Osim oznake verzije, OpenSSH 10.1 konsolidira put započet serijom 10: migracija na postkvantnu kriptografiju, modernizacija QoS-a s DSCP-om i jačanje povijesno osjetljivih područja (agenti, ključevi, registri i parsiranje parametara). U nastavku ćete pronaći detaljan pregled svih novih značajki (s kontekstom gdje dodaje vrijednost), kao i praktične smjernice za njihovo usvajanje bez iznenađenja.
Slijedi popis s Što je novo u ovoj verziji, također dostupno u službene bilješke.
Najvažnije informacije i kontekst izdanja
Službeno izdanje OpenSSH 10.1 (2025-10-06) ističe tri osi: Preventivna sigurnost od kvantne kriptografije, DSCP mreža i sanitizacije ulaznih podatakaTakođer povezuje specifične promjene s visokim operativnim utjecajem: od ruta agentskih utičnica do novi dijagnostički znakovi.
Ključni podsjetnik na projekt: Buduće izdanje će ignorirati SSHFP zapisnike temeljene na SHA-1Dok ssh-keygen -r sada prema zadanim postavkama generira SSHFP otiske prstiju samo s SHA-256, zatvaranje vrata slabim hashevima za DNSSEC i provjeru ključa hosta.
Upozorenje o ne-postkvantnoj kriptografiji i nova WarnWeakCrypto opcija
OpenSSH 10.1 uvodi upozorenje kada veza pregovara o razmjeni ključeva koja nije otporan na postkvantne napadeCilj je usredotočiti se na rizik "pohrani sada, dešifriraj kasnije" i ubrzati prijelaz u osjetljivim okruženjima.
Ovo ponašanje se kontrolira pomoću UpozorenjeSlabaKripto (Na ssh_config), što je omogućeno prema zadanim postavkama. Ako provodite postupnu migraciju ili održavate naslijeđene hostove, Upozorenje možete selektivno onemogućiti s blokovima podudaranja. Na primjer:
Host za podudaranje unsafe.example.com WarnWeakCrypto ne
Kriptografija i najsuvremenije tehnologije: PQC, hibridi i SSHFP
U verziji 10.0, klijent je prešao na korištenje prema zadanim postavkama mlkem768x25519‑sha256, hibridni postkvantni algoritam koji kombinira ML-KEM (KEM NIST FIPS 203) s X25519. Ova hibridna strategija osigurava da čak i ako dođe do kriptoanalitičkog proboja na strani PQ-a, Ne bi ti bilo gore nego s klasičnim ECDH-om. jer kanal zadržava snagu X25519.
S verzijom 10.1, uz gore objašnjeno upozorenje, prijelaz je pojačan: OpenSSH će u budućnosti nastaviti ignorirati SSHFP sa SHA-1.alat ssh-keygen već izdaje SSHFP isključivo sa SHA-256. Operativno, preporučena radnja je regenerirajte i objavite SSHFP otiske prstiju u SHA-256 za svoje domaćine.
Često postavljana pitanja: Zašto sada inzistirati ako kvantna računala još ne mogu probiti SSH? Jer napadači mogu uhvatiti danas i dešifrirati sutra. Korištenje postkvantnog KEX-a već ublažava taj vektor. A ako ste zabrinuti zbog mladosti PQ algoritama, zapamtite da hibridni način održava klasičnu razinu sigurnosti kao osnovu.
Modernizacija mreže: DSCP/IPQoS i određivanje prioriteta prometa
Ovo izdanje konsolidira dubinsku reviziju QoS-a. I na klijentu i na poslužitelju, Interaktivni promet se prema zadanim postavkama postavlja na klasu EF (ubrzano prosljeđivanje), što pomaže u smanjenju latencije na Wi-Fi-ju i preopterećenih medija. Neinteraktivni promet prelazi na korištenje zadana oznaka DSCP sustava, bez povećanja prioriteta.
U praksi, oboje ssh(1) i sshd(8) se dinamički mijenjaju marka koja se koristi prema vrsti prisutnih kanala: ako isti priključak kombinira školjku i sftp, faza neinteraktivnog prijenosa koristit će neinteraktivnu vrijednost tijekom operacije i vratiti se na EF kada je to prikladno. To kontrolira ključ IPQoS en ssh_config y sshd_config.
Osim toga, Podrška za starije IPv4 uvjete pružanja usluge se povlači u IPQoS opciji (lowdelay, throughput, reliability prestanu djelovati). Ako ste ih još uvijek koristili, prelazi na DSCP nomenklaturu (npr. ef, cs0, af11, Itd.).
Pojačavanje unosa: korisnici, URI-ji i proširenja
U odjeljku o sigurnosti, verzija 10.1 ispravlja suptilan slučaj gdje, ako ste izgradili naredbene retke s vanjskim podacima i istovremeno koristili ProxyCommand s proširenjima %r/%u, napadač bi mogao prokrijumčariti izraze ljuske. Kako bi to ublažio, ssh(1) sada zabranjuje kontrolne znakove u korisnicima proslijeđenim CLI-jem ili proširenim, a također blokira null znak u URI-jima ssh://.
