Nakon četiri mjeseca razvoja lansiranje nova verzija OpenSSH 8.4, otvorena implementacija klijenta i servera za SSH 2.0 i SFTP.
U novoj verziji izdvaja se kao stopostotna implementacija SSH 100 protokola i pored uključivanja promjena u podršci za sftp server i klijenta, također za FIDO, Ssh-keygen i neke druge promjene.
Glavne nove karakteristike OpenSSH 8.4
Ssh-agent sada potvrđuje da će poruka biti potpisana pomoću SSH metoda kada koristite FIDO ključeve koji nisu generirani za SSH provjeru autentičnosti (ID ključa ne započinje nizom "ssh:").
Promjena neće dopustiti preusmjeravanje ssh-agenta na udaljene hostove koji imaju FIDO ključeve kako bi se blokirala mogućnost korištenja ovih ključeva za generiranje potpisa za zahtjeve za web provjeru autentičnosti (u suprotnom, kada preglednik može potpisati SSH zahtjev, on je u početku bio isključen zbog upotrebe prefiksa "ssh:" u identifikaciji ključa).
ssh-keygen, prilikom generiranja rezidentnog ključa, uključuje podršku za dodatak credProtect navedeno u specifikaciji FIDO 2.1, koja pruža dodatnu zaštitu ključeva zahtijevajući unos PIN-a prije izvođenja bilo kakvih operacija koje bi mogle rezultirati izvlačenjem rezidentnog ključa iz tokena.
Što se tiče promjene koje potencijalno narušavaju kompatibilnost:
Radi kompatibilnosti sa FIDO U2F, preporučljivo je koristiti biblioteku libfido2 barem verzija 1.5.0. Mogućnost korištenja starih izdanja djelomično je implementirana, ali u ovom slučaju funkcije kao što su rezidentni ključevi, zahtjev za PIN i povezivanje nekoliko tokena neće biti dostupne.
U ssh-keygenu, u formatu podataka o potvrdi, koji se po želji spremaju prilikom generiranja FIDO ključa, dodaju se podaci za provjeru autentičnosti, koja je potrebna za potvrdu digitalnih potpisa sa potvrdom.
Prilikom kreiranja a prijenosna verzija OpenSSH-a, automake je sada potreban za generiranje skripte za postavljanje i prateće montažne datoteke (ako kompajlirate iz tar datoteke objavljene kodom, ne trebate ponovno graditi konfiguraciju).
Dodana podrška za FIDO ključeve koji zahtijevaju potvrdu PIN-a za ssh i ssh-keygen. Da biste generirali ključeve s PIN-om, u ssh-keygen je dodana opcija "provjeri potrebno". U slučaju upotrebe takvih ključeva, prije izvođenja radnje kreiranja potpisa, od korisnika se traži da potvrdi svoje postupke unošenjem PIN koda.
U sshd-u, u konfiguraciji auth_keys, implementirana je opcija "provjeri potrebno", što zahtijeva upotrebu mogućnosti za provjeru prisutnosti korisnika tijekom operacija tokena.
Sshd i ssh-keygen dodali su podršku za provjeru digitalnih potpisa koji su u skladu sa FIDO Webauthn standardom, koji omogućava upotrebu FIDO tipki u web preglednicima.
Od ostalih promjena koje se ističu:
- Dodana je podrška ssh i ssh-agent za varijablu okoline $ SSH_ASKPASS_REQUIRE koja se može koristiti za omogućavanje ili onemogućavanje poziva ssh-askpass.
- U ssh, u ssh_config, u AddKeysToAgent direktivi dodana je mogućnost ograničenja razdoblja valjanosti ključa. Nakon isteka navedenog ograničenja, ključevi se automatski uklanjaju iz ssh-agenta.
- U scp i sftp, koristeći zastavicu "-A", sada možete izričito dopustiti preusmjeravanje u scp i sftp pomoću ssh-agenta (prema zadanim postavkama preusmjeravanje je onemogućeno).
- Dodana podrška za zamjenu '% k' u ssh konfiguraciji za ime ključa hosta.
- Sshd pruža dnevnik početka i završetka procesa pada veze, kontroliran parametrom MaxStartups.
Kako instalirati OpenSSH 8.4 na Linux?
Za one koje zanima mogućnost instaliranja ove nove verzije OpenSSH-a na svoje sisteme, za sada to mogu preuzimanje izvornog koda ovog i izvodeći kompilaciju na svojim računarima.
To je zato što nova verzija još nije uključena u spremišta glavnih Linux distribucija. Da biste dobili izvorni kod, možete to učiniti putem sljedeći link.
Završeno preuzimanje, sada ćemo raspakirati paket slijedećom naredbom:
tar -xvf openssh -8.4.tar.gz
Ulazimo u kreirani direktorij:
cd openssh-8.4
Y možemo kompajlirati sa sljedeće naredbe:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install