Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Geen "scp" meer in de toekomst?
06-11-2020, 16:54 door Anoniem, 8 reacties
Bron: https://lwn.net/SubscriberLink/835962/ae41b27bc20699ad/
Lijkt me een goed verhaal (of mis ik wat?). En als ik het goed begrijp wordt alleen de backend van
scp vervangen waardoor de commando's het zelfde blijven werken. Los van de FYI vind ik het
altijd interessant om te kijken wat voor alternatieve commando's mensen in hun workflow hebben,
dus bv rsync ipv scp, iemand hier die iets cools (en secure!) gebruikt en die zijn/haar ervaringen
wil delen?
FYI!
Lijkt me een goed verhaal (of mis ik wat?). En als ik het goed begrijp wordt alleen de backend van
scp vervangen waardoor de commando's het zelfde blijven werken. Los van de FYI vind ik het
altijd interessant om te kijken wat voor alternatieve commando's mensen in hun workflow hebben,
dus bv rsync ipv scp, iemand hier die iets cools (en secure!) gebruikt en die zijn/haar ervaringen
wil delen?
FYI!
Reacties (8)
Given that, the next question comes naturally: what should replace the deprecated scp command? The usual answer to that question is either sftp or rsync.
Persoonlijk vind ik deze mentaliteit toch wel zeer gevaarlijk. Het heeft er alle schijn van dat deze persoon zijn eigen "mark" wil zetten ipv goed te kijken naar OpenSSH en daar eventueel dingen aan veranderen - als dat echt moet. Ik moet eerlijk gezegd zeggen dat ik OpenBSD echt serieus bekijk. Zij zijn de kampioenen van simplificatie en dingen worden pas opgeleverd als ze dat echt zijn. En daarbij zal een bug echt niet zo erg zijn als bv die grote van Windows TCP met een impact van 9.8
Door donderslag:
Persoonlijk vind ik deze mentaliteit toch wel zeer gevaarlijk.
Ben ik het mee eens. Het voortdurende risico dat men werkende features "deprecated" verklaart en daarmee bestaandePersoonlijk vind ik deze mentaliteit toch wel zeer gevaarlijk.
systemen in problemen brengt is een groot gevaar van opensource systemen.
Wil je iets beters maken prima maar breek dan niet af wat er al is en wat werkt, en wat voor anderen (die niet achter iedere
boom een spook zien) gewoon een onderdeel van hun werkende omgeving is.
Het betoog in de gelinkte post vind ik weinig overtuigend. Er wordt wat gerapt over een security issue dat er ooit was over het overschrijven van files, en dat de community iets vindt van scp, maar dat laatste is niet onderbouwd.
Normaliter als iemand een bepaald commando of service niet goed vindt, dan vindt er een fork plaats, of wordt er een geheel nieuw ontwerp gemaakt met vergelijkbare en betere functionaliteit. Het is aan de eindgebruiker om te bepalen welke commando's en tools hij/zij gebruikt.
Ik kan mij trouwens niet voorstellen dat scp niet veel wordt gebruikt in scripting, aangezien het voor admins een gemakkelijke tool is om iets te clonen. Wel is het zo dat scp niet is bedoeld voor eigengemaakte scripts voor back-ups en ander soort admin-werk, daar zijn rsync/etc. beter voor geschikt.
Normaliter als iemand een bepaald commando of service niet goed vindt, dan vindt er een fork plaats, of wordt er een geheel nieuw ontwerp gemaakt met vergelijkbare en betere functionaliteit. Het is aan de eindgebruiker om te bepalen welke commando's en tools hij/zij gebruikt.
Ik kan mij trouwens niet voorstellen dat scp niet veel wordt gebruikt in scripting, aangezien het voor admins een gemakkelijke tool is om iets te clonen. Wel is het zo dat scp niet is bedoeld voor eigengemaakte scripts voor back-ups en ander soort admin-werk, daar zijn rsync/etc. beter voor geschikt.
Door Anoniem: Het betoog in de gelinkte post vind ik weinig overtuigend. Er wordt wat gerapt over een security issue dat er ooit was over het overschrijven van files, en dat de community iets vindt van scp, maar dat laatste is niet onderbouwd.
Normaliter als iemand een bepaald commando of service niet goed vindt, dan vindt er een fork plaats, of wordt er een geheel nieuw ontwerp gemaakt met vergelijkbare en betere functionaliteit. Het is aan de eindgebruiker om te bepalen welke commando's en tools hij/zij gebruikt.
