Zapowiedział uruchomienie nowa wersja OpenSSH 9.9, rozwiązanie klienckie i serwerowe typu open source, które działa poprzez protokoły SSH 2.0 i SFTP. Nowa wersja wyróżnia się dodatkową obsługą kwantowo odpornej wymiany kluczy, ulepszeniami zasad, randomizacją limitu czasu połączenia, poprawkami i nie tylko.
Należy zauważyć, że OpenSSH ogłosił całkowite usunięcie wsparcia dla algorytm podpisu DSA na początku 2025 r. W tej wersji DSA jest już domyślnie wyłączona podczas kompilacji. Chociaż OpenSSH domyślnie wyłączał klucze DSA od 2015 roku, nadal utrzymywał opcjonalną obsługę środowiska wykonawczego, ponieważ w dokumentach RFC SSHv2 DSA był jedynym obowiązkowym algorytmem.
Obecnie DSA jest dostępne tylko wtedy, gdy jest włączone podczas kompilacji, a obsługa zostanie całkowicie usunięta w pierwszej wersji OpenSSH w 2025 roku.
Co nowego w OpenSSH 9.9
Wprowadzono OpenSSH 9.9 od tego czasu ulepszenia klienta i serwera ssh i sshd teraz obsługują algorytm hybrydowy wymiana kluczy tzw mlkem768x25519-sha256, który łączy X25519 ECDH z ML-KEM (część standardu CRYSTALS-Kyber). Algorytm jest zaprojektowany tak, aby chronić zarówno przed atakami komputerów kwantowych jak konwencjonalnie, dzięki zastosowaniu technik kryptograficznych opartych na rozwiązywaniu problemów teorii sieci.
ma dodano „RefuseConnection” w pliku konfiguracyjnym sshd_config. Ta opcja powoduje sshd zamyka połączenie po pierwszej nieudanej próbie uwierzytelnienia. Dodatkowo utworzono klasę „refuseconnection”, wykorzystywaną w dyrektywie PerSourcePenalties, która jest aktywowana w momencie zakończenia połączenia zgodnie z tą polityką.
Oprócz tego Klient ssh przestał obsługiwać kompresję danych przed uwierzytelnieniem, ponieważ ta funkcja rozszerzył powierzchnię ataku na serwery SSH, umożliwienie ewentualnych podatności poprzez pośrednią analizę informacji wymienianych podczas procesu uwierzytelniania. Kompresja wstępna została już wcześniej wyłączona na serwerze sshd.
więc w ssh jak w sshd, obecnie stosowane są bardziej zaawansowane reguły analiza argumentów dyrektywy „Match”, podobne do skorupy. Reguły te umożliwiają pracę z ciągami znaków w cudzysłowie, w tym zagnieżdżanie i możliwość ucieczki przed znakami, takimi jak „\”. W pliku konfiguracyjnym ssh_config, dyrektywa „Include” została zaktualizowana, aby obsługiwała zmienne środowiskowe i „%” podstawienia, podobnie jak zachowuje się dyrektywa „Match Exec”.
z inne zmiany które wyróżniają się:
- W sshd_config dodano opcję włączenia zasady „Dopasuj” przy próbie zalogowania się przy użyciu nieprawidłowej nazwy użytkownika, usprawniając zarządzanie nieautoryzowanym dostępem.
- Algorytm hybrydowej wymiany kluczy Usprawniony NTRUPrime/X25519 ma teraz bardziej przyjazną dla użytkownika alternatywną nazwę: sntrup761x25519-sha512, oprócz pełnej nazwy technicznej sntrup761x25519-sha512@openssh.com.
- W komponenty wbudowana została dodatkowa warstwa ochrony przed utratą kluczy prywatnych w niezbędnych plikach ssh, sshd i ssh-agent, dostępny na systemach OpenBSD, Linux i FreeBSD.
- Zarządzanie kluczami zostało zaktualizowane, aby wykorzystać API EVP_PKEY z biblioteki libcrypto, usprawniając zarządzanie kluczami i zwiększając bezpieczeństwo.
- Dodano losową zmianę limitu czasu połączenia (LoginGraceTime) w zakresie 4 sekund w sshd, co utrudnia dokładne wykrycie upływu limitu czasu, zwiększając w ten sposób bezpieczeństwo przed atakami hakerskimi
Wreszcie ta wersja naprawia kilka problemów związanych z kompilacją kodu korzystanie z biblioteki Musl, co poprawia jej kompatybilność z niektórymi środowiskami programistycznymi.
Jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się ze szczegółami pod adresem poniższy link.
Jak zainstalować OpenSSH na Linuksie?
Dla tych, którzy są zainteresowani możliwością zainstalowania tej nowej wersji OpenSSH w swoich systemach, na razie mogą to zrobić pobieranie kodu źródłowego tego i wykonanie kompilacji na swoich komputerach.
Dzieje się tak, ponieważ nowa wersja nie została jeszcze uwzględniona w repozytoriach głównych dystrybucji Linuksa. Aby uzyskać kod źródłowy, możesz to zrobić z poniższy link.
Zakończono pobieranie, teraz rozpakujemy pakiet za pomocą następującego polecenia:
tar -xvf otwiera sh-9.9.tar.gz
Wchodzimy do utworzonego katalogu:
cd opensh-9.9
Y możemy skompilować następujące polecenia:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install