काही दिवसांपूर्वी OpenSSH 10.0 च्या नवीन आवृत्तीचे प्रकाशन घोषित करण्यात आले, जे भविष्यातील तांत्रिक आव्हानांसाठी, जसे की पोस्ट-क्वांटम क्रिप्टोग्राफीसाठी सुरक्षा, कार्यक्षमता आणि तयारीमध्ये महत्त्वपूर्ण बदलांची मालिका घेऊन येते.
ही नवीन आवृत्ती DSA साठी कायमचा आधार काढून टाकतो, नवीन sshd-auth मॉड्यूलसह प्रमाणीकरण प्रक्रियेचे पृथक्करण मजबूत करते आणि हायब्रिड अल्गोरिथम स्वीकारतो क्वांटम-प्रतिरोधक की एक्सचेंज. हे प्रगत अभिव्यक्ती आणि अधिक लवचिकतेसह कॉन्फिगरेशन सुधारणा सादर करते आणि लेगसी डिफी-हेलमन अक्षम करून त्याचे अल्गोरिदम आधुनिकीकरण करते.
OpenSSH 10.0 मध्ये DSA ने कायमचा निरोप घेतला
OpenSSH 10.0 मधील सर्वात महत्वाच्या बदलांपैकी एक म्हणजे डीएसए-आधारित डिजिटल स्वाक्षरींसाठी समर्थन पूर्णपणे काढून टाकणे., एक अल्गोरिथम जो सध्याच्या सुरक्षा मानकांची पूर्तता करत नसल्यामुळे बराच काळ जुना मानला जात होता. जरी २०१५ पासून डीएसए कीजचा वापर डीफॉल्टनुसार बंद करण्यात आला असला तरी, आता कोडबेसमधून त्यांचा सपोर्ट पूर्णपणे काढून टाकण्यात आला आहे.
प्रमाणीकरण प्रक्रियेचे अधिक वेगळेपण
OpenSSH 10.0 मधील आणखी एक नवीन वैशिष्ट्य म्हणजे sshd सर्व्हरच्या महत्त्वाच्या घटकांचे प्रगतीशील पृथक्करण. OpenSSH 9.8 मध्ये sshd विभाजित केले गेले होते, परंतु या नवीन आवृत्तीमध्ये प्रमाणीकरण कोड sshd-auth नावाच्या वेगळ्या प्रक्रियेत हलविला गेला आहे. हे संवेदनशील प्रमाणीकरण-संबंधित डेटा वेगळ्या मेमरी स्पेसमध्ये वेगळा ठेवण्याची परवानगी देते, ज्यामुळे संभाव्य पूर्व-प्रमाणीकरण भेद्यतेपासून संरक्षणाचा अतिरिक्त स्तर प्रदान होतो. याव्यतिरिक्त, प्रमाणीकरण पूर्ण झाल्यानंतर हा कोड डाउनलोड केल्याने मेमरी वापरात थोडीशी घट होते.
क्वांटम-प्रतिरोधक की एक्सचेंज
OpenSSH 10.0 हे डिफॉल्टनुसार, a स्वीकारण्यासाठी वेगळे आहे. हायब्रिड की एक्सचेंज अल्गोरिथम que X25519 ECDH ला ML-KEM सह एकत्र करते (CRYSTALS-Kyber), ज्याला mlkem768x25519-sha256 म्हणतात. हे क्वांटम हल्ल्यांना प्रतिकार प्रदान करते नेटवर्क सिद्धांताच्या समस्यांवर आधारित क्रिप्टोग्राफीचा वापर केल्याबद्दल धन्यवाद, जे शास्त्रीय आणि क्वांटम आर्किटेक्चरमध्ये समान संगणकीय अडचण राखते. दोन्ही अल्गोरिदम NIST द्वारे प्रमाणित केले जात आहेत, ज्यामुळे त्यांच्या मजबूततेवर विश्वास वाढतो.
प्रगत अभिव्यक्ती आणि कॉन्फिगरेशन लवचिकता
आवृत्ती 10.0 ssh_config आणि sshd_config कॉन्फिगरेशन फाइल्समध्ये मोठ्या प्रमाणात सुधारणा जोडते.. टोकन सबस्टिट्यूशन आणि एन्व्हायर्नमेंट व्हेरिअबल एक्सपेंशन आता SetEnv आणि युजर डायरेक्टिव्हमध्ये समर्थित आहेत, ज्यामुळे अधिक डायनॅमिक कॉन्फिगरेशन सुलभ होतात. मॅच आवृत्ती पर्याय देखील जोडला आहे, जो तुम्हाला आढळलेल्या OpenSSH आवृत्तीवर आधारित सशर्त नियम लागू करण्यास अनुमती देतो.
याव्यतिरिक्त, मॅच एक्सप्रेशन्ससाठी समर्थन वाढवले आहे, ज्यामध्ये सत्र प्रकार (मॅच सत्र प्रकार), विशिष्ट आदेश (मॅच एक्झिक-कमांड) आणि अगदी रिक्त टॅग किंवा वगळलेल्या आदेशांवर आधारित अटींचा समावेश आहे.