Ik kan mij trouwens niet voorstellen dat scp niet veel wordt gebruikt in scripting, aangezien het voor admins een gemakkelijke tool is om iets te clonen. Wel is het zo dat scp niet is bedoeld voor eigengemaakte scripts voor back-ups en ander soort admin-werk, daar zijn rsync/etc. beter voor geschikt.
Normaliter als iemand een bepaald commando of service niet goed vindt, dan vindt er een fork plaats, of wordt er een geheel nieuw ontwerp gemaakt met vergelijkbare en betere functionaliteit. Het is aan de eindgebruiker om te bepalen welke commando's en tools hij/zij gebruikt.
Ik kan mij trouwens niet voorstellen dat scp niet veel wordt gebruikt in scripting, aangezien het voor admins een gemakkelijke tool is om iets te clonen. Wel is het zo dat scp niet is bedoeld voor eigengemaakte scripts voor back-ups en ander soort admin-werk, daar zijn rsync/etc. beter voor geschikt.
Addendum: wist je dat Time-Machine op MacOS eigenlijk een front-end is voor rsync?
TS hier, bedankt voor de reacties!
Ik gebruik scp best veel in scripts eingenlijk, om wat files over te pompen bij een installatie bijvoorbeeld. Maar ik zie je punt zeker voor backups, dan werkt rsync (of iets zoals duplicity, wat volgens mij dan weer rsync gebruikt) inderdaad een stuk beter!
Ha, nee, dat wist ik niet! Grappig! :) TIL
Ik kan mij trouwens niet voorstellen dat scp niet veel wordt gebruikt in scripting, aangezien het voor admins een gemakkelijke tool is om iets te clonen. Wel is het zo dat scp niet is bedoeld voor eigengemaakte scripts voor back-ups en ander soort admin-werk, daar zijn rsync/etc. beter voor geschikt.
Ik gebruik scp best veel in scripts eingenlijk, om wat files over te pompen bij een installatie bijvoorbeeld. Maar ik zie je punt zeker voor backups, dan werkt rsync (of iets zoals duplicity, wat volgens mij dan weer rsync gebruikt) inderdaad een stuk beter!
Addendum: wist je dat Time-Machine op MacOS eigenlijk een front-end is voor rsync?
Ha, nee, dat wist ik niet! Grappig! :) TIL
Door donderslag: Persoonlijk vind ik deze mentaliteit toch wel zeer gevaarlijk. Het heeft er alle schijn van dat deze persoon zijn eigen "mark" wil zetten ipv goed te kijken naar OpenSSH en daar eventueel dingen aan veranderen - als dat echt moet.
Gevaarlijk? Welnee. Dit is een redacteur van LWN die beschrijft dat scp zwakheden heeft, wat die zwakheden zijn en wat er gaande is om het te vervangen. Dat betekent echt niet dat hij in zijn eentje even veroorzaakt dat scp onder je voeten vandaan wordt getrokken.Hij heeft het trouwens precies over OpenSSH dat jij als lichtend voorbeeld noemt, en vertelt ook dat juist zij scp als "deprecated" beschouwen maar dat een vulnerability door hun niet wordt opgelost omdat ze scp niet weg willen halen tot daar een gangbaar alternatief voor is. Precies waar je bang voor bent hoef je dus niet te verwachten.
Vervolgens beschrijft hij dat rsync en sftp de gebruikelijke antwoorden zijn op de vraag wat dat alternatief dan zou moeten zijn, en ook dat er iemand bezig is met een scp-implementatie die op sftp gebaseerd is.
Dit is gewoon een beschrijving van wat er allemaal gaande is rond scp. Nuttig, want nu weet je dat er een keer een verandering aan gaat komen. Mogelijk wordt dat een herimplementatie van scp die voor eenvoudig gebruik compatibel is met de huidige maar bij complexer gebruik niet.
Met die kennis kan je nu al de scp-aanroepen in scripts opsporen en inventariseren welke argumenten je gebruikt, en nu al kijken wat daarvan bijvoorbeeld makkelijk naar rsync is om te zetten en wat niet. Het lijkt overigens niet iets te zijn waar je je op korte termijn al zorgen over moet maken, maar het kan geen kwaad om inzicht te hebben in je huidige scp-gebruik.
Het is niet gevaarlijk om op de hoogte gehouden te worden van ontwikkelingen, het is juist gevaarlijk als je overvallen wordt door een verandering en er haastig op moet reageren in plaats van je in alle rust erop voor te bereiden.
