经过四个月的发展 发射 新版本 OpenSSH 8.4,这是SSH 2.0和SFTP的开放式客户端和服务器实现。
在新版本中 因SSH 100协议的2.0%完整实现而脱颖而出 并且除了包括对sftp服务器和客户端支持的更改之外,还对FIDO,Ssh-keygen和其他一些更改进行了更改。
OpenSSH 8.4的主要新功能
Ssh代理现在验证消息将使用SSH方法进行签名 使用未通过SSH身份验证生成的FIDO密钥时(密钥ID不能以字符串“ ssh:”开头)。
改变 不允许将ssh-agent重定向到具有FIDO密钥的远程主机 阻止使用这些密钥为Web身份验证请求生成签名的功能(否则,当浏览器可以对SSH请求进行签名时,由于在密钥标识中使用了前缀“ ssh:”,因此最初将其排除在外)。
ssh-keygen, 生成居民密钥时, 包括对credProtect插件的支持 在FIDO 2.1规范中进行了详细说明,该规范通过在执行可能导致从令牌中提取常驻密钥的任何操作之前要求输入PIN来提供对密钥的额外保护。
关于 可能破坏兼容性的更改:
为了与 FIDO U2F,建议使用libfido2库 至少 版本1.5.0。 使用旧版本的可能性已部分实现,但在这种情况下,将无法使用诸如常驻密钥,PIN请求和多个令牌连接的功能。
在ssh-keygen中, 以确认信息的格式(在生成FIDO密钥时可以选择保存), 验证者数据已添加, 这是验证确认数字签名所必需的。
创建一个 便携式版本的OpenSSH,现在需要automake才能生成配置脚本 以及随附的程序集文件(如果您是从代码发布的tar文件中进行编译,则无需重新构建configure)。
增加了对需要PIN验证的FIDO密钥的支持 用于ssh和ssh-keygen。 要使用PIN生成密钥,已在“ ssh-keygen”中添加了“需要验证”选项。 在使用这样的密钥的情况下,在执行签名创建操作之前,要求用户通过输入PIN码来确认他们的动作。
在sshd中,在authorized_keys配置中,实现了“验证所需”选项, 这要求在令牌操作期间使用功能来验证用户的存在。
Sshd和ssh-keygen添加了对验证数字签名的支持 符合FIDO Webauthn标准,该标准允许FIDO密钥在Web浏览器中使用。
在其他突出的变化中:
- 为$ SSH_ASKPASS_REQUIRE环境变量添加了ssh和ssh-agent支持,可用于启用或禁用ssh-askpass调用。
- 在ssh中的ssh_config中,在AddKeysToAgent指令中,添加了限制密钥有效期的功能。 指定的限制到期后,密钥会自动从ssh-agent中删除。
- 在scp和sftp中,使用“ -A”标志,您现在可以使用ssh-agent在scp和sftp中显式允许重定向(默认情况下,禁用重定向)。
- 添加了对ssh config中主机密钥名称的'%k'替换的支持。
- Sshd提供由MaxStartups参数控制的连接断开过程的开始和结束的日志。
如何在Linux上安装OpenSSH 8.4?
对于那些对能够在其系统上安装此新版本的OpenSSH感兴趣的人, 现在他们可以做到 下载此源代码并 在他们的计算机上执行编译。
这是因为新版本尚未包含在主要Linux发行版的存储库中。 要获取源代码,您可以从 以下链接.
完成下载, 现在,我们将使用以下命令解压缩该软件包:
tar -xvf openssh-8.4.tar.gz
我们输入创建的目录:
光盘openssh-8.4
Y 我们可以用 以下命令:
./configure --prefix = / opt --sysconfdir = / etc / ssh进行安装