După patru luni de dezvoltare lansarea noua versiune a OpenSSH 8.4, o implementare deschisă pentru client și server pentru SSH 2.0 și SFTP.
În noua versiune se remarcă prin faptul că este o implementare completă 100% a protocolului SSH 2.0 și pe lângă includerea modificărilor în suportul pentru server și client sftp, de asemenea pentru FIDO, Ssh-keygen și alte modificări.
Principalele caracteristici noi ale OpenSSH 8.4
Ssh-agent verifică acum că mesajul va fi semnat folosind metode SSH atunci când se utilizează chei FIDO care nu au fost generate pentru autentificarea SSH (ID-ul cheii nu începe cu șirul „ssh:”).
Schimbarea nu va permite redirecționarea agentului ssh către gazdele la distanță care au chei FIDO pentru a bloca capacitatea de a utiliza aceste chei pentru a genera semnături pentru solicitările de autentificare web (în caz contrar, atunci când browserul poate semna o cerere SSH, a fost inițial exclus din cauza utilizării prefixului "ssh:" în identificarea cheii).
ssh-keygen, atunci când generați o cheie rezidentă, include suport pentru pluginul credProtect descris în specificația FIDO 2.1, care oferă o protecție suplimentară pentru chei prin necesitatea introducerii unui PIN înainte de efectuarea oricăror operațiuni care pot duce la extragerea cheii rezidente din jeton.
În ceea ce privește modificări care pot rupe compatibilitatea:
Pentru compatibilitate cu FIDO U2F, se recomandă utilizarea bibliotecii libfido2 cel puțin a versiunea 1.5.0. Posibilitatea utilizării edițiilor vechi este parțial implementată, dar în acest caz funcții precum cheile rezidente, cererea PIN și conectarea mai multor jetoane nu vor fi disponibile.
În ssh-keygen, în formatul informațiilor de confirmare, care sunt salvate opțional la generarea cheii FIDO, se adaugă datele autentificatorului, care este necesar pentru a verifica semnăturile digitale de confirmare.
Când creați un versiune portabilă a OpenSSH, automake este acum necesar pentru a genera scriptul de configurare și fișierele de asamblare însoțitoare (dacă compilați dintr-un fișier tar publicat de cod, nu trebuie să reconstruiți configurarea).
A fost adăugat suport pentru cheile FIDO care necesită verificarea codului PIN pentru ssh și ssh-keygen. Pentru a genera chei cu un PIN, opțiunea „Verificare necesară” a fost adăugată la ssh-keygen. În cazul utilizării unor astfel de chei, înainte de a efectua operațiunea de creare a semnăturii, utilizatorul este rugat să confirme acțiunile sale introducând codul PIN.
În sshd, în configurația autorizat_chei, este implementată opțiunea „verificare necesară”, ceea ce necesită utilizarea capabilităților pentru a verifica prezența unui utilizator în timpul operațiunilor de jeton.
Sshd și ssh-keygen au adăugat suport pentru verificarea semnăturilor digitale care respectă standardul FIDO Webauthn, care permite utilizarea tastelor FIDO în browserele web.
Dintre celelalte schimbări care se remarcă:
- S-au adăugat ssh și ssh-agent pentru variabila de mediu $ SSH_ASKPASS_REQUIRE, care poate fi utilizată pentru a activa sau dezactiva apelul ssh-askpass.
- În ssh, în ssh_config, în directiva AddKeysToAgent, a fost adăugată capacitatea de a limita perioada de valabilitate cheie. După ce limita specificată a expirat, cheile sunt eliminate automat din ssh-agent.
- În scp și sftp, folosind semnalizatorul „-A”, acum puteți permite explicit redirecționarea în scp și sftp folosind ssh-agent (în mod implicit, redirecționarea este dezactivată).
- S-a adăugat suport pentru substituția „% k” în configurația ssh pentru numele cheii de gazdă.
- Sshd oferă jurnalul de la începutul și sfârșitul procesului de abandonare a conexiunii, controlat de parametrul MaxStartups.
Cum se instalează OpenSSH 8.4 pe Linux?
Pentru cei care sunt interesați să poată instala această nouă versiune de OpenSSH pe sistemele lor, deocamdată o pot face descărcând codul sursă al acestuia și efectuând compilarea pe computerele lor.
Acest lucru se datorează faptului că noua versiune nu a fost încă inclusă în depozitele principalelor distribuții Linux. Pentru a obține codul sursă, puteți face de la următorul link.
Descărcarea a fost efectuată, acum vom dezarhiva pachetul cu următoarea comandă:
tar -xvf openssh-8.4.tar.gz
Intrăm în directorul creat:
cd openssh-8.4
Y putem compila cu următoarele comenzi:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install