Ular Fedora SCP protokolini bekor qilishni va olib tashlashni taklif qilmoqdalar

Jakub jelen (Red Hat xavfsizlik muhandisi) SCP protokolini eskirgan deb tasniflashni taklif qildi keyinchalik uni yo'q qilishga o'tish. Sifatida SCP kontseptual jihatdan RCP ga yaqin va me'moriy muammolarni meros qilib oladi mumkin bo'lgan zaifliklarning manbai bo'lgan asoslar.

Xususan, SCP va RCP-da server mijozga qaysi fayllar va kataloglarni yuborish to'g'risida qaror qabul qiladi va mijoz server ko'rsatmalariga amal qiladi va faqat qaytarilgan ob'ekt nomlarining to'g'riligini tekshiradi.

Tajovuzkor tomonidan boshqariladigan serverga ulanish orqali server boshqa fayllarni etkazib berishi mumkin, bu bir necha marta zaif tomonlarni aniqlashga olib keldi.

Masalan, yaqin vaqtgacha mijoz faqat joriy katalogni tekshirgan, ammo server boshqa nomdagi faylni chiqarishi va so'ralmagan fayllarning ustiga yozishi mumkinligini hisobga olmagan (masalan, "test.txt" o'rniga so'ralganda, server ». bashrc« deb nomlangan faylni yuborishi mumkin va uni mijoz yozadi).

Yakub Jelen tomonidan nashr etilgan xabarda siz quyidagilarni o'qishingiz mumkin:

Assalomu alaykum Fedora foydalanuvchilari! So'nggi yillarda, SCP protokolida bir nechta muammolar mavjud bo'lib, biz dastlabki bosqichlarda undan xalos bo'lishimiz mumkinmi degan munozaralarga olib keldi.

Ovozlarning aksariyati SCP-ni asosan oddiy vaqtinchalik nusxalar uchun ishlatishini va sftp yordam dasturi bir yoki ikkita faylni oldinga va orqaga nusxalash uchun oddiy interfeysni ta'minlamagani va odamlar faqat scp o'rniga yozish uchun ishlatilganligi sababli. sftp.

SCP protokoli bilan bog'liq yana bir muammo bu argumentlarni qayta ishlash xususiyati.

Zikr qilinganligi sababli tashqi serverga fayllarni nusxalashda fayl yo'li scp buyrug'ining oxiriga qo'shiladi local, masalan, «scp / sourcefile remoteserver: 'touch / tmp / exploit.sh` / targetfile'» buyrug'ini serverda ishga tushirganda, «touch / tmp / exploit.sh» buyrug'i va / tmp fayli yaratildi. /exploit.sh, shuning uchun scp-da to'g'ri qochish belgilaridan foydalanish muhimdir.

Fayl nomlarida '' 'belgisini qabul qiladigan fayl tizimlarida scp katalog tarkibini ("-r" variantini) rekursiv ravishda uzatish uchun foydalanilganda, tajovuzkor apostroflar bilan fayl yaratishi va uni yaratishi mumkin ishlatish uchun kod.

OpenSSH-da ushbu muammo tuzatilmagan bo'lib qolmoqda, orqaga qarab muvofiqligini buzmasdan tuzatish muammoli bo'lgani uchun, masalan, uni nusxalashdan oldin katalog mavjudligini tekshirish uchun ishlaydigan buyruqlar.

Oldingi muhokamalar shuni ko'rsatdiki, scp odatda fayllarni bir tizimdan boshqasiga ko'chirish uchun ishlatiladi.

Biroq, ko'p odamlar oddiy interfeys tufayli sftp o'rniga scp-dan foydalanadilar va odatdagidan fayllarni nusxalash aniq. Jakub, SFTP protokolidan foydalanishga o'tkazilgan scp yordam dasturining standart dasturidan foydalanishni taklif qiladi (ba'zi maxsus holatlarda, yordam dasturi SCP protokoliga qaytish uchun "-M scp" parametrini taqdim etadi) yoki sftp yordam dasturiga moslik rejimini qo'shish sftp-ni scp-ning shaffof o'rnini bosuvchi sifatida ishlatishga imkon beradi.

Bir necha oy oldin men scp uchun SFTP-ni ichki ishlatish uchun (-M scp yordamida qaytarib o'zgartirish imkoniyati bilan) yamoq yozdim va ba'zi testlarda muvaffaqiyatli ishladim.

Yuqoridagi umumiy mulohazalar ham ijobiy bo'ldi, shuning uchun foydalanuvchilarimizdan ham eshitishni istardim. U hali ham ba'zi cheklovlarga ega (qo'llab-quvvatlash etishmayapti, agar server sftp quyi tizimini ishlatmasa, ishlamaydi, ...), lekin u eng ko'p ishlatiladigan holatlar uchun etarlicha yaxshi bo'lishi kerak.

Cheklovlar orasida taklif qilingan yondashuv, sftp quyi tizimini ishga tushirmaydigan serverlar bilan ma'lumot almashish mumkin emasligi eslatib o'tilgan, va mahalliy xost orqali tranzit bilan ikkita tashqi xost o'rtasida uzatish rejimining yo'qligi ("-3" rejimi). Ba'zi foydalanuvchilar, shuningdek, SFTP o'tkazuvchanlik darajasi bo'yicha SCP-dan biroz orqada qolayotganini ta'kidlashadi, bu esa yuqori kechikish bilan yomon ulanishlarda sezilarli bo'ladi.

Sinov uchun alternativ opensh to'plami allaqachon copr omboriga joylashtirilgan bo'lib, uni scp yordam dasturini SFTP protokoli orqali amalga oshirish bilan to'ldirgan.

Manba: https://lists.fedoraproject.org/


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.