OpenSSH 8.4 is al uitgebracht, ken de belangrijkste wijzigingen

Darkcrizt

4 minuten

Na vier maanden ontwikkeling de lancering van de nieuwe versie van OpenSSH 8.4, een open client- en serverimplementatie voor SSH 2.0 en SFTP.

In de nieuwe versie onderscheidt zich als een 100% volledige implementatie van het SSH 2.0-protocol en naast het opnemen van wijzigingen in ondersteuning voor sftp server en client, ook voor FIDO, Ssh-keygen en enkele andere wijzigingen.

Belangrijkste nieuwe kenmerken van OpenSSH 8.4

Ssh-agent verifieert nu dat het bericht wordt ondertekend met behulp van SSH-methoden bij gebruik van FIDO-sleutels die niet zijn gegenereerd voor SSH-authenticatie (de sleutel-ID begint niet met de tekenreeks "ssh:").

verandering staat geen omleiding van ssh-agent toe naar externe hosts die FIDO-sleutels hebben om de mogelijkheid te blokkeren om deze sleutels te gebruiken om handtekeningen te genereren voor webauthenticatieverzoeken (anders, wanneer de browser een SSH-verzoek kan ondertekenen, werd dit aanvankelijk uitgesloten vanwege het gebruik van het voorvoegsel "ssh:" in de sleutelidentificatie).

ssh-keygen, bij het genereren van een resident key, bevat ondersteuning voor de plug-in credProtect beschreven in de FIDO 2.1-specificatie, die extra bescherming biedt voor sleutels door een pincode in te voeren voordat bewerkingen worden uitgevoerd die kunnen resulteren in het extraheren van de residente sleutel van het token.

Betreffende de wijzigingen die mogelijk de compatibiliteit verbreken:

Voor compatibiliteit met FIDO U2F, wordt aanbevolen om de libfido2-bibliotheek te gebruiken van tenminste de versie 1.5.0. De mogelijkheid om oude edities te gebruiken is gedeeltelijk geïmplementeerd, maar in dit geval zullen functies zoals interne sleutels, PIN-aanvraag en verbinding van meerdere tokens niet beschikbaar zijn.

In ssh-keygen, in het formaat van de bevestigingsinformatie, die optioneel wordt opgeslagen bij het genereren van de FIDO-sleutel, de authenticatiegegevens worden toegevoegd, die nodig is om de bevestiging van digitale handtekeningen te verifiëren.

Bij het maken van een draagbare versie van OpenSSH, is automake nu vereist om het configuratiescript te genereren en bijbehorende assembly-bestanden (als u compileert vanuit een met code gepubliceerd tar-bestand, hoeft u de configuratie niet opnieuw op te bouwen).

Ondersteuning toegevoegd voor FIDO-sleutels waarvoor pincode vereist is voor ssh en ssh-keygen. Om sleutels met een pincode te genereren, is de optie "verifieer vereist" toegevoegd aan ssh-keygen. In het geval dat dergelijke sleutels worden gebruikt, wordt de gebruiker verzocht om zijn acties te bevestigen door de PIN-code in te voeren voordat de handtekening wordt aangemaakt.

In sshd, in de geautoriseerde_sleutels configuratie, is de "verifieer vereist" optie geïmplementeerd, waarvoor het gebruik van mogelijkheden nodig is om de aanwezigheid van een gebruiker tijdens tokenbewerkingen te verifiëren.

Sshd en ssh-keygen hebben ondersteuning toegevoegd voor het verifiëren van digitale handtekeningen die voldoen aan de FIDO Webauthn-standaard, waardoor FIDO-sleutels in webbrowsers kunnen worden gebruikt.

Van de andere veranderingen die opvallen:

  • Ondersteuning voor ssh en ssh-agent toegevoegd voor de omgevingsvariabele $ SSH_ASKPASS_REQUIRE, die kan worden gebruikt om de oproep ssh-askpass in of uit te schakelen.
  • In ssh, in ssh_config, in de AddKeysToAgent-instructie, is de mogelijkheid toegevoegd om de geldigheidsperiode van de sleutel te beperken. Nadat de opgegeven limiet is verstreken, worden de sleutels automatisch verwijderd uit de ssh-agent.
  • In scp en sftp, met behulp van de "-A" vlag, kunt u nu expliciet omleiding in scp en sftp toestaan ​​met behulp van ssh-agent (standaard is omleiding uitgeschakeld).
  • Ondersteuning toegevoegd voor '% k' vervanging in ssh config voor host key naam.
  • Sshd biedt het logboek van het begin en het einde van het proces voor het verbreken van de verbinding, beheerd door de parameter MaxStartups.

Hoe installeer ik OpenSSH 8.4 op Linux?

Voor degenen die geïnteresseerd zijn om deze nieuwe versie van OpenSSH op hun systemen te kunnen installeren, voor nu kunnen ze het doen het downloaden van de broncode van deze en het uitvoeren van de compilatie op hun computers.

Dit komt doordat de nieuwe versie nog niet is opgenomen in de repositories van de belangrijkste Linux-distributies. Om de broncode te krijgen, kunt u doen van de volgende link.

Klaar met downloaden, nu gaan we het pakket uitpakken met het volgende commando:

tar -xvf openssh-8.4.tar.gz

We gaan de aangemaakte directory binnen:

cd opentsh-8.4

Y waarmee we kunnen compileren de volgende commando's:

./configure --prefix = / opt --sysconfdir = / etc / ssh make make install

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.