Dincolo de eticheta versiunii, OpenSSH 10.1 consolidează calea începută cu seria 10migrarea către criptografia post-cuantică, modernizarea QoS cu DSCP și consolidarea zonelor sensibile din punct de vedere istoric (agenți, chei, registre și analiza parametrilor). Mai jos veți găsi o analiză amănunțită a tuturor noilor caracteristici (cu context în care adaugă valoare), precum și îndrumări practice pentru adoptarea lor fără surprize.
Următoarea este lista cu Ce este nou în această versiune, disponibil și în note oficiale.
Momente importante și contextul lansării
Lansarea oficială a OpenSSH 10.1 (2025-10-06) evidențiază trei axe: Securitate preventivă împotriva criptografiei cuantice, a rețelelor DSCP și a igienizării intrărilorDe asemenea, conectează modificări specifice cu un impact operațional ridicat: de la rutele socket-urilor de agenți la noi semne diagnostice.
O reamintire importantă a proiectului: O versiune viitoare va ignora jurnalele SSHFP bazate pe SHA-1În timp ce ssh-keygen -r acum generează amprente SSHFP doar cu SHA-256 în mod implicit, închiderea ușii către hash-uri slabe pentru verificarea DNSSEC și a cheii gazdă.
Avertisment privind criptografia non-post-cuantică și noua opțiune WarnWeakCrypto
OpenSSH 10.1 introduce un avertisment atunci când conexiunea negociază un schimb de chei care nu este rezistent la atacurile post-cuanticeScopul este de a se concentra asupra riscului de tip „stocare acum, decriptare mai târziu” și de a accelera tranziția în medii sensibile.
Acest comportament este controlat cu WarnWeakCrypto (în ssh_config), care este activată în mod implicit. Dacă efectuați o migrare graduală sau întrețineți gazdele vechi, Puteți dezactiva selectiv avertismentul cu blocuri Match. De exemplu:
Potrivire gazdă unsafe.example.com WarnWeakCrypto nu
Criptografie și stadiul actual al tehnicii: PQC, hibrizi și SSHFP
În versiunea 10.0, clientul a trecut la utilizarea implicită mlkem768x25519‑sha256, un algoritm hibrid post-cuantic care combină ML-KEM (KEM NIST FIPS 203) cu X25519. Această strategie hibridă asigură că, chiar dacă ar apărea o descoperire criptoanalitică din partea PQ, Nu ai fi mai rău decât cu ECDH-ul clasic deoarece canalul păstrează puterea lui X25519.
În versiunea 10.1, pe lângă avertismentul explicat mai sus, tranziția este consolidată: OpenSSH va continua să ignore SSHFP cu SHA-1 în viitor.; instrumentul ssh-keygen deja emite SSHFP exclusiv cu SHA-256. Din punct de vedere operațional, acțiunea recomandată este regenerați și publicați amprentele SSHFP în SHA-256 pentru gazdele voastre.
Întrebări frecvente: De ce să insistăm acum dacă computerele cuantice nu pot încă să spargă SSH? Deoarece atacatorii pot captura ziua de azi și decripta ziua de mâine. Utilizarea KEX post-cuantic atenuează deja acest vector. Și dacă vă faceți griji cu privire la tinerețea algoritmilor PQ, amintiți-vă că modalitatea hibridă menține nivelul clasic de securitate ca bază.
Modernizarea rețelei: DSCP/IPQoS și prioritizarea traficului
Această versiune consolidează o revizuire completă a QoS. Atât pe client, cât și pe server, Traficul interactiv este implicit clasa EF (Expedited Forwarding), ceea ce ajută la reducerea latențelor pe Wi-Fi și pe rețelele media congestionate. Traficul neinteractiv trece la utilizarea marcaj DSCP implicit al sistemului, fără a crește prioritatea.
În practică, ambele ssh(1) și sshd(8) se modifică dinamic marca utilizată în funcție de tipul de canale prezente: dacă aceeași conexiune combină o coajă și o sftp, faza de transfer non-interactivă va utiliza valoarea neinteractivă în timpul operației și va reveni la EF atunci când este cazul. Acest lucru este controlat de cheie IPQoS en ssh_config y sshd_config.
În plus, Suportul pentru termenii și condițiile de utilizare IPv4 mai vechi este retras. în opțiunea IPQoS (lowdelay, throughput, reliability (nu mai au efect). Dacă le mai foloseați, migrează la nomenclatura DSCP (de exemplu., ef, cs0, af11, Etc).
Întărirea intrărilor: utilizatori, URI-uri și extinderi
În secțiunea de securitate, versiunea 10.1 remediază un caz subtil în care, dacă ați construit linii de comandă cu date externe și în același timp ați folosit ProxyCommand cu %r/%u expansiuni, un atacator ar putea introduce pe furiș expresii shell. Pentru a atenua acest lucru, ssh(1) interzice acum caracterele de control în utilizatorii transmiși prin CLI sau extinșiși blochează, de asemenea, caracterul nul din URI-uri ssh://.