OpenSSH 10.0 मध्ये अल्गोरिदम, सायफर आणि नवीन नियंत्रणांमध्ये बदल
सोबत पुढे जात आहे लेगसी अल्गोरिदमचे उच्चाटन, OpenSSH 10.0 डिफॉल्टनुसार मर्यादित फील्ड-आधारित डिफी-हेलमनचा वापर अक्षम करते, डिफी-हेलमन-ग्रुप* आणि डिफी-हेलमन-ग्रुप-एक्सचेंज-* प्रकार काढून टाकते आणि त्याऐवजी अधिक आधुनिक आणि कार्यक्षम अल्गोरिदमला प्राधान्य देते.
तसेच ऑपरेशनल सुरक्षा मजबूत केली जाते: ssh-agent आता SIGUSR1 सिग्नल प्राप्त झाल्यावर सर्व लोड केलेल्या की फ्लश करते, आणि LISTEN_PID आणि LISTEN_FDS फ्लॅग वापरून systemd-शैलीतील सॉकेट्स सक्षम करण्याची क्षमता जोडली गेली आहे.
च्या क्षेत्रात हार्डवेअर ऑथेंटिकेशन, ssh-keygen FIDO टोकनसाठी समर्थन जोडते जे विंडोज हॅलो सारखे प्रमाणन डेटा परत करत नाहीत. की नोंदणी दरम्यान FIDO उपकरणांद्वारे व्युत्पन्न केलेल्या डेटाची पडताळणी करण्यासाठी डिझाइन केलेली एक नवीन प्रायोगिक उपयुक्तता, ssh-verify-attestation, देखील समाविष्ट केली आहे.
क्लायंट सुधारणा, साधने आणि प्रगत कॉन्फिगरेशन
SSH क्लायंट आवृत्ती परिशिष्ट पर्याय समाविष्ट करते, जे तुम्हाला आवृत्ती ओळीत कस्टम मजकूर जोडण्याची परवानगी देते, हे वैशिष्ट्य पूर्वी फक्त सर्व्हरवर उपलब्ध होते. scp आणि sftp युटिलिटीजना एक डिफॉल्ट पर्याय मिळतो जो विद्यमान कनेक्शनचा पुनर्वापर रोखतो, सुरक्षा आणि सत्र नियंत्रण सुधारतो.
AuthorizedKeysFile आणि AuthorizedPrincipalsFile निर्देशांमध्ये आता फाइल मास्कना परवानगी आहे, ज्यामुळे एकाधिक वापरकर्ते किंवा डायनॅमिक कॉन्फिगरेशन असलेल्या सिस्टमवर की व्यवस्थापन सुलभ होते.
पोर्टेबल आवृत्तीमध्ये बदल आणि सुरक्षा सुधारणा
OpenSSH 10.0 च्या पोर्टेबल आवृत्तीमध्ये, ते लागू केले आहे AWS-LC साठी समर्थन, सुसंगतता आणि कार्यप्रदर्शन हेतूंसाठी Amazon द्वारे विकसित केलेली एक क्रिप्टोग्राफिक लायब्ररी. ते वाढते. wtmpdb साठी समर्थन, wtmp ची आधुनिक आवृत्ती जी २०३८ च्या अंकाला प्रतिरोधक आहे. याव्यतिरिक्त, sshd ला मेमरीमध्ये लॉक करण्यासाठी आणि FIDO सुरक्षा कींवर लक्ष केंद्रित करणारी एक स्वतंत्र sk-libfido2038 लायब्ररी तयार करण्यासाठी नवीन कंपायलर पर्याय समाविष्ट केले आहेत.
शेवटी, एक गंभीर सुरक्षा समस्या सोडवली गेली आहे: द DisableForwarding निर्देशाने X11 फॉरवर्डिंग योग्यरित्या अक्षम केले नाही. किंवा ssh-एजंटला कॉल करत नाही. जरी हे पर्याय अनुक्रमे सर्व्हर आणि क्लायंटवर डीफॉल्टनुसार अक्षम केले असले तरी, हे निराकरण सुसंगत आणि सुरक्षित वर्तन सुनिश्चित करते.
आपण असाल तर याबद्दल अधिक जाणून घेण्यात स्वारस्य आहे, आपण तपशील तपासू शकता खालील दुवा.
लिनक्सवर ओपनएसएसएच कसे स्थापित करावे?
त्यांच्या सिस्टमवर ओपनएसएचची ही नवीन आवृत्ती स्थापित करण्यात सक्षम होण्यास इच्छुक असलेल्यांसाठी, आता ते करू शकतात याचा स्त्रोत कोड डाउनलोड करणे आणि त्यांच्या संगणकावर संकलन करत आहे.
याचे कारण की नवीन आवृत्ती अद्याप मुख्य लिनक्स वितरणाच्या रिपॉझिटरीजमध्ये समाविष्ट केलेली नाही. स्त्रोत कोड मिळविण्यासाठी, आपण हे करू शकता खालील दुवा.
डाउनलोड पूर्ण झाले, आता आम्ही खालील आदेशासह पॅकेज अनझिप करणार आहोत.
tar -xvf openssh -10.0.tar.gz
आम्ही तयार केलेली निर्देशिका प्रविष्ट करतो:
सीडी ओपनश -10.0
Y आम्ही संकलित करू शकतो पुढील आज्ञा:
./configure --prefix = / opt --sysconfdir = / etc / ssh मेक मेक स्थापना करा