SSH3: shell segur mĆ©s rĆ pid i ric usant HTTP/3
Fa poc es va donar a conĆØixer el llanƧament oficial de la primera versiĆ³ experimental del servidor i client per al protocol SSH3 dissenyat com a complement del protocol HTTP3 i que utilitza QUIC (basat en UDP), TLS 1.3 que aprofita els mecanismes HTTP per a l'autenticaciĆ³ d'usuaris, aixĆ com tambĆ© per establir un canal de comunicaciĆ³ segur
SSH3 utilitza mecanismes d'autoritzaciĆ³ basats en el protocol HTTP, que permeten nous mĆØtodes d'autenticaciĆ³, a mĆ©s de l'autenticaciĆ³ clĆ ssica mitjanƧant una contrasenya i un parell de claus, a mĆ©s que a SSH3 es pot configurar l'accĆ©s a un servidor remot a travĆ©s del proveĆÆdor d'identitat una organitzaciĆ³ o amb un compte de Google o GitHub. SSH3 es basa en HTTP/3 i QUIC i, a mĆ©s del reenviament TCP normal, tambĆ© ofereix reenviament de ports UDP i un establiment de sessiĆ³ mĆ©s rĆ pid i segur.
Sobre SSH3
Els desenvolupadors del projecte esmenten que la creaciĆ³ de SSH3 va sorgir com a resultat d'una revisiĆ³ completa del protocol SSH, duta a terme per un grup independent d'investigadors separats dels equips que treballen en projectes com ara OpenSSH i altres implementacions del protocol SSH clĆ ssic. A SSH3, la semĆ ntica del protocol SSH clĆ ssic s'implementa a travĆ©s de mecanismes HTTP, cosa que no nomĆ©s permet capacitats addicionals, sinĆ³ que tambĆ© assegura que les activitats relacionades amb SSH estiguin ocultes entre la resta del trĆ nsit, entre altres coses, SSH3 permet les segĆ¼ents millores que el protocol SSH2 no podria proporcionar, aixĆ com tambĆ© moltes de les caracterĆstiques populars d'OpenSSH:
- Establiment de sessiĆ³ significativament mĆ©s rĆ pid
- Nous mĆØtodes d'autenticaciĆ³ HTTP, com ara OAuth 2.0 i OpenID Connect, a mĆ©s de l'autenticaciĆ³ SSH clĆ ssica.
- AnĆ lisi ~/.ssh/authorized_keys al servidor.
Analitza ~/.ssh/config al client i maneja les opcions Hostname, Usery Portconfig IdentityFile (les altres opcions s'ignoren actualment)
AutenticaciĆ³ de servidor basada en certificats - Robustesa davant d'atacs d'escaneig de ports: el servidor SSH3 es pot tornar invisible per a altres usuaris d'Internet
- Reenviament de ports UDP: ara podeu accedir al vostre QUIC, DNS, RTP o qualsevol servidor basat en UDP al qual nomƩs es pugui accedir des del vostre host SSH3.
- Certificats X.509: ara podeu utilitzar els certificats HTTPS clĆ ssics per autenticar el vostre servidor SSH3. Aquest mecanisme Ć©s mĆ©s segur que el clĆ ssic mecanisme de clau de host SSHv2.
- Capacitat d'ocultar el servidor darrere d'un enllaƧ secret.
- Totes les funcions permeses pel protocol QUIC modern: inclosa la migraciĆ³ de connexions i connexions multiruta
- Usar automĆ ticament l'autenticaciĆ³ ssh-agent de clau pĆŗblica
- Reenviament d'agent SSH per utilitzar les vostres claus locals al vostre servidor remot
- AutenticaciĆ³ d'usuari sense clau mitjanƧant OpenID Connect.
Per xifrar el canal de comunicaciĆ³, SSH3 utilitza el protocol TLS 1.3 i es poden emprar mĆØtodes tradicionals basats en contrasenyes i claus pĆŗbliques (RSA i EdDSA/ed25519). Addicionalment, SSH3 ofereix l'opciĆ³ de fer servir mĆØtodes basats en el protocol OAuth 2.0, permetent transferir l'autenticaciĆ³ a proveĆÆdors externs.
Un altre dels punts forts de SSH3 Ć©s que ofereix un establiment de sessiĆ³ significativament mĆ©s rĆ pid que SSH2, per exemple, establir una nova sessiĆ³ amb SSH2 pot trigar de 5 a 7 iteracions de xarxa (anada i tornada), cosa que l'usuari pot notar fĆ cilment ja que SSH3 nomĆ©s necessita 3 iteracions.
Si estĆ s interessat en poder conĆØixer mĆ©s sobre aixĆ², has de saber que el client i del servidor estĆ escrit a Go i distribuĆÆt sota la llicĆØncia Apache 2.0, pots consultar els detalls en el segĆ¼ent enllaƧ.
A mĆ©s d'aixĆ², cal esmentar que SSH3 encara Ć©s experimental i el seu Ćŗs no Ć©s recomanable per a la producciĆ³ o entorns crĆtics i com a tal nomĆ©s se'n recomana la instalĀ·laciĆ³ per conĆØixer les seves funcionalitats o poder testejar.
Descarregar i instalĀ·lar SSH3
Per als proveĆÆdors de software: XNUMX-XNUMX-XNUMX. interessats en poder implementar un servidor SSH3 per a proves, poden fer-ho compilant amb Go el codi font seguint les instruccions que compartim a continuaciĆ³.
git clone https://github.com/francoismichel/ssh3 cd ssh3 go build -o ssh3 cmd/ssh3/main.go CGO_ENABLED=1 go build -o ssh3-server cmd/ssh3-server/main.go
Fet aixĆ², ara procedim a afegir la nostra variable d'entorn a .bashrc amb:
export PATH=$PATH:/path/to/the/ssh3/directory
Quant a la implementaciĆ³ del servidor, ja que com a SSH3 s'executa sobre HTTP3 cal un certificat i se'n pot generar un amb l'script:
sh ./generate_openssl_selfsigned_certificate.sh
Finalment, t'invito que consultis la documentaciĆ³ sobre l'Ćŗs i la implementaciĆ³ de funcions addicionals al segĆ¼ent enllaƧ.