Notă de compatibilitate: Un punct de validare a fost relaxat pentru a evita ruperea cazurilor legitime. Nume de utilizator literale definite în fișierele de configurare Extensiile (fără %) sunt exceptate, pe baza faptului că configurația locală este considerată de încredere.
Semnale și informații în timp real: SIGINFO și vizibilitate
Un alt sfat practic de depanare: ssh(1) și sshd(8) obțin handlere SIGINFO care înregistrează starea canalelor și sesiunilor active. În producție, acest lucru facilitează diagnosticarea fluxului, multiplexarea, redirecționarea și X11 fără a fi nevoie să atașați un depanator sau să creșteți invaziv verbositatea.
Pe aceeași linie a transparenței, atunci când autentificarea unui certificat eșuează, sshd înregistrează acum suficiente informații pentru a identifica certificatul (precum și motivul pentru care a fost refuzat). Dacă lucrați cu PKI și certificate utilizator/gazdă, această îmbunătățire scurtează considerabil timpii de rezoluție.
agent ssh și chei: socket-uri, igienizare și PKCS#11
Pentru a preveni accesul încrucișat în medii cu montare restricționată a /tmp, socketurile agentului (și cele transmise de sshd) de sine mutare de la /tmp la ~/.ssh/agentAstfel, un proces cu permisiuni limitate asupra /tmp nu mai moștenește accidental de la agent abilitatea de a semna cu cheile proprii.
Această modificare are o altă consecință: înainte ca sistemul de operare să poată curăța socketurile învechite, acum ssh-agent încorporează propria curățare din socket-uri vechi. În plus, agentul adaugă noi flag-uri: -U y -u pentru a controla curățenia la pornire, -uu să ignore numele de gazdă la curățare și -T pentru a forța locația istorică în /tmp dacă chiar ai nevoie de asta.
În planul cheie, clientul și agentul Tokenurile ED25519 găzduite pe PKCS#11 sunt acum acceptate.Dacă vă bazați pe HSM-uri sau chei criptografice, veți câștiga flexibilitate fără a sacrifica rezistența.
ssh-add și certificate: expirare prin autocurățare
Când adăugați certificate la agent, Expirarea sa este acum setată cu o perioadă de grație de 5 minute.Ideea este simplă: permite finalizarea tranzacțiilor în coadă și apoi, șterge automat certificatul agentuluiDacă fluxul dumneavoastră necesită control total, ssh‑add -N dezactivați acest comportament.
RefuseConnection: deconectări controlate de client
Există scenarii în care sunteți interesat să întrerupeți o conexiune de la clientul însuși cu un mesaj clar (de exemplu, redirecționări operaționale sau notificări de depreciere). OpenSSH 10.1 adaugă RefuzațiConexiune a ssh_config: dacă apare în timpul procesării unei secțiuni fierbinți, clientul se termină cu o eroare și afișează textul pe care l-ați definit.
Calitatea codului și securitatea în timp real
Echipa continuă să curețe baza de cod. Listele 10.1 scurgeri de memorie reparate, îmbunătățiri ale atomiei la scriere known_hosts cu prezență mare și mai multe condițiile de cursă rezolvate în procese precum MaxStartups sau sesiuni X11.
O notă de curățare a criptomonedelor: suportul pentru XMSS este eliminat (experimental și niciodată implicit). Pregătirea terenului pentru scheme de semnătură post-cuantice altele mai mature care vor apărea în versiunile viitoare.
Portabilitate și ecosistem: PAM, FreeBSD, macOS, Android…
Schimbările legate de portabilitate afectează mai multe fronturi: verificări suplimentare în mediile PAM (cum ar fi asigurarea că utilizatorul nu se schimbă în timpul procesului), îmbunătățiri ale integrării cu FreeBSD (redirecționarea tunurilor și compatibilitatea), MACOS (detecție robustă a funcțiilor și antetelor) și Android (struct passwd cu câmpuri diferite de nule).
De asemenea, sunt adăugate anteturi de compatibilitate pentru platformele fără anumite biblioteci standard, reducând numărul de #ifdef dispersate. În cele din urmă, sunt rafinate politicile sandbox seccomp pe Linux pentru a acoperi apeluri de sistem precum futex_time64 pe 32 de biți și se adaugă suport pentru AWS-LC ca alternativă la OpenSSL/LibreSSL.
QoS în acțiune: exemple practice și migrare IPQoS
Dacă ați folosit vechile aliasuri ale Termenilor de Serviciu (lowdelay, throughput...), acum vor fi ignorați și veți vedea un mesaj de depanare care sugerează DSCP. Migrarea tipică ar fi să treceți de la IPQoS lowdelay a IPQoS ef pentru sesiuni interactive; dacă folosești și SFTP intens, ai putea definiți profilurile după potrivire en ssh_config/sshd_config pentru a separa traficul.