Trouwens, als scp zou vervallen zou dat in de release notes van een major upgrade van de Linux-distro die je gebruikt staan. Die lezen jullie toch wel grondig door voor je zo'n grote upgrade uitrolt? En jullie testen dan toch of jullie spullen nog werken, neem ik aan? Zelfs als je dit artikel niet had gelezen zou het niet gevaarlijk moeten worden als scp zou vervallen. Hooguit lastig.
@donderslag en anoniem van gisteren 10:57: als jullie zoveel moeite hebben om te begrijpen wat een artikel je eigenlijk vertelt dat je denkt dat een auteur die alleen maar een ontwikkeling beschrijft zelf iets gevaarlijks aan het doen is, dan zou ik jullie aanraden om jezelf eens serieus te gaan trainen in begrijpend lezen.
Door Anoniem:
Hij heeft het trouwens precies over OpenSSH dat jij als lichtend voorbeeld noemt, en vertelt ook dat juist zij scp als "deprecated" beschouwen maar dat een vulnerability door hun niet wordt opgelost omdat ze scp niet weg willen halen tot daar een gangbaar alternatief voor is. Precies waar je bang voor bent hoef je dus niet te verwachten.
Vervolgens beschrijft hij dat rsync en sftp de gebruikelijke antwoorden zijn op de vraag wat dat alternatief dan zou moeten zijn, en ook dat er iemand bezig is met een scp-implementatie die op sftp gebaseerd is.
Dit is gewoon een beschrijving van wat er allemaal gaande is rond scp. Nuttig, want nu weet je dat er een keer een verandering aan gaat komen. Mogelijk wordt dat een herimplementatie van scp die voor eenvoudig gebruik compatibel is met de huidige maar bij complexer gebruik niet.
Met die kennis kan je nu al de scp-aanroepen in scripts opsporen en inventariseren welke argumenten je gebruikt, en nu al kijken wat daarvan bijvoorbeeld makkelijk naar rsync is om te zetten en wat niet. Het lijkt overigens niet iets te zijn waar je je op korte termijn al zorgen over moet maken, maar het kan geen kwaad om inzicht te hebben in je huidige scp-gebruik.
Het is niet gevaarlijk om op de hoogte gehouden te worden van ontwikkelingen, het is juist gevaarlijk als je overvallen wordt door een verandering en er haastig op moet reageren in plaats van je in alle rust erop voor te bereiden.
Trouwens, als scp zou vervallen zou dat in de release notes van een major upgrade van de Linux-distro die je gebruikt staan. Die lezen jullie toch wel grondig door voor je zo'n grote upgrade uitrolt? En jullie testen dan toch of jullie spullen nog werken, neem ik aan? Zelfs als je dit artikel niet had gelezen zou het niet gevaarlijk moeten worden als scp zou vervallen. Hooguit lastig.
@donderslag en anoniem van gisteren 10:57: als jullie zoveel moeite hebben om te begrijpen wat een artikel je eigenlijk vertelt dat je denkt dat een auteur die alleen maar een ontwikkeling beschrijft zelf iets gevaarlijks aan het doen is, dan zou ik jullie aanraden om jezelf eens serieus te gaan trainen in begrijpend lezen.
Door donderslag: Persoonlijk vind ik deze mentaliteit toch wel zeer gevaarlijk. Het heeft er alle schijn van dat deze persoon zijn eigen "mark" wil zetten ipv goed te kijken naar OpenSSH en daar eventueel dingen aan veranderen - als dat echt moet.
Gevaarlijk? Welnee. Dit is een redacteur van LWN die beschrijft dat scp zwakheden heeft, wat die zwakheden zijn en wat er gaande is om het te vervangen. Dat betekent echt niet dat hij in zijn eentje even veroorzaakt dat scp onder je voeten vandaan wordt getrokken.Hij heeft het trouwens precies over OpenSSH dat jij als lichtend voorbeeld noemt, en vertelt ook dat juist zij scp als "deprecated" beschouwen maar dat een vulnerability door hun niet wordt opgelost omdat ze scp niet weg willen halen tot daar een gangbaar alternatief voor is. Precies waar je bang voor bent hoef je dus niet te verwachten.
Vervolgens beschrijft hij dat rsync en sftp de gebruikelijke antwoorden zijn op de vraag wat dat alternatief dan zou moeten zijn, en ook dat er iemand bezig is met een scp-implementatie die op sftp gebaseerd is.
