TinySSH - server SSH kecil yang menggunakan NaCl dan TweetNaCl

 (github.com/janmojzis)
9 poin oleh GN⁺ 2024-03-25 | 1 komentar | Bagikan ke WhatsApp
  • tinysshd adalah server SSH minimalis yang hanya mengimplementasikan sebagian dari fitur SSHv2
  • Mendukung keamanan minimal 128-bit dan hanya mendukung kriptografi aman yang dirancang untuk menghadapi serangan cache-timing
  • Tidak mengimplementasikan kriptografi lama seperti RSA, DSA, HMAC-MD5, HMAC-SHA1, 3DES, dan RC4
  • Tidak mengimplementasikan fitur yang tidak aman seperti kata sandi atau autentikasi berbasis host
  • Juga tidak menyediakan fitur seperti protokol SSH1, kompresi, port forwarding, agent forwarding, dan X11 forwarding
  • Tidak menggunakan alokasi memori dinamis sehingga tidak ada masalah seperti kegagalan alokasi

Primitive kriptografi

  • Kriptografi modern: ssh-ed25519, curve25519-sha256, chacha20-poly1305@openssh.com
  • Standar sebelumnya (dihapus pada versi 20190101): ecdsa-sha2-nistp256, ecdh-sha2-nistp256, aes256-ctr, hmac-sha2-256
  • Kriptografi yang siap menghadapi komputer kuantum: sntrup761x25519-sha512@openssh.com, chacha20-poly1305@openssh.com

Linimasa proyek

  • Tahap eksperimental (2014): ditujukan untuk eksperimen
  • Tahap alfa (2015-2017): belum cocok untuk lingkungan produksi tetapi siap untuk pengujian
  • Tahap beta (2018 hingga sekarang): cocok untuk produksi
  • Tahap stabilisasi: diperkirakan akan cocok untuk produksi, termasuk dengan kriptografi yang siap menghadapi komputer kuantum

Rilis saat ini (20240101)

  • Kode terdiri dari 63899 kata.
  • Berstatus rilis beta.

Cara menjalankan

  • TCPSERVER: tcpserver -HRDl0 0.0.0.0 22 /usr/sbin/tinysshd -v /etc/tinyssh/sshkeydir &
  • BUSYBOX: busybox tcpsvd 0 22 tinysshd -v /etc/tinyssh/sshkeydir &
  • INETD: tambahkan ssh stream tcp nowait root /usr/sbin/tinysshd tinysshd -l -v /etc/tinyssh/sshkeydir ke file /etc/inetd.conf
  • SYSTEMD: konfigurasi dan jalankan layanan melalui file tinysshd.socket dan tinysshd@.service

Pendapat GN⁺

  • tinysshd adalah server SSH dengan fitur minimal, dengan desain yang menonjolkan fokus pada keamanan. Keunggulannya adalah ringan karena tidak memiliki fitur berlebihan, dan kemungkinan memiliki lebih sedikit kerentanan keamanan.
  • Karena server SSH merupakan elemen inti keamanan jaringan, pendekatan minimalis seperti tinysshd dapat berguna terutama di lingkungan yang sangat menekankan keamanan.
  • Namun, bagi sebagian pengguna, ketiadaan fitur lanjutan seperti port forwarding atau X11 forwarding bisa menjadi kekurangan.
  • Dukungan terhadap kriptografi yang siap menghadapi komputer kuantum menunjukkan pendekatan yang berorientasi masa depan, serta mencerminkan perhatian dan pembaruan berkelanjutan terhadap keamanan.
  • Proyek open source lain dengan fungsi serupa adalah OpenSSH, yang menyediakan lebih banyak fitur, tetapi juga lebih kompleks dan memiliki lebih banyak aspek keamanan yang perlu dikelola.
  • Saat mengadopsi tinysshd, perlu dipertimbangkan apakah keterbatasan fiturnya sesuai dengan kebutuhan proyek; keuntungan yang diperoleh adalah kesederhanaan dan keamanan yang diperkuat, sedangkan yang dikorbankan adalah tidak tersedianya beberapa fitur lanjutan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-03-25
Komentar Hacker News

  • Contoh penggunaan TinySSH:

    • Digunakan untuk membuka kunci drive terenkripsi dari jarak jauh saat Linux sedang boot.
    • Digunakan pada server NAS headless dengan dm-crypt/LUKS dan ZFS.
    • Saat pembaruan kernel/ZFS, server di-reboot dari jarak jauh, lalu terhubung ke prompt kunci enkripsi melalui TinySSH untuk membuka kunci drive.
    • Saat TinySSH berhenti, sesi SSH langsung logout, dan jika terhubung lagi via SSH beberapa detik kemudian, sistem yang sudah boot sepenuhnya bisa diakses.

  • Tautan terkait TinySSH:

    • Saat ini sulit diakses karena efek Slashdot.
    • Halaman TinySSH bisa dilihat melalui web archive.

  • Pendapat tentang jumlah kode TinySSH:

    • Menarik bahwa ukuran kode dinyatakan dalam "kata".
    • Biasanya repositori yang berfokus pada keamanan dipromosikan dengan "X baris kode", jadi penyajian dalam "kata" terasa tidak biasa.

  • Cakupan dukungan TinySSH:

    • Disayangkan tidak mendukung ed25519-sk.
    • Selain itu, proyek ini terlihat sangat menjanjikan.

  • Kemungkinan audit TinySSH:

    • Ada pertanyaan apakah 100.000 kata kode benar-benar cukup mudah untuk diaudit.

  • Pertanyaan tentang perbedaan TinySSH dan Dropbear SSH.

  • Pendapat tentang pengganti OpenSSH:

    • OpenSSH digunakan oleh banyak orang dan telah teruji dalam waktu lama, sehingga sangat andal.
    • OpenSSH berasal dari OpenBSD, yang terkenal berhati-hati dalam menulis kode keamanan.
    • Daripada mengganti OpenSSH, lebih baik beralih ke autentikasi berbasis kunci dan makin memperkuat OpenSSH dengan beberapa perubahan konfigurasi sederhana, termasuk ide pengaturan dari Mozilla.

  • Pujian untuk karya pengembang TinySSH:

    • Selain TinySSH, ia juga mengembangkan berbagai utilitas jaringan kecil dan server.
    • Karya-karya ini memberi kesan bahwa pengembangnya berusaha membuat sesuatu dan memahaminya secara mendalam.

  • Fitur keamanan TinySSH:

    • TinySSH tidak mengimplementasikan fitur yang tidak aman seperti kata sandi atau autentikasi berbasis host.
    • Ada pertanyaan tentang cara mendaftarkan kunci pribadi pada perangkat bersama.