Rețineți că motorul selectează și actualizează automat Marchează în timp real pe baza canalelor deschise, așa că cea mai mare parte a muncii este deja făcută pentru tine de OpenSSH.
Instalarea OpenSSH 10.1 pe Linux (sursă)
În timp ce distribuțiile integrează versiunea, poți compila din sursa oficialăDescărcați fișierul tarball din mirror-urile proiectului, dezarhivați-l și compilați-l:
tar -xvf openssh-10.1.tar.gz
Intrați în director și configurați prefixele și rutele de configurare dacă aveți nevoie. De exemplu:
cd openssh-10.1 ./configure --prefix=/opt --sysconfdir=/etc/ssh
Compilați și instalați ca de obicei (în funcție de permisiuni, poate cu superutilizator):
face
make install
Activați OpenSSH pe Windows cu PowerShell
În mediile Windows moderne (Server 2019/Windows 10 1809+), Puteți instala clientul și serverul OpenSSH ca funcții de sistem.Verificați capacitățile și starea:
Get-WindowsCapability-Online | Nume obiect Where -cum ar fi „OpenSSH*”
Instalați componentele după cum aveți nevoie:
Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0 Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
Porniți și activați serviciul serverului SSHși verificați regula firewall de intrare:
Start-Service sshd Set-Service -Name sshd -StartupType 'Automatic' Get-NetFirewallRule -Name 'OpenSSH-Server-In-TCP' -ErrorAction SilentlyContinue
Pentru a vă conecta de pe o altă gazdă Windows sau Linux, utilizați clientul standard: ssh dominio\usuario@servidorLa prima accesare, acceptă amprenta gazdă și autentificați-vă cu parola dumneavoastră.
Ghid operațional: diagnosticare și bune practici
Pentru mediile cu certificate utilizator/gazdă, profitați de înregistrarea îmbunătățită a datelor de refuzuri în sshd pentru a depana CA-urile și extensiile. Dacă o sesiune se blochează sau suspectați multiplexarea, lansează SIGINFO la procesul de listare a canalelor active fără a ridica nivelul jurnalului global.
Dacă depindeți de agenți, verificați unde se află acum socketurile (~/.ssh/agent) Y activați curățarea automată în modelul de implementare. Pe stațiile de lucru partajate sau NFS, luați în considerare utilizarea indicatorului de agent pentru a seta hash-uri de nume de gazdă în cale atunci când este necesar.
Cele mai relevante corecții de erori
În 10.1 sunt rezolvate regresii minore în X11 atunci când este combinată cu atenuarea ritmului cardiac (ObscureKeystrokeTiming), un caz de Contabilitatea deficitară a MaxStartups care ar putea inunda sloturile și scrierea known_hosts acum e gata în operațiuni atomice pentru a evita liniile intercalate cu concurență ridicată.
Alte remedieri îmbunătățesc diagnosticare la încărcarea cheilor, gestionarea limitelor de dimensiune a configurației (de la 256KB la 4MB), a ieșirii auditului și a cazurilor exotice de colț în redirecționările locale și secvențele de control. În plus, mesajele și ieșirile de la ssh -G y sshd -T.
Listă de verificare recomandată pentru migrare
Această listă rapidă Include sarcinile sugerate de proiectul în sine și ceea ce rezultă din schimbări:
- Cripto: verificați dacă
KexAlgorithmspermite PQ hibrid și generează SSHFP nou în SHA-256 cussh-keygen -r. - QoS: verifică
IPQoSpe client/server; migrarea termenilor de serviciu legați către DSCP; utilizarea EF pentru sesiuni interactive. - Agențiadaptează scripturile și variabilele la socket-uri sub
~/.ssh/agent; valorizează curățarea automată de către agentul în sine. - Configurații mariDacă generați configurații în bloc, limita crește la 4 MB; aplică-l cu înțelepciune și controlează validarea.
- Analizatori: evitați construirea liniilor de comandă din date de intrare nesigure; utilizați
configlocaluri cu literali atunci când aveți cazuri ciudate în numele de utilizator.
Cei care gestionează flote mixte vor aprecia faptul că 10.1 strângeți siguranța unde doare cel mai puțin (analizatoare, agenți, avertismente) și în același timp îmbunătăți experiența zilnică (QoS dinamic, SIGINFO, înregistrare în jurnal a certificatelor). Dacă erați deja la versiunea 10.0, tranziția este simplă; dacă veniți de la versiunea 9.x, acordați-vă timp pentru a regla DSCP, a regenera SSHFP la SHA-256 și a activa KEX-urile hibride pentru a vă proteja de amenințarea cuantică fără a sacrifica performanța.