Napomena o kompatibilnosti: Točka validacije je ublažena kako bi se izbjeglo kršenje legitimnih slučajeva. Doslovna korisnička imena definirana u konfiguracijskim datotekama (bez %) proširenja su izuzeta, na temelju toga što se lokalna konfiguracija smatra pouzdanom.
Signali i informacije uživo: SIGINFO i vidljivost
Još jedan praktičan savjet za otklanjanje pogrešaka: ssh(1) i sshd(8) dobivaju SIGINFO rukovatelje koji bilježe status aktivnih kanala i sesija. U produkciji, ovo olakšava dijagnostiku protoka, multipleksiranje, prosljeđivanje i X11 bez potrebe za priključivanjem programa za ispravljanje pogrešaka ili invazivnim povećanjem detalja.
U skladu s istim principima transparentnosti, kada autentifikacija certifikata ne uspije, sshd sada bilježi dovoljno informacija za identifikaciju certifikata (kao i zašto je odbijeno). Ako radite s PKI i korisničkim/domaćinskim certifikatima, ovo poboljšanje znatno skraćuje vrijeme rješavanja.
ssh-agent i ključevi: utičnice, sanitizacija i PKCS#11
Kako bi se spriječio unakrsni pristup u okruženjima s ograničenom montažom /tmp, utičnice agenta (i one koje prosljeđuje sshd) Znam premjestiti iz /tmp u ~/.ssh/agentDakle, proces s ograničenim dozvolama na /tmp više slučajno ne nasljeđuje mogućnost potpisivanja s vašim ključevima od agenta.
Ova promjena ima još jednu derivativnu vezu: prije nego što je OS mogao čistiti zastarjele utičnice, sada ssh-agent uključuje vlastito čišćenje iz starih utičnica. Osim toga, agent dodaje nove zastavice: -U y -u za kontrolu čistoće pri pokretanju, -uu ignorirati naziv hosta prilikom čišćenja i -T prisiliti povijesnu lokaciju /tmp ako ti stvarno treba.
U ključnoj ravnini, klijent i agent ED25519 hostan na PKCS#11 tokenima sada je podržanAko se oslanjate na HSM-ove ili kriptografske ključeve, dobit ćete fleksibilnost bez žrtvovanja snage.
ssh-add i certifikati: istek samočišćenja
Kada agentu dodate certifikate, Njegov istek sada je postavljen s periodom odgode od 5 minutaIdeja je jednostavna: omogućiti dovršetak transakcija u redu čekanja, a zatim, automatski izbriši certifikat agentaAko vaš tok zahtijeva potpunu kontrolu, ssh‑add -N onemogućite ovo ponašanje.
RefuseConnection: prekidi veze kontrolirani od strane klijenta
Postoje scenariji u kojima ste zainteresirani za prekid veze od strane samog klijenta jasnom porukom (na primjer, operativna preusmjeravanja ili obavijesti o ukidanju). OpenSSH 10.1 dodaje Odbaciti vezu a ssh_config: ako se na to naiđe tijekom obrade vrućeg dijela, klijent završava s greškom i prikazuje tekst koji ste definirali.
Kvaliteta koda i sigurnost uživo
Tim nastavlja čistiti kodnu bazu. 10.1 liste ispravljeni curi memorije, poboljšanja atomije prilikom pisanja known_hosts s velikom posjećenošću i nekoliko uvjeti utrke riješeni u procesima kao što su MaxStartups ili X11 sesije.
Napomena o čišćenju kriptovaluta: podrška za XMSS je uklonjena (eksperimentalno i nikada po defaultu). Priprema terena za sheme postkvantnog potpisa zrelije koje će doći u budućim verzijama.
Prenosivost i ekosustav: PAM, FreeBSD, macOS, Android…
Promjene u prenosivosti utječu na mnoga područja: dodatne provjere u PAM okruženjima (kao što je osiguranje da se korisnik ne mijenja tijekom procesa), poboljšanja integracije s FreeBSD (prosljeđivanje tuna i kompatibilnost), macOS (robusno otkrivanje funkcija i zaglavlja) i Android (struktura passwd s poljima koja nisu null).
Za platforme bez određenih standardnih biblioteka dodaju se i zaglavlja kompatibilnosti, smanjujući broj #ifdef raspršene. Konačno, rafiniraju se pravila sigurnosnog okruženja seccomp na Linuxu za pokrivanje sistemskih poziva poput futex_time64 u 32-bitnoj verziji, a dodana je i podrška za AWS-LC kao alternativa OpenSSL-u/LibreSSL-u.
QoS u akciji: Praktični primjeri i IPQoS migracija
Ako ste koristili stare aliase Uvjeta pružanja usluge (lowdelay, throughput...), sada će biti ignorirani i vidjet ćete poruku o otklanjanju pogrešaka koja predlaže DSCP. Tipična migracija bila bi prelazak s IPQoS lowdelay a IPQoS ef za interaktivne sesije; ako također koristite intenzivni SFTP, mogli biste definiraj profile po podudaranju en ssh_config/sshd_config odvojiti promet.
