Recientemente Inihayag lamang ng mga developer ng OpenSSH ang bersyon na 8.0 ng tool na ito para sa seguridad para sa malayuang koneksyon sa SSH protocol ito ay halos handa nang mai-publish.
Damian Miller, isa sa mga pangunahing tagabuo ng proyekto, na tinatawag lamang na komunidad ng gumagamit ng tool na ito para masubukan nila ito dahil, na may sapat na mga mata, ang lahat ng mga pagkakamali ay maaaring mahuli sa oras.
Ang mga taong nagpasya na gamitin ang bagong bersyon ay magagawa Hindi lamang nila matutulungan ka na subukan ang pagganap at makita ang mga bug nang hindi nabigo, makakahanap ka rin ng mga bagong pagpapahusay mula sa iba't ibang mga order.
Sa antas ng seguridad, halimbawa, ang mga hakbang sa pagpapagaan para sa mga kahinaan sa scp protocol ay ipinakilala sa bagong bersyon ng OpenSSH.
Sa pagsasagawa, ang pagkopya ng mga file na may scp ay magiging mas ligtas sa OpenSSH 8.0 sapagkat ang pagkopya ng mga file mula sa isang remote na direktoryo sa isang lokal na direktoryo ay magiging sanhi upang suriin ng scp kung ang mga file na ipinadala ng server ay tumutugma sa inisyu na kahilingan.
Kung ang mekanismong ito ay hindi ipinatupad, ang isang server ng pag-atake ay maaaring, sa teorya, maharang ang kahilingan sa pamamagitan ng paghahatid ng mga nakakahamak na file sa halip na ang mga orihinal na hiniling.
Gayunpaman, sa kabila ng mga hakbang na ito sa pagpapagaan, hindi inirerekumenda ng OpenSSH ang paggamit ng scp protocol, sapagkat ito ay "luma na, hindi nababago, at mahirap lutasin."
"Inirerekumenda namin ang paggamit ng mas modernong mga protokol tulad ng sftp at rsync para sa mga paglilipat ng file," pag-iingat ni Miller.
Ano ang ialok ng bagong bersyon ng OpenSSH na ito?
Sa pakete «Balita» ng bagong bersyon may kasamang isang bilang ng mga pagbabago na maaaring makaapekto sa mga umiiral na mga pagsasaayos.
Hal sa nabanggit na antas ng scp protocol, dahil ang protokol na ito ay batay sa isang remote shell, walang tiyak na paraan na ang mga file na inilipat mula sa client ay tumutugma sa isa mula sa server.
Kung may pagkakaiba sa pagitan ng generic client at ng extension ng server, maaaring tanggihan ng client ang mga file mula sa server.
Para sa kadahilanang ito, ang koponan ng OpenSSH ay nagbigay ng scp ng isang bagong "-T" flag na hindi pinagana ang mga tseke sa panig ng kliyente upang maipakilala muli ang atake na inilarawan sa itaas.
Sa antas ng demond sshd: inalis ng koponan ng OpenSSH ang suporta para sa hindi na ginagamit na "host / port" na syntax.
Ang isang slash-separated host / port ay naidagdag noong 2001 kapalit ng "host: port" na syntax para sa mga gumagamit ng IPv6.
Ngayon slash syntax ay madaling nalilito sa notasyon ng CIDR, na sinusuportahan din ng OpenSSH.
Iba pang mga novelty
Samakatuwid, ipinapayong alisin ang unahan ng slash notation mula sa ListenAddress at PermitOpen. Bilang karagdagan sa mga pagbabagong ito, mayroon kaming mga bagong tampok na idinagdag sa OpenSSH 8.0. Kabilang dito ang:
Isang pang-eksperimentong pamamaraan ng key exchange para sa mga computer na kabuuan na lumitaw sa bersyon na ito.
Ang layunin ng pagpapaandar na ito ay upang malutas ang mga problema sa seguridad na maaaring lumitaw kapag namamahagi ng mga susi sa pagitan ng mga partido, na binigyan ng mga banta sa mga teknolohikal na pagsulong, tulad ng pagtaas ng lakas ng computing ng mga machine, mga bagong algorithm para sa mga computer na kabuuan.
Upang magawa ito, ang pamamaraang ito ay umaasa sa solusyon sa kabuuan ng key key (QKD para sa maikli).
Ang solusyon na ito ay gumagamit ng mga katangian ng kabuuan upang makipagpalitan ng lihim na impormasyon, tulad ng isang cryptographic key.
Sa prinsipyo, ang pagsukat ng isang sistema ng kabuuan ay binabago ang system. Bukod dito, kung ang isang hacker ay susubukan na maharang ang isang cryptographic key na inisyu sa pamamagitan ng pagpapatupad ng QKD, hindi maiwasang iwan ang mga mahahanap na mga fingerprint para sa OepnSSH.
Bukod dito, ang default na laki ng RSA key na na-update sa 3072 bits.
Sa iba pang mga naiulat na balita ay ang mga sumusunod:
- Pagdaragdag ng suporta para sa mga ECDSA key sa mga token ng PKCS
- ang pahintulot ng "PKCS11Provide = wala" upang ma-override ang kasunod na mga pagkakataon ng direktiba ng PKCS11Provide sa ssh_config.
- Ang isang mensahe ng pag-log ay idinagdag para sa mga sitwasyon kung saan ang isang koneksyon ay nasira matapos na subukang magpatakbo ng isang utos habang ang isang sshd_config ForceCommand = panloob na-sftp hadlang ay may bisa.
Para sa higit pang mga detalye, isang buong listahan ng iba pang mga karagdagan at pag-aayos ng bug ay magagamit sa opisyal na pahina.
Upang subukan ang bagong bersyon na maaari kang pumunta sa sumusunod na link.