Sau bốn tháng phát triển sự ra mắt của phiên bản mới của OpenSSH 8.4, triển khai máy khách và máy chủ mở cho SSH 2.0 và SFTP.
Trong phiên bản mới nổi bật với việc triển khai hoàn toàn 100% giao thức SSH 2.0 và ngoài việc bao gồm các thay đổi trong hỗ trợ cho máy chủ và máy khách sftp, cũng cho FIDO, Ssh-keygen và một số thay đổi khác.
Các tính năng mới chính của OpenSSH 8.4
Ssh-agent hiện xác minh rằng thư sẽ được ký bằng các phương thức SSH khi sử dụng khóa FIDO không được tạo để xác thực SSH (ID khóa không bắt đầu bằng chuỗi "ssh:").
Sự thay đổi sẽ không cho phép chuyển hướng ssh-agent đến các máy chủ từ xa có khóa FIDO chặn khả năng sử dụng các khóa này để tạo chữ ký cho các yêu cầu xác thực web (nếu không, khi trình duyệt có thể ký một yêu cầu SSH, ban đầu nó đã bị loại trừ do sử dụng tiền tố "ssh:" trong nhận dạng khóa).
ssh-keygen, khi tạo khóa thường trú, bao gồm hỗ trợ cho plugin credProtect được mô tả trong thông số kỹ thuật FIDO 2.1, cung cấp khả năng bảo vệ bổ sung cho các khóa bằng cách yêu cầu nhập mã PIN trước khi thực hiện bất kỳ hoạt động nào có thể dẫn đến việc trích xuất khóa thường trú từ mã thông báo.
Về những thay đổi có thể phá vỡ khả năng tương thích:
Để tương thích với FIDO U2F, nên sử dụng thư viện libfido2 của ít nhất phiên bản 1.5.0. Khả năng sử dụng các phiên bản cũ được triển khai một phần, nhưng trong trường hợp này, các chức năng như khóa thường trú, yêu cầu mã PIN và kết nối một số mã thông báo sẽ không khả dụng.
Trong ssh-keygen, ở định dạng thông tin xác nhận, được tùy chọn lưu khi tạo khóa FIDO, dữ liệu xác thực được thêm vào, được yêu cầu để xác minh chữ ký điện tử xác nhận.
Khi tạo một phiên bản di động của OpenSSH, hiện nay cần phải tự động hóa để tạo tập lệnh cấu hình và các tệp lắp ráp đi kèm (nếu bạn đang biên dịch từ tệp tar do mã xuất bản, bạn không cần phải xây dựng lại cấu hình).
Đã thêm hỗ trợ cho các khóa FIDO yêu cầu xác minh mã PIN cho ssh và ssh-keygen. Để tạo khóa bằng mã PIN, tùy chọn "yêu cầu xác minh" đã được thêm vào ssh-keygen. Trong trường hợp sử dụng các khóa như vậy, trước khi thực hiện thao tác tạo chữ ký, người dùng được yêu cầu xác nhận hành động của mình bằng cách nhập mã PIN.
Trong sshd, trong cấu hình allow_keys, tùy chọn "xác minh bắt buộc" được triển khai, yêu cầu sử dụng các khả năng để xác minh sự hiện diện của người dùng trong các hoạt động mã thông báo.
Sshd và ssh-keygen đã hỗ trợ thêm để xác minh chữ ký điện tử tuân thủ tiêu chuẩn FIDO Webauthn, cho phép các khóa FIDO được sử dụng trong trình duyệt web.
Trong số những thay đổi khác nổi bật:
- Đã thêm hỗ trợ ssh và ssh-agent cho biến môi trường $ SSH_ASKPASS_REQUIRE, có thể được sử dụng để bật hoặc tắt lệnh gọi ssh-askpass.
- Trong ssh, trong ssh_config, trong chỉ thị AddKeysToAgent, khả năng giới hạn thời gian hiệu lực của khóa đã được thêm vào. Sau khi hết giới hạn được chỉ định, các khóa sẽ tự động bị xóa khỏi ssh-agent.
- Trong scp và sftp, sử dụng cờ "-A", giờ đây bạn có thể cho phép rõ ràng chuyển hướng trong scp và sftp bằng ssh-agent (theo mặc định, chuyển hướng bị tắt).
- Đã thêm hỗ trợ thay thế '% k' trong cấu hình ssh cho tên khóa máy chủ.
- Sshd cung cấp nhật ký về quá trình bắt đầu và kết thúc quá trình thả kết nối, được điều khiển bởi tham số MaxStartups.
Làm thế nào để cài đặt OpenSSH 8.4 trên Linux?
Đối với những người quan tâm đến việc có thể cài đặt phiên bản OpenSSH mới này trên hệ thống của họ, bây giờ họ có thể làm điều đó tải xuống mã nguồn của cái này và thực hiện biên dịch trên máy tính của họ.
Điều này là do phiên bản mới vẫn chưa được đưa vào kho của các bản phân phối Linux chính. Để lấy mã nguồn, bạn có thể làm từ liên kết sau.
Đã tải xong, bây giờ chúng ta sẽ giải nén gói bằng lệnh sau:
tar -xvf openssh-8.4.tar.gz
Chúng tôi nhập thư mục đã tạo:
cd openssh-8.4
Y chúng tôi có thể biên dịch với các lệnh sau:
./configure --prefix = / opt --sysconfdir = / etc / ssh thực hiện cài đặt