Через чотири місяці розвитку запуск нова версія OpenSSH 8.4, реалізація відкритого клієнта та сервера для SSH 2.0 та SFTP.
У новій версії виділяється 100% повною реалізацією протоколу SSH 2.0 крім включення змін у підтримку sftp-сервера та клієнта, також для FIDO, Ssh-keygen та деяких інших змін.
Основне нове у OpenSSH 8.4
Тепер Ssh-agent перевіряє, що повідомлення буде підписано методами SSH при використанні ключів FIDO, не створених для автентифікації SSH (ідентифікатор ключа не починається з рядка "ssh:").
Зміна не дозволить перенаправляти ssh-агент на віддалені хости, які мають ключі FIDO блокувати можливість використання цих ключів для генерації підписів для веб-запитів автентифікації (протилежний випадок, коли браузер може підписати SSH-запит, спочатку був виключений через використання префікса "ssh:" в ідентифікації ключа).
Ssh-кейген, при генерації резидентного ключа, включає підтримку плагіна credProtect описано у специфікації FIDO 2.1, яка забезпечує додатковий захист ключів, вимагаючи введення PIN-коду перед виконанням будь-яких операцій, які можуть призвести до вилучення резидентного ключа з маркера.
Щодо зміни, які потенційно можуть порушити сумісність:
Для сумісності з FIDO U2F, рекомендується використовувати бібліотеку libfido2 принаймні версія 1.5.0. Можливість використання старих версій частково реалізована, але в цьому випадку такі функції, як постійні ключі, запит на PIN-код та підключення декількох токенів, будуть недоступні.
У ssh-keygen, у форматі інформації про підтвердження, яка необов'язково зберігається при генерації ключа FIDO, додано дані автентифікатора, який необхідний для перевірки підтвердження цифрових підписів.
При створенні портативна версія OpenSSH, тепер для створення сценарію налаштування потрібен automat та супровідні файли збірки (якщо ви компілюєте з опублікованого кодом tar-файлу, вам не потрібно перебудовувати конфігурацію).
Додана підтримка ключів FIDO, які вимагають підтвердження PIN-кодом для ssh і ssh-keygen. Для генерації ключів з PIN-кодом до ssh-keygen додано опцію "перевірити необхідність". У разі використання таких ключів перед виконанням операції створення підпису користувачеві пропонується підтвердити свої дії, ввівши PIN-код.
У sshd у конфігурації санкціонованих ключів реалізована опція "перевірити потрібне", що вимагає використання можливостей для перевірки присутності користувача під час операцій з маркерами.
Sshd та ssh-keygen додали підтримку для перевірки цифрових підписів які відповідають стандарту FIDO Webauthn, який дозволяє використовувати клавіші FIDO у веб-браузерах.
З інших змін, які виділяються:
- Додана підтримка ssh та ssh-agent для змінної середовища $ SSH_ASKPASS_REQUIRE, яка може використовуватися для ввімкнення або вимкнення виклику ssh-askpass.
- У ssh, в ssh_config, в директиві AddKeysToAgent, додана можливість обмеження періоду дії ключа. Після закінчення зазначеного ліміту ключі автоматично видаляються з ssh-агента.
- У scp і sftp, використовуючи прапор "-A", тепер ви можете явно дозволити переспрямування в scp і sftp за допомогою ssh-агента (за замовчуванням переспрямування вимкнено).
- Додана підтримка заміни '% k' у ssh config для імені ключа хосту.
- Sshd надає журнал початку та закінчення процесу переривання з'єднання, керований параметром MaxStartups.
Як встановити OpenSSH 8.4 на Linux?
Для тих, хто зацікавлений у можливості встановити цю нову версію OpenSSH на свої системи, наразі вони можуть це зробити завантаження вихідного коду цього і виконуючи компіляцію на своїх комп’ютерах.
Це пов’язано з тим, що нова версія ще не включена до сховищ основних дистрибутивів Linux. Щоб отримати вихідний код, ви можете зробити з за наступним посиланням.
Закінчило завантаження, тепер ми збираємося розпакувати пакет наступною командою:
tar -xvf openssh -8.4.tar.gz
Вводимо створений каталог:
компакт-диск openssh-8.4
Y ми можемо скомпілювати з наступні команди:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install