לאחר ארבעה חודשי התפתחות ההשקה של הגרסה החדשה של OpenSSH 8.4, יישום לקוח ושרת פתוח עבור SSH 2.0 ו- SFTP.
בגרסה החדשה בולט בהיותו יישום שלם של 100% של פרוטוקול SSH 2.0 ובנוסף לכלול שינויים בתמיכה בשרת sftp ובלקוח, גם ב- FIDO, Ssh-keygen וכמה שינויים אחרים.
התכונות החדשות העיקריות של OpenSSH 8.4
Ssh-agent מאמת כעת שההודעה תיחתם בשיטות SSH בעת שימוש במקשי FIDO שלא נוצרו לצורך אימות SSH (מזהה המפתח לא מתחיל במחרוזת "ssh:").
השינוי לא יאפשר להפנות מחדש את ssh-agent למארחים מרוחקים שיש להם מפתחות FIDO כדי לחסום את היכולת להשתמש במפתחות אלה ליצירת חתימות לבקשות אימות אינטרנט (המקרה ההפוך, כאשר הדפדפן יכול לחתום על בקשת SSH, לא נכלל בתחילה בגלל השימוש בקידומת "ssh:" בזיהוי המפתח).
ssh-keygen, בעת יצירת מפתח תושב, כולל תמיכה בתוסף credProtect המתואר במפרט FIDO 2.1, המספק הגנה נוספת למפתחות על ידי דרישה להזין קוד PIN לפני ביצוע פעולות כלשהן העלולות לגרום לחילוץ מפתח התושב מהאסימון.
בהקשר ל שינויים שעלולים לשבור תאימות:
לתאימות עם FIDO U2F, מומלץ להשתמש בספריית libfido2 לפחות של גרסה 1.5.0. האפשרות להשתמש במהדורות ישנות מיושמת באופן חלקי, אך במקרה זה פונקציות כגון מפתחות תושב, בקשת PIN וחיבור של מספר אסימונים לא יהיו זמינים.
ב- ssh-keygen, בפורמט של פרטי האישור, אשר נשמר אופציונלי בעת יצירת מקש FIDO, נתוני המאמת מתווספים, הדרוש לאימות חתימות דיגיטליות.
בעת יצירת a בגרסה ניידת של OpenSSH, כעת נדרשת אוטומציה לייצור סקריפט ההתקנה וקבצי הרכבה נלווים (אם אתה מרכיב מקובץ זפת שפורסם בקוד, אינך צריך לבנות מחדש את התצורה).
נוסף תמיכה במפתחות FIDO הדורשים אימות PIN עבור ssh ו- ssh-keygen. כדי ליצור מפתחות עם קוד PIN, האפשרות "אמת חובה" נוספה ל- ssh-keygen. במקרה של שימוש במקשים כאלה, לפני ביצוע פעולת יצירת החתימה, המשתמש מתבקש לאשר את פעולותיו על ידי הזנת קוד ה- PIN.
ב- sshd, בתצורה מורשית_מפתחות, האפשרות "אמת חובה" מיושמת, הדורש שימוש ביכולות לאימות נוכחות המשתמש במהלך פעולות אסימון.
Sshd ו- ssh-keygen הוסיפו תמיכה לאימות חתימות דיגיטליות העומדים בתקן FIDO Webauthn, המאפשר להשתמש במקשי FIDO בדפדפני אינטרנט.
משאר השינויים הבולטים:
- נוסף תמיכה ב- ssh ו- ssh-agent עבור משתנה הסביבה $ SSH_ASKPASS_REQUIRE, בו ניתן להשתמש כדי להפעיל או להשבית את שיחת ssh-askpass.
- ב- ssh, ב- ssh_config, בהנחיית AddKeysToAgent, נוספה היכולת להגביל את תקופת תוקף המפתח. לאחר שתוקף המגבלה שצוינה, המפתחות יוסרו אוטומטית מה- ssh-agent.
- ב- scp ו- sftp, באמצעות הדגל "-A", כעת אתה יכול לאפשר במפורש הפניה מחדש ב- scp ו- sftp באמצעות ssh-agent (כברירת מחדל, ניתוב מחדש מושבת).
- נוסף תמיכה בהחלפת '% k' בתצורת ssh לשם מפתח המארח.
- Sshd מספק את יומן ההתחלה והסיום של תהליך טיפת החיבור, הנשלט על ידי הפרמטר MaxStartups.
כיצד להתקין את OpenSSH 8.4 על לינוקס?
למי שמעוניין להיות מסוגל להתקין גרסה חדשה זו של OpenSSH על מערכותיהם, בינתיים הם יכולים לעשות את זה הורדת קוד המקור של זה ו - ביצוע האוסף במחשבים שלהם.
הסיבה לכך היא שהגרסה החדשה עדיין לא נכללה במאגרים של הפצות הלינוקס העיקריות. כדי לקבל את קוד המקור, אתה יכול לעשות מ הקישור הבא.
בוצע ההורדה, עכשיו אנחנו הולכים לפתוח את החבילה עם הפקודה הבאה:
זפת -xvf openssh-8.4.tar.gz
אנו נכנסים לספרייה שנוצרה:
תקליטור openssh-8.4
Y אנחנו יכולים לקמפל עם הפקודות הבאות:
./configure - prefix = / opt --sysconfdir = / etc / ssh לבצע את ההתקנה