Po štirih mesecih razvoja začetek nova različica OpenSSH 8.4, odprta izvedba odjemalca in strežnika za SSH 2.0 in SFTP.
V novi različici izstopa kot 100% popolna izvedba protokola SSH 2.0 poleg sprememb v podpori za strežnik in odjemalca sftp pa tudi za FIDO, Ssh-keygen in nekatere druge spremembe.
Glavne novosti OpenSSH 8.4
Ssh-agent zdaj preveri, ali bo sporočilo podpisano z uporabo SSH metod pri uporabi ključev FIDO, ki niso bili ustvarjeni za overjanje SSH (ID ključa se ne začne z nizom "ssh:").
Sprememba ne bo dovolil preusmeritve ssh-agent na oddaljene gostitelje s ključi FIDO za blokiranje možnosti uporabe teh ključev za ustvarjanje podpisov za zahteve za spletno preverjanje pristnosti (sicer je bil brskalnik, ko lahko podpiše zahtevo SSH, sprva izključen zaradi uporabe predpone "ssh:" pri identifikaciji ključa).
ssh-keygen, pri ustvarjanju rezidenčnega ključa, vključuje podporo za vtičnik credProtect opisano v specifikaciji FIDO 2.1, ki zagotavlja dodatno zaščito ključev z zahtevo po vnosu kode PIN pred izvajanjem kakršnih koli operacij, ki bi lahko povzročile izvlečenje rezidenčnega ključa iz žetona.
Glede spremembe, ki bi lahko prekinile združljivost:
Za združljivost z FIDO U2F, priporočamo uporabo knjižnice libfido2 vsaj različica 1.5.0. Možnost uporabe starih različic je delno implementirana, vendar v tem primeru funkcije, kot so rezidenčni ključi, zahteva za PIN in povezava več žetonov, ne bodo na voljo.
V ssh-keygen, v obliki potrditvenih informacij, ki se po želji shranijo med generiranjem ključa FIDO, dodajo se podatki za preverjanje pristnosti, kar je potrebno za preverjanje potrditve digitalnih podpisov.
Pri ustvarjanju prenosna različica OpenSSH, je zdaj za izdelavo namestitvenega skripta potrebna avtomake in pripadajoče montažne datoteke (če zbirate iz datoteke tar, objavljene s kodo, vam ni treba znova konfigurirati).
Dodana podpora za tipke FIDO, ki zahtevajo preverjanje kode PIN za ssh in ssh-keygen. Za generiranje ključev s kodo PIN je bila ssh-keygenu dodana možnost "preveri zahtevano". V primeru uporabe takšnih ključev mora uporabnik pred izvajanjem postopka ustvarjanja podpisa potrditi svoja dejanja z vnosom kode PIN.
V sshd je v konfiguraciji pooblaščenih_ključkov izvedena možnost "preveri zahtevano", ki zahteva uporabo zmožnosti za preverjanje prisotnosti uporabnika med operacijami žetonov.
Sshd in ssh-keygen sta dodala podporo za preverjanje digitalnih podpisov ki ustrezajo standardu FIDO Webauthn, ki omogoča uporabo tipk FIDO v spletnih brskalnikih.
Od ostalih sprememb, ki izstopajo:
- Dodana podpora ssh in ssh-agent za spremenljivko okolja $ SSH_ASKPASS_REQUIRE, s katero lahko omogočite ali onemogočite klic ssh-askpass.
- V ssh, v ssh_config, v direktivo AddKeysToAgent je bila dodana možnost omejevanja obdobja veljavnosti ključa. Po poteku določene omejitve se ključi samodejno odstranijo iz ssh-agenta.
- V scp in sftp lahko z zastavico "-A" zdaj izrecno dovolite preusmeritev v scp in sftp s ssh-agentom (privzeto je preusmeritev onemogočena).
- Dodana podpora za zamenjavo '% k' v ssh config za ime gostiteljskega ključa.
- Sshd vsebuje dnevnik začetka in konca postopka padca povezave, ki ga nadzoruje parameter MaxStartups.
Kako namestiti OpenSSH 8.4 na Linux?
Za tiste, ki jih zanima namestitev te nove različice OpenSSH v svoje sisteme, za zdaj lahko to storijo nalaganje izvorne kode tega in izvajajo kompilacijo na svojih računalnikih.
To pa zato, ker nova različica še ni bila vključena v repozitoriji glavnih distribucij Linuxa. Če želite dobiti izvorno kodo, lahko to storite iz naslednjo povezavo.
Končal prenos, zdaj bomo paket razpakirali z naslednjim ukazom:
tar -xvf openssh -8.4.tar.gz
Vnesemo ustvarjeni imenik:
cd openssh-8.4
Y lahko sestavimo z naslednje ukaze:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install