經過四個月的發展 發射 新版本 OpenSSH 8.4,這是SSH 2.0和SFTP的開放式客戶端和服務器實現。
在新版本中 因SSH 100協議的2.0%完整實現而脫穎而出 並且除了包括對sftp服務器和客戶端支持的更改之外,還對FIDO,Ssh-keygen和其他一些更改進行了更改。
OpenSSH 8.4的主要新功能
Ssh代理現在驗證消息將使用SSH方法進行簽名 使用未通過SSH身份驗證生成的FIDO密鑰時(密鑰ID不能以字符串“ ssh:”開頭)。
改變 不允許將ssh-agent重定向到具有FIDO密鑰的遠程主機 阻止使用這些密鑰為Web身份驗證請求生成簽名的能力(否則,當瀏覽器可以對SSH請求進行簽名時,由於在密鑰標識中使用了前綴“ ssh:”,因此最初將其排除在外)。
ssh-keygen, 生成居民密鑰時, 包括對credProtect插件的支持 在FIDO 2.1規範中進行了詳細描述,該規範通過在執行可能導致從令牌中提取駐留密鑰的任何操作之前要求輸入PIN來提供密鑰的附加保護。
關於 可能破壞兼容性的更改:
為了與 FIDO U2F,建議使用libfido2庫 至少 版本1.5.0。 使用舊版本的可能性已部分實現,但在這種情況下,將無法使用諸如常駐密鑰,PIN請求和多個令牌連接的功能。
在ssh-keygen中, 以確認信息的格式(在生成FIDO密鑰時可以選擇保存), 驗證者數據已添加, 這是驗證確認數字簽名所必需的。
創建一個 便攜式版本的OpenSSH,現在需要automake才能生成配置腳本 以及隨附的程序集文件(如果您是從代碼發布的tar文件中進行編譯,則無需重新構建configure)。
增加了對需要PIN驗證的FIDO密鑰的支持 用於ssh和ssh-keygen。 要使用PIN生成密鑰,已在“ ssh-keygen”中添加了“需要驗證”選項。 在使用這樣的密鑰的情況下,在執行簽名創建操作之前,要求用戶通過輸入PIN碼來確認他們的動作。
在sshd中,在authorized_keys配置中,實現了“驗證所需”選項, 這要求在令牌操作期間使用功能來驗證用戶的存在。
Sshd和ssh-keygen添加了對驗證數字簽名的支持 符合FIDO Webauthn標準,該標准允許FIDO密鑰在Web瀏覽器中使用。
在其他突出的變化中:
- 為$ SSH_ASKPASS_REQUIRE環境變量添加了ssh和ssh-agent支持,可用於啟用或禁用ssh-askpass調用。
- 在ssh中的ssh_config中,在AddKeysToAgent指令中,添加了限制密鑰有效期的功能。 指定的限製到期後,密鑰會自動從ssh-agent中刪除。
- 在scp和sftp中,使用“ -A”標誌,現在可以使用ssh-agent明確允許在scp和sftp中進行重定向(默認情況下,禁用重定向)。
- 添加了對ssh config中主機密鑰名的'%k'替換的支持。
- Sshd提供了由MaxStartups參數控制的連接斷開過程的開始和結束的日誌。
如何在Linux上安裝OpenSSH 8.4?
對於那些對能夠在其係統上安裝此新版本的OpenSSH感興趣的人, 現在他們可以做到 下載此源代碼並 在他們的計算機上執行編譯。
這是因為新版本尚未包含在主要Linux發行版的存儲庫中。 要獲取源代碼,您可以從 以下鏈接.
完成下載, 現在,我們將使用以下命令解壓縮該軟件包:
tar -xvf openssh-8.4.tar.gz
我們輸入創建的目錄:
光盤openssh-8.4
Y 我們可以用 以下命令:
./configure --prefix = / opt --sysconfdir = / etc / ssh進行安裝