OpenSSH 9.0 已發布,它是使用 SSH 2.0 和 SFTP 協定工作的客戶端和伺服器的開放實作。 在新版本中,scp 實用程式已預設切換為使用 SFTP,而不是過時的 SCP/RCP 協定。
SFTP 使用更可預測的名稱處理方法,並且不會對另一主機端的檔案名稱中的 glob 模式使用 shell 處理,這會產生安全性問題。 特別是,當使用 SCP 和 RCP 時,伺服器決定將哪些檔案和目錄傳送給客戶端,客戶端僅檢查傳回的物件名稱的正確性,這在客戶端沒有進行適當檢查的情況下,允許伺服器傳輸與請求的檔案名稱不同的其他檔案名稱。
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[電子郵件保護]" 展開 ~/ 和 ~user/ 路徑。
使用 SFTP 時,使用者也可能會遇到不相容問題,因為需要對 SCP 和 RCP 請求中的特殊路徑擴充字元進行雙重轉義,以防止遠端對其進行解釋。 在 SFTP 中,不需要此類轉義,額外的引號可能會導致資料傳輸錯誤。 同時,在這種情況下,OpenSSH 開發人員拒絕添加擴充功能來複製 scp 的行為,因此雙重轉義被視為一個沒有意義重複的缺陷。
新版本中的其他變更:
- ssh 和 sshd 預設啟用混合金鑰交換演算法“[電子郵件保護]「(ECDH/x25519 + NTRU Prime),抗量子電腦上的挑釁,並與 ECDH/x25519 結合,阻止 NTRU Prime 未來可能出現的問題。 在決定金鑰交換方法選擇順序的 KexAlgorithms 清單中,所提到的演算法現在位於第一位,並且具有比 ECDH 和 DH 演算法更高的優先權。
量子電腦尚未達到破解傳統金鑰的水平,但使用混合安全性將保護用戶免受涉及儲存截獲的 SSH 會話的攻擊,希望將來當必要的量子電腦可用時可以將其解密。
- sftp-server 中新增了「copy-data」擴展,如果來源檔案和目標檔案位於同一伺服器上,則允許您在伺服器端複製數據,而無需將其傳輸到客戶端。
- sftp 公用程式中新增了「cp」指令,用於啟動用戶端在伺服器端複製檔案。
來源: opennet.ru