Nyligen OpenSSH-utvecklare har just meddelat att version 8.0 av detta säkerhetsverktyg för fjärranslutning med SSH-protokoll Den är nästan klar att publiceras.
Damian Miller, en av projektets huvudutvecklare, nyss kallad användargemenskapen av detta verktyg så de kan prova eftersom, med tillräckligt många ögon, alla fel kan upptäckas i tid.
Människor som bestämmer sig för att använda den här nya versionen kommer att kunna hjälper inte bara att testa prestanda och upptäcka buggar utan också upptäcka nya förbättringar från olika förfrågningar.
På säkerhetsnivå, till exempel har begränsningar för svagheter i scp-protokollet införts i denna nya version av OpenSSH.
I praktiken kommer kopiering av filer med scp att vara säkrare i OpenSSH 8.0 eftersom kopiering av filer från en fjärrkatalog till en lokal katalog kommer att få scp att kontrollera om filerna som skickas av servern matchar den utfärdade begäran.
Om denna mekanism inte implementerades skulle en attackserver i teorin kunna avlyssna begäran genom att leverera skadliga filer istället för de ursprungligen efterfrågade.
Men trots dessa begränsningsåtgärder rekommenderar OpenSSH inte användningen av scp-protokollet, eftersom det är "föråldrat, oflexibelt och svårt att lösa".
"Vi rekommenderar att du använder nyare protokoll som sftp och rsync för filöverföring," sa Miller.
Vad kommer denna nya version av OpenSSH att erbjuda?
I paketet "Vad är nytt" i den här nya versionen innehåller ett antal ändringar som kan påverka befintliga konfigurationer.
T.ex. på redan nämnda nivå av scp-protokollet, eftersom detta protokoll är baserat på ett fjärrskal, det finns inget säkert sätt att matcha filerna som överförs från klienten till den från servern.
Om det finns en skillnad mellan den generiska klienten och servertillägget kan klienten avvisa filerna från servern.
Av denna anledning har OpenSSH-teamet försett scp med en ny "-T"-flagga. som inaktiverar kontroller på klientsidan för att återinföra attacken som beskrivs ovan.
På demond sshd-nivån: OpenSSH-teamet tog bort stödet för den föråldrade "värd/port"-syntaxen.
En snedstreckseparerad värd/port lades till 2001 istället för syntaxen "värd:port" för IPv6-användare.
Idag förväxlas snedstrecksyntaxen lätt med CIDR-notationen, som också stöds av OpenSSH.
Andra nyheter
Därför är det lämpligt att ta bort snedstrecksbeteckningen från ListenAddress och PermitOpen. Utöver dessa förändringar, vi har lagt till nya funktioner i OpenSSH 8.0. Dessa inkluderar:
En experimentell metod för att byta nycklar för kvantdatorer som har dykt upp i den här versionen.
Syftet med den här funktionen är att ta itu med säkerhetsproblem som kan uppstå vid distribution av nycklar mellan parter, givet hot mot tekniska framsteg, såsom ökad datorkraft hos maskiner, nya algoritmer för kvantdatorer.
För att göra detta är denna metod baserad på Quantum Key Distribution (QKD)-lösningen.
Denna lösning använder kvantegenskaper för att utbyta hemlig information, såsom en kryptografisk nyckel.
Att mäta ett kvantsystem förändrar i princip systemet. Dessutom, om en hacker skulle försöka fånga upp en kryptografisk nyckel som utfärdats via en QKD-implementering, skulle det oundvikligen lämna spårbara spår för OepnSSH.
Vidare, standardstorleken på RSA-nyckeln som har uppdaterats till 3072 bitar.
Av de andra nyheterna som rapporterats är följande:
- Lägger till stöd för ECDSA-nycklar i PKCS-tokens
- tillåtelsen för "PKCS11Provide = none" att åsidosätta efterföljande instanser av PKCS11Provide-direktivet i ssh_config.
- Lade till ett loggmeddelande för situationer där en anslutning avbryts efter att ha försökt utföra ett kommando medan en begränsning sshd_config ForceCommand = internal-sftp är aktiv.
För mer information finns en fullständig lista över andra tillägg och buggfixar på den officiella sidan.
För att testa denna nya version kan du gå till till följande länk.