Keluaran OpenSSH 9.0, pelaksanaan terbuka klien dan pelayan untuk bekerja menggunakan protokol SSH 2.0 dan SFTP, telah dibentangkan. Dalam versi baharu, utiliti scp telah ditukar secara lalai untuk menggunakan SFTP dan bukannya protokol SCP/RCP yang lapuk.
SFTP menggunakan kaedah pengendalian nama yang lebih boleh diramal dan tidak menggunakan pemprosesan shell bagi corak glob dalam nama fail di sisi hos yang lain, yang menimbulkan masalah keselamatan. Khususnya, apabila menggunakan SCP dan RCP, pelayan memutuskan fail dan direktori mana yang hendak dihantar kepada klien, dan klien hanya menyemak ketepatan nama objek yang dikembalikan, yang, tanpa adanya pemeriksaan yang betul pada sisi klien, membenarkan pelayan untuk memindahkan nama fail lain yang berbeza daripada yang diminta.
ΠΡΠΎΡΠΎΠΊΠΎΠ» SFTP Π»ΠΈΡΡΠ½ ΡΠΊΠ°Π·Π°Π½Π½ΡΡ ΠΏΡΠΎΠ±Π»Π΅ΠΌ, Π½ΠΎ Π½Π΅ ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅Ρ ΡΠ°ΡΠΊΡΡΡΠΈΠ΅ ΡΠΏΠ΅ΡΠΏΡΡΠ΅ΠΉ, ΡΠ°ΠΊΠΈΡ ΠΊΠ°ΠΊ Β«~/Β». ΠΠ»Ρ ΡΡΡΡΠ°Π½Π΅Π½ΠΈΡ Π΄Π°Π½Π½ΠΎΠ³ΠΎ ΡΠ°Π·Π»ΠΈΡΠΈΡ Π½Π°ΡΠΈΠ½Π°Ρ Ρ OpenSSH 8.7 Π² ΡΠ΅Π°Π»ΠΈΠ·Π°ΡΠΈΠΈ SFTP-ΡΠ΅ΡΠ²Π΅ΡΠ° ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅ΡΡΡ ΡΠ°ΡΡΠΈΡΠ΅Π½ΠΈΠ΅ ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Π° Β«[e-mel dilindungi]" untuk mengembangkan laluan ~/ dan ~user/.
Apabila menggunakan SFTP, pengguna juga mungkin menghadapi ketidakserasian yang disebabkan oleh keperluan untuk mengelak dua kali aksara pengembangan laluan khas dalam permintaan SCP dan RCP untuk menghalang tafsirannya oleh bahagian jauh. Dalam SFTP, pelarian sedemikian tidak diperlukan dan petikan tambahan boleh membawa kepada ralat pemindahan data. Pada masa yang sama, pembangun OpenSSH enggan menambah sambungan untuk meniru tingkah laku scp dalam kes ini, jadi pelarian berganda dianggap sebagai kecacatan yang tidak masuk akal untuk diulang.
Perubahan lain dalam keluaran baharu:
- Ssh dan sshd mempunyai algoritma pertukaran kunci hibrid didayakan secara lalai "[e-mel dilindungi]"(ECDH/x25519 + NTRU Prime), tahan terhadap pemilihan pada komputer kuantum dan digabungkan dengan ECDH/x25519 untuk menyekat kemungkinan masalah dalam NTRU Prime yang mungkin timbul pada masa hadapan. Dalam senarai KexAlgorithm, yang menentukan susunan kaedah pertukaran utama dipilih, algoritma yang disebutkan kini diletakkan di tempat pertama dan mempunyai keutamaan yang lebih tinggi daripada algoritma ECDH dan DH.
Komputer kuantum masih belum mencapai tahap memecahkan kunci tradisional, tetapi menggunakan keselamatan hibrid akan melindungi pengguna daripada serangan yang melibatkan penyimpanan sesi SSH yang dipintas dengan harapan ia boleh dinyahsulit pada masa hadapan apabila komputer kuantum yang diperlukan tersedia.
- Sambungan "salinan-data" telah ditambahkan pada pelayan-sftp, yang membolehkan anda menyalin data pada bahagian pelayan, tanpa mengalihkannya kepada klien, jika fail sumber dan sasaran berada pada pelayan yang sama.
- Perintah "cp" telah ditambahkan pada utiliti sftp untuk memulakan klien menyalin fail pada bahagian pelayan.
Sumber: opennet.ru