Die Veröffentlichung von OpenSSH 9.0 mit der Übertragung von scp auf das SFTP-Protokoll ist erfolgt.

Die OpenSSH 9.0-Version wurde veröffentlicht, eine offene Implementierung von Client und Server für die Protokolle SSH 2.0 und SFTP. In der neuen Version wurde das Dienstprogramm scp standardmäßig auf SFTP umgestellt, anstelle des veralteten SCP/RCP-Protokolls.

SFTP verwendet vorhersehbarere Methoden zur Verarbeitung von Namen und vermeidet die Verwendung von glob-Mustern in Dateinamen über die Shell auf dem anderen Host, was Sicherheitsprobleme verursacht. Insbesondere beim Einsatz von SCP und RCP entscheidet der Server, welche Dateien und Verzeichnisse an den Client gesendet werden, während der Client nur die Richtigkeit der zurückgegebenen Objektnamen überprüft. Fehlen angemessene Überprüfungen auf der Client-Seite, kann dies dazu führen, Server dass andere Dateinamen, die von den angeforderten abweichen, übertragen werden.

Das SFTP-Protokoll hat diese Probleme nicht, unterstützt jedoch keine Auflösung von speziellen Pfaden wie „~/“. Um diesen Unterschied zu beheben, wird seit OpenSSH 8.7 in der SFTP-Server-Implementierung die Protokollerweiterung „expand-path@openssh.com“ zur Auflösung der Pfade ~/ und ~user/ unterstützt.

Bei der Nutzung von SFTP können Benutzer auf Komplikationen stoßen, die durch die Notwendigkeit eines doppelten Escapings von Sonderzeichen in den SCP- und RCP-Anfragen verursacht werden, um deren Interpretation auf der Remote-Seite zu vermeiden. Bei SFTP ist ein solches Escaping nicht erforderlich, und überflüssige Anführungszeichen können zu Übertragungsfehlern führen. Die Entwickler von OpenSSH haben entschieden, keine Erweiterung hinzuzufügen, um das Verhalten von SCP in diesem Fall zu wiederholen, da das doppelte Escaping als Mangel betrachtet wird, den es nicht wert ist, zu reproduzieren.

Weitere Änderungen in der neuen Version:

  • In SSH und SSHD ist standardmäßig der hybride Schlüsselaustauschalgorithmus „sntrup761x25519-sha512@openssh.com“ (ECDH/x25519 + NTRU Prime) aktiviert, der resistent gegen Angriffe von Quantencomputern ist und mit ECDH/x25519 kombiniert wird, um mögliche zukünftige Probleme mit NTRU Prime zu umgehen. Im KexAlgorithms-Verzeichnis, das die Auswahlreihenfolge der Schlüsselaustauschmethoden definiert, hat der genannte Algorithmus nun die erste Position und ist vorrangiger als die Algorithmen ECDH und DH.

    Quantencomputer haben noch nicht das Niveau erreicht, um traditionelle Schlüssel zu knacken, aber der Einsatz hybrider Schutzmechanismen wird Benutzer vor Angriffen schützen, die auf der Speicherung abgefangener SSH-Sitzungen basieren, in der Annahme, dass diese in Zukunft entschlüsselt werden können, wenn die erforderlichen Quantencomputer verfügbar sind.

  • Der sftp-server hat die Erweiterung „copy-data“ erhalten, die es ermöglicht, Daten auf der Serverseite zu kopieren, ohne sie transitiv an den Client zu senden, sofern die Quelldatei und die Zieldatei auf demselben Server liegen. Server.
  • Das sftp-Tool hat den Befehl „cp“ erhalten, um das Kopieren von Dateien auf der Serverseite vom Client aus zu initiieren.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster