Πέρα από την ετικέτα έκδοσης, Το OpenSSH 10.1 ενοποιεί την πορεία που ξεκίνησε με τη σειρά 10: μετάβαση σε μετα-κβαντική κρυπτογραφία, εκσυγχρονισμός QoS με DSCP και ενίσχυση ιστορικά ευαίσθητων περιοχών (πράκτορες, κλειδιά, μητρώα και ανάλυση παραμέτρων). Παρακάτω θα βρείτε μια λεπτομερή ανασκόπηση όλων των νέων χαρακτηριστικών (με το πλαίσιο όπου προσθέτει αξία), καθώς και πρακτικές οδηγίες για την υιοθέτησή τους χωρίς εκπλήξεις.
Ακολουθεί η λίστα με τα Τι νέο υπάρχει σε αυτήν την έκδοση, διαθέσιμο και στο επίσημες σημειώσεις.
Κύρια σημεία κυκλοφορίας και πλαίσιο
Η επίσημη κυκλοφορία του OpenSSH 10.1 (2025-10-06) αναδεικνύει τρεις άξονες: Προληπτική ασφάλεια έναντι κβαντικής κρυπτογραφίας, δικτύων DSCP και απολύμανσης εισροώνΣυνδέει επίσης συγκεκριμένες αλλαγές με υψηλό λειτουργικό αντίκτυπο: από διαδρομές υποδοχών πρακτόρων έως νέα διαγνωστικά σημάδια.
Μια σημαντική υπενθύμιση του έργου: Μια μελλοντική έκδοση θα αγνοήσει τα αρχεία καταγραφής SSHFP που βασίζονται σε SHA‑1Ενώ ssh-keygen -r πλέον δημιουργεί δακτυλικά αποτυπώματα SSHFP μόνο με SHA‑256 από προεπιλογή, κλείνοντας την πόρτα σε αδύναμα hashes για DNSSEC και επαλήθευση κλειδιού κεντρικού υπολογιστή.
Προειδοποίηση μη μετα-κβαντικής κρυπτογραφίας και νέα επιλογή WarnWeakCrypto
Το OpenSSH 10.1 εισάγει μια προειδοποίηση όταν η σύνδεση διαπραγματεύεται μια ανταλλαγή κλειδιών που δεν είναι ανθεκτικό σε μετα-κβαντικές επιθέσειςΣτόχος είναι να επικεντρωθούμε στον κίνδυνο της «αποθήκευσης τώρα, αποκρυπτογράφησης αργότερα» και να επιταχύνουμε τη μετάβαση σε ευαίσθητα περιβάλλοντα.
Αυτή η συμπεριφορά ελέγχεται με WarnWeakCrypto (Στο ssh_config), το οποίο είναι ενεργοποιημένο από προεπιλογή. Εάν κάνετε σταδιακή μετεγκατάσταση ή διατηρείτε παλαιότερους κεντρικούς υπολογιστές, Μπορείτε να απενεργοποιήσετε επιλεκτικά την προειδοποίηση με μπλοκ αντιστοίχισης. Για παράδειγμα:
Ταίριασμα κεντρικού υπολογιστή unsafe.example.com WarnWeakCrypto όχι
Κρυπτογραφία και τρέχουσα κατάσταση: PQC, υβρίδια και SSHFP
Στην έκδοση 10.0, ο πελάτης άλλαξε σε χρήση από προεπιλογή mlkem768x25519‑sha256, ένας υβριδικός μετα-κβαντικός αλγόριθμος που συνδυάζει ML-KEM (KEM NIST FIPS 203) με X25519. Αυτή η υβριδική στρατηγική διασφαλίζει ότι ακόμη και αν προκύψει μια κρυπταναλυτική ανακάλυψη από την πλευρά του PQ, δεν θα ήσασταν σε χειρότερη θέση από ό,τι με το κλασικό ECDH επειδή το κανάλι διατηρεί την ισχύ του X25519.
Με την έκδοση 10.1, εκτός από την προειδοποίηση που εξηγήθηκε παραπάνω, η μετάβαση ενισχύεται: Το OpenSSH θα συνεχίσει να αγνοεί το SSHFP με SHA‑1 στο μέλλον.; το εργαλείο ssh-keygen ήδη εκδίδει SSHFP αποκλειστικά με SHA‑256. Από λειτουργικής άποψης, η συνιστώμενη ενέργεια είναι αναγέννηση και δημοσίευση δακτυλικών αποτυπωμάτων SSHFP σε SHA‑256 για τους οικοδεσπότες σας.
