Нещодавно Розробники OpenSSH щойно оголосили, що версія 8.0 цього засобу захисту для віддаленого з'єднання з протоколом SSH він майже готовий до публікації.
Демієн Міллер, один з основних розробників проекту, щойно названий спільнотою користувачів цього інструменту щоб вони могли спробувати оскільки, маючи достатньо очей, усі помилки можна вловити вчасно.
Люди, які вирішать використовувати цю нову версію, зможуть Вони не тільки допоможуть вам перевірити продуктивність та виявити помилки без збоїв, але ви також зможете виявити нові вдосконалення з різних замовлень.
На рівні безпеки, наприклад, у цій новій версії OpenSSH були введені заходи щодо пом'якшення недоліків протоколу scp.
На практиці копіювання файлів за допомогою scp буде більш безпечним в OpenSSH 8.0, оскільки копіювання файлів з віддаленого каталогу в локальний каталог призведе до того, що scp перевірить, чи відповідають файли, надіслані сервером, виданому запиту.
Якби цей механізм не був реалізований, сервер атаки теоретично міг би перехопити запит, передавши шкідливі файли замість тих, які спочатку запитували.
Однак, незважаючи на ці заходи пом'якшення, OpenSSH не рекомендує використовувати протокол scp, оскільки він "застарілий, негнучкий і важко вирішуваний".
"Ми рекомендуємо використовувати для передачі файлів більш сучасні протоколи, такі як sftp та rsync", - застерігає Міллер.
Що запропонує ця нова версія OpenSSH?
У пакеті «Новини» цієї нової версії включає ряд змін, які можуть вплинути на існуючі конфігурації.
Наприклад, на згаданому рівні протоколу scp, оскільки цей протокол базується на віддаленій оболонці, немає впевненого, що файли, передані з клієнта, відповідають файлам із сервера.
Якщо є різниця між загальним клієнтом та розширенням сервера, клієнт може відхилити файли з сервера.
З цієї причини команда OpenSSH надала scp новий прапор "-T" який відключає перевірки на стороні клієнта для відновлення описаної вище атаки.
На рівні demond sshd: команда OpenSSH видалила підтримку застарілого синтаксису "хост / порт".
Хост / порт, розділений косою рискою, був доданий в 2001 році замість синтаксису "хост: порт" для користувачів IPv6.
Сьогодні синтаксис косої риски легко сплутати з позначенням CIDR, який також сумісний з OpenSSH.
Інші новинки
Тому доцільно видалити позначення косої риски вперед із ListenAddress та PermitOpen. На додаток до цих змін, ми додали нові функції до OpenSSH 8.0. До них належать:
Експериментальний метод обміну ключами для квантових комп’ютерів, який з’явився у цій версії.
Призначення цієї функції полягає у вирішенні проблем безпеки, які можуть виникнути при розподілі ключів між сторонами, враховуючи загрози технологічному прогресу, такі як збільшення обчислювальної потужності машин, нові алгоритми для квантових комп'ютерів.
Для цього цей метод спирається на рішення розподілу квантових ключів (скорочено QKD англійською мовою).
Це рішення використовує квантові властивості для обміну секретною інформацією, такою як криптографічний ключ.
В принципі, вимірювання квантової системи змінює систему. Крім того, якщо хакер спробує перехопити криптографічний ключ, виданий через реалізацію QKD, це неминуче залишить відслідки пальців для OepnSSH.
Крім того, типовий розмір ключа RSA, який оновлено до 3072 біт.
З інших повідомлених новин є такі:
- Додавання підтримки ключів ECDSA в токенах PKCS
- дозвіл "PKCS11Provide = none", щоб замінити наступні екземпляри директиви PKCS11Provide в ssh_config.
- Повідомлення журналу додається для ситуацій, коли з'єднання розірвано після спроби запустити команду, поки діє обмеження sshd_config ForceCommand = internal-sftp.
Детальніше, повний перелік інших доповнень та виправлень помилок доступний на офіційній сторінці.
Щоб спробувати цю нову версію, ви можете піти за наступним посиланням.