recientemente OpenSSH开发人员刚刚宣布该版本8.0 用于通过SSH协议进行远程连接的安全工具的说明 它几乎可以发布了。
达米安·米勒(Damien Miller), 该项目的主要开发人员之一,被称为用户社区 这个工具的 所以他们可以尝试 因为用足够多的眼睛可以及时发现所有错误。
决定使用此新版本的人将能够 它们不仅可以帮助您测试性能和检测错误,而且还可以使您从各种订单中发现新的增强功能。
在安全级别上, 例如,在此新版本的OpenSSH中引入了针对scp协议弱点的缓解措施。
实际上,在OpenSSH 8.0中使用scp复制文件将更加安全,因为将文件从远程目录复制到本地目录将使scp检查服务器发送的文件是否与发出的请求匹配。
如果未实现此机制,则理论上,攻击服务器可以通过传递恶意文件(而不是最初请求的文件)来拦截请求。
但是,尽管采取了这些缓解措施,但OpenSSH不建议使用scp协议,因为它“已过时,不灵活且难以解决”。
Miller提醒说:“我们建议使用sftp和rsync等更现代的协议进行文件传输。”
这个新版本的OpenSSH将提供什么?
在此新版本的“新闻”包中 包括许多可能影响现有配置的更改。
例如: 在前面提到的scp协议级别,因为此协议基于远程外壳, 无法确定从客户端传输的文件与从服务器传输的文件匹配的方式。
如果通用客户端和服务器扩展名之间存在差异,则客户端可以拒绝来自服务器的文件。
因此,OpenSSH团队为scp提供了新的“ -T”标志 禁用客户端检查以重新引入上述攻击。
在demond sshd级别:OpenSSH团队删除了对不赞成使用的“主机/端口”语法的支持。
在2001年,以斜杠分隔的主机/端口代替了IPv6用户的“主机:端口”语法。
如今,斜杠语法很容易与CIDR表示法混淆,CIDR表示法也与OpenSSH兼容。
其他新颖性
因此,建议从ListenAddress和PermitOpen中删除正斜杠符号。 除了这些更改之外, 我们在OpenSSH 8.0中添加了新功能。 这些包括:
此版本中出现的一种量子计算机密钥交换的实验方法.
鉴于对技术进步的威胁,例如机器计算能力的提高,用于量子计算机的新算法,这种功能的目的是解决在各方之间分配密钥时可能出现的安全性问题。
为此,此方法依赖于量子密钥分发解决方案(英文为QKD缩写)。
此解决方案使用量子属性来交换机密信息,例如加密密钥。
原则上,测量量子系统会改变系统。 此外,如果黑客试图拦截通过QKD实现发出的加密密钥,则将不可避免地为OepnSSH留下可检测的指纹。
此外, RSA密钥的默认大小,已更新为3072位。
报告的其他新闻如下:
- 在PKCS令牌中添加对ECDSA密钥的支持
- “ PKCS11Provide = none”的权限可以覆盖ssh_config中PKCS11Provide指令的后续实例。
- 当sshd_config ForceCommand = internal-sftp约束生效时,尝试运行命令后连接断开的情况将添加一条日志消息。
有关更多详细信息,可在官方页面上找到其他新增功能和错误修复的完整列表。
要尝试这个新版本,您可以 到以下链接。