Συχνές ερωτήσεις: Γιατί να επιμένουμε τώρα αν οι κβαντικοί υπολογιστές δεν μπορούν ακόμη να σπάσουν το SSH; Επειδή οι επιτιθέμενοι μπορούν να καταγράψουν σήμερα και να αποκρυπτογραφήσουν αύριο. Η χρήση μετα-κβαντικού KEX μετριάζει ήδη αυτό το διάνυσμα. Και αν ανησυχείτε για τη νεότητα των αλγορίθμων PQ, θυμηθείτε ότι η υβριδική μέθοδος διατηρεί το κλασικό επίπεδο ασφαλείας ως βάση.
Εκσυγχρονισμός Δικτύου: DSCP/IPQoS και Προτεραιότητα Κυκλοφορίας
Αυτή η έκδοση ενοποιεί μια εις βάθος αναθεώρηση του QoS. Τόσο στον υπολογιστή-πελάτη όσο και στον διακομιστή, Η διαδραστική κίνηση έχει προεπιλεγμένη κλάση EF (Expedited Forwarding), το οποίο βοηθά στη μείωση των καθυστερήσεων στο Wi-Fi και στα πολυμέσα με συμφόρηση. Η μη διαδραστική κίνηση μεταβαίνει στη χρήση του προεπιλεγμένη ένδειξη DSCP συστήματος, χωρίς να αυξηθεί η προτεραιότητα.
Στην πράξη, και οι δύο Τα ssh(1) και sshd(8) αλλάζουν δυναμικά η μάρκα που χρησιμοποιείται ανάλογα με τον τύπο των καναλιών που υπάρχουν: εάν η ίδια σύνδεση συνδυάζει ένα κέλυφος και ένα sftp, η φάση μη διαδραστικής μεταφοράς θα χρησιμοποιήσει την μη διαδραστική τιμή κατά τη διάρκεια της λειτουργίας και θα επιστρέψει στο EF όταν είναι απαραίτητο. Αυτό ελέγχεται από το πλήκτρο IPQoS en ssh_config y sshd_config.
Επιπλέον, Η υποστήριξη για παλαιότερους όρους παροχής υπηρεσιών IPv4 αποσύρεται. στην επιλογή IPQoS (lowdelay, throughput, reliability σταματήσουν να έχουν επίδραση). Εάν τα χρησιμοποιούσατε ακόμα, μεταναστεύει στην ονοματολογία DSCP (π.χ., ef, cs0, af11, Κ.λπ.).
Ενίσχυση εισόδου: χρήστες, URI και επεκτάσεις
Στην ενότητα ασφαλείας, η έκδοση 10.1 διορθώνει μια ανεπαίσθητη περίπτωση όπου, εάν δημιουργούσατε γραμμές εντολών με εξωτερικά δεδομένα και ταυτόχρονα χρησιμοποιούσατε ProxyCommand με επεκτάσεις %r/%u, ένας εισβολέας θα μπορούσε να εισάγει κρυφά εκφράσεις κελύφους. Για να μετριαστεί αυτό, Το ssh(1) πλέον απαγορεύει τους χαρακτήρες ελέγχου σε χρήστες που έχουν περάσει από CLI ή έχουν επεκταθείκαι επίσης αποκλείει τον χαρακτήρα null στα URI ssh://.
Σημείωση συμβατότητας: Ένα σημείο επικύρωσης έχει χαλαρώσει για να αποφευχθεί η παραβίαση νόμιμων περιπτώσεων. Ορισμένα ονόματα χρήστη σε αρχεία διαμόρφωσης Οι επεκτάσεις (χωρίς %) εξαιρούνται, με την προϋπόθεση ότι η τοπική διαμόρφωση θεωρείται αξιόπιστη.
Ζωντανά σήματα και πληροφορίες: SIGINFO και ορατότητα
Μια άλλη πρακτική συμβουλή εντοπισμού σφαλμάτων: Οι χειριστές SIGINFO κέρδους ssh(1) και sshd(8) που καταγράφουν την κατάσταση των ενεργών καναλιών και των περιόδων σύνδεσης. Στην παραγωγή, αυτό διευκολύνει τη διάγνωση ροής, την πολυπλεξία, την προώθηση και το X11 χωρίς την ανάγκη σύνδεσης ενός προγράμματος εντοπισμού σφαλμάτων ή επεμβατικής αύξησης της λεπτομέρειας.
