Разделение sshd продолжается с использованием sshd-auth, выделяя аутентификацию в отдельный двоичный файл и уменьшая поверхность атаки до аутентификации в OpenSSH.
Постоянные усилия по повышению безопасности OpenSSH за счет разделения функциональных возможностей на отдельные двоичные файлы продолжаются, и в последней разработке представлен новый двоичный файл, sshd-auth.
Это изменение является частью более широкой стратегии OpenBSD, направленной на то, чтобы сделать реализацию OpenSSH еще более безопасной и эффективной.
Дэмиен Миллер, разработчик OpenBSD, недавно выпустил это новое обновление, целью которого является дальнейшее разделение функциональности sshd путем создания специального двоичного файла для аутентификации пользователей.
Как указано в сообщении о фиксации, цель проста: “Разделение этого кода на отдельный двоичный файл гарантирует, что критически важная поверхность атаки перед аутентификацией будет иметь полностью отделенное адресное пространство от кода, используемого для остальной части соединения.“
Другими словами, это эффективно минимизирует риск за счет изоляции этапа предварительной аутентификации и уменьшения общей поверхности атаки.
Более того, этот подход предлагает дополнительное преимущество: небольшую экономию памяти во время выполнения. По завершении этапа аутентификации код аутентификации будет выгружен, освобождая память для других задач.
Это изменение уже было интегрировано в снимки OpenBSD и тестировалось с прошлой недели. Как и в случае с другими компонентами, такими как sshd, ssh-session и ssh-agent, новый двоичный файл sshd-auth будет случайным образом повторно привязан при загрузке, добавляя еще один уровень защиты.
Для получения дополнительной информации обратитесь к объявлению в журнале OpenBSD.
Как вы, вероятно, знаете, OpenSSH является частью проекта OpenBSD и широко используется в различных операционных системах, включая Linux. Итак, изменения, внесенные в версию OpenSSH OpenBSD, часто отражаются в других реализациях, поскольку основной код является общим.
Это означает, что улучшения, такие как разделение функциональных возможностей на отдельные двоичные файлы, в конечном итоге появятся в Linux и других системах, использующих OpenSSH.