Po čtyřech měsících vývoje zahájení nová verze OpenSSH 8.4, otevřená implementace klienta a serveru pro SSH 2.0 a SFTP.
V nové verzi vyniká 100% úplnou implementací protokolu SSH 2.0 a kromě zahrnutí změn v podpoře serveru a klienta sftp také pro FIDO, Ssh-keygen a některé další změny.
Hlavní nové funkce OpenSSH 8.4
Ssh-agent nyní ověří, že zpráva bude podepsána pomocí metod SSH při použití klíčů FIDO, které nebyly vygenerovány pro ověřování SSH (ID klíče nezačíná řetězcem „ssh:“).
Změnit nepovolí přesměrování ssh-agent na vzdálené hostitele, kteří mají klíče FIDO blokovat možnost použití těchto klíčů ke generování podpisů pro požadavky na webové ověřování (jinak, když prohlížeč může podepsat požadavek SSH, byl původně vyloučen z důvodu použití předpony „ssh:“ v identifikaci klíče).
SSH-keygen, při generování rezidentního klíče, zahrnuje podporu pluginu credProtect popsáno ve specifikaci FIDO 2.1, která poskytuje další ochranu klíčů tím, že vyžaduje zadání PIN před provedením jakýchkoli operací, které mohou vyústit v extrakci rezidentního klíče z tokenu.
Pokud jde o změny, které potenciálně narušují kompatibilitu:
Pro kompatibilitu s FIDO U2F, doporučuje se použít knihovnu libfido2 alespoň verze 1.5.0. Možnost použití starých vydání je částečně implementována, ale v tomto případě nebudou k dispozici funkce, jako jsou rezidentní klíče, požadavek na PIN a připojení několika tokenů.
V ssh-keygen, ve formátu potvrzovacích informací, které se volitelně ukládají při generování klíče FIDO, jsou přidána data ověřovatele, který je vyžadován k ověření potvrzovacích digitálních podpisů.
Při vytváření přenosná verze OpenSSH, je nyní pro vygenerování konfiguračního skriptu vyžadováno automake a doprovodné soubory sestavy (pokud kompilujete ze souboru tar publikovaného v kódu, nemusíte znovu sestavovat konfiguraci).
Přidána podpora pro klíče FIDO, které vyžadují ověření PIN pro ssh a ssh-keygen. Pro generování klíčů pomocí PIN byla do ssh-keygen přidána možnost „ověřit vyžadováno“. V případě použití těchto klíčů je uživatel před provedením operace vytvoření podpisu vyzván k potvrzení svých akcí zadáním PIN kódu.
V sshd je v konfiguraci authorized_keys implementována možnost "ověřit vyžadováno", což vyžaduje použití schopností k ověření přítomnosti uživatele během tokenových operací.
Sshd a ssh-keygen přidali podporu pro ověřování digitálních podpisů které odpovídají standardu FIDO Webauthn, který umožňuje použití klíčů FIDO ve webových prohlížečích.
Z dalších změn, které vynikají:
- Přidána podpora ssh a ssh-agent pro proměnnou prostředí $ SSH_ASKPASS_REQUIRE, kterou lze použít k povolení nebo zakázání volání ssh-askpass.
- V ssh, v ssh_config, ve směrnici AddKeysToAgent byla přidána možnost omezit dobu platnosti klíče. Po uplynutí zadaného limitu jsou klíče automaticky odstraněny z ssh-agenta.
- V scp a sftp můžete pomocí příznaku „-A“ nyní explicitně povolit přesměrování v scp a sftp pomocí ssh-agent (ve výchozím nastavení je přesměrování zakázáno).
- Přidána podpora pro nahrazení '% k' v ssh config pro název klíče hostitele.
- Sshd poskytuje protokol začátku a konce procesu přerušení připojení, který je řízen parametrem MaxStartups.
Jak nainstalovat OpenSSH 8.4 na Linux?
Pro ty, kteří mají zájem o instalaci této nové verze OpenSSH do svých systémů, teď to mohou udělat stažení zdrojového kódu tohoto a provedení kompilace na svých počítačích.
Je to proto, že nová verze ještě nebyla zahrnuta do úložišť hlavních distribucí Linuxu. Chcete-li získat zdrojový kód, můžete to udělat z následující odkaz.
Dokončete stahování, nyní rozbalíme balíček pomocí následujícího příkazu:
tar -xvf openssh -8.4.tar.gz
Vstupujeme do vytvořeného adresáře:
cd openssh-8.4
Y můžeme sestavit s následující příkazy:
./configure --prefix = / opt --sysconfdir = / etc / ssh provést make install