Udgivelsen af OpenSSH 9.0, en åben implementering af en klient og server til at arbejde med SSH 2.0- og SFTP-protokollerne, er blevet præsenteret. I den nye version er scp-værktøjet blevet skiftet som standard til at bruge SFTP i stedet for den forældede SCP/RCP-protokol.
SFTP bruger mere forudsigelige navnehåndteringsmetoder og er ikke afhængig af glob-mønstermatchning i filnavne via shell'en på den anden vært, hvilket kan skabe sikkerhedsproblemer. Specifikt, når SCP og RCP bruges, bestemmer serveren, hvilke filer og mapper der skal sendes til klienten, og klienten kontrollerer kun de returnerede objektnavne for korrekthed. Dette, i mangel af korrekt kontrol på klientsiden, giver mulighed for server give andre filnavne end dem, der anmodes om.
SFTP-protokollen er fri for disse problemer, men understøtter ikke udvidelse af specielle stier såsom "~/". For at eliminere denne forskel understøtter SFTP-serverimplementeringen siden OpenSSH 8.7 protokoludvidelsen "expand-path@openssh.com" for at udvide stierne ~/ og ~user/.
Når du bruger SFTP, kan brugere også støde på inkompatibiliteter forårsaget af behovet for at dobbelt-escape specielle stiudvidelsestegn i SCP- og RCP-anmodninger for at forhindre deres fortolkning af den eksterne side. I SFTP er sådan escape ikke påkrævet, og ekstra tilbud kan føre til en dataoverførselsfejl. Samtidig nægtede OpenSSH-udviklerne at tilføje en udvidelse for at replikere scp-opførselen i dette tilfælde, så dobbelt escape betragtes som en fejl, der ikke giver mening at gentage.
Andre ændringer i den nye udgivelse:
- Som standard aktiverer ssh og sshd hybridnøgleudvekslingsalgoritmen "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime), som er modstandsdygtig over for brute-force-angreb på kvantecomputere og kombineret med ECDH/x25519 blokerer mulige problemer i NTRU Prime, der måtte opstå i fremtiden. I KexAlgorithms-listen, som bestemmer rækkefølgen af valg af nøgleudvekslingsmetoder, er denne algoritme nu angivet først og har en højere prioritet end ECDH og DH.
Kvantecomputere har endnu ikke nået niveauet for at knække traditionelle nøgler, men brug af hybrid sikkerhed vil beskytte brugere mod angreb, der involverer lagring af opsnappede SSH-sessioner i håb om, at de kan dekrypteres i fremtiden, når de nødvendige kvantecomputere bliver tilgængelige.
- SFTP-serveren har en "copy-data"-udvidelse, der giver dig mulighed for at kopiere data på serversiden uden at sende dem til klienten undervejs, hvis kilde- og målfilerne er på den samme server.
- Kommandoen "cp" er blevet tilføjet til sftp-værktøjet for at starte klienten til at kopiere filer på serversiden.
Kilde: opennet.ru
