Recientemente นักพัฒนา OpenSSH เพิ่งประกาศเวอร์ชัน 8.0 ของเครื่องมือรักษาความปลอดภัยนี้สำหรับการเชื่อมต่อระยะไกลกับโปรโตคอล SSH ใกล้จะเผยแพร่แล้ว
เดเมียน มิลเลอร์, หนึ่งในผู้พัฒนาหลักของโครงการเรียกว่าชุมชนผู้ใช้ ของเครื่องมือนี้ เพื่อที่พวกเขาจะได้ลองใช้ เนื่องจากด้วยสายตาที่เพียงพอข้อผิดพลาดทั้งหมดสามารถจับได้ทันเวลา
ผู้ที่ตัดสินใจใช้เวอร์ชันใหม่นี้จะสามารถทำได้ ไม่เพียง แต่จะช่วยให้คุณทดสอบประสิทธิภาพและตรวจจับข้อบกพร่องโดยไม่ล้มเหลวคุณยังสามารถค้นพบการปรับปรุงใหม่ ๆ จากคำสั่งต่างๆ
ในระดับความปลอดภัย ตัวอย่างเช่นมีการนำมาตรการบรรเทาจุดอ่อนของโปรโตคอล scp มาใช้ใน OpenSSH เวอร์ชันใหม่นี้
ในทางปฏิบัติการคัดลอกไฟล์ด้วย scp จะปลอดภัยกว่าใน OpenSSH 8.0 เนื่องจากการคัดลอกไฟล์จากไดเร็กทอรีระยะไกลไปยังไดเร็กทอรีภายในจะทำให้ scp ตรวจสอบว่าไฟล์ที่เซิร์ฟเวอร์ส่งตรงกับคำขอที่ออกหรือไม่
หากไม่ได้ใช้กลไกนี้ในทางทฤษฎีเซิร์ฟเวอร์โจมตีสามารถสกัดกั้นคำขอโดยส่งไฟล์ที่เป็นอันตรายแทนไฟล์ที่ร้องขอในตอนแรก
อย่างไรก็ตามแม้จะมีมาตรการบรรเทาผลกระทบเหล่านี้ OpenSSH ไม่แนะนำให้ใช้โปรโตคอล scp เนื่องจาก "ล้าสมัยไม่ยืดหยุ่นและแก้ไขได้ยาก"
"เราขอแนะนำให้ใช้โปรโตคอลที่ทันสมัยกว่าเช่น sftp และ rsync สำหรับการถ่ายโอนไฟล์" มิลเลอร์เตือน
OpenSSH เวอร์ชันใหม่นี้จะนำเสนออะไรบ้าง?
ในแพ็คเกจ«ข่าว»ของเวอร์ชันใหม่นี้ รวมถึงการเปลี่ยนแปลงต่างๆที่อาจส่งผลต่อการกำหนดค่าที่มีอยู่
เช่น ในระดับดังกล่าวของโปรโตคอล scpเนื่องจากโปรโตคอลนี้ใช้รีโมตเชลล์ ไม่มีวิธีใดที่แน่นอนว่าไฟล์ที่ถ่ายโอนจากไคลเอนต์จะตรงกับไฟล์จากเซิร์ฟเวอร์
หากมีความแตกต่างระหว่างไคลเอนต์ทั่วไปและส่วนขยายเซิร์ฟเวอร์ไคลเอนต์สามารถปฏิเสธไฟล์จากเซิร์ฟเวอร์ได้
ด้วยเหตุนี้ทีม OpenSSH จึงจัดเตรียม scp ด้วยแฟล็ก "-T" ใหม่ ซึ่งปิดใช้งานการตรวจสอบฝั่งไคลเอ็นต์เพื่อแนะนำการโจมตีที่อธิบายไว้ข้างต้นอีกครั้ง
ที่ระดับ demond sshd: ทีม OpenSSH ได้ลบการสนับสนุนไวยากรณ์ "host / port" ที่เลิกใช้แล้ว
มีการเพิ่มโฮสต์ / พอร์ตที่คั่นด้วยเครื่องหมายทับในปี 2001 แทนไวยากรณ์ "host: port" สำหรับผู้ใช้ IPv6
วันนี้ไวยากรณ์ของสแลชสับสนได้ง่ายกับรูปแบบ CIDR ซึ่ง OpenSSH รองรับเช่นกัน
ความแปลกใหม่อื่น ๆ
ดังนั้นขอแนะนำให้ลบสัญกรณ์สแลชไปข้างหน้าออกจาก ListenAddress และ PermitOpen นอกเหนือจากการเปลี่ยนแปลงเหล่านี้ เรามีคุณสมบัติใหม่ที่เพิ่มเข้ามาใน OpenSSH 8.0 สิ่งเหล่านี้ ได้แก่ :
วิธีการทดลองของการแลกเปลี่ยนคีย์สำหรับคอมพิวเตอร์ควอนตัมที่ปรากฏในเวอร์ชันนี้.
จุดประสงค์ของฟังก์ชั่นนี้คือเพื่อแก้ปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นเมื่อกระจายคีย์ระหว่างฝ่ายต่างๆโดยได้รับภัยคุกคามจากความก้าวหน้าทางเทคโนโลยีเช่นการเพิ่มขึ้นของพลังการคำนวณของเครื่องจักรอัลกอริทึมใหม่สำหรับคอมพิวเตอร์ควอนตัม
ในการทำเช่นนี้วิธีนี้อาศัยโซลูชันการกระจายคีย์ควอนตัม (QKD สำหรับย่อ)
โซลูชันนี้ใช้คุณสมบัติทางควอนตัมเพื่อแลกเปลี่ยนข้อมูลลับเช่นคีย์การเข้ารหัส
โดยหลักการแล้วการวัดระบบควอนตัมจะเปลี่ยนแปลงระบบ นอกจากนี้หากแฮ็กเกอร์พยายามสกัดกั้นคีย์การเข้ารหัสที่ออกผ่านการใช้งาน QKD มันจะทิ้งลายนิ้วมือที่ตรวจจับได้ให้ OepnSSH อย่างหลีกเลี่ยงไม่ได้
นอกจากนี้ ขนาดเริ่มต้นของคีย์ RSA ซึ่งได้รับการอัปเดตเป็น 3072 บิต
จากข่าวอื่น ๆ ที่รายงานมีดังต่อไปนี้:
- การเพิ่มการรองรับคีย์ ECDSA ในโทเค็น PKCS
- การอนุญาตของ "PKCS11Provide = none" เพื่อแทนที่อินสแตนซ์ที่ตามมาของคำสั่ง PKCS11Provide ใน ssh_config
- ข้อความบันทึกจะถูกเพิ่มสำหรับสถานการณ์ที่การเชื่อมต่อขาดหลังจากพยายามรันคำสั่งในขณะที่ข้อ จำกัด sshd_config ForceCommand = internal-sftp มีผลบังคับใช้
สำหรับรายละเอียดเพิ่มเติมรายการเพิ่มเติมอื่น ๆ และการแก้ไขข้อบกพร่องมีอยู่ในหน้าอย่างเป็นทางการ
หากต้องการลองใช้เวอร์ชันใหม่นี้คุณสามารถไปได้ ไปที่ลิงค์ต่อไปนี้