Нова версія OpenSSH 10.1 тепер доступний та запроваджує значні покращення безпеки та функціональності, зосереджені на блокуванні потенційних векторів атак та забезпеченні кращого контролю для адміністраторів і досвідчених користувачів.
Одна з найпомітніших змін вирішує вразливість, яка дозволяла зловмиснику маніпулювати командами оболонки використання спеціальних символів в іменах користувачів або URI під час використання опції ProxyCommand із замінами %u.
Ця проблема Це в основному торкнулося систем, які отримували дані з ненадійних джерел.Щоб вирішити цю проблему, OpenSSH 10.1 тепер забороняє використання керуючих символів та символів null в іменах користувачів, що передаються в командному рядку або в URL-адресах ssh://. Тільки значення, визначені в локальних файлах конфігурації, які вважаються довіреними, звільняються від цього обмеження.
Функціональні покращення ssh та ssh-agent
OpenSSH 10.1 Розширює підтримку ключів, дозволяючи використовувати ED25519 зберігається в токенах PKCS#11, що посилює криптографічну безпеку без шкоди для гнучкості. Крім того, вводить нову опцію виклик конфігурації Зв'язок з відмовами, які можна використовувати завершувати з’єднання контрольованим чином та відображати персоналізовані повідомлення, ідеально підходить для перенаправлення користувачів або сповіщення про застарілі сервери.
так Як ssh, так і sshd тепер містять обробники сигналів SIGINFO., які реєструють інформацію про активні сеанси та канали, що спрощує налагодження та моніторинг у режимі реального часу. Тим часом процес автентифікації сертифіката додає додатковий рівень прозорості: коли автентифікація не вдається, журнал міститиме дані, необхідні для ідентифікації відповідного сертифіката.
Зміни, що впливають на сумісність
OpenSSH 10.1 вводить корективи, які, хоча й необхідні, можуть вплинути на попередні конфігурації. Одним з них є попередження про криптографічні алгоритми, вразливі до квантових атак, Розроблено для попередження про методи обміну ключами, які можуть бути нестійкими до майбутніх атак на основі квантових обчислень. Адміністратори можуть вимкнути це попередження за допомогою нової опції WarnWeakCrypto.
також Було переглянуто управління параметрами якості послуг (IPQoS). Тепер, Інтерактивному трафіку надається пріоритет класом EF (Прискорене переадресування), що покращує роботу в бездротових мережах. Неінтерактивний трафік, з іншого боку, залишається в класі операційної системи за замовчуванням. Крім того, використання старих параметрів ToS (тип послуги) було виключено на користь DSCP, поточного стандарту.
Покращення безпеки, продуктивності та внутрішньої структури
Серед внутрішніх змін, sUnix-сокети ssh-agent та sshd було перенесено з /tmp до ~/.ssh/agent., ключове рішення для запобігання несанкціонованому доступу з процесів з обмеженнями файлів. Аналогічно, журнали DNS-сервери SSHFP на основі SHA1 вважаються застарілими та будуть замінені на версії, що використовують SHA256, зміцнення криптографічної цілісності.
Команда ssh-add тепер автоматично додає п'ятихвилинний буфер до терміну дії сертифіката, гарантуючи його видалення після закінчення терміну дії. Ті, хто бажає вимкнути цю поведінку, можуть зробити це за допомогою нового параметра -N. Нарешті, підтримку ключів XMSS, які вважалися експериментальними та ніколи не вмикалися за замовчуванням, було видалено.
Виправлення та покращення портування
У OpenSSH 10.1 це було виправлено. множинні витоки пам'яті, умови гонки та помилки в таких процесах, як MaxStartups та обробка сеансів X11. Крім того, було оптимізовано запис файлів known_hosts, що робить його більш атомарним, щоб уникнути проблем у середовищах з високим рівнем паралельності.
Що стосується портативності, Додано нові перевірки для середовищ PAM. покращений інтеграція з FreeBSD, macOS та Android, а також було введено заголовки сумісності для систем, яким бракує певних стандартних бібліотек. Ці зміни гарантують, що OpenSSH залишиться надійним та стабільним інструментом на широкому спектрі платформ.
Якщо ви є цікаво дізнатися про це більше, Ви можете перевірити деталі в за наступним посиланням.
Як встановити OpenSSH на Linux?
Для тих, хто зацікавлений у можливості встановити цю нову версію OpenSSH на свої системи, наразі вони можуть це зробити завантаження вихідного коду цього і виконуючи компіляцію на своїх комп’ютерах.
Це пов’язано з тим, що нова версія ще не включена до сховищ основних дистрибутивів Linux. Щоб отримати вихідний код, ви можете зробити з за наступним посиланням.
Закінчило завантаження, тепер ми збираємося розпакувати пакет наступною командою:
tar -xvf openssh -10.1.tar.gz
Вводимо створений каталог:
компакт-диск openssh-10.1
Y ми можемо скомпілювати з наступні команди:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install