Στο ίδιο πνεύμα διαφάνειας, όταν αποτυγχάνει η επαλήθευση ταυτότητας πιστοποιητικού, Το sshd καταγράφει πλέον αρκετές πληροφορίες για την αναγνώριση του πιστοποιητικού (καθώς και γιατί απορρίφθηκε). Εάν εργάζεστε με PKI και πιστοποιητικά χρήστη/κεντρικού υπολογιστή, αυτή η βελτίωση μειώνει σημαντικά τους χρόνους επίλυσης.
ssh-agent και κλειδιά: υποδοχές, απολύμανση και PKCS#11
Για την αποτροπή διασταυρούμενης πρόσβασης σε περιβάλλοντα με περιορισμένη τοποθέτηση /tmp, οι υποδοχές πρακτόρων (και αυτές που προωθούνται από sshd) Ξέρω μετακίνηση από /tmp σε ~/.ssh/agentΈτσι, μια διεργασία με περιορισμένα δικαιώματα /tmp δεν κληρονομεί πλέον κατά λάθος τη δυνατότητα υπογραφής με τα κλειδιά σας από τον πράκτορα.
Αυτή η αλλαγή έχει ένα άλλο παράγωγο: πριν το λειτουργικό σύστημα μπορούσε να καθαρίσει παρωχημένες υποδοχές, τώρα Το ssh-agent ενσωματώνει το δικό του πρόγραμμα καθαρισμού από παλιές υποδοχές. Επιπλέον, ο πράκτορας προσθέτει νέες σημαίες: -U y -u για τον έλεγχο της καθαριότητας κατά την εκκίνηση, -uu να αγνοήσετε το όνομα κεντρικού υπολογιστή κατά τον καθαρισμό και -T για να επιβάλουν την ιστορική τοποθεσία /tmp αν το χρειάζεστε πραγματικά.
Στο βασικό επίπεδο, ο πελάτης και ο πράκτορας Τα ED25519 που φιλοξενούνται σε διακριτικά PKCS#11 υποστηρίζονται πλέονΑν βασίζεστε σε HSM ή κρυπτογραφικά κλειδιά, θα αποκτήσετε ευελιξία χωρίς να θυσιάσετε την ισχύ.
ssh-add και πιστοποιητικά: λήξη αυτοκαθαρισμού
Όταν προσθέτετε πιστοποιητικά στον παράγοντα, Η λήξη του έχει πλέον οριστεί με περίοδο χάριτος 5 λεπτώνΗ ιδέα είναι απλή: επιτρέψτε την ολοκλήρωση των συναλλαγών στην ουρά και στη συνέχεια, διαγράψτε αυτόματα το πιστοποιητικό του πράκτοραΑν η ροή σας απαιτεί απόλυτο έλεγχο, ssh‑add -N απενεργοποιήστε αυτήν τη συμπεριφορά.
RefuseConnection: αποσυνδέσεις ελεγχόμενες από την πλευρά του πελάτη
Υπάρχουν περιπτώσεις όπου σας ενδιαφέρει να διακόψετε μια σύνδεση από τον ίδιο τον πελάτη με ένα σαφές μήνυμα (για παράδειγμα, λειτουργικές ανακατευθύνσεις ή ειδοποιήσεις κατάργησης). Το OpenSSH 10.1 προσθέτει ΆρνησηΣύνδεσης a ssh_config: εάν παρουσιαστεί κατά την επεξεργασία μιας θερμής ενότητας, ο πελάτης τερματίζει με σφάλμα και εμφανίζει το κείμενο που έχετε ορίσει.
Ποιότητα κώδικα και ασφάλεια σε πραγματικό χρόνο
Η ομάδα συνεχίζει να καθαρίζει τη βάση κώδικα. Λίστες 10.1 διορθώθηκαν διαρροές μνήμης, βελτιώσεις atomia κατά τη συγγραφή known_hosts με μεγάλη προσέλευση και αρκετές επιλύθηκαν οι όροι του αγώνα σε διαδικασίες όπως MaxStartups ή συνεδρίες X11.
Μια σημείωση καθαρισμού κρυπτονομισμάτων: η υποστήριξη για XMSS καταργείται (πειραματικό και ποτέ εξ ορισμού). Προετοιμασία του εδάφους για μετα-κβαντικά σχήματα υπογραφής πιο ώριμες που θα κυκλοφορήσουν σε μελλοντικές εκδόσεις.
Φορητότητα και οικοσύστημα: PAM, FreeBSD, macOS, Android…
Οι αλλαγές στη φορητότητα επηρεάζουν πολλά μέτωπα: επιπλέον έλεγχοι σε περιβάλλοντα PAM (όπως η διασφάλιση ότι ο χρήστης δεν θα αλλάξει κατά τη διάρκεια της διαδικασίας), βελτιώσεις ενσωμάτωσης με FreeBSD (προώθηση tun και συμβατότητα), macOS (ισχυρή ανίχνευση συναρτήσεων και κεφαλίδων) και Android (struct passwd με μη null πεδία).
