Po czterech miesiącach rozwoju uruchomienie nowa wersja OpenSSH 8.4, otwarta implementacja klienta i serwera dla SSH 2.0 i SFTP.
W nowej wersji wyróżnia się w 100% kompletną implementacją protokołu SSH 2.0 a oprócz uwzględnienia zmian w obsłudze serwera i klienta sftp, również dla FIDO, Ssh-keygen i kilku innych zmian.
Główne nowe funkcje OpenSSH 8.4
Ssh-agent sprawdza teraz, czy wiadomość zostanie podpisana przy użyciu metod SSH podczas korzystania z kluczy FIDO, które nie zostały wygenerowane do uwierzytelniania SSH (identyfikator klucza nie zaczyna się od ciągu „ssh:”).
Zmiana nie pozwoli na przekierowanie ssh-agent do zdalnych hostów, które mają klucze FIDO zablokować możliwość używania tych kluczy do generowania podpisów dla żądań uwierzytelnienia w sieci (odwrotny przypadek, gdy przeglądarka może podpisać żądanie SSH, został początkowo wykluczony ze względu na użycie przedrostka „ssh:” w identyfikacji klucza).
ssh-keygen, podczas generowania klucza rezydenta, zawiera obsługę wtyczki credProtect opisane w specyfikacji FIDO 2.1, która zapewnia dodatkową ochronę kluczy, wymagając wprowadzenia kodu PIN przed wykonaniem jakichkolwiek operacji, które mogą skutkować wydobyciem klucza rezydenta z tokena.
Dotyczące zmiany, które potencjalnie naruszają kompatybilność:
Zgodność z FIDO U2F, zaleca się korzystanie z biblioteki libfido2 co najmniej wersja 1.5.0. Możliwość korzystania ze starych wydań jest częściowo zaimplementowana, ale w tym przypadku funkcje takie jak klucze rezydentne, żądanie PIN i podłączenie kilku tokenów nie będą dostępne.
W ssh-keygen, w formacie informacji potwierdzającej, która jest opcjonalnie zapisywana podczas generowania klucza FIDO, dodane są dane uwierzytelniające, co jest niezbędne do weryfikacji potwierdzeń podpisów cyfrowych.
Podczas tworzenia przenośna wersja OpenSSH, do wygenerowania skryptu instalacyjnego wymagane jest teraz automake i towarzyszące pliki asemblerów (jeśli kompilujesz z pliku tar opublikowanego w kodzie, nie musisz przebudowywać konfiguracji).
Dodano obsługę kluczy FIDO, które wymagają weryfikacji PIN dla ssh i ssh-keygen. Aby generować klucze z kodem PIN, do ssh-keygen dodano opcję „weryfikuj wymagane”. W przypadku korzystania z takich kluczy, przed wykonaniem operacji składania podpisu, użytkownik proszony jest o potwierdzenie swoich działań wprowadzeniem kodu PIN.
W sshd, w konfiguracji allowed_keys zaimplementowano opcję "weryfikuj wymagane", co wymaga wykorzystania możliwości weryfikacji obecności użytkownika podczas operacji na tokenach.
Sshd i ssh-keygen dodały obsługę weryfikacji podpisów cyfrowych zgodne ze standardem FIDO Webauthn, który umożliwia używanie kluczy FIDO w przeglądarkach internetowych.
Z innych wyróżniających się zmian:
- Dodano obsługę ssh i ssh-agent dla zmiennej środowiskowej $ SSH_ASKPASS_REQUIRE, której można użyć do włączenia lub wyłączenia wywołania ssh-askpass.
- W ssh, w ssh_config, w dyrektywie AddKeysToAgent, dodano możliwość ograniczenia okresu ważności klucza. Po wygaśnięciu określonego limitu klucze są automatycznie usuwane z ssh-agent.
- W scp i sftp, używając flagi „-A”, możesz teraz jawnie zezwolić na przekierowanie w scp i sftp za pomocą ssh-agent (domyślnie przekierowanie jest wyłączone).
- Dodano obsługę podstawiania „% k” w konfiguracji ssh dla nazwy klucza hosta.
- Sshd udostępnia dziennik początku i końca procesu zrywania połączenia, kontrolowany przez parametr MaxStartups.
Jak zainstalować OpenSSH 8.4 w systemie Linux?
Dla tych, którzy są zainteresowani możliwością zainstalowania tej nowej wersji OpenSSH w swoich systemach, na razie mogą to zrobić pobieranie kodu źródłowego tego i wykonanie kompilacji na swoich komputerach.
Dzieje się tak, ponieważ nowa wersja nie została jeszcze uwzględniona w repozytoriach głównych dystrybucji Linuksa. Aby uzyskać kod źródłowy, możesz to zrobić z poniższy link.
Zakończono pobieranie, teraz rozpakujemy pakiet za pomocą następującego polecenia:
tar -xvf otwiera sh-8.4.tar.gz
Wchodzimy do utworzonego katalogu:
cd opensh-8.4
Y możemy skompilować następujące polecenia:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install