Recientemente Các nhà phát triển OpenSSH vừa thông báo rằng phiên bản 8.0 của công cụ bảo mật này để kết nối từ xa với giao thức SSH nó gần như đã sẵn sàng để được xuất bản.
Damian Miller, một trong những nhà phát triển chính của dự án, được gọi là cộng đồng người dùng của công cụ này vì vậy họ có thể thử nó Vì, với đủ con mắt, tất cả các sai sót có thể được phát hiện kịp thời.
Những người quyết định sử dụng phiên bản mới này sẽ có thể Chúng không chỉ giúp bạn kiểm tra hiệu suất và phát hiện lỗi mà không thất bại, bạn còn có thể khám phá các cải tiến mới từ các đơn đặt hàng khác nhau.
Ở cấp độ bảo mật, ví dụ, các biện pháp giảm thiểu các điểm yếu của giao thức scp đã được giới thiệu trong phiên bản OpenSSH mới này.
Trên thực tế, việc sao chép tệp bằng scp sẽ an toàn hơn trong OpenSSH 8.0 vì sao chép tệp từ thư mục từ xa vào thư mục cục bộ sẽ khiến scp kiểm tra xem tệp do máy chủ gửi có khớp với yêu cầu đã ban hành hay không.
Nếu cơ chế này không được triển khai, về lý thuyết, máy chủ tấn công có thể chặn yêu cầu bằng cách gửi các tệp độc hại thay vì các tệp được yêu cầu ban đầu.
Tuy nhiên, bất chấp những biện pháp giảm thiểu này, OpenSSH không khuyến nghị sử dụng giao thức scp, vì nó "lỗi thời, không linh hoạt và khó giải quyết."
Miller cảnh báo: “Chúng tôi khuyên bạn nên sử dụng các giao thức hiện đại hơn như sftp và rsync để truyền tệp.
Phiên bản OpenSSH mới này sẽ cung cấp những gì?
Trong gói «Tin tức» của phiên bản mới này bao gồm một số thay đổi có thể ảnh hưởng đến các cấu hình hiện có.
Ví dụ: ở cấp độ nói trên của giao thức scp, vì giao thức này dựa trên một trình bao từ xa, không có cách nào chắc chắn rằng các tệp được chuyển từ máy khách khớp với tệp từ máy chủ.
Nếu có sự khác biệt giữa máy khách chung và phần mở rộng máy chủ, máy khách có thể từ chối các tệp từ máy chủ.
Vì lý do này, nhóm OpenSSH đã cung cấp cho scp một cờ "-T" mới vô hiệu hóa kiểm tra phía máy khách để giới thiệu lại cuộc tấn công được mô tả ở trên.
Ở cấp sshd demond: nhóm OpenSSH đã xóa hỗ trợ cho cú pháp "máy chủ / cổng" không dùng nữa.
Một máy chủ / cổng được phân tách bằng dấu gạch chéo đã được thêm vào năm 2001 thay cho cú pháp "máy chủ: cổng" cho người dùng IPv6.
Ngày nay, cú pháp gạch chéo dễ bị nhầm lẫn với ký hiệu CIDR, cũng tương thích với OpenSSH.
Những điểm mới lạ khác
Do đó, bạn nên xóa ký hiệu gạch chéo từ ListenAddress và PermitOpen. Ngoài những thay đổi này, chúng tôi có các tính năng mới được thêm vào OpenSSH 8.0. Bao gồm các:
Một phương pháp thử nghiệm trao đổi khóa cho máy tính lượng tử đã xuất hiện trong phiên bản này.
Mục đích của chức năng này là giải quyết các vấn đề bảo mật có thể phát sinh khi phân phối khóa giữa các bên, trước các mối đe dọa đối với tiến bộ công nghệ, chẳng hạn như sự gia tăng khả năng tính toán của máy móc, các thuật toán mới cho máy tính lượng tử.
Để làm được điều này, phương pháp này dựa vào giải pháp phân phối khóa lượng tử (viết tắt là QKD trong tiếng Anh).
Giải pháp này sử dụng các thuộc tính lượng tử để trao đổi thông tin bí mật, chẳng hạn như khóa mật mã.
Về nguyên tắc, việc đo một hệ thống lượng tử làm thay đổi hệ thống. Ngoài ra, nếu một tin tặc cố gắng đánh chặn một khóa mật mã được cấp thông qua triển khai QKD, thì chắc chắn nó sẽ để lại dấu vân tay có thể phát hiện được cho OepnSSH.
Hơn nữa, kích thước mặc định của khóa RSA đã được cập nhật lên 3072 bit.
Trong số các tin tức khác được báo cáo như sau:
- Thêm hỗ trợ cho khóa ECDSA trong mã thông báo PKCS
- quyền của "PKCS11Provide = none" để ghi đè các phiên bản tiếp theo của chỉ thị PKCS11Provide trong ssh_config.
- Thông báo nhật ký được thêm vào cho các trường hợp kết nối bị hỏng sau khi cố gắng chạy một lệnh trong khi ràng buộc sshd_config ForceCommand = internal-sftp đang có hiệu lực.
Để biết thêm chi tiết, danh sách đầy đủ các bổ sung và sửa lỗi khác có sẵn trên trang chính thức.
Để thử phiên bản mới này, bạn có thể vào đến liên kết sau.