OpenSSH 9.0 versiyasi, SSH 2.0 va SFTP protokollaridan foydalangan holda ishlash uchun mijoz va serverning ochiq ilovasi taqdim etildi. Yangi versiyada scp yordam dasturi sukut bo'yicha eskirgan SCP/RCP protokoli o'rniga SFTP dan foydalanishga o'tkazildi.
SFTP ko'proq bashorat qilinadigan nomlarni qayta ishlash usullaridan foydalanadi va boshqa xost tomonidagi fayl nomlarida glob naqshlarini qobiq bilan qayta ishlashdan foydalanmaydi, bu esa xavfsizlik muammolarini keltirib chiqaradi. Xususan, SCP va RCP dan foydalanganda, server mijozga qaysi fayl va kataloglarni yuborishni hal qiladi va mijoz faqat qaytarilgan ob'ekt nomlarining to'g'riligini tekshiradi, bu esa mijoz tomonidan tegishli tekshiruvlar bo'lmasa, so'ralganlardan farq qiladigan boshqa fayl nomlarini uzatish uchun server.
SFTP protokolida bunday muammolar mavjud emas, lekin "~/" kabi maxsus yo'llarni kengaytirishni qo'llab-quvvatlamaydi. Ushbu farqni bartaraf qilish uchun OpenSSH 8.7 dan boshlab, SFTP server ilovasi protokol kengaytmasini qo'llab-quvvatlaydi "[elektron pochta bilan himoyalangan]" ~/ va ~ foydalanuvchi/ yo'llarini kengaytirish uchun.
SFTP dan foydalanilganda, foydalanuvchilar SCP va RCP so'rovlarida ularning uzoqdan talqin qilinishiga yo'l qo'ymaslik uchun maxsus yo'lni kengaytirish belgilaridan ikki marta qochish zarurati tufayli kelib chiqadigan nomuvofiqliklarga duch kelishlari mumkin. SFTPda bunday qochish shart emas va qo'shimcha tirnoq ma'lumotlarni uzatish xatosiga olib kelishi mumkin. Shu bilan birga, OpenSSH ishlab chiquvchilari bu holatda scp xatti-harakatini takrorlash uchun kengaytmani qo'shishdan bosh tortdilar, shuning uchun ikki marta qochish takrorlash mantiqiy bo'lmagan kamchilik hisoblanadi.
Yangi nashrdagi boshqa o'zgarishlar:
- Ssh va sshd sukut bo'yicha yoqilgan gibrid kalit almashish algoritmiga ega "[elektron pochta bilan himoyalangan]"(ECDH/x25519 + NTRU Prime), kvant kompyuterlarini tanlashga chidamli va NTRU Prime-da kelajakda yuzaga kelishi mumkin bo'lgan muammolarni bloklash uchun ECDH/x25519 bilan birlashtirilgan. Kalitlarni almashish usullarini tanlash tartibini belgilovchi KexAlgoritmlar ro'yxatida endi yuqorida qayd etilgan algoritm birinchi o'rinda turadi va ECDH va DH algoritmlariga qaraganda yuqoriroq ustuvorlikka ega.
Kvant kompyuterlari hali an'anaviy kalitlarni sindirish darajasiga etib bormagan, ammo gibrid xavfsizlikdan foydalanish foydalanuvchilarni ushlangan SSH seanslarini saqlashni o'z ichiga olgan hujumlardan himoya qiladi va kelajakda kerakli kvant kompyuterlari mavjud bo'lganda ularni shifrlash mumkin degan umidda.
- "Ma'lumotlarni nusxalash" kengaytmasi sftp-serverga qo'shildi, bu sizga server tomonidagi ma'lumotlarni, agar manba va maqsadli fayllar bir serverda bo'lsa, mijozga o'tkazmasdan nusxalash imkonini beradi.
- Mijozni server tomonidagi fayllarni nusxalashni boshlash uchun sftp yordam dasturiga "cp" buyrug'i qo'shildi.
Manba: opennet.ru