โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > การเปิดตัว OpenSSH 9.0 พร้อมการถ่ายโอน scp ไปยังโปรโตคอล SFTP

การเปิดตัว OpenSSH 9.0 พร้อมการถ่ายโอน scp ไปยังโปรโตคอล SFTP

มีการนำเสนอ OpenSSH 9.0 ซึ่งเป็นการใช้งานแบบเปิดของไคลเอนต์และเซิร์ฟเวอร์สำหรับการทำงานโดยใช้โปรโตคอล SSH 2.0 และ SFTP ในเวอร์ชันใหม่ ยูทิลิตี้ scp ได้ถูกเปลี่ยนตามค่าเริ่มต้นให้ใช้ SFTP แทนโปรโตคอล SCP/RCP ที่ล้าสมัย

SFTP ใช้วิธีการจัดการชื่อที่คาดเดาได้มากขึ้น และไม่ใช้การประมวลผลเชลล์ของรูปแบบ glob ในชื่อไฟล์ในฝั่งของโฮสต์อื่น ซึ่งทำให้เกิดปัญหาด้านความปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อใช้ SCP และ RCP เซิร์ฟเวอร์จะตัดสินใจว่าไฟล์และไดเร็กทอรีใดที่จะส่งไปยังไคลเอ็นต์ และไคลเอ็นต์จะตรวจสอบความถูกต้องของชื่ออ็อบเจ็กต์ที่ส่งคืนเท่านั้น ซึ่งหากไม่มีการตรวจสอบที่เหมาะสมในฝั่งไคลเอ็นต์ จะช่วยให้ เซิร์ฟเวอร์เพื่อถ่ายโอนชื่อไฟล์อื่นที่แตกต่างจากที่ร้องขอ

Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[ป้องกันอีเมล]" เพื่อขยายเส้นทาง ~/ และ ~user/

เมื่อใช้ SFTP ผู้ใช้อาจพบความไม่เข้ากันที่เกิดจากความจำเป็นในการหลีกเลี่ยงอักขระขยายเส้นทางพิเศษสองครั้งในคำขอ SCP และ RCP เพื่อป้องกันการตีความจากระยะไกล ใน SFTP ไม่จำเป็นต้องมีการ Escape ดังกล่าว และเครื่องหมายคำพูดเพิ่มเติมอาจทำให้เกิดข้อผิดพลาดในการถ่ายโอนข้อมูลได้ ในเวลาเดียวกัน นักพัฒนา OpenSSH ปฏิเสธที่จะเพิ่มส่วนขยายเพื่อจำลองพฤติกรรมของ scp ในกรณีนี้ ดังนั้นการ Escape สองครั้งจึงถือเป็นข้อบกพร่องที่ไม่สมเหตุสมผลที่จะทำซ้ำ

การเปลี่ยนแปลงอื่น ๆ ในรุ่นใหม่:

  • Ssh และ sshd มีอัลกอริธึมการแลกเปลี่ยนคีย์ไฮบริดที่เปิดใช้งานตามค่าเริ่มต้น "[ป้องกันอีเมล]"(ECDH/x25519 + NTRU Prime) ทนทานต่อการเลือกบนคอมพิวเตอร์ควอนตัม และรวมกับ ECDH/x25519 เพื่อป้องกันปัญหาที่อาจเกิดขึ้นใน NTRU Prime ที่อาจเกิดขึ้นในอนาคต ในรายการ KexAlgorithms ซึ่งกำหนดลำดับการเลือกวิธีการแลกเปลี่ยนคีย์ อัลกอริธึมดังกล่าวจะถูกวางไว้อันดับแรกและมีลำดับความสำคัญสูงกว่าอัลกอริธึม ECDH และ DH

    คอมพิวเตอร์ควอนตัมยังไม่ถึงระดับของการแคร็กคีย์แบบดั้งเดิม แต่การใช้การรักษาความปลอดภัยแบบไฮบริดจะปกป้องผู้ใช้จากการโจมตีที่เกี่ยวข้องกับการจัดเก็บเซสชัน SSH ที่ถูกดักฟัง ด้วยความหวังว่าจะสามารถถอดรหัสได้ในอนาคตเมื่อมีคอมพิวเตอร์ควอนตัมที่จำเป็นพร้อมใช้งาน

  • มีการเพิ่มส่วนขยาย "คัดลอกข้อมูล" ลงใน sftp-server ซึ่งช่วยให้คุณสามารถคัดลอกข้อมูลบนฝั่งเซิร์ฟเวอร์ โดยไม่ต้องส่งต่อไปยังไคลเอนต์ หากไฟล์ต้นฉบับและเป้าหมายอยู่บนเซิร์ฟเวอร์เดียวกัน
  • เพิ่มคำสั่ง "cp" ลงในยูทิลิตี้ sftp เพื่อเริ่มต้นไคลเอนต์ให้คัดลอกไฟล์ทางฝั่งเซิร์ฟเวอร์

ที่มา: opennet.ru

เพิ่มความคิดเห็น