Die Veröffentlichung von OpenSSH 9.0, einer offenen Implementierung eines Clients und Servers für die Arbeit mit den Protokollen SSH 2.0 und SFTP, wurde vorgestellt. In der neuen Version wurde das scp-Dienstprogramm standardmäßig auf die Verwendung von SFTP anstelle des veralteten SCP/RCP-Protokolls umgestellt.
SFTP verwendet vorhersehbarere Methoden zur Namensverarbeitung und verzichtet auf die Mustererkennung in Dateinamen über die Shell des anderen Hosts, was Sicherheitslücken verursachen kann. Bei SCP und RCP hingegen entscheidet der Server, welche Dateien und Verzeichnisse an den Client gesendet werden, und der Client prüft lediglich die zurückgegebenen Objektnamen auf Korrektheit. Dies ermöglicht – mangels geeigneter Prüfungen auf Clientseite – … Server Übergeben Sie andere Dateinamen als die angeforderten.
Das SFTP-Protokoll kennt diese Probleme nicht, unterstützt jedoch keine Erweiterung spezieller Pfade wie „~/“. Um diesen Unterschied zu beheben, unterstützt die SFTP-Serverimplementierung seit OpenSSH 8.7 die Protokollerweiterung „expand-path@openssh.com“, um die Pfade ~/ und ~user/ zu erweitern.
Bei der Verwendung von SFTP können Benutzer auch auf Inkompatibilitäten stoßen, die durch die Notwendigkeit verursacht werden, spezielle Pfaderweiterungszeichen in SCP- und RCP-Anfragen doppelt zu maskieren, um deren Interpretation durch die Gegenseite zu verhindern. Bei SFTP ist ein solches Escapen nicht erforderlich und zusätzliche Anführungszeichen können zu einem Datenübertragungsfehler führen. Gleichzeitig weigerten sich die OpenSSH-Entwickler, in diesem Fall eine Erweiterung hinzuzufügen, um das Verhalten von scp zu reproduzieren, sodass doppeltes Escapen als Fehler angesehen wird, dessen Wiederholung keinen Sinn macht.
Weitere Änderungen in der neuen Version:
- Standardmäßig aktivieren ssh und sshd den hybriden Schlüsselaustauschalgorithmus „sntrup761x25519-sha512@openssh.com“ (ECDH/x25519 + NTRU Prime). Dieser ist resistent gegen Brute-Force-Angriffe auf Quantencomputer und blockiert in Kombination mit ECDH/x25519 mögliche zukünftige Probleme in NTRU Prime. In der KexAlgorithms-Liste, die die Reihenfolge der Schlüsselaustauschmethoden bestimmt, steht dieser Algorithmus nun an erster Stelle und hat eine höhere Priorität als ECDH und DH.
Quantencomputer haben noch nicht das Niveau des Knackens herkömmlicher Schlüssel erreicht, aber der Einsatz hybrider Sicherheit schützt Benutzer vor Angriffen, bei denen abgefangene SSH-Sitzungen gespeichert werden, in der Hoffnung, dass sie in Zukunft entschlüsselt werden können, wenn die erforderlichen Quantencomputer verfügbar sind.
- Der SFTP-Server verfügt über eine „Copy-Data“-Erweiterung, die es ermöglicht, Daten serverseitig zu kopieren, ohne sie während der Übertragung an den Client zu senden, sofern sich Quell- und Zieldateien auf demselben Server befinden. Server.
- Der Befehl „cp“ wurde zum SFTP-Dienstprogramm hinzugefügt, um den Client zum Kopieren von Dateien auf der Serverseite zu veranlassen.
Source: opennet.ru