Προστίθενται επίσης κεφαλίδες συμβατότητας για πλατφόρμες χωρίς συγκεκριμένες τυπικές βιβλιοθήκες, μειώνοντας τον αριθμό των #ifdef διασκορπισμένα. Τέλος, εξευγενίζονται πολιτικές sandbox του seccomp σε Linux για την κάλυψη κλήσεων συστήματος όπως futex_time64 σε 32-bit και προστίθεται υποστήριξη για AWS‑LC ως εναλλακτική λύση στο OpenSSL/LibreSSL.
QoS στην πράξη: Πρακτικά παραδείγματα και μετεγκατάσταση IPQoS
Αν χρησιμοποιήσατε τα παλιά ψευδώνυμα Όρων Παροχής Υπηρεσιών (lowdelay, throughput...), τώρα θα αγνοηθούν και θα δείτε ένα μήνυμα εντοπισμού σφαλμάτων που υποδηλώνει DSCP. Η τυπική μετεγκατάσταση θα ήταν να μεταβείτε από IPQoS lowdelay a IPQoS ef για διαδραστικές συνεδρίες. Αν χρησιμοποιείτε και βαριά SFTP, θα μπορούσατε ορίστε προφίλ κατά Match (Αντιστοίχιση) en ssh_config/sshd_config για να διαχωρίσετε την κυκλοφορία.
Να θυμάστε ότι ο κινητήρας επιλέγει και ενημερώνει αυτόματα Σημειώνει σε πραγματικό χρόνο με βάση τα ανοιχτά κανάλια, επομένως το μεγαλύτερο μέρος της εργασίας έχει ήδη γίνει για εσάς από το OpenSSH.
Εγκατάσταση OpenSSH 10.1 σε Linux (πηγή)
Ενώ οι διανομές ενσωματώνουν την έκδοση, μπορείτε να κάνετε compile από την επίσημη πηγήΚατεβάστε το αρχείο tarball από τους καθρέφτες του έργου, αποσυμπιέστε και μεταγλωττίστε:
tar -xvf ανοίγει -10.1.tar.gz
Μπείτε στον κατάλογο και διαμόρφωση προθεμάτων και διαδρομών διαμόρφωσης αν το χρειάζεστε. Για παράδειγμα:
cd openssh-10.1 ./configure --prefix=/opt --sysconfdir=/etc/ssh
Μεταγλώττιση και εγκατάσταση ως συνήθως (ανάλογα με τα δικαιώματα, ίσως με τον υπερχρήστη):
κάνω
make install
Ενεργοποίηση OpenSSH σε Windows με PowerShell
Σε σύγχρονα περιβάλλοντα Windows (Server 2019/Windows 10 1809+), Μπορείτε να εγκαταστήσετε τον πελάτη και τον διακομιστή OpenSSH ως λειτουργίες συστήματος.Ελέγξτε τις χωρητικότητες και την κατάσταση:
Get-WindowsCapability-Online | Όνομα αντικειμένου Where-Online - όπως 'OpenSSH*'
Εγκαταστήστε τα εξαρτήματα όπως χρειάζεστε:
Προσθήκη-WindowsCapability -Online -Όνομα OpenSSH.Client~~~~0.0.1.0 Προσθήκη-WindowsCapability -Online -Όνομα OpenSSH.Server~~~~0.0.1.0
Έναρξη και ενεργοποίηση της υπηρεσίας διακομιστή SSHκαι ελέγξτε τον κανόνα εισερχόμενου τείχους προστασίας:
Έναρξη-Υπηρεσία sshd Set-Service -Όνομα sshd -Τύπος Εκκίνησης 'Αυτόματη' Get-NetFirewallRule -Όνομα 'OpenSSH-Server-In-TCP' -Ενέργεια Σφάλματος SilentlyContinue
Για να συνδεθείτε από άλλον κεντρικό υπολογιστή Windows ή Linux, χρησιμοποιήστε τον τυπικό υπολογιστή-πελάτη: ssh dominio\usuario@servidorΚατά την πρώτη πρόσβαση, δέχεται το δακτυλικό αποτύπωμα του κεντρικού υπολογιστή και επαληθεύστε τον κωδικό πρόσβασής σας.