Dit is gewoon een beschrijving van wat er allemaal gaande is rond scp. Nuttig, want nu weet je dat er een keer een verandering aan gaat komen. Mogelijk wordt dat een herimplementatie van scp die voor eenvoudig gebruik compatibel is met de huidige maar bij complexer gebruik niet.
Met die kennis kan je nu al de scp-aanroepen in scripts opsporen en inventariseren welke argumenten je gebruikt, en nu al kijken wat daarvan bijvoorbeeld makkelijk naar rsync is om te zetten en wat niet. Het lijkt overigens niet iets te zijn waar je je op korte termijn al zorgen over moet maken, maar het kan geen kwaad om inzicht te hebben in je huidige scp-gebruik.
Het is niet gevaarlijk om op de hoogte gehouden te worden van ontwikkelingen, het is juist gevaarlijk als je overvallen wordt door een verandering en er haastig op moet reageren in plaats van je in alle rust erop voor te bereiden.
Trouwens, als scp zou vervallen zou dat in de release notes van een major upgrade van de Linux-distro die je gebruikt staan. Die lezen jullie toch wel grondig door voor je zo'n grote upgrade uitrolt? En jullie testen dan toch of jullie spullen nog werken, neem ik aan? Zelfs als je dit artikel niet had gelezen zou het niet gevaarlijk moeten worden als scp zou vervallen. Hooguit lastig.
@donderslag en anoniem van gisteren 10:57: als jullie zoveel moeite hebben om te begrijpen wat een artikel je eigenlijk vertelt dat je denkt dat een auteur die alleen maar een ontwikkeling beschrijft zelf iets gevaarlijks aan het doen is, dan zou ik jullie aanraden om jezelf eens serieus te gaan trainen in begrijpend lezen.
Gelinked vanuit het LWN artikel was dit ook erg boeiend :
https://news.ycombinator.com/item?id=25006723
Een solide uitleg dat SFTP heel veel issues heeft .
Erg complex, en slecht performend over LFN's (long fat networks) - oftewel high(er)latency verbindingen die wel een hoge bandbreedte hebben.
Door Anoniem:
systemen in problemen brengt is een groot gevaar van opensource systemen.
Wil je iets beters maken prima maar breek dan niet af wat er al is en wat werkt, en wat voor anderen (die niet achter iedere
boom een spook zien) gewoon een onderdeel van hun werkende omgeving is.
Door donderslag:
Persoonlijk vind ik deze mentaliteit toch wel zeer gevaarlijk.
Ben ik het mee eens. Het voortdurende risico dat men werkende features "deprecated" verklaart en daarmee bestaandePersoonlijk vind ik deze mentaliteit toch wel zeer gevaarlijk.
systemen in problemen brengt is een groot gevaar van opensource systemen.
Wil je iets beters maken prima maar breek dan niet af wat er al is en wat werkt, en wat voor anderen (die niet achter iedere
boom een spook zien) gewoon een onderdeel van hun werkende omgeving is.
Zoals overigens in datzelfde OpenSSH met DSA (ssh-dss) gebeurde;
geen enkele argument dat het niet goed is, maar "nieuwer = goeier", dus oude schoenen weggooien.
Maar wat hier gebeurd is eigenlijk nog kwalijker: "jij" komt met foute syntax, en omdat dat "raar" doet (hoewel, eigenlijk niet dus), moet scp het maar ontgelden. Raar.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Netwerk Security Engineer
Luchtverkeersleiding Nederland
Als Netwerk Security Engineer ontwerp en optimaliseer je onze technische netwerk- en beveiligingsinfrastructuur. Je stuurt tech-nische veranderingen aan op basis van de gestelde architectuur kaders en helpt mee met de uitvoering ervan. Ben jij een gedreven professional met passie voor netwerk-beveiliging? Dan is deze functie als Netwerk Security Engineer bij Luchtverkeersleiding Nederland (LVNL) iets voor jou!
Lead Network Security Engineer
Luchtverkeersleiding Nederland
Word Lead Network Security Engineer bij LVNL. Ontwerp en implementeer security-oplossingen die de luchtverkeersleidings-systemen veilig houden. Solliciteer nu en draag bij aan onze cyberweerbaarheid! Als Lead Network Security Engineer bij LVNL ben je verantwoordelijk voor het ontwerpen, implementeren en optimaliseren van de netwerkbeveiliging die cruciaal is voor de veilige en efficiënte werking van het luchtverkeersleidingssysteem in Nederland.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?