Μετά από τέσσερις μήνες ανάπτυξης η έναρξη του τη νέα έκδοση του OpenSSH 8.4, μια ανοιχτή εφαρμογή πελάτη και διακομιστή για SSH 2.0 και SFTP.
Στη νέα έκδοση ξεχωρίζει για την 100% ολοκληρωμένη εφαρμογή του πρωτοκόλλου SSH 2.0 και εκτός από τη συμπερίληψη αλλαγών στην υποστήριξη για διακομιστή sftp και πελάτη, επίσης για FIDO, Ssh-keygen και μερικές άλλες αλλαγές.
Κύρια νέα χαρακτηριστικά του OpenSSH 8.4
Το Ssh-agent επαληθεύει τώρα ότι το μήνυμα θα υπογραφεί χρησιμοποιώντας μεθόδους SSH όταν χρησιμοποιείτε κλειδιά FIDO που δεν δημιουργήθηκαν για έλεγχο ταυτότητας SSH (το αναγνωριστικό κλειδιού δεν ξεκινά με τη συμβολοσειρά "ssh:").
Η αλλαγή δεν θα επιτρέψει την ανακατεύθυνση του ssh-agent σε απομακρυσμένους κεντρικούς υπολογιστές που έχουν κλειδιά FIDO για να αποκλείσετε τη δυνατότητα χρήσης αυτών των κλειδιών για τη δημιουργία υπογραφών για αιτήματα ελέγχου ταυτότητας ιστού (διαφορετικά, όταν το πρόγραμμα περιήγησης μπορεί να υπογράψει ένα αίτημα SSH, αρχικά αποκλείστηκε λόγω της χρήσης του προθέματος "ssh:" στην αναγνώριση κλειδιού).
ssh-keygen, όταν δημιουργείτε ένα κλειδί κατοίκου, περιλαμβάνει υποστήριξη για την προσθήκη credProtect περιγράφεται στην προδιαγραφή FIDO 2.1, η οποία παρέχει πρόσθετη προστασία για κλειδιά, απαιτώντας την εισαγωγή PIN πριν από την εκτέλεση οποιωνδήποτε λειτουργιών που ενδέχεται να έχουν ως αποτέλεσμα την εξαγωγή του κλειδιού από το διακριτικό.
Σχετικά με αλλαγές που ενδέχεται να σπάσουν τη συμβατότητα:
Για συμβατότητα με FIDO U2F, συνιστάται η χρήση βιβλιοθήκης libfido2 τουλάχιστον του έκδοση 1.5.0. Η δυνατότητα χρήσης παλαιών εκδόσεων εφαρμόζεται μερικώς, αλλά σε αυτήν την περίπτωση λειτουργίες όπως κλειδιά διαμονής, αίτημα PIN και σύνδεση πολλών διακριτικών δεν θα είναι διαθέσιμα.
Στο ssh-keygen, με τη μορφή των πληροφοριών επιβεβαίωσης, οι οποίες προαιρετικά αποθηκεύονται κατά τη δημιουργία του κλειδιού FIDO, προστίθενται τα δεδομένα ελέγχου ταυτότητας, που απαιτείται για την επαλήθευση των ψηφιακών υπογραφών επιβεβαίωσης.
Κατά τη δημιουργία ενός φορητή έκδοση του OpenSSH, απαιτείται αυτόματη δημιουργία για τη δημιουργία του σεναρίου διαμόρφωσης και τα συνοδευτικά αρχεία συναρμολόγησης (εάν συντάσσετε από ένα αρχείο tar που έχει δημοσιευτεί με κώδικα, δεν χρειάζεται να ξαναδημιουργήσετε το config.
Προστέθηκε υποστήριξη για κλειδιά FIDO που απαιτούν επαλήθευση PIN για ssh και ssh-keygen. Για να δημιουργήσετε κλειδιά με PIN, η επιλογή "απαιτείται επαλήθευση" έχει προστεθεί στο ssh-keygen. Σε περίπτωση χρήσης τέτοιων κλειδιών, πριν από την εκτέλεση της λειτουργίας δημιουργίας υπογραφής, ο χρήστης καλείται να επιβεβαιώσει τις ενέργειές του εισάγοντας τον κωδικό PIN.
Στο sshd, στη διαμόρφωση εξουσιοδοτημένων κλειδιών, εφαρμόζεται η επιλογή "επαλήθευση που απαιτείται", που απαιτεί τη χρήση δυνατοτήτων για την επαλήθευση της παρουσίας ενός χρήστη κατά τη διάρκεια των λειτουργιών διακριτικών.
Οι Sshd και ssh-keygen έχουν προσθέσει υποστήριξη για την επαλήθευση ψηφιακών υπογραφών που συμμορφώνονται με το πρότυπο FIDO Webauthn, το οποίο επιτρέπει τα κλειδιά FIDO να χρησιμοποιούνται σε προγράμματα περιήγησης ιστού.
Από τις άλλες αλλαγές που ξεχωρίζουν:
- Προστέθηκε υποστήριξη ssh και ssh-agent για τη μεταβλητή περιβάλλοντος $ SSH_ASKPASS_REQUIRE, η οποία μπορεί να χρησιμοποιηθεί για την ενεργοποίηση ή απενεργοποίηση της κλήσης ssh-askpass.
- Στο ssh, στο ssh_config, στην οδηγία AddKeysToAgent, προστέθηκε η δυνατότητα περιορισμού της περιόδου ισχύος κλειδιού. Μετά τη λήξη του καθορισμένου ορίου, τα κλειδιά αφαιρούνται αυτόματα από τον πράκτορα ssh.
- Στα scp και sftp, χρησιμοποιώντας τη σημαία "-A", μπορείτε πλέον να επιτρέψετε ρητά την ανακατεύθυνση στο scp και το sftp χρησιμοποιώντας το ssh-agent (από προεπιλογή, η ανακατεύθυνση είναι απενεργοποιημένη).
- Προστέθηκε υποστήριξη για αντικατάσταση '% k' στο ssh config για όνομα κλειδιού κεντρικού υπολογιστή.
- Το Sshd παρέχει το αρχείο καταγραφής της έναρξης και του τέλους της διαδικασίας διακοπής σύνδεσης, που ελέγχεται από την παράμετρο MaxStartups.
Πώς να εγκαταστήσετε το OpenSSH 8.4 σε Linux;
Για όσους ενδιαφέρονται να εγκαταστήσουν αυτήν τη νέα έκδοση του OpenSSH στα συστήματά τους, για τώρα μπορούν να το κάνουν λήψη του πηγαίου κώδικα αυτού και εκτελούν τη συλλογή στους υπολογιστές τους.
Αυτό συμβαίνει επειδή η νέα έκδοση δεν έχει ακόμη συμπεριληφθεί στα αποθετήρια των κύριων διανομών Linux. Για να λάβετε τον πηγαίο κώδικα, μπορείτε να το κάνετε από τον ακόλουθο σύνδεσμο.
Έγινε η λήψη, τώρα θα αποσυμπιέσουμε το πακέτο με την ακόλουθη εντολή:
tar -xvf ανοίγει -8.4.tar.gz
Μπαίνουμε στον δημιουργημένο κατάλογο:
cd ανοίγει-8.4
Y μπορούμε να συντάξουμε με τις ακόλουθες εντολές:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install