Οδηγός λειτουργίας: διαγνωστικά και ορθές πρακτικές
Για περιβάλλοντα με πιστοποιητικά χρήστη/κεντρικού υπολογιστή, επωφεληθείτε από τη βελτιωμένη καταγραφή των αρνήσεων σε sshd για τον εντοπισμό σφαλμάτων σε CA και επεκτάσεις. Εάν μια συνεδρία κολλήσει ή υποψιάζεστε πολυπλεξία, λανσάρει το SIGINFO στη διαδικασία καταχώρισης ενεργών καναλιών χωρίς αύξηση του επιπέδου καθολικού αρχείου καταγραφής.
Αν εξαρτάστε από πράκτορες, ελέγξτε πού βρίσκονται τώρα οι υποδοχές (~/.ssh/agent) Και ενεργοποίηση αυτόματου καθαρισμού στο μοντέλο ανάπτυξής σας. Σε κοινόχρηστους σταθμούς εργασίας ή σταθμούς εργασίας NFS, εξετάστε το ενδεχόμενο χρήσης της σημαίας agent για να ορίσετε hashes ονόματος κεντρικού υπολογιστή στη διαδρομή, όταν είναι απαραίτητο.
Οι πιο σχετικές διορθώσεις σφαλμάτων
Στο 10.1 λύνονται μικρές παλινδρομήσεις στο X11 όταν συνδυάζεται με μετριασμούς του καρδιακού ρυθμού (ObscureKeystrokeTiming), μια περίπτωση Η κακή λογιστική της MaxStartups που θα μπορούσε να κατακλύσει τις χρονοθυρίδες, και η συγγραφή known_hosts τώρα τελείωσε σε ατομικές επιχειρήσεις για την αποφυγή διαστρωματωμένων γραμμών με υψηλή ταυτόχρονη χρήση.
Άλλες διορθώσεις βελτιώνονται διαγνωστικά κατά τη φόρτωση κλειδιών, χειρισμός ορίων μεγέθους διαμόρφωσης (από 256KB έως 4MB), έξοδος ελέγχου και εξωτικές περιπτώσεις γωνιών σε τοπικές προωθήσεις και ακολουθίες ελέγχου. Επιπλέον, μηνύματα και έξοδος από ssh -G y sshd -T.
Προτεινόμενη λίστα ελέγχου μετεγκατάστασης
Αυτή η γρήγορη λίστα Περιλαμβάνει τις εργασίες που προτείνει το ίδιο το έργο και τι προκύπτει από τις αλλαγές:
- κρυπτο: ελέγξτε ότι το δικό σας
KexAlgorithmsεπιτρέπει υβριδικό PQ και δημιουργεί νέο SSHFP σε SHA‑256 μεssh-keygen -r. - QoS: έλεγχος
IPQoSσε υπολογιστή-πελάτη/διακομιστή· μετεγκατάσταση παλαιών Όρων Παροχής Υπηρεσιών σε DSCP· αξιοποίηση του EF για διαδραστικές συνεδρίες. - Πράκτορες: προσαρμόζει σενάρια και μεταβλητές σε υποδοχές κάτω από
~/.ssh/agent; τιμές αυτόματου καθαρισμού από τον ίδιο τον παράγοντα. - Μεγάλες διαμορφώσειςΕάν δημιουργήσετε μαζικές διαμορφώσεις, το όριο φτάνει τα 4MB. εφαρμόστε το με σύνεση και ελέγχει την επικύρωση.
- Αναλυτές: αποφύγετε τη δημιουργία γραμμών εντολών από μη αξιόπιστη είσοδο· χρησιμοποιήστε
configντόπιοι με κυριολεκτικά όταν έχετε περίεργες πεζές-κεφαλαίες περιπτώσεις σε ονόματα χρήστη.
Όσοι διαχειρίζονται μικτούς στόλους θα εκτιμήσουν ότι 10.1 στριμώξτε την ασφάλεια εκεί που πονάει λιγότερο (αναλυτές, πράκτορες, προειδοποιήσεις) και ταυτόχρονα βελτιώστε την καθημερινή εμπειρία (Δυναμικό QoS, SIGINFO, καταγραφή πιστοποιητικών). Εάν ήσασταν ήδη στην έκδοση 10.0, η μετάβαση είναι απλή. Εάν προέρχεστε από την έκδοση 9.x, αφιερώστε χρόνο για να ρυθμίσετε το DSCP, να αναγεννήσετε το SSHFP σε SHA‑256 και να ενεργοποιήσετε τα υβριδικά KEX για να προστατευτείτε από την κβαντική απειλή χωρίς να θυσιάσετε την απόδοση.
