Efter fire måneders udvikling lanceringen af den nye version af OpenSSH 8.4, en åben klient- og serverimplementering til SSH 2.0 og SFTP.
I den nye version skiller sig ud for at være en 100% komplet implementering af SSH 2.0-protokollen og ud over at inkludere ændringer i understøttelsen til sftp-server og klient, også til FIDO, Ssh-keygen og nogle andre ændringer.
Vigtigste nye funktioner i OpenSSH 8.4
Ssh-agent verificerer nu, at meddelelsen bliver underskrevet ved hjælp af SSH-metoder når du bruger FIDO-nøgler, der ikke blev genereret til SSH-godkendelse (nøgle-id'et starter ikke med strengen "ssh:").
Forandringen tillader ikke omdirigering af ssh-agent til fjernværter, der har FIDO-nøgler at blokere muligheden for at bruge disse nøgler til at generere signaturer til anmodninger om webgodkendelse (ellers, når browseren kan underskrive en SSH-anmodning, blev den oprindeligt ekskluderet på grund af brugen af præfikset "ssh:" i nøgleidentifikationen).
ssh-keygen, når du genererer en hjemmehørende nøgle, inkluderer support til credProtect-plugin beskrevet i FIDO 2.1-specifikationen, som giver yderligere beskyttelse af nøgler ved at kræve, at der indtastes en PIN-kode, inden der udføres handlinger, der kan resultere i udtrækning af den residente nøgle fra tokenet.
Vedrørende ændringer, der potentielt bryder kompatibilitet:
For kompatibilitet med FIDO U2F anbefales det at bruge libfido2-biblioteket af i det mindste version 1.5.0. Muligheden for at bruge gamle udgaver er delvist implementeret, men i dette tilfælde er funktioner som resident nøgler, PIN-anmodning og forbindelse af flere tokens ikke tilgængelige.
I ssh-keygen, i formatet af bekræftelsesoplysningerne, der eventuelt gemmes, når der genereres FIDO-nøgle, godkendelsesdataene tilføjes, som kræves for at bekræfte bekræftelse af digitale signaturer.
Når du opretter en bærbar version af OpenSSH, automake er nu påkrævet for at generere konfigurationsscriptet og ledsagende forsamlingsfiler (hvis du kompilerer fra en kode-offentliggjort tar-fil, behøver du ikke at genopbygge konfigurationen).
Tilføjet support til FIDO-nøgler, der kræver PIN-verifikation til ssh og ssh-keygen. For at generere nøgler med en PIN-kode er indstillingen "bekræft påkrævet" blevet føjet til ssh-keygen. I tilfælde af anvendelse af sådanne nøgler, inden brugeren udfører signaturoprettelsesoperationen, bliver brugeren bedt om at bekræfte deres handlinger ved at indtaste PIN-koden.
I sshd, i den autoriserede_keys konfiguration, er "bekræft påkrævet" mulighed implementeret, hvilket kræver brug af funktioner til at verificere en brugers tilstedeværelse under tokenoperationer.
Sshd og ssh-keygen har tilføjet support til verifikation af digitale signaturer der overholder FIDO Webauthn-standarden, som gør det muligt at bruge FIDO-nøgler i webbrowsere.
Af de andre ændringer, der skiller sig ud:
- Tilføjet ssh og ssh-agent support til miljøvariablen $ SSH_ASKPASS_REQUIRE, som kan bruges til at aktivere eller deaktivere ssh-askpass-opkaldet.
- I ssh, i ssh_config, i AddKeysToAgent-direktivet blev muligheden for at begrænse nøglens gyldighedsperiode tilføjet. Når den angivne grænse er udløbet, fjernes nøglerne automatisk fra ssh-agenten.
- I scp og sftp, ved hjælp af "-A" -flagget, kan du nu eksplicit tillade omdirigering i scp og sftp ved hjælp af ssh-agent (som standard er omdirigering deaktiveret).
- Tilføjet understøttelse af '% k' erstatning i ssh config for værtsnøglenavn.
- Sshd giver log over starten og slutningen af forbindelsesfaldsprocessen, styret af MaxStartups-parameteren.
Sådan installeres OpenSSH 8.4 på Linux?
For dem der er interesserede i at kunne installere denne nye version af OpenSSH på deres systemer, for nu kan de gøre det downloade kildekoden til dette og udfører kompilering på deres computere.
Dette skyldes, at den nye version endnu ikke er inkluderet i arkiverne til de vigtigste Linux-distributioner. For at få kildekoden kan du gøre fra følgende link.
Udførte download, nu skal vi pakke pakken ud med følgende kommando:
tar -xvf openssh -8.4.tar.gz
Vi går ind i den oprettede mappe:
cd openssh-8.4
Y vi kan kompilere med følgende kommandoer:
./configure --prefix = / opt --sysconfdir = / etc / ssh gør make install