TinySSH - NaCl ve TweetNaCl kullanan küçük SSH sunucusu

 (github.com/janmojzis)
9 puan yazan GN⁺ 2024-03-25 | 1 yorum | WhatsApp'ta paylaş
  • tinysshd, SSHv2 özelliklerinin yalnızca bir kısmını uygulayan minimal bir SSH sunucusudur
  • En az 128 bit güvenliği destekler ve cache timing saldırılarına karşı güvenli olan şifrelemeleri destekler
  • RSA, DSA, HMAC-MD5, HMAC-SHA1, 3DES, RC4 gibi eski şifrelemeleri uygulamaz
  • Parola veya ana makine tabanlı kimlik doğrulama gibi güvenli olmayan özellikleri uygulamaz
  • SSH1 protokolü, sıkıştırma, port yönlendirme, agent forwarding, X11 forwarding gibi özellikleri de sunmaz
  • Dinamik bellek tahsisi kullanmadığı için tahsis başarısızlığı gibi sorunlar yoktur

Kriptografik ilkel işlevler

  • Modern kriptografi: ssh-ed25519, curve25519-sha256, chacha20-poly1305@openssh.com
  • Önceki standartlar (20190101 sürümünde kaldırıldı): ecdsa-sha2-nistp256, ecdh-sha2-nistp256, aes256-ctr, hmac-sha2-256
  • Kuantum bilgisayarlara hazırlıklı şifreleme: sntrup761x25519-sha512@openssh.com, chacha20-poly1305@openssh.com

Proje zaman çizelgesi

  • Deneysel aşama (2014): deney amacıyla tasarlandı
  • Alfa aşaması (2015-2017): üretim ortamı için uygun değil, ancak test için hazır
  • Beta aşaması (2018'den günümüze): üretim için uygun
  • Stabilizasyon aşaması: kuantum bilgisayarlara hazırlıklı şifreleme dahil, üretim ortamı için uygun olması bekleniyor

Mevcut sürüm (20240101)

  • Kod 63899 kelimeden oluşuyor.
  • Beta sürüm durumunda.

Çalıştırma yöntemleri

  • TCPSERVER: tcpserver -HRDl0 0.0.0.0 22 /usr/sbin/tinysshd -v /etc/tinyssh/sshkeydir &
  • BUSYBOX: busybox tcpsvd 0 22 tinysshd -v /etc/tinyssh/sshkeydir &
  • INETD: /etc/inetd.conf dosyasına ssh stream tcp nowait root /usr/sbin/tinysshd tinysshd -l -v /etc/tinyssh/sshkeydir ekleyin
  • SYSTEMD: hizmeti tinysshd.socket ve tinysshd@.service dosyaları üzerinden yapılandırıp çalıştırın

GN⁺ görüşü

  • tinysshd, minimum işlevlere sahip bir SSH sunucusu olarak güvenlik odaklı tasarımıyla öne çıkıyor. Aşırı özellik barındırmaması sayesinde hafif kalıyor ve güvenlik açıklarının daha az olma ihtimali gibi avantajlar sunuyor.
  • SSH sunucuları ağ güvenliğinin temel unsurlarından biri olduğundan, tinysshd gibi minimalist bir yaklaşım özellikle güvenliğin kritik olduğu ortamlarda faydalı olabilir.
  • Ancak bazı kullanıcılar için port yönlendirme veya X11 forwarding gibi gelişmiş özelliklerin olmaması bir dezavantaj olabilir.
  • Kuantum bilgisayarlara hazırlıklı şifrelemeyi desteklemesi, güvenliğe yönelik sürekli ilgi ve güncellemeleri yansıtan ileriye dönük bir yaklaşım.
  • Benzer işlevler sunan diğer açık kaynak projeler arasında OpenSSH da bulunuyor; bu proje daha fazla özellik sunuyor, ancak buna bağlı olarak daha karmaşık ve yönetilmesi gereken daha fazla güvenlik boyutuna sahip.
  • tinysshd'yi devreye alırken işlev kısıtlarının proje gereksinimlerine uygun olup olmadığı değerlendirilmeli; bu seçimin kazandırdıkları sadelik ve güçlendirilmiş güvenlik, kaybettirdikleri ise bazı gelişmiş özelliklerin yokluğu olacaktır.

İlgili okumalar

1 yorum

 
GN⁺ 2024-03-25
Hacker News görüşleri

  • TinySSH kullanım örnekleri:

    • Linux açılışı sırasında uzaktan şifrelenmiş sürücünün kilidini açmak için kullanılıyor.
    • Ekransız NAS sunucusunda dm-crypt/LUKS ve ZFS kullanılıyor.
    • Kernel/ZFS güncellemeleri sırasında sunucu uzaktan yeniden başlatılıyor ve TinySSH üzerinden şifreleme anahtarı istemine bağlanarak sürücünün kilidi açılıyor.
    • TinySSH sonlandığında SSH oturumu anında kapanıyor; birkaç saniye sonra SSH ile yeniden bağlanınca tamamen açılmış sisteme erişilebiliyor.

  • TinySSH ile ilgili bağlantılar:

    • Şu anda Slashdot etkisi nedeniyle erişmek zor.
    • TinySSH sayfası web arşivi üzerinden görülebiliyor.

  • TinySSH’nin kod miktarı hakkındaki görüş:

    • Kod miktarını “kelime” olarak ifade etmesi ilginç.
    • Genelde güvenliğin kritik olduğu depolar “X satır kod” diye tanıtılırken, bunu “kelime” ile ifade etmek sıra dışı.

  • TinySSH’nin destek kapsamı:

    • ed25519-sk desteğinin olmaması üzücü.
    • Bunun dışında oldukça umut verici görünüyor.

  • TinySSH’nin denetlenebilirliği:

    • 100.000 kelimelik kodun gerçekten kolay denetlenebilir bir düzeyde olup olmadığı sorgulanıyor.

  • TinySSH ile Dropbear SSH arasındaki farklara dair soru.

  • OpenSSH’nin yerine geçmesi hakkındaki görüş:

    • OpenSSH çok sayıda insan tarafından kullanılıyor ve uzun yıllardır sınandığı için yüksek düzeyde güven veriyor.
    • OpenSSH, OpenBSD kökenli olduğu için güvenli kod yazımında dikkatli.
    • OpenSSH’yi değiştirmektense anahtar tabanlı kimlik doğrulamaya geçmek ve Mozilla’nın yapılandırma fikirleri de dahil birkaç basit ayarla OpenSSH’yi daha da güçlendirmek daha iyi olur.

  • TinySSH geliştiricisinin çalışmalarına övgü:

    • TinySSH dışında da çeşitli küçük ağ yardımcı programları ve sunucular geliştiriyor.
    • Bu çalışmalar, geliştiricinin bir şeyi sadece “yapmak” ve anlamak için emek verdiğini düşündürüyor.

  • TinySSH’nin güvenlik özellikleri:

    • TinySSH, parola veya host tabanlı kimlik doğrulama gibi güvenli olmayan özellikleri uygulamıyor.
    • Paylaşılan cihazlarda özel anahtarın nasıl kaydedileceğine dair soru.