Etter fire måneders utvikling lanseringen av den nye versjonen av OpenSSH 8.4, en åpen klient- og serverimplementering for SSH 2.0 og SFTP.
I den nye versjonen skiller seg ut for å være en 100% komplett implementering av SSH 2.0-protokollen og i tillegg til å inkludere endringer i støtte for sftp-server og klient, også for FIDO, Ssh-keygen og noen andre endringer.
De viktigste nye funksjonene i OpenSSH 8.4
Ssh-agent bekrefter nå at meldingen blir signert ved hjelp av SSH-metoder når du bruker FIDO-nøkler som ikke ble generert for SSH-godkjenning (nøkkel-ID-en starter ikke med strengen "ssh:").
endring tillater ikke omdirigering av ssh-agent til eksterne verter som har FIDO-nøkler for å blokkere muligheten til å bruke disse nøklene til å generere signaturer for nettgodkjenningsforespørsler (hvis ikke nettleseren kan signere en SSH-forespørsel, ble den opprinnelig ekskludert på grunn av bruken av prefikset "ssh:" i nøkkelidentifikasjonen).
ssh-keygen, når du genererer en fast nøkkel, inkluderer støtte for credProtect-plugin beskrevet i FIDO 2.1-spesifikasjonen, som gir ytterligere beskyttelse for nøkler ved å kreve at en PIN-kode skal legges inn før du utfører noen operasjoner som kan resultere i utvinning av fastnøkkelen fra tokenet.
Angående endringer som potensielt bryter kompatibiliteten:
For kompatibilitet med FIDO U2F, anbefales det å bruke libfido2-biblioteket av i det minste versjon 1.5.0. Muligheten for å bruke gamle utgaver er delvis implementert, men i dette tilfellet vil funksjoner som fastnøkler, PIN-forespørsel og tilkobling av flere tokens ikke være tilgjengelige.
I ssh-keygen, i formatet på bekreftelsesinformasjonen, som eventuelt lagres når du genererer FIDO-nøkkelen, autentiseringsdataene er lagt til, som kreves for å bekrefte bekreftelse på digitale signaturer.
Når du oppretter en bærbar versjon av OpenSSH, nå kreves automake for å generere konfigurasjonsskriptet og tilhørende monteringsfiler (hvis du kompilerer fra en kodepublisert tar-fil, trenger du ikke å gjenoppbygge konfigurasjonen).
Lagt til støtte for FIDO-nøkler som krever PIN-bekreftelse for ssh og ssh-keygen. For å generere nøkler med en PIN-kode, er alternativet "bekreft påkrevd" lagt til i ssh-keygen. I tilfelle du bruker slike nøkler, før brukeren utfører signaturen, blir brukeren bedt om å bekrefte sine handlinger ved å angi PIN-koden.
I sshd, i den autoriserte_key-konfigurasjonen, er alternativet "verifiser nødvendig" implementert, som krever bruk av evner for å verifisere tilstedeværelsen til en bruker under tokenoperasjoner.
Sshd og ssh-keygen har lagt til støtte for å verifisere digitale signaturer som overholder FIDO Webauthn-standarden, som gjør at FIDO-nøkler kan brukes i nettlesere.
Av de andre endringene som skiller seg ut:
- Lagt til ssh- og ssh-agentstøtte for miljøvariabelen $ SSH_ASKPASS_REQUIRE, som kan brukes til å aktivere eller deaktivere ssh-askpass-samtalen.
- I ssh, i ssh_config, i AddKeysToAgent-direktivet, ble muligheten til å begrense gyldighetsperioden for nøkkelen lagt til. Etter at den angitte grensen er utløpt, fjernes nøklene automatisk fra ssh-agenten.
- I scp og sftp, ved hjelp av "-A" -flagget, kan du nå eksplisitt tillate omdirigering i scp og sftp ved hjelp av ssh-agent (som standard er omdirigering deaktivert).
- Lagt til støtte for '% k' erstatning i ssh config for vertsnøkkelnavn.
- Sshd gir loggen til starten og slutten av tilkoblingsfallsprosessen, styrt av MaxStartups-parameteren.
Hvordan installerer jeg OpenSSH 8.4 på Linux?
For de som er interessert i å kunne installere denne nye versjonen av OpenSSH på sine systemer, for nå kan de gjøre det laste ned kildekoden til dette og utføre samlingen på datamaskinene sine.
Dette er fordi den nye versjonen ennå ikke er inkludert i repositoriene til de viktigste Linux-distribusjonene. For å få kildekoden, kan du gjøre fra følgende lenke.
Gjort nedlastingen, nå skal vi pakke ut pakken med følgende kommando:
tar -xvf openssh -8.4.tar.gz
Vi går inn i den opprettede katalogen:
cd openssh-8.4
Y vi kan kompilere med følgende kommandoer:
./configure --prefix = / opt --sysconfdir = / etc / ssh gjør installer