OpenSSH 9.9 kommer med stöd för en ny post-kvanthybridnyckel, förbättringar och mer

OpenSSH tillhandahåller en rik uppsättning säkra tunnelfunktioner

Tillkännagav lanseringen av ny version av OpenSSH 9.9, en klient- och serverlösning med öppen källkod som fungerar över SSH 2.0- och SFTP-protokollen. Den nya versionen framhävs av extra stöd för kvantbeständigt nyckelutbyte, policyförbättringar, randomisering av anslutningstimeout, korrigeringar och mer.

Det bör noteras att OpenSSH har meddelat att stödet för signaturalgoritmen DSA i början av 2025. I den här versionen är DSA redan inaktiverat som standard under kompileringen. Även om OpenSSH inaktiverat DSA-nycklar som standard sedan 2015, bibehöll det fortfarande valfritt körtidsstöd eftersom DSA i SSHv2 RFC:erna var den enda obligatoriska algoritmen.

För närvarande är DSA endast tillgängligt om det är aktiverat vid build, och support kommer att tas bort helt i den första versionen av OpenSSH 2025.

Vad är nytt i OpenSSH 9.9

OpenSSH 9.9 introduceras förbättringar i ssh och sshd klient och server, sedan stöder nu hybridalgoritm nyckelbyte anropad mlkem768x25519-sha256, som kombinerar X25519 ECDH med ML-KEM (en del av CRYSTALS-Kyber-standarden). Algoritmen är designad för att vara säker både mot kvantdatorattacker som konventionella, tack vare användningen av kryptografiska tekniker baserade på lösningen av nätverksteoretiska problem.

Den har det lade till "RefuseConnection" i sshd_config-konfigurationsfilen. Detta alternativ orsakar sshd stäng anslutningen efter det första misslyckade autentiseringsförsöket. Dessutom har klassen "refuseconnection" skapats, som används i PerSourcePenalties-direktivet, som aktiveras när en anslutning avslutas enligt denna policy.

Utöver detta har ssh-klienten har slutat stödja datakomprimering före autentisering, eftersom denna funktion utökade attackytan på SSH-servrar, möjliggöra möjliga sårbarheter genom att indirekt analysera informationen som utbyts under autentiseringsprocessen. Förkomprimering hade redan tidigare inaktiverats på sshd-servern.

i ssh som i sshd, mer avancerade regler används nu för analys av argumenten i "Match"-direktivet, liknande de i ett skal. Dessa regler låter dig arbeta med citattecken, inklusive kapsling och möjligheten att undkomma tecken som "\." I konfigurationsfilen ssh_config, "Inkludera"-direktivet har uppdaterats för att stödja miljövariabler och "%," ersättningar, liknande hur "Match Exec-direktivet" beter sig.

Av andra förändringar som sticker ut:

  • I sshd_config har ett alternativ lagts till för att aktivera "Match"-policyn när man försöker logga in med ett ogiltigt användarnamn, vilket förbättrar hanteringen av obehörig åtkomst.
  • Hybridnyckelutbytesalgoritmen Strömlinjeformad NTRUprime/X25519 har nu ett mer användarvänligt alternativt namn: sntrup761x25519-sha512, utöver dess fullständiga tekniska namn sntrup761x25519-sha512@openssh.com.
  • Ett extra lager av skydd mot förlust av privata nycklar i viktiga filer har byggts in i komponenterna ssh, sshd och ssh-agent, tillgänglig på OpenBSD, Linux och FreeBSD-system.
  • Nyckelhanteringen har uppdaterats för att dra fördel av EVP_PKEY API från libcrypto-biblioteket, vilket förbättrar nyckelhanteringen och ökar säkerheten.
  • Lade till en slumpmässig ändring av anslutningstiden (LoginGraceTime) inom ett intervall på 4 sekunder i sshd, vilket gör det svårt att exakt upptäcka när timeouten löper ut, vilket ökar säkerheten mot hackingattacker

Äntligen denna version fixar flera problem relaterade till kodkompilering använder Musl-biblioteket, vilket förbättrar dess kompatibilitet med vissa utvecklingsmiljöer.

Om du är intresserad av att lära dig mer om det kan du konsultera detaljerna på följande länk.

Hur installerar man OpenSSH på Linux?

För dem som är intresserade av att kunna installera den här nya versionen av OpenSSH på sina system, för nu kan de göra det ladda ner källkoden för detta och utför kompilering på sina datorer.

Detta beror på att den nya versionen ännu inte har inkluderats i förvaren för de viktigaste Linux-distributionerna. För att få källkoden kan du göra från följande länk.

Gjorde nedladdningen, nu ska vi packa upp paketet med följande kommando:

tar -xvf openssh -9.9.tar.gz

Vi går in i den skapade katalogen:

cd openssh-9.9

Y vi kan sammanställa med följande kommandon:

./configure --prefix = / opt --sysconfdir = / etc / ssh gör installationen

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.