หลังจากสี่เดือนของการพัฒนา การเปิดตัว เวอร์ชันใหม่ของ OpenSSH 8.4การใช้งานไคลเอนต์และเซิร์ฟเวอร์แบบเปิดสำหรับ SSH 2.0 และ SFTP
ในเวอร์ชันใหม่ โดดเด่นในการใช้งานโปรโตคอล SSH 100 ที่สมบูรณ์ 2.0% และนอกจากนี้ยังรวมถึงการเปลี่ยนแปลงในการรองรับเซิร์ฟเวอร์ sftp และไคลเอนต์สำหรับ FIDO, Ssh-keygen และการเปลี่ยนแปลงอื่น ๆ
คุณสมบัติใหม่หลักของ OpenSSH 8.4
ขณะนี้ Ssh-agent ตรวจสอบว่าข้อความจะถูกลงนามโดยใช้วิธี SSH เมื่อใช้คีย์ FIDO ที่ไม่ได้สร้างขึ้นสำหรับการตรวจสอบสิทธิ์ SSH (รหัสคีย์ไม่ได้ขึ้นต้นด้วยสตริง "ssh:")
เปลี่ยนแปลง จะไม่อนุญาตให้เปลี่ยนเส้นทาง ssh-agent ไปยังโฮสต์ระยะไกลที่มีคีย์ FIDO เพื่อบล็อกความสามารถในการใช้คีย์เหล่านี้เพื่อสร้างลายเซ็นสำหรับคำขอการตรวจสอบสิทธิ์เว็บ (มิฉะนั้นเมื่อเบราว์เซอร์สามารถลงนามในคำขอ SSH ได้ แต่ในขั้นต้นจะถูกแยกออกเนื่องจากการใช้คำนำหน้า "ssh:" ในการระบุคีย์)
ssh-keygen, เมื่อสร้างคีย์ประจำตัว รวมถึงการสนับสนุนปลั๊กอิน credProtect อธิบายไว้ในข้อกำหนด FIDO 2.1 ซึ่งให้การป้องกันเพิ่มเติมสำหรับคีย์โดยกำหนดให้ป้อน PIN ก่อนดำเนินการใด ๆ ที่อาจส่งผลให้มีการแยกคีย์ที่อยู่อาศัยออกจากโทเค็น
เกี่ยวกับ การเปลี่ยนแปลงที่อาจทำลายความเข้ากันได้:
สำหรับความเข้ากันได้กับ FIDO U2F ขอแนะนำให้ใช้ libfido2 library อย่างน้อยที่สุด รุ่น 1.5.0 ความเป็นไปได้ในการใช้รุ่นเก่าจะถูกนำมาใช้บางส่วน แต่ในกรณีนี้ฟังก์ชันต่างๆเช่นคีย์ประจำตัวการร้องขอ PIN และการเชื่อมต่อโทเค็นต่างๆ
ใน ssh-keygen ในรูปแบบของข้อมูลการยืนยันซึ่งถูกบันทึกไว้เป็นทางเลือกเมื่อสร้างคีย์ FIDO มีการเพิ่มข้อมูลตัวยืนยันตัวตน ซึ่งจำเป็นในการตรวจสอบยืนยันลายเซ็นดิจิทัล
เมื่อสร้างไฟล์ OpenSSH เวอร์ชันพกพาตอนนี้ต้องใช้ automake เพื่อสร้างสคริปต์การตั้งค่า และไฟล์แอสเซมบลีที่มาพร้อมกัน (หากคุณกำลังรวบรวมจากไฟล์ tar ที่เผยแพร่รหัสคุณไม่จำเป็นต้องสร้างการกำหนดค่าใหม่)
เพิ่มการรองรับคีย์ FIDO ที่ต้องการการยืนยัน PIN สำหรับ ssh และ ssh-keygen ในการสร้างคีย์ด้วย PIN มีการเพิ่มตัวเลือก "ยืนยันว่าจำเป็น" ใน ssh-keygen ในกรณีของการใช้คีย์ดังกล่าวก่อนดำเนินการสร้างลายเซ็นผู้ใช้จะต้องยืนยันการกระทำของตนโดยป้อนรหัส PIN
ใน sshd ในการกำหนดค่า Author_keys จะมีการใช้ตัวเลือก "ตรวจสอบความจำเป็น" ซึ่งต้องใช้ความสามารถในการตรวจสอบการมีอยู่ของผู้ใช้ระหว่างการดำเนินการโทเค็น
Sshd และ ssh-keygen ได้เพิ่มการสนับสนุนสำหรับการตรวจสอบลายเซ็นดิจิทัล ที่สอดคล้องกับมาตรฐาน FIDO Webauthn ซึ่งอนุญาตให้ใช้คีย์ FIDO ในเว็บเบราว์เซอร์
การเปลี่ยนแปลงอื่น ๆ ที่โดดเด่น:
- เพิ่มการสนับสนุน ssh และ ssh-agent สำหรับตัวแปรสภาพแวดล้อม $ SSH_ASKPASS_REQUIRE ซึ่งสามารถใช้เพื่อเปิดหรือปิดการเรียกใช้ ssh-askpass
- ใน ssh ใน ssh_config ในคำสั่ง AddKeysToAgent มีการเพิ่มความสามารถในการ จำกัด ระยะเวลาความถูกต้องของคีย์ หลังจากขีด จำกัด ที่ระบุหมดอายุคีย์จะถูกลบออกจาก ssh-agent โดยอัตโนมัติ
- ใน scp และ sftp โดยใช้แฟล็ก "-A" ตอนนี้คุณสามารถอนุญาตการเปลี่ยนเส้นทางอย่างชัดเจนใน scp และ sftp โดยใช้ ssh-agent (โดยค่าเริ่มต้นการเปลี่ยนเส้นทางถูกปิดใช้งาน)
- เพิ่มการสนับสนุนสำหรับการแทนที่ '% k' ในการกำหนดค่า ssh สำหรับชื่อคีย์โฮสต์
- Sshd จัดเตรียมบันทึกของการเริ่มต้นและจุดสิ้นสุดของกระบวนการวางการเชื่อมต่อซึ่งควบคุมโดยพารามิเตอร์ MaxStartups
จะติดตั้ง OpenSSH 8.4 บน Linux ได้อย่างไร?
สำหรับผู้ที่สนใจสามารถติดตั้ง OpenSSH เวอร์ชันใหม่นี้บนระบบของตนได้ ตอนนี้พวกเขาทำได้ ดาวน์โหลดซอร์สโค้ดของสิ่งนี้และ ดำเนินการรวบรวมบนคอมพิวเตอร์ของพวกเขา
เนื่องจากเวอร์ชันใหม่ยังไม่รวมอยู่ในที่เก็บของลีนุกซ์หลัก หากต้องการรับซอร์สโค้ดคุณสามารถทำได้จาก ลิงค์ต่อไปนี้.
ดาวน์โหลดเสร็จแล้ว ตอนนี้เราจะคลายซิปแพ็คเกจด้วยคำสั่งต่อไปนี้:
tar -xvf opensh-8.4.tar.gz
เราเข้าสู่ไดเร็กทอรีที่สร้างขึ้น:
ซีดี openssh-8.4
Y เราสามารถรวบรวมด้วย คำสั่งต่อไปนี้:
./configure --prefix = / opt --sysconfdir = / etc / ssh ทำการติดตั้ง