Após quatro meses de desenvolvimento o lançamento de a nova versão de OpenSSH 8.4, uma implementação aberta de cliente e servidor para SSH 2.0 e SFTP.
Na nova versão destaca-se por ser uma implementação 100% completa do protocolo SSH 2.0 e além de incluir mudanças no suporte para servidor e cliente sftp, também para FIDO, Ssh-keygen e algumas outras mudanças.
Principais novos recursos do OpenSSH 8.4
O agente Ssh agora verifica se a mensagem será assinada usando métodos SSH ao usar chaves FIDO que não foram geradas para autenticação SSH (o ID da chave não começa com a string "ssh:").
Alterar não permitirá o redirecionamento do agente ssh para hosts remotos que tenham chaves FIDO bloquear a capacidade de uso dessas chaves para gerar assinaturas para solicitações de autenticação na web (caso contrário, quando o navegador pode assinar uma solicitação SSH, foi inicialmente excluído devido ao uso do prefixo "ssh:" na identificação da chave).
ssh-keygen, ao gerar uma chave residente, inclui suporte para o plugin credProtect descrito na especificação FIDO 2.1, que fornece proteção adicional para chaves, exigindo que um PIN seja inserido antes de realizar qualquer operação que possa resultar na extração da chave residente do token.
A respeito de mudanças que potencialmente quebram a compatibilidade:
Para compatibilidade com FIDO U2F, é recomendado usar a biblioteca libfido2 de pelo menos o versão 1.5.0. A possibilidade de usar edições antigas está parcialmente implementada, mas neste caso funções como chaves residentes, solicitação de PIN e conexão de vários tokens não estarão disponíveis.
Em ssh-keygen, no formato da informação de confirmação, que é opcionalmente salva ao gerar a chave FIDO, os dados do autenticador são adicionados, que é necessário para verificar as assinaturas digitais de confirmação.
Ao criar um versão portátil do OpenSSH, automake agora é necessário para gerar o script de configuração e os arquivos de montagem que os acompanham (se você estiver compilando de um arquivo tar publicado por código, não é necessário reconstruir o configure).
Adicionado suporte para chaves FIDO que requerem verificação de PIN para ssh e ssh-keygen. Para gerar chaves com um PIN, a opção "verificar necessário" foi adicionada ao ssh-keygen. No caso de utilizar tais chaves, antes de realizar a operação de criação de assinatura, o usuário é solicitado a confirmar suas ações digitando o código PIN.
No sshd, na configuração authorized_keys, a opção "verificar necessário" é implementada, que requer o uso de recursos para verificar a presença de um usuário durante as operações de token.
Sshd e ssh-keygen adicionaram suporte para verificar assinaturas digitais que estão em conformidade com o padrão FIDO Webauthn, que permite que as chaves FIDO sejam usadas em navegadores da web.
Das outras mudanças que se destacam:
- Adicionado suporte ssh e ssh-agent para a variável de ambiente $ SSH_ASKPASS_REQUIRE, que pode ser usada para habilitar ou desabilitar a chamada ssh-askpass.
- Em ssh, em ssh_config, na diretiva AddKeysToAgent, foi adicionada a capacidade de limitar o período de validade da chave. Depois que o limite especificado expira, as chaves são removidas automaticamente do agente ssh.
- Em scp e sftp, usando o sinalizador "-A", agora você pode permitir explicitamente o redirecionamento em scp e sftp usando ssh-agent (por padrão, o redirecionamento está desabilitado).
- Adicionado suporte para a substituição '% k' na configuração ssh para o nome da chave do host.
- O Sshd fornece o registro do início e fim do processo de queda da conexão, controlado pelo parâmetro MaxStartups.
Como instalar o OpenSSH 8.4 no Linux?
Para aqueles que estão interessados em poder instalar esta nova versão do OpenSSH em seus sistemas, por enquanto eles podem fazer isso baixando o código-fonte deste e realizando a compilação em seus computadores.
Isso ocorre porque a nova versão ainda não foi incluída nos repositórios das principais distribuições do Linux. Para obter o código-fonte, você pode fazer em o seguinte link.
Feito o download, agora vamos descompactar o pacote com o seguinte comando:
tar -xvf abresh-8.4.tar.gz
Entramos no diretório criado:
cd abresh-8.4
Y podemos compilar com os seguintes comandos:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install