Noua versiune de OpenSSH 10.1 este acum disponibil și introduce îmbunătățiri semnificative de securitate și funcționalitate, axate pe blocarea potențialilor vectori de atac și oferirea unui control mai bun pentru administratori și utilizatori avansați.
Una dintre cele mai notabile schimbări abordează o vulnerabilitate care permitea unui atacator să manipuleze comenzile shell utilizarea caracterelor speciale în numele de utilizator sau URI-uri, atunci când se utilizează opțiunea ProxyCommand cu substituții %u.
Această problemă A afectat în principal sistemele care obțineau date din surse nesigure.Pentru a rezolva această problemă, OpenSSH 10.1 interzice acum utilizarea caracterelor de control și nul în numele de utilizator transmise prin linia de comandă sau în adresele URL ssh://. Doar valorile definite în fișierele de configurare locale, care sunt considerate de încredere, sunt exceptate de la această restricție.
Îmbunătățiri funcționale în ssh și ssh-agent
OpenSSH 10.1 Extinde suportul cheie permițând utilizarea ED25519 stocate în token-uri PKCS#11, ceea ce consolidează securitatea criptografică fără a sacrifica flexibilitatea. În plus, introduce o nouă opțiune apel de configurare RefuseConnection, care poate fi folosit pentru a încheia o conexiune într-un mod controlat și a afișa mesaje personalizate, ideal pentru redirecționarea utilizatorilor sau pentru notificarea despre serverele învechite.
Atât de mult Atât ssh, cât și sshd includ acum rutine de tratare a semnalelor SIGINFO., care înregistrează informații despre sesiunile și canalele active, facilitând depanarea și monitorizarea în timp real. Între timp, procesul de autentificare a certificatelor adaugă un nivel suplimentar de transparență: atunci când autentificarea eșuează, jurnalul va include detaliile necesare pentru a identifica certificatul implicat.
Modificări care afectează compatibilitatea
OpenSSH 10.1 introduce ajustări care, deși necesare, pot afecta configurațiile anterioare. Una dintre ele este avertisment privind algoritmii criptografici vulnerabili la atacuri cuantice, Conceput pentru a avertiza despre metodele de schimb de chei care ar putea să nu fie rezistente la viitoarele atacuri bazate pe calcul cuantic. Administratorii pot dezactiva acest avertisment cu noua opțiune WarnWeakCrypto.
de asemenea Managementul parametrilor de calitate a serviciilor a fost revizuit (IPQoS). Acum, Traficul interactiv are prioritate de către clasa EF (Expedited Forwarding), care îmbunătățește experiența în rețelele wireless. Traficul non-interactiv, pe de altă parte, rămâne în clasa implicită a sistemului de operare. În plus, utilizarea vechilor parametri ToS (Type of Service) a fost eliminată, în favoarea DSCP, standardul actual.
Îmbunătățiri ale securității, performanței și structurii interne
Printre schimbările interne, sSocketurile Unix ale ssh-agent și sshd au fost mutate din /tmp în ~/.ssh/agent, o decizie cheie pentru a preveni accesul neautorizat din partea proceselor cu restricții de fișiere. De asemenea, jurnalele DNS-urile SSHFP bazate pe SHA1 sunt considerate depreciate și vor fi înlocuite de versiuni care utilizează SHA256, consolidând integritatea criptografică.
Comanda ssh-add adaugă acum automat un buffer de cinci minute la perioada de valabilitate a certificatului, asigurându-se că acesta este șters la expirare. Cei care doresc să dezactiveze acest comportament pot face acest lucru cu noua opțiune -N. În cele din urmă, suportul pentru cheile XMSS, care erau considerate experimentale și nu au fost niciodată activate în mod implicit, a fost eliminat.
Corecții și îmbunătățiri ale portării
În OpenSSH 10.1 acestea au fost rezolvate scurgeri multiple de memorie, condiții de concurență și erori în procese precum MaxStartups și gestionarea sesiunilor X11. În plus, scrierea fișierelor known_hosts a fost optimizată, făcând-o mai atomică pentru a evita problemele în mediile cu concurență ridicată.
Cât despre portabilitate, Au fost adăugate noi verificări pentru mediile PAM, îmbunătățit integrare cu FreeBSD, macOS și Android, și au fost introduse anteturi de compatibilitate pentru sistemele cărora le lipsesc anumite biblioteci standard. Aceste modificări asigură faptul că OpenSSH rămâne un instrument robust și stabil pe o gamă largă de platforme.
Dacă ești interesat să afle mai multe despre asta, puteți verifica detaliile în următorul link.
Cum se instalează OpenSSH pe Linux?
Pentru cei care sunt interesați să poată instala această nouă versiune de OpenSSH pe sistemele lor, deocamdată o pot face descărcând codul sursă al acestuia și efectuând compilarea pe computerele lor.
Acest lucru se datorează faptului că noua versiune nu a fost încă inclusă în depozitele principalelor distribuții Linux. Pentru a obține codul sursă, puteți face de la următorul link.
Descărcarea a fost efectuată, acum vom dezarhiva pachetul cu următoarea comandă:
tar -xvf openssh-10.1.tar.gz
Intrăm în directorul creat:
cd openssh-10.1
Y putem compila cu următoarele comenzi:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install