Rilascio di OpenSSH 9.0 con traduzione di scp al protocollo SFTP

È stato rilasciato OpenSSH 9.0, l'implementazione open source del client e del server per l'utilizzo con i protocolli SSH 2.0 e SFTP. Nella nuova versione, il comando scp è stato impostato per default sull'uso di SFTP invece del protocollo obsoleto SCP/RCP.

SFTP utilizza metodi di gestione dei nomi più prevedibili e non fa uso di globbing nei nomi dei file tramite shell su un altro host, evitando problemi di sicurezza. In particolare, quando si utilizza SCP e RCP, il server decide quali file e directory inviare al client, mentre il client verifica solo la correttezza dei nomi degli oggetti restituiti, il che, in assenza di adeguati controlli sul lato client, permette server di inviare nomi di file diversi da quelli richiesti.

Il protocollo SFTP non presenta questi problemi, ma non supporta l'espansione dei percorsi speciali come «~/». Per eliminare questa differenza, a partire da OpenSSH 8.7, l'implementazione del server SFTP supporta l'estensione del protocollo «expand-path@openssh.com» per l'espansione dei percorsi ~/ e ~user/.

Con l'uso di SFTP, gli utenti possono anche affrontare problemi di incompatibilità a causa della necessità di una doppia escape dei caratteri speciali quando si rivelano i percorsi nelle richieste SCP e RCP, per prevenire la loro interpretazione sul lato remoto. Con SFTP non è necessaria questa escape e virgolette aggiuntive possono causare errori nel trasferimento dei dati. Inoltre, gli sviluppatori di OpenSSH hanno rinunciato ad aggiungere un'estensione per replicare il comportamento di scp in questo caso, poiché la doppia escape è considerata un difetto che non ha senso ripetere.

Altre modifiche nella nuova versione:

  • In ssh e sshd, è abilitato di default l'algoritmo ibrido di scambio chiavi "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime), resistente alla forza bruta con computer quantistici e combinato con ECDH/x25519 per bloccare potenziali problemi in NTRU Prime che potrebbero emergere in futuro. Nell'elenco KexAlgorithms, che definisce l'ordine di selezione dei metodi di scambio chiave, l'algoritmo sopra menzionato è ora posizionato al primo posto ed è più prioritario rispetto agli algoritmi ECDH e DH.

    I computer quantistici non hanno ancora raggiunto un livello tale da poter violare le chiavi tradizionali, ma l'adozione di una protezione ibrida può proteggere gli utenti da attacchi che sfruttano sessioni SSH intercettate, in previsione che possano essere decifrate in futuro quando saranno disponibili i computer quantistici necessari.

  • Nel sftp-server è stata aggiunta l'estensione "copy-data", che consente di copiare i dati sul lato server senza inviarli transitivamente al client, se il file sorgente e quello di destinazione si trovano sulla stessa macchina. server.
  • Nell'utilità sftp è stato aggiunto il comando "cp" per avviare il copia file sul lato server da parte del client.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster