Utgivelsen av OpenSSH 9.0, en åpen implementering av en klient og server for å bruke SSH 2.0- og SFTP-protokollene, har blitt presentert. I den nye versjonen har scp-verktøyet blitt byttet som standard til å bruke SFTP i stedet for den utdaterte SCP/RCP-protokollen.
SFTP bruker mer forutsigbare navnehåndteringsmetoder og bruker ikke skallbehandling av glob-mønstre i filnavn på den andre vertens side, noe som skaper sikkerhetsproblemer. Spesielt når du bruker SCP og RCP, bestemmer serveren hvilke filer og kataloger som skal sendes til klienten, og klienten kontrollerer bare riktigheten av de returnerte objektnavnene, som, i mangel av riktige kontroller på klientsiden, tillater server for å overføre andre filnavn som avviker fra de forespurte.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[e-postbeskyttet]" for å utvide ~/- og ~user/-banene.
Når du bruker SFTP, kan brukere også støte på inkompatibiliteter forårsaket av behovet for å doble spesielle baneutvidelsestegn i SCP- og RCP-forespørsler for å forhindre tolkning av dem fra den eksterne siden. I SFTP er slik escape ikke nødvendig, og ekstra anførselstegn kan føre til en dataoverføringsfeil. Samtidig nektet OpenSSH-utviklerne å legge til en utvidelse for å gjenskape oppførselen til scp i dette tilfellet, så dobbel escape betraktes som en feil som ikke er fornuftig å gjenta.
Andre endringer i den nye utgivelsen:
- Ssh og sshd har en hybrid nøkkelutvekslingsalgoritme aktivert som standard "[e-postbeskyttet]"(ECDH/x25519 + NTRU Prime), motstandsdyktig mot plukking på kvantedatamaskiner og kombinert med ECDH/x25519 for å blokkere mulige problemer i NTRU Prime som kan oppstå i fremtiden. I listen over KexAlgorithms, som bestemmer rekkefølgen nøkkelutvekslingsmetodene velges i, er den nevnte algoritmen nå plassert først og har høyere prioritet enn ECDH- og DH-algoritmene.
Kvantedatamaskiner har ennå ikke nådd nivået for å knekke tradisjonelle nøkler, men bruk av hybridsikkerhet vil beskytte brukere mot angrep knyttet til lagring av avlyttede SSH-økter i håp om at de kan dekrypteres i fremtiden, når de nødvendige kvantedatamaskinene blir tilgjengelige.
- Utvidelsen "copy-data" er lagt til sftp-server, som lar deg kopiere data på serversiden, uten å overføre dem til klienten, hvis kilde- og målfilene er på samme server.
- Kommandoen "cp" er lagt til sftp-verktøyet for å starte klienten til å kopiere filer på serversiden.
Kilde: opennet.ru