Imajte na umu da motor automatski odabire i ažurira Označava u stvarnom vremenu na temelju otvorenih kanala, tako da većinu posla OpenSSH već obavlja za vas.
Instaliranje OpenSSH 10.1 na Linux (izvor)
Dok distribucije integriraju verziju, možete kompajlirati iz službenog izvoraPreuzmite tarball s mirrora projekta, raspakirajte i kompajlirajte:
tar -xvf openssh -10.1.tar.gz
Uđite u imenik i konfigurirati prefikse i konfiguracijske rute ako vam zatreba. Na primjer:
cd openssh-10.1 ./configure --prefix=/opt --sysconfdir=/etc/ssh
Kompajlirajte i instalirajte kao i obično (ovisno o dozvolama, možda sa superkorisnikom):
napraviti
make install
Omogućite OpenSSH na Windowsima pomoću PowerShella
U modernim Windows okruženjima (Server 2019/Windows 10 1809+), Možete instalirati OpenSSH klijenta i poslužitelja kao sistemske značajke.Provjerite kapacitete i status:
Get-WindowsCapability-Online | Where-Object Name - poput 'OpenSSH*'
Instalirajte komponente kako vam treba:
Add-WindowsCapability -Online -Naziv OpenSSH.Client~~~~0.0.1.0 Add-WindowsCapability -Online -Naziv OpenSSH.Server~~~~0.0.1.0
Pokrenite i omogućite uslugu SSH poslužiteljai provjerite pravilo dolaznog vatrozida:
Start-Service sshd Set-Service -Naziv sshd -StartupType 'Automatski' Get-NetFirewallRule -Naziv 'OpenSSH-Server-In-TCP' -ErrorAction SilentlyContinue
Za povezivanje s drugog Windows ili Linux hosta koristite standardni klijent: ssh dominio\usuario@servidorPrilikom prvog pristupa, prihvaća otisak prsta domaćina i autentificirajte se svojom lozinkom.
Operativni vodič: dijagnostika i dobre prakse
Za okruženja s korisničkim/domaćinskim certifikatima, iskoristite prednosti poboljšane evidencije odbijanja u sshd za otklanjanje pogrešaka CA-ova i ekstenzija. Ako se sesija zaglavi ili posumnjate na multipleksiranje, pokreće SIGINFO procesu popisivanja aktivnih kanala bez podizanja globalne razine zapisnika.
Ako ovisite o agentima, provjerite gdje se trenutno nalaze utičnice (~/.ssh/agent) Y aktivirati automatsko čišćenje u vašem modelu implementacije. Na dijeljenim ili NFS radnim stanicama, razmislite o korištenju zastavice agenta za postavljanje hashova naziva hosta u putanji kada je to potrebno.
Najrelevantniji ispravci grešaka
U 10.1 su riješeni manje regresije u X11 u kombinaciji s ublažavanjem otkucaja srca (ObscureKeystrokeTiming), slučaj Loše računovodstvo MaxStartupsa što bi moglo preplaviti slotove i pisanje known_hosts sada je gotovo u atomskim operacijama kako bi se izbjegle isprepletene linije s visokom konkurentnošću.
Ostali popravci poboljšavaju dijagnostika prilikom učitavanja ključeva, rukovanje ograničenjima veličine konfiguracije (od 256 KB do 4 MB), izlaz revizije i egzotični kutni slučajevi u lokalnim prosljeđivanjima i kontrolnim sekvencama. Osim toga, poruke i izlaz iz ssh -G y sshd -T.
Preporučena kontrolna lista za migraciju
Ovaj brzi popis Uključuje zadatke koje sam projekt predlaže i što proizlazi iz promjena:
- Kripto: provjerite je li vaš
KexAlgorithmsomogućuje hibridni PQ i generira novi SSHFP u SHA-256 sssh-keygen -r. - QoS: provjeri
IPQoSna klijentu/poslužitelju; migrirajte naslijeđene Tos usluge na DSCP; iskoristite EF za interaktivne sesije. - Agenti: prilagođava skripte i varijable utičnicama pod
~/.ssh/agent; cijeni automatsko čišćenje samim sredstvom. - Velike konfiguracijeAko generirate skupne konfiguracije, ograničenje se povećava na 4 MB; primijeni to mudro i kontrolira validaciju.
- Raščlanjivačiizbjegavajte izgradnju naredbenih redaka iz nepouzdanih ulaznih podataka; koristite
configlokalne promjene s literalima kada imate čudne slučajeve u korisničkim imenima.
Oni koji upravljaju mješovitim voznim parkom cijenit će to 10.1 stisnite sigurnost tamo gdje najmanje boli (parseri, agenti, upozorenja) i istovremeno poboljšati svakodnevno iskustvo (Dinamički QoS, SIGINFO, zapisivanje certifikata). Ako ste već bili na verziji 10.0, prijelaz je jednostavan; ako dolazite s verzije 9.x, odvojite vrijeme za podešavanje DSCP-a, regeneriranje SSHFP-a na SHA-256 i omogućite hibridne KEX-ove kako biste se zaštitili od kvantne prijetnje bez žrtvovanja performansi.
