OpenSSH 9.0 llega con SFTP en lugar de scp, mejoras y mas

Principales novedades de OpenSSH 9.0

En la nueva versión, la utilidad scp se movió de forma predeterminada para usar SFTP en lugar del protocolo SCP/RCP heredado.

SFTP usa métodos de manejo de nombres más predecibles y no usa el procesamiento de shell de patrones glob en nombres de archivo en el otro lado del host, lo que crea problemas de seguridad. En particular, cuando se usa SCP y RCP, el servidor decide qué archivos y directorios enviar al cliente, y el cliente solo verifica la exactitud de los nombres de los objetos devueltos, lo que, en ausencia de controles adecuados por parte del cliente, permite que el servidor para transferir otros nombres de archivo que difieren de los solicitados.

El protocolo SFTP no tiene estos problemas, pero no admite la expansión de rutas especiales como «~/». Para abordar esta diferencia, desde OpenSSH 8.7, la implementación del servidor SFTP admite la extensión de protocolo «[email protected]» para expandir las rutas ~/ y ~user/.

Al usar SFTP, los usuarios también pueden encontrar incompatibilidades causadas por la necesidad de doble escape de los caracteres de expansión de la ruta en las solicitudes SCP y RCP para evitar que se interpreten en el lado remoto.

En SFTP, este escape no es necesario y las comillas adicionales pueden provocar un error de transferencia de datos. Al mismo tiempo, los desarrolladores de OpenSSH se negaron a agregar una extensión para repetir el comportamiento de scp en este caso, ya que el escape doble se ve como una falla que no tiene sentido repetir.

Otros cambios que se destacan de esta nueva versión de OpenSSH 9.0 es que ssh y sshd tienen un algoritmo híbrido de intercambio de claves «[email protected]» (ECDH/x25519 + NTRU Prime) habilitado por defecto, resistente a la fuerza bruta en computadoras cuánticas y combinado con ECDH/x25519 para bloquear posibles problemas en NTRU Prime que puedan surgir en el futuro. En la lista KexAlgorithms, que determina el orden en que se eligen los métodos de intercambio de claves, el algoritmo mencionado ahora ocupa el primer lugar y tiene prioridad sobre los algoritmos ECDH y DH.

Por otra parte, tambien se destaca que las computadoras cuánticas aún no han alcanzado el nivel de descifrado de claves tradicionales, pero el uso de la protección híbrida protegerá a los usuarios de ataques relacionados con el almacenamiento de sesiones SSH interceptadas con la expectativa de que puedan descifrarse en el futuro, cuando las computadoras cuánticas necesarias estén disponibles.

La extensión «copy-data» se ha agregado a sftp-server, que permite copiar datos en el lado del servidor, sin transferirlos al cliente, si el archivo de origen y el de destino están en el mismo servidor.

Ademas de que el comando «cp» se agregó a la utilidad sftp para obligar al cliente a copiar archivos en el lado del servidor.

Finalmente si estás interesado en conocer más al respecto sobre esta nueva versión, puedes consultar los detalles dirigiéndote al siguiente enlace.

¿Como instalar OpenSSH 9 en Linux?

Para quienes estén interesados en poder instalar esta nueva versión de OpenSSH en sus sistemas, de momento podrán hacerlo descargando el código fuente de este y realizando la compilación en sus equipos.

Esto es debido a que la nueva versión aún no se ha incluido dentro de los repositorios de las principales distribuciones de Linux. Para obtener el código fuente, puedes hacer desde el siguiente enlace.

Hecha la descarga, ahora vamos a descomprimir el paquete con el siguiente comando:

1tar -xvf openssh-9.0.tar.gz

Entramos al directorio creado:

1cd openssh-9.0

Y podremos realizar la compilación con los siguientes comandos:

123./configure --prefix=/opt --sysconfdir=/etc/sshmakemake install