Nauja „OpenSSH 10.1“ jau prieinama ir pristato reikšmingus saugumo bei funkcionalumo patobulinimus, daugiausia dėmesio skiriant galimų atakų vektorių blokavimui ir geresnės kontrolės užtikrinimui administratoriams ir patyrusiems vartotojams.
Vienas ryškiausių pokyčių išsprendžia pažeidžiamumą, kuris leido užpuolikui manipuliuoti apvalkalo komandomis naudojant specialiuosius simbolius vartotojo varduose arba URI, kai naudojama „ProxyCommand“ parinktis su %u pakeitimais.
Ši problema Tai daugiausia paveikė sistemas, kurios gaudavo duomenis iš nepatikimų šaltinių.Siekiant tai išspręsti, „OpenSSH 10.1“ dabar draudžia naudoti valdymo ir nulinius simbolius vartotojų varduose, perduodamuose komandinėje eilutėje arba ssh:// URL. Šis apribojimas netaikomas tik reikšmėms, apibrėžtoms vietiniuose konfigūracijos failuose, kurios laikomos patikimomis.
Funkciniai ssh ir ssh agento patobulinimai
OpenSSH 10.1 Praplečia pagrindinių funkcijų palaikymą, leisdamas naudoti ED25519 saugomi PKCS#11 žetonuose, kurie sustiprina kriptografinį saugumą neprarandant lankstumo. Be to, pristato naują variantą konfigūracijos iškvietimas Atsisakyti ryšio, kurį galima naudoti užbaigti ryšį kontroliuojamu būdu ir rodyti pritaikytus pranešimus, idealiai tinka nukreipti vartotojus arba pranešti apie pasenusius serverius.
taip Ir „ssh“, ir „sshd“ dabar turi SIGINFO signalų tvarkykles., kurie registruoja informaciją apie aktyvius seansus ir kanalus, palengvindami derinimą ir stebėjimą realiuoju laiku. Tuo tarpu sertifikatų autentifikavimo procesas prideda papildomą skaidrumo sluoksnį: nepavykus autentifikuoti, žurnale bus pateikta informacija, reikalinga susijusiam sertifikatui identifikuoti.
Suderinamumą įtakojantys pakeitimai
„OpenSSH 10.1“ versijoje yra pakeitimų, kurie, nors ir būtini, gali turėti įtakos ankstesnėms konfigūracijoms. Vienas iš jų yra įspėjimas apie kriptografinius algoritmus, pažeidžiamus kvantinių atakų, Sukurta įspėti apie raktų mainų metodus, kurie gali būti neatsparūs būsimoms kvantinių skaičiavimų atakoms. Administratoriai gali išjungti šį įspėjimą naudodami naują „WarnWeakCrypto“ parinktį.
taip pat Buvo peržiūrėtas paslaugų kokybės parametrų valdymas (IPQoS). Dabar, Interaktyviam srautui prioritetą suteikia EF klasė (pagreitintas persiuntimas), kuris pagerina belaidžių tinklų naudojimo patirtį. Kita vertus, neinteraktyvus srautas lieka operacinės sistemos numatytojoje klasėje. Be to, senųjų ToS (paslaugos tipo) parametrų naudojimas buvo panaikintas, o vietoje dabartinio standarto – DSCP.
Saugumo, našumo ir vidinės struktūros patobulinimai
Tarp vidinių pokyčių, s„Unix“ ssh-agent ir sshd lizdai buvo perkelti iš /tmp į ~/.ssh/agent, svarbus sprendimas siekiant užkirsti kelią neteisėtai prieigai iš procesų su failų apribojimais. Taip pat žurnalai SHA1 pagrindu veikiantys SSHFP DNS laikomi nebenaudojami ir bus pakeisti versijos, kurios naudoja SHA256, stiprinant kriptografinį vientisumą.
„ssh-add“ komanda dabar automatiškai prideda penkių minučių buferį prie sertifikato galiojimo laikotarpio, užtikrindama, kad jie būtų ištrinti pasibaigus galiojimo laikui. Tie, kurie nori išjungti šį veikimą, gali tai padaryti naudodami naująją -N parinktį. Galiausiai, buvo pašalintas XMSS raktų, kurie buvo laikomi eksperimentiniais ir niekada nebuvo įgalinti pagal numatytuosius nustatymus, palaikymas.
Perkėlimo pataisymai ir patobulinimai
„OpenSSH 10.1“ versijoje šios problemos buvo ištaisytos. daugybiniai atminties nutekėjimai, lenktynių sąlygos ir klaidos tokiuose procesuose kaip „MaxStartups“ ir X11 sesijų tvarkymas. Be to, optimizuotas „known_hosts“ failų rašymas, todėl jis tapo atomiškesnis, kad būtų išvengta problemų didelio lygiagretumo aplinkose.
Kalbant apie perkeliamumą, Pridėtos naujos patikros PAM aplinkoms, patobulintas integracija su „FreeBSD“, „macOS“ ir „Android“, ir sistemoms, neturinčioms tam tikrų standartinių bibliotekų, buvo įdiegtos suderinamumo antraštės. Šie pakeitimai užtikrina, kad „OpenSSH“ išliktų patikima ir stabili priemone įvairiose platformose.
Kakleliai domina sužinoti daugiau apie tai, išsamią informaciją galite sužinoti šią nuorodą.
Kaip įdiegti „OpenSSH“ sistemoje „Linux“?
Tiems, kurie nori įdiegti šią naują „OpenSSH“ versiją savo sistemose, kol kas jie gali tai padaryti atsisiųsdami šio ir atlikdami kompiliaciją savo kompiuteriuose.
Taip yra todėl, kad naujoji versija dar nebuvo įtraukta į pagrindinių „Linux“ paskirstymų saugyklas. Norėdami gauti šaltinio kodą, galite tai padaryti šią nuorodą.
Atliktas atsisiuntimas, dabar mes išpakuosime paketą naudodami šią komandą:
degutas -xvf openssh-10.1.tar.gz
Įeiname į sukurtą katalogą:
CD atidaro-10.1
Y mes galime sudaryti su šias komandas:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install