SSH 9.0 ve SFTP protokollerini kullanarak çalışmak için bir istemci ve sunucunun açık uygulaması olan OpenSSH 2.0'ın piyasaya sürülmesi sunuldu. Yeni sürümde, scp yardımcı programı varsayılan olarak eski SCP/RCP protokolü yerine SFTP'yi kullanacak şekilde değiştirildi.
SFTP daha öngörülebilir ad işleme yöntemleri kullanır ve diğer ana bilgisayar tarafındaki dosya adlarındaki glob desenlerinin kabuk işlemesini kullanmaz; bu da güvenlik sorunları yaratır. Özellikle, SCP ve RCP kullanıldığında, sunucu istemciye hangi dosya ve dizinlerin gönderileceğine karar verir ve istemci yalnızca döndürülen nesne adlarının doğruluğunu kontrol eder; bu, istemci tarafında uygun kontrollerin olmaması durumunda, istemciye izin verir. İstenilenlerden farklı diğer dosya adlarını aktarmak için sunucuya.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[e-posta korumalı]~/ ve ~user/ yollarını genişletmek için ".
Kullanıcılar, SFTP kullanırken, SCP ve RCP isteklerindeki özel yol genişletme karakterlerinin uzak taraf tarafından yorumlanmasını önlemek için çift çıkış yapma ihtiyacından kaynaklanan uyumsuzluklarla da karşılaşabilirler. SFTP'de bu tür bir kaçış gerekli değildir ve fazladan tırnak işaretleri veri aktarım hatasına yol açabilir. Aynı zamanda, OpenSSH geliştiricileri bu durumda scp'nin davranışını kopyalayacak bir uzantı eklemeyi reddettiler, bu nedenle çift kaçış, tekrarlanması mantıklı olmayan bir kusur olarak kabul ediliyor.
Yeni sürümdeki diğer değişiklikler:
- Ssh ve sshd'de varsayılan olarak etkinleştirilmiş bir hibrit anahtar değişim algoritması vardır "[e-posta korumalı]"(ECDH/x25519 + NTRU Prime), kuantum bilgisayarlarda seçmeye karşı dayanıklıdır ve NTRU Prime'da gelecekte ortaya çıkabilecek olası sorunları engellemek için ECDH/x25519 ile birleştirilmiştir. Anahtar değişim yöntemlerinin seçilme sırasını belirleyen KexAlgorithms listesinde artık bahsi geçen algoritma ilk sıraya yerleşmiş olup ECDH ve DH algoritmalarından daha yüksek önceliğe sahiptir.
Kuantum bilgisayarlar henüz geleneksel anahtarları kırabilecek seviyeye ulaşmadı ancak hibrit güvenliğin kullanılması, gelecekte gerekli kuantum bilgisayarlar mevcut olduğunda şifrelerinin çözülebileceği umuduyla, kullanıcıları ele geçirilen SSH oturumlarının saklanmasını içeren saldırılardan koruyacaktır.
- Kaynak ve hedef dosyaların aynı sunucuda olması durumunda, sunucu tarafındaki verileri istemciye aktarmadan kopyalamanıza olanak tanıyan “copy-data” uzantısı sftp-server'a eklenmiştir.
- İstemcinin sunucu tarafındaki dosyaları kopyalamasını başlatmak için sftp yardımcı programına "cp" komutu eklenmiştir.
Kaynak: opennet.ru