Després de quatre mesos de desenvolupament es presenta el llançament de la nova versio de OpenSSH 8.4, Una implementació oberta de client i servidor per SSH 2.0 i SFTP.
En la nova versió es destaca per ser una implementació 100% completa de el protocol SSH 2.0 i més de que s'inclouen canvis en el suport per a servidor i client sftp, també per FIDO, Ssh-keygen i alguns altres canvis més.
Principals novetats d'OpenSSH 8.4
Ssh-agent ara verifica que el missatge se signarà mitjançant mètodes SSH quan s'utilitzin claus FIDO que no es van generar per a l'autenticació SSH (l'ID de clau no comença amb la cadena «ssh:»).
el canvi no permetrà redirigir ssh-agent a hosts remots que tenen claus FIDO per bloquejar la capacitat d'usar aquestes claus per generar signatures per a sol·licituds d'autenticació web (el cas contrari, quan el navegador pot signar una sol·licitud SSH, es va excloure inicialment a causa de l'ús de l'prefix «ssh:» en la identificació de la clau).
Ssh-keygen, a l'generar una clau resident, inclou suport per al complement credProtect descrit en l'especificació FIDO 2.1, que brinda protecció addicional per a les claus a l'requerir que s'ingressi un PIN abans de realitzar qualsevol operació que pugui resultar en l'extracció de la clau resident de el testimoni.
Pel que fa als canvis que potencialment trenquen la compatibilitat:
Per a la compatibilitat amb FIDO U2F, es recomana utilitzar la biblioteca libfido2 de al menys la versió 1.5.0. La possibilitat d'utilitzar edicions antigues està parcialment implementada, però en aquest cas funcions com a claus residents, sol·licitud de PIN i connexió de diversos tokens no estaran disponibles.
A ssh-keygen, en el format de la informació de confirmació, que opcionalment es guarda a l'generar la clau FIDO, s'agreguen les dades de l'autenticador, que és necessari per verificar les signatures digitals de confirmació.
A l'crear una versió portàtil d'OpenSSH, ara es requereix que automake generi l'script de configuració i els arxius d'acoblament que l'acompanyen (si està compilant a partir d'un fitxer tar publicat amb codi, no necessita tornar a generar configuri).
Es va agregar suport per claus FIDO que requereixen verificació de PIN per ssh i ssh-keygen. Per generar claus amb un PIN, s'ha afegit l'opció «verificar requerit» a ssh-keygen. En el cas d'utilitzar tals claus, abans de realitzar l'operació de creació d'una signatura, se sol·licita a l'usuari que confirmi les seves accions ingressant el codi PIN.
En sshd, en la configuració authorized_keys, s'implementa l'opció «verificar requerit», que requereix l'ús de capacitats per verificar la presència d'un usuari durant les operacions de el testimoni.
Sshd i ssh-keygen s'han agregat suport per verificar signatures digitals que compleixen amb l'estàndard FIDO Webauthn, que permet que les claus FIDO s'utilitzin en navegadors web.
Dels altres canvis que es destaquen:
- Es va agregar suport per ssh i ssh-agent per a la variable d'entorn $ SSH_ASKPASS_REQUIRE, que es pot fer servir per activar o desactivar l'anomenada ssh-askpass.
- En ssh, en ssh_config, a la directiva AddKeysToAgent, es va agregar la capacitat de limitar el període de validesa de la clau. Una vegada que ha expirat el límit especificat, les claus s'eliminen automàticament de l'ssh-agent.
- En scp i sftp, usant l'indicador «-A», ara pot permetre explícitament la redirecció a scp i sftp usant ssh-agent (per defecte, la redirecció està desactivada).
- Es va agregar suport per a la substitució '% k' a la configuració de ssh per al nom de la clau de host.
- Sshd proporciona el registre de l'inici i final de l'procés de tall de connexions, controlat pel paràmetre MaxStartups.
¿Com instal·lar OpenSSH 8.4 en Linux?
Per als que estiguin interessats en poder instal·lar aquesta nova versió d'OpenSSH en els seus sistemes, de moment podran fer-ho descarregant el codi font d'aquest i realitzant la compilació en els seus equips.
Això és degut al fet que la nova versió encara no s'ha inclòs dins dels repositoris de les principals distribucions de Linux. Per obtenir el codi font, pots fer des el següent enllaç.
Feta la descàrrega, ara anem a descomprimir el paquet amb la següent comanda:
tar -xvf openssh-8.4.tar.gz
Entrem a directori creat:
cd openssh-8.4
Y podrem realitzar la compilació amb les següents comandes:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install