Новата версия на OpenSSH 10.1 вече е наличен и въвежда значителни подобрения в сигурността и функционалността, фокусирани върху блокирането на потенциални вектори на атака и осигуряването на по-добър контрол за администраторите и опитните потребители.
Една от най-забележителните промени адресира уязвимост, която позволява на атакуващ да манипулира команди на shell използване на специални символи в потребителски имена или URI адреси, когато се използва опцията ProxyCommand със замествания %u.
Този проблем Това засегна главно системи, които получиха данни от ненадеждни източници.За да се справи с това, OpenSSH 10.1 вече забранява използването на контролни и нулеви символи в потребителски имена, подавани в командния ред или в ssh:// URL адреси. Само стойностите, дефинирани в локални конфигурационни файлове, които се считат за надеждни, са освободени от това ограничение.
Функционални подобрения в ssh и ssh-agent
OpenSSH 10.1 Разширява поддръжката на ключове, като позволява използването на ED25519 съхранявани в PKCS#11 токени, което засилва криптографската сигурност, без да се жертва гъвкавостта. Освен това, въвежда нова опция конфигурационно повикване Свързване с отпадъци, които могат да се използват да прекратите връзката по контролиран начин и да показвате персонализирани съобщения, идеален за пренасочване на потребители или уведомяване за остарели сървъри.
така Както ssh, така и sshd вече включват обработчици на сигнали SIGINFO., които регистрират информация за активни сесии и канали, улеснявайки отстраняването на грешки и наблюдението в реално време. Междувременно процесът на удостоверяване на сертификата добавя допълнителен слой прозрачност: когато удостоверяването е неуспешно, логът ще включва подробностите, необходими за идентифициране на съответния сертификат.
Промени, които влияят на съвместимостта
OpenSSH 10.1 въвежда корекции, които, макар и необходими, могат да повлияят на предишни конфигурации. Една от тях е предупреждение за криптографски алгоритми, уязвими към квантови атаки, Проектирано да предупреждава за методи за обмен на ключове, които може да не са устойчиви на бъдещи атаки, базирани на квантови изчисления. Администраторите могат да деактивират това предупреждение с новата опция WarnWeakCrypto.
също Управлението на параметрите за качество на услугите беше прегледано (IPQoS). Сега, Интерактивният трафик е с приоритет от клас EF (Ускорено пренасочване), което подобрява работата в безжични мрежи. Неинтерактивният трафик, от друга страна, остава в класа по подразбиране на операционната система. Освен това, използването на старите параметри ToS (Тип на услугата) е премахнато в полза на DSCP, настоящия стандарт.
Подобрения в сигурността, производителността и вътрешната структура
Сред вътрешните промени, sUnix сокетите на ssh-agent и sshd са преместени от /tmp в ~/.ssh/agent, ключово решение за предотвратяване на неоторизиран достъп от процеси с ограничения за файлове. По същия начин, регистрационните файлове SHA1-базираните SSHFP DNS се считат за остарели и ще бъдат заменени от версии, които използват SHA256, укрепване на криптографската цялост.
Командата ssh-add вече автоматично добавя петминутен буфер към периода на валидност на сертификата, като гарантира, че той ще бъде изтрит след изтичане. Тези, които желаят да деактивират това поведение, могат да го направят с новата опция -N. И накрая, поддръжката за XMSS ключове, които се считаха за експериментални и никога не бяха активирани по подразбиране, беше премахната.
Поправки и подобрения при портиране
В OpenSSH 10.1 това беше поправено множество течове на памет, условия на състезание и грешки в процеси като MaxStartups и обработка на X11 сесии. Освен това, записването на файлове known_hosts е оптимизирано, което го прави по-атомарно, за да се избегнат проблеми в среди с висока паралелност.
Що се отнася до преносимостта, Добавени са нови проверки за PAM среди, подобреното интеграция с FreeBSD, macOS и Android, и бяха въведени заглавки за съвместимост за системи, на които липсват определени стандартни библиотеки. Тези промени гарантират, че OpenSSH ще остане надежден и стабилен инструмент на широк спектър от платформи.
Ако сте заинтересовани да научите повече за това, можете да проверите подробностите в следната връзка.
Как да инсталирам OpenSSH на Linux?
За тези, които се интересуват от възможността да инсталират тази нова версия на OpenSSH на своите системи, засега те могат да го направят изтегляне на изходния код на това и извършване на компилацията на техните компютри.
Това е така, защото новата версия все още не е включена в хранилищата на основните дистрибуции на Linux. За да получите изходния код, можете да направите от следната връзка.
Извършено изтегляне, сега ще разархивираме пакета със следната команда:
tar -xvf openssh -10.1.tar.gz
Въвеждаме създадената директория:
CD openssh-10.1
Y можем да компилираме с следните команди:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install