Nová verzia OpenSSH 10.1 je teraz k dispozícii a zavádza významné vylepšenia zabezpečenia a funkčnosti zamerané na blokovanie potenciálnych vektorov útoku a poskytovanie lepšej kontroly pre administrátorov a náročných používateľov.
Jedna z najvýraznejších zmien rieši zraniteľnosť, ktorá umožňovala útočníkovi manipulovať s príkazmi shellu používanie špeciálnych znakov v používateľských menách alebo URI pri použití možnosti ProxyCommand so substitúciami %u.
Tento problém Ovplyvnilo to najmä systémy, ktoré získavali údaje z nedôveryhodných zdrojov.Aby sa tento problém vyriešil, OpenSSH 10.1 teraz zakazuje používanie kontrolných a nulových znakov v používateľských menách odovzdávaných na príkazovom riadku alebo v URL adresách ssh://. Z tohto obmedzenia sú vyňaté iba hodnoty definované v lokálnych konfiguračných súboroch, ktoré sa považujú za dôveryhodné.
Funkčné vylepšenia v ssh a ssh-agent
OpenSSH 10.1 Rozširuje podporu kľúčov tým, že umožňuje použitie ED25519 uložené v tokenoch PKCS#11, čo posilňuje kryptografickú bezpečnosť bez straty flexibility. Okrem toho, predstavuje novú možnosť konfiguračné volanie Odpadové pripojenie, ktoré sa dajú použiť ukončiť pripojenie kontrolovaným spôsobom a zobraziť prispôsobené správy, ideálne na presmerovanie používateľov alebo upozorňovanie na zastarané servery.
tak Ssh aj sshd teraz obsahujú obslužné programy signálu SIGINFO., ktoré zaznamenávajú informácie o aktívnych reláciách a kanáloch, čo uľahčuje ladenie a monitorovanie v reálnom čase. Proces overovania certifikátu zároveň pridáva ďalšiu vrstvu transparentnosti: keď overovanie zlyhá, protokol bude obsahovať podrobnosti potrebné na identifikáciu príslušného certifikátu.
Zmeny, ktoré ovplyvňujú kompatibilitu
OpenSSH 10.1 zavádza úpravy, ktoré síce nevyhnutné, ale môžu ovplyvniť predchádzajúce konfigurácie. Jednou z nich je varovanie pred kryptografickými algoritmami zraniteľnými voči kvantovým útokom, Navrhnuté tak, aby upozorňovalo na metódy výmeny kľúčov, ktoré nemusia byť odolné voči budúcim útokom založeným na kvantových výpočtoch. Správcovia môžu toto upozornenie vypnúť pomocou novej možnosti WarnWeakCrypto.
tiež Riadenie parametrov kvality služieb bolo preskúmané (IPQoS). Teraz, Interaktívna prevádzka má prioritu v triede EF. (Expedited Forwarding), čo zlepšuje zážitok z bezdrôtových sietí. Neinteraktívna prevádzka na druhej strane zostáva v predvolenej triede operačného systému. Okrem toho bolo používanie starých parametrov ToS (Type of Service) odstránené v prospech DSCP, súčasného štandardu.
Vylepšenia v oblasti bezpečnosti, výkonu a vnútornej štruktúry
Medzi vnútornými zmenami sú ajUnixové sockety ssh-agent a sshd boli premiestnené z /tmp do ~/.ssh/agent, kľúčové rozhodnutie na zabránenie neoprávnenému prístupu z procesov s obmedzeniami súborov. Podobne aj protokoly DNS servery SSHFP založené na SHA1 sa považujú za zastarané a budú nahradené... verzie, ktoré používajú SHA256, posilnenie kryptografickej integrity.
Príkaz ssh-add teraz automaticky pridá k obdobiu platnosti certifikátu päťminútovú vyrovnávaciu pamäť, čím zabezpečí, že certifikáty budú po uplynutí platnosti vymazané. Tí, ktorí chcú toto správanie zakázať, tak môžu urobiť pomocou novej možnosti -N. Nakoniec bola odstránená podpora pre kľúče XMSS, ktoré boli považované za experimentálne a štandardne neboli nikdy povolené.
Opravy a vylepšenia portovania
V OpenSSH 10.1 boli tieto opravené viacero únikov pamäte, súbehy a chyby v procesoch, ako je MaxStartups a spracovanie relácií X11. Okrem toho bol optimalizovaný zápis súborov known_hosts, čím sa stal atomickejším, aby sa predišlo problémom v prostrediach s vysokou súbežnosťou.
Čo sa týka prenosnosti, Boli pridané nové kontroly pre prostredia PAM, vylepšený integrácia s FreeBSD, macOS a Androidom, a pre systémy, ktorým chýbajú určité štandardné knižnice, boli zavedené hlavičky kompatibility. Tieto zmeny zabezpečujú, že OpenSSH zostane robustným a stabilným nástrojom na širokej škále platforiem.
Ak ste záujem dozvedieť sa o tom viac, môžete skontrolovať podrobnosti v nasledujúci odkaz.
Ako nainštalovať OpenSSH na Linux?
Pre tých, ktorí majú záujem o inštaláciu tejto novej verzie OpenSSH do svojich systémov, zatiaľ to môžu robiť stiahnutie zdrojového kódu tohto a na svojich počítačoch.
Je to preto, že nová verzia ešte nebola zahrnutá do úložísk hlavných distribúcií Linuxu. Zdrojový kód môžete získať z adresy nasledujúci odkaz.
Ukončiť sťahovanie, teraz rozbalíme balíček nasledujúcim príkazom:
tar -xvf openssh -10.1.tar.gz
Zadáme vytvorený adresár:
cd openssh-10.1
Y môžeme zostaviť s nasledujúce príkazy:
./configure --prefix = / opt --sysconfdir = / etc / ssh urobiť make nainštalovať