Recientemente Razvijalci OpenSSH so pravkar objavili, da je različica 8.0 tega varnostnega orodja za oddaljeno povezavo s protokolom SSH skoraj je pripravljen za objavo.
Damian Miller, eden glavnih razvijalcev projekta, ki je pravkar poklical skupnost uporabnikov tega orodja da lahko poskusijo saj lahko z dovolj oči vse napake pravočasno odkrijemo.
Ljudje, ki se odločijo za uporabo te nove različice, jo bodo lahko Ne samo, da vam bodo pomagali preizkusiti delovanje in odkriti napake, ne da bi pri tem odpovedali, lahko boste tudi odkrili nove izboljšave iz različnih naročil.
Na ravni varnosti na primer, v tej novi različici OpenSSH so bili uvedeni omilitveni ukrepi za pomanjkljivosti protokola scp.
V praksi bo kopiranje datotek s scp v OpenSSH 8.0 bolj varno, ker bo kopiranje datotek iz oddaljenega imenika v lokalni imenik povzročilo, da bo scp preveril, ali se datoteke, ki jih pošlje strežnik, ujemajo z izdano zahtevo.
Če tega mehanizma ne bi izvedli, bi lahko napadalni strežnik teoretično prestregel zahtevo tako, da bi namesto prvotno zahtevanih poslal zlonamerne datoteke.
Kljub tem omilitvenim ukrepom pa OpenSSH ne priporoča uporabe protokola scp, ker je "zastarel, neprilagodljiv in ga je težko rešiti."
"Za prenos datotek priporočamo uporabo sodobnejših protokolov, kot sta sftp in rsync," je opozoril Miller.
Kaj bo ponudila ta nova različica OpenSSH?
V paketu «Novice» te nove različice vključuje številne spremembe, ki lahko vplivajo na obstoječe konfiguracije.
Npr na zgoraj omenjeni ravni protokola scp, ker ta protokol temelji na oddaljeni lupini, ni zanesljivega načina, da se datoteke, prenesene iz odjemalca, ujemajo z datotekami s strežnika.
Če obstaja razlika med splošnim odjemalcem in razširitvijo strežnika, lahko odjemalec zavrne datoteke s strežnika.
Iz tega razloga je ekipa OpenSSH preskrbela scp z novo zastavico "-T" ki onemogoči odjemalske preglede za ponovno uvedbo zgoraj opisanega napada.
Na ravni demond sshd: skupina OpenSSH je odstranila podporo za zastarelo sintakso "gostitelj / vrata".
Gostišče / vrata, ločena s poševnico, so bila dodana leta 2001 namesto sintakse "gostitelj: vrata" za uporabnike IPv6.
Dandanes sintakso poševnice zlahka zamenjamo z zapisom CIDR, kar podpira tudi OpenSSH.
Druge novosti
Zato je priporočljivo odstraniti zapis poševnice naprej iz ListenAddress in PermitOpen. Poleg teh sprememb v OpenSSH 8.0 smo dodali nove funkcije. Tej vključujejo:
Eksperimentalna metoda izmenjave ključev za kvantne računalnike, ki se je pojavila v tej različici.
Namen te funkcije je reševanje varnostnih težav, ki se lahko pojavijo pri razdeljevanju ključev med stranmi, glede na grožnje tehnološkemu napredku, kot je povečanje računalniške moči strojev, novi algoritmi za kvantne računalnike.
V ta namen se ta metoda opira na rešitev kvantne razporeditve ključev (na kratko QKD).
Ta rešitev uporablja kvantne lastnosti za izmenjavo tajnih informacij, kot je kriptografski ključ.
Načeloma merjenje kvantnega sistema sistem spremeni. Poleg tega bi heker, če bi poskušal prestreči kriptografski ključ, izdan s pomočjo QKD, neizogibno pustil zaznavne prstne odtise za OepnSSH.
Poleg tega privzeta velikost ključa RSA, ki je bil posodobljen na 3072 bitov.
Od ostalih poročanih novic so naslednje:
- Dodajanje podpore za ključe ECDSA v žetonih PKCS
- dovoljenje "PKCS11Provide = none" za preglasitev nadaljnjih primerov direktive PKCS11Provide v ssh_config.
- Sporočilo dnevnika je dodano za primere, ko je povezava prekinjena po poskusu zagnanja ukaza, medtem ko velja omejitev sshd_config ForceCommand = internal-sftp.
Za več podrobnosti je na uradni strani na voljo celoten seznam drugih dodatkov in popravkov napak.
Preizkusite to novo različico na naslednjo povezavo.