Para melhorar a sua segurança, agora o OpenSSH se dividiu em binário e autenticador. Confira os detalhes dessa importante mudança.
O esforço contínuo para aprimorar a segurança do OpenSSH dividindo as funcionalidades em binários separados continua, com o desenvolvimento mais recente introduzindo um novo binário, sshd-auth.
A divisão do sshd progride com o sshd-auth, isolando a autenticação em um binário separado e reduzindo a superfície de ataque pré-autenticação no OpenSSH.
OpenSSH se dividiu em binário e autenticador
Sim. O OpenSSH se dividiu em binário e autenticador. Essa mudança é parte da estratégia mais ampla do OpenBSD para tornar a implementação do OpenSSH ainda mais segura e eficiente.
Damien Miller, um desenvolvedor do OpenBSD, recentemente enviou esta nova atualização, que visa segregar ainda mais a funcionalidade do sshd criando um binário dedicado para autenticação do usuário.
Conforme declarado na mensagem de confirmação, o objetivo é direto: “Dividir esse código em um binário separado garante que a superfície de ataque de pré-autenticação crucial tenha um espaço de endereço totalmente separado do código usado para o resto da conexão”.
Em outras palavras, isso efetivamente minimiza o risco ao isolar o estágio de pré-autenticação e reduzir a superfície de ataque geral.
Além disso, essa abordagem oferece uma vantagem adicional: uma pequena economia de memória em tempo de execução. Assim que a fase de autenticação for concluída, o código de autenticação será descarregado, liberando memória para outras tarefas.
Essa alteração já foi integrada aos snapshots do OpenBSD e foi testada desde a semana passada. Assim como outros componentes como sshd, ssh-session e ssh-agent, o novo binário sshd-auth será revinculado aleatoriamente na inicialização, adicionando outra camada de proteção.
Como você provavelmente sabe, o OpenSSH faz parte do projeto OpenBSD e é amplamente usado em diferentes sistemas operacionais, incluindo o Linux.
Então, as mudanças feitas na versão OpenBSD do OpenSSH são frequentemente refletidas em outras implementações, já que o código principal é compartilhado.
Isso significa que melhorias, como a segregação de funcionalidades em binários separados, eventualmente chegarão ao Linux e outros sistemas que dependem do OpenSSH.
Para obter mais informações, consulte o anúncio no OpenBSD Journal.