
„Na prenos súborov odporúčame používať modernejšie protokoly, ako sú sftp a rsync,“ upozornil Miller.
Čo ponúkne táto nová verzia OpenSSH?
V balíčku «Novinky» tejto novej verzie obsahuje množstvo zmien, ktoré môžu ovplyvniť existujúce konfigurácie.
Napr na vyššie uvedenej úrovni protokolu scp, pretože tento protokol je založený na vzdialenom shelle, neexistuje istý spôsob, ako sa súbory prenesené z klienta zhodujú so súbormi zo servera.
Ak existuje rozdiel medzi všeobecným rozšírením klienta a serverom, môže klient odmietnuť súbory zo servera.
Z tohto dôvodu tím OpenSSH poskytol scp nový príznak „-T“ ktorá zakáže kontroly na strane klienta s cieľom opätovne zaviesť vyššie popísaný útok.
Na úrovni demond sshd: tím OpenSSH odstránil podporu pre zastaranú syntax „host / port“.
V roku 2001 bol pridaný lomka oddelený hostiteľ / port namiesto syntaxe „host: port“ pre používateľov protokolu IPv6.
Syntax lomítka je dnes ľahko zameniteľná s notáciou CIDR, ktorá je tiež kompatibilná s OpenSSH.
Ďalšie novinky
Preto je vhodné odstrániť notáciu lomky z ListenAddress a PermitOpen. Okrem týchto zmien do OpenSSH 8.0 sme pridali nové funkcie. Tie obsahujú:
Experimentálna metóda výmeny kľúčov pre kvantové počítače, ktorá sa objavila v tejto verzii.
Účelom tejto funkcie je vyriešiť bezpečnostné problémy, ktoré môžu vzniknúť pri distribúcii kľúčov medzi stranami, vzhľadom na hrozby technologického pokroku, ako je zvýšenie výpočtovej sily strojov, nové algoritmy pre kvantové počítače.
Pri tomto postupe sa táto metóda spolieha na riešenie distribúcie kvantových kľúčov (v angličtine skrátene QKD).
Toto riešenie využíva kvantové vlastnosti na výmenu tajných informácií, napríklad kryptografického kľúča.
Meranie kvantového systému v zásade tento systém mení. Keby sa tiež hacker pokúsil zachytiť kryptografický kľúč vydaný prostredníctvom implementácie QKD, nevyhnutne by to pre OepnSSH zanechalo detekovateľné odtlačky prstov.
Okrem toho, predvolená veľkosť kľúča RSA, ktorá bola aktualizovaná na 3072 bitov.
Z ďalších hlásených správ sú tieto:
- Pridanie podpory pre kľúče ECDSA v tokenoch PKCS
- povolenie parametra „PKCS11Provide = none“ na prepísanie nasledujúcich inštancií smernice PKCS11Provide v ssh_config.
- Protokol sa pridá do situácií, keď dôjde k prerušeniu spojenia po pokuse o spustenie príkazu, zatiaľ čo je v platnosti obmedzenie sshd_config ForceCommand = internal-sftp.
Celý zoznam ďalších podrobností a opráv chýb je k dispozícii na oficiálnej stránke.
Ak chcete vyskúšať túto novú verziu, môžete ísť na nasledujúci odkaz.