Po štyroch mesiacoch vývoja spustenie nová verzia OpenSSH 8.4, otvorená implementácia klienta a servera pre SSH 2.0 a SFTP.
V novej verzii vyniká 100% úplnou implementáciou protokolu SSH 2.0 a okrem zahrnutia zmien do podpory pre sftp server a klienta, aj pre FIDO, Ssh-keygen a niektoré ďalšie zmeny.
Hlavné nové funkcie OpenSSH 8.4
Ssh-agent teraz overuje, že správa bude podpísaná pomocou metód SSH pri použití kľúčov FIDO, ktoré neboli vygenerované na autentifikáciu SSH (ID kľúča nezačína reťazcom „ssh:“).
Zmena nepovolí presmerovanie ssh-agent na vzdialených hostiteľov, ktorí majú kľúče FIDO zablokovať možnosť použitia týchto kľúčov na generovanie podpisov pre požiadavky na autentifikáciu na webe (inak, keď môže prehliadač podpísať požiadavku SSH, bola pôvodne vylúčená z dôvodu použitia predvoľby „ssh:“ v identifikácii kľúča).
SSH-keygen, pri generovaní rezidentného kľúča, obsahuje podporu pre credProtect plugin popísaný v špecifikácii FIDO 2.1, ktorá poskytuje dodatočnú ochranu kľúčov tým, že vyžaduje zadanie PIN pred vykonaním akýchkoľvek operácií, ktoré môžu mať za následok extrakciu rezidentného kľúča z tokenu.
Pokiaľ ide o zmeny, ktoré môžu narušiť kompatibilitu:
Pre kompatibilitu s FIDO U2F, odporúča sa používať knižnicu libfido2 aspoň z verzia 1.5.0. Možnosť použitia starých vydaní je čiastočne implementovaná, ale v takom prípade nebudú dostupné funkcie ako rezidentné kľúče, požiadavka na PIN a pripojenie viacerých tokenov.
V ssh-keygen, vo formáte potvrdzovacích informácií, ktoré sa voliteľne ukladajú pri generovaní kľúča FIDO, pridajú sa údaje autentifikátora, ktorý sa vyžaduje na overenie potvrdzovacích digitálnych podpisov.
Pri vytváraní a prenosná verzia OpenSSH, na vygenerovanie konfiguračného skriptu je teraz potrebný program Automake a sprievodné súbory zostavy (ak kompilujete zo súboru tar zverejneného v kóde, nemusíte znova konfigurovať).
Pridaná podpora pre kľúče FIDO, ktoré vyžadujú overenie PIN pre ssh a ssh-keygen. Na generovanie kľúčov pomocou PIN bola do ssh-keygen pridaná možnosť „overiť povinné“. V prípade použitia týchto kľúčov je užívateľ pred vykonaním operácie vytvorenia podpisu vyzvaný k potvrdeniu svojich akcií zadaním PIN kódu.
V sshd je v konfigurácii authorized_keys implementovaná možnosť "overiť požadované", čo si vyžaduje použitie schopností na overenie prítomnosti používateľa počas tokenových operácií.
Sshd a ssh-keygen pridali podporu pre overovanie digitálnych podpisov ktoré vyhovujú štandardu FIDO Webauthn, ktorý umožňuje použitie kľúčov FIDO vo webových prehliadačoch.
Z ďalších zmien, ktoré vynikajú:
- Pridaná podpora ssh a ssh-agent pre premennú prostredia $ SSH_ASKPASS_REQUIRE, ktorú je možné použiť na povolenie alebo zakázanie volania ssh-askpass.
- V ssh, v ssh_config, v smernici AddKeysToAgent bola pridaná možnosť obmedziť dobu platnosti kľúča. Po uplynutí zadaného limitu sa kľúče automaticky odstránia z ssh-agenta.
- V scp a sftp môžete pomocou príznaku „-A“ výslovne povoliť presmerovanie v scp a sftp pomocou ssh-agenta (štandardne je presmerovanie zakázané).
- Pridaná podpora pre nahradenie '% k' v konfigurácii ssh pre názov kľúča hostiteľa.
- Sshd poskytuje protokol začiatku a konca procesu prerušenia pripojenia, riadený parametrom MaxStartups.
Ako nainštalovať OpenSSH 8.4 na Linuxe?
Pre tých, ktorí majú záujem o inštaláciu tejto novej verzie OpenSSH do svojich systémov, zatiaľ to môžu robiť stiahnutie zdrojového kódu tohto a na svojich počítačoch.
Je to preto, že nová verzia ešte nebola zahrnutá do úložísk hlavných distribúcií Linuxu. Zdrojový kód môžete získať z adresy nasledujúci odkaz.
Ukončiť sťahovanie, teraz rozbalíme balíček nasledujúcim príkazom:
tar -xvf openssh -8.4.tar.gz
Zadáme vytvorený adresár:
cd openssh-8.4
Y môžeme zostaviť s nasledujúce príkazy:
./configure --prefix = / opt --sysconfdir = / etc / ssh urobiť make nainštalovať