Тэд Fedora SCP протоколыг хүчингүй болгож, устгахыг санал болгож байна

Jakub jelen (Улаан малгай хамгаалалтын инженер) SCP протоколыг хуучирсан ангилалд хамруулахыг санал болгов дараа нь арилгах ажлыг үргэлжлүүлэх. Байдлаар SCP нь үзэл баримтлалын хувьд RCP-тэй ойр бөгөөд архитектурын асуудлуудыг өвлөн авдаг болзошгүй эмзэг байдлын эх үүсвэр болох үндэс суурь.

Тодруулбал, SCP ба RCP-д сервер нь ямар файл, директорыг клиент рүү илгээх тухай шийдвэрийг хүлээн зөвшөөрдөг бөгөөд үйлчлүүлэгч серверийн зааврыг дагаж зөвхөн буцааж өгсөн объектын нэрний зөв эсэхийг шалгадаг.

Довтлогчийн хяналтанд байдаг сервертэй холбогдсоноор сервер бусад файлуудыг хүргэх, энэ нь эмзэг байдлыг тодорхойлоход удаа дараа хүргэсэн.

Жишээлбэл, саяхан болтол үйлчлүүлэгч зөвхөн одоогийн лавлах хуудсыг шалгаж байсан боловч сервер өөр нэртэй файл гаргаж, хүсэлт гаргаагүй файлуудыг дарж бичих боломжтой гэдгийг харгалзан үзээгүй (жишээ нь "test.txt" -ийн оронд хүсэлт гаргасан тохиолдолд сервер ». bashrc« гэсэн файлыг илгээж болох бөгөөд үүнийг клиент өөрөө бичнэ).

Якуб Желений нийтлүүлсэн бичлэгт та дараахь зүйлийг уншиж болно.

Сайн байна уу Fedora хэрэглэгчид! Сүүлийн жилүүдэд SCP-ийн протоколд хэд хэдэн асуудал гарсан тул бид эхний үе шатанд үүнийг арилгах боломжтой эсэх талаар ярилцахад хүргэсэн.

Ихэнх дуу хоолой нь SCP-ийг ихэвчлэн энгийн түр зуурын хуулбар хийхэд ашигладаг бөгөөд sftp хэрэгсэл нь нэг эсвэл хоёр файлыг нааш цааш хуулах энгийн интерфэйсийг хангадаггүй тул хүмүүс зөвхөн scp бичихэд ашигладаг тул sftp.

SCP протоколын өөр нэг асуудал бол аргумент боловсруулах шинж чанар юм.

Үүнийг дурдсан тул файлуудыг гадаад сервер рүү хуулахдаа scp командын төгсгөлд файлын замыг хавсаргана жишээ нь, сервер дээр «scp / sourcefile remoteserver: 'touch / tmp / exploit.sh` / targetfile'» командыг ажиллуулахад »touch / tmp / exploit.sh» тушаал болон файл / tmp үүссэн болно. /exploit.sh тул scp дээр зөв зугтах тэмдэгтүүдийг ашиглах нь чухал юм.

Scp файлын нэрс дэх '' 'тэмдэгтийг хүлээн зөвшөөрдөг файлын систем дэх директорын агуулгыг ("-r" сонголт) рекурсив хэлбэрээр дамжуулахад ашиглагдах үед халдагч нь апостроф ашиглан файл үүсгэж, үүнийг хийж болно. ажиллуулах код.

OpenSSH дээр энэ асуудал шийдэгдээгүй хэвээр байна, Үүнийг арын нийцтэй байдлыг зөрчихгүйгээр засах нь бэрхшээлтэй байдаг, жишээлбэл, хуулахаасаа өмнө директор байгаа эсэхийг шалгах командуудыг ажиллуулах.

Өмнөх хэлэлцүүлгүүдээс харахад scp нь ерөнхийдөө файлуудыг нэг системээс нөгөө систем рүү хуулахад ашиглагддаг болохыг харуулсан.

Гэсэн хэдий ч, Олон хүмүүс илүү хялбар интерфэйсийн улмаас sftp-ийн оронд scp ашигладаг файлуудыг хуулах нь ойлгомжтой, эсвэл зүгээр л зуршилтай байсан. Якуб нь SFTP протоколыг ашиглахаар хөрвүүлсэн scp програмын анхдагч хэрэгжилтийг ашиглахыг санал болгож байна (зарим онцгой тохиолдолд уг хэрэгсэл нь SCP протокол руу буцах "-M scp" сонголтыг өгдөг) эсвэл sftp хэрэгсэлд нийцтэй горим нэмж оруулахыг санал болгож байна. sftp-ийг scp-ийн ил тод орлуулалт болгон ашиглах боломжийг олгодог.

Зарим сарын өмнө би scp-д SFTP-ийг дотооддоо ашиглахын тулд (-M scp ашиглан буцааж өөрчлөх боломжтой) нөхөөс бичиж, зарим туршилтанд амжилттай ажиллуулж байсан.

Урсгалын талаархи ерөнхий санал хүсэлт бас нэлээд эерэг байсан тул хэрэглэгчдийнхээ яриаг сонсмоор байна. Энэ нь зарим хязгаарлалттай хэвээр байна (дэмжлэг байхгүй байна, сервер sftp дэд системийг ажиллуулахгүй бол ажиллахгүй, ...), гэхдээ энэ нь хамгийн түгээмэл хэрэглэгддэг тохиолдлуудад хангалттай байх ёстой.

Хязгаарлалтуудын хооронд санал болгож буй хандлагын талаар, sftp дэд системийг эхлүүлээгүй серверүүдтэй мэдээлэл солилцох боломжгүй байгааг дурдсан, мөн локал хостоор дамжин өнгөрөх гадаад хоёр хостуудын хооронд дамжуулах горим байхгүй ("-3" горим). Зарим хэрэглэгчид SFTP нь зурвасын өргөний хувьд SCP-ээс бага зэрэг хоцорч байгаа нь хоцрогдсон, сул холболтод илүү мэдэгдэхүйц болж байгааг тэмдэглэжээ.

Туршилтын хувьд өөр өөр opensh багцыг copr агуулахад аль хэдийн байрлуулсан бөгөөд үүнийг scp хэрэгслийг SFTP протокол дээр хэрэгжүүлснээр нөхсөн болно.

Эх сурвалж: https://lists.fedoraproject.org/


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.