Osim oznake verzije, OpenSSH 10.1 konsoliduje put započet sa serijom 10: migracija na postkvantnu kriptografiju, modernizacija QoS-a sa DSCP-om i jačanje historijski osjetljivih područja (agenti, ključevi, registri i parsiranje parametara). U nastavku ćete pronaći detaljan pregled svih novih funkcija (s kontekstom gdje to dodaje vrijednost), kao i praktične smjernice za njihovo usvajanje bez iznenađenja.
Sljedeća je lista sa Šta je novo u ovoj verziji, također dostupno u službene bilješke.
Najvažniji dijelovi i kontekst izdanja
Zvanično izdanje OpenSSH 10.1 (2025-10-06) ističe tri ose: Preventivna sigurnost od kvantne kriptografije, DSCP mreža i sanitizacije ulaznih podatakaTakođer povezuje specifične promjene s visokim operativnim utjecajem: od ruta agentskih socketa do novi dijagnostički znaci.
Ključni podsjetnik na projekat: Buduće izdanje će ignorisati SSHFP logove zasnovane na SHA-1dok ssh-keygen -r sada generira SSHFP otiske prstiju samo sa SHA-256 prema zadanim postavkama, zatvaranje vrata slabim hešovima za DNSSEC i verifikaciju ključa hosta.
Upozorenje o ne-postkvantnoj kriptografiji i nova WarnWeakCrypto opcija
OpenSSH 10.1 uvodi upozorenje kada konekcija pregovara o razmjeni ključeva koja nije otporan na postkvantne napadeCilj je fokusirati se na rizik "pohrani sada, dešifriraj kasnije" i ubrzati tranziciju u osjetljivim okruženjima.
Ovo ponašanje se kontroliše pomoću UpozorenjeSlabaKripto (u ssh_config), što je omogućeno prema zadanim postavkama. Ako vršite postepenu migraciju ili održavate naslijeđene hostove, Upozorenje možete selektivno onemogućiti sa blokovima Match. Na primjer:
Host koji odgovara unsafe.example.com WarnWeakCrypto ne
Kriptografija i najsavremenije tehnologije: PQC, hibridi i SSHFP
U verziji 10.0, klijent je prešao na korištenje po defaultu mlkem768x25519‑sha256, hibridni postkvantni algoritam koji kombinuje ML-KEM (KEM NIST FIPS 203) sa X25519. Ova hibridna strategija osigurava da čak i ako dođe do kriptoanalitičkog proboja na strani PQ, Ne bi ti bilo gore nego s klasičnim ECDH-om. jer kanal zadržava snagu X25519.
Sa verzijom 10.1, pored gore objašnjenog upozorenja, prelaz je pojačan: OpenSSH će u budućnosti nastaviti ignorirati SSHFP sa SHA-1.alat ssh-keygen već izdaje SSHFP isključivo sa SHA-256. Operativno, preporučena akcija je regenerirajte i objavite SSHFP otiske prstiju u SHA-256 za vaše domaćine.
Često postavljana pitanja: Zašto insistirati sada ako kvantni računari još uvijek ne mogu probiti SSH? Jer napadači mogu uhvatiti danas i dešifrirati sutra. Korištenje postkvantnog KEX-a već ublažava taj vektor. A ako ste zabrinuti zbog mladosti PQ algoritama, zapamtite da hibridni modalitet održava klasični nivo sigurnosti kao osnovu.
Modernizacija mreže: DSCP/IPQoS i prioritizacija prometa
Ovo izdanje objedinjuje dubinsku reviziju QoS-a. I na klijentu i na serveru, Interaktivni promet se podrazumijeva u klasi EF (Ubrzano prosljeđivanje), što pomaže u smanjenju latencije na Wi-Fi mreži i preopterećenih medija. Neinteraktivni promet prelazi na korištenje sistemska zadana DSCP oznaka, bez povećanja prioriteta.
U praksi, oboje ssh(1) i sshd(8) se dinamički mijenjaju marka koja se koristi prema vrsti prisutnih kanala: ako ista veza kombinira školjku i sftp, faza neinteraktivnog transfera koristit će neinteraktivnu vrijednost tokom operacije i vratiti se na EF kada je to prikladno. Ovo kontrolira ključ IPQoS en ssh_config y sshd_config.
Takođe, Podrška za starije IPv4 uslove korištenja se povlači u IPQoS opciji (lowdelay, throughput, reliability prestanu djelovati). Ako ste ih i dalje koristili, prelazi na DSCP nomenklaturu (npr. ef, cs0, af11, Itd).
Ojačavanje unosa: korisnici, URI-ji i proširenja
U odjeljku o sigurnosti, verzija 10.1 ispravlja suptilan slučaj gdje, ako ste kreirali komandne linije s vanjskim podacima i istovremeno koristili ProxyCommand sa %r/%u ekspanzijama, napadač bi mogao prokrijumčariti izraze ljuske. Da bi se ovo ublažilo, ssh(1) sada zabranjuje kontrolne znakove u korisnicima koji su proslijeđeni preko CLI-a ili prošireni, a također blokira null znak u URI-jima ssh://.
Napomena o kompatibilnosti: Tačka validacije je ublažena kako bi se izbjeglo kršenje legitimnih slučajeva. Doslovna korisnička imena definirana u konfiguracijskim datotekama (bez %) proširenja su izuzeta, na osnovu toga što se lokalna konfiguracija smatra pouzdanom.
Signali i informacije uživo: SIGINFO i vidljivost
Još jedan praktičan savjet za otklanjanje grešaka: ssh(1) i sshd(8) dobijaju SIGINFO handlere koji bilježe status aktivnih kanala i sesija. U produkciji, ovo olakšava dijagnostiku protoka, multipleksiranje, prosljeđivanje i X11 bez potrebe za priključivanjem programa za otklanjanje grešaka ili invazivnim povećanjem detalja.
U skladu s istim principima transparentnosti, kada autentifikacija certifikata ne uspije, sshd sada bilježi dovoljno informacija za identifikaciju certifikata (kao i zašto je odbijeno). Ako radite sa PKI i korisničkim/host certifikatima, ovo poboljšanje znatno skraćuje vrijeme rješavanja.
ssh-agent i ključevi: socketi, sanitizacija i PKCS#11
Da bi se spriječio unakrsni pristup u okruženjima s ograničenom montažom /tmp, agentske utičnice (i one koje prosljeđuje sshd) Znam premjestiti iz /tmp u ~/.ssh/agentDakle, proces s ograničenim dozvolama na /tmp više slučajno ne nasljeđuje mogućnost potpisivanja s vašim ključevima od agenta.
Ova promjena ima još jednu derivativnu komponentu: prije nego što je OS mogao čistiti zastarjele sockete, sada ssh-agent uključuje vlastito čišćenje iz starih socketa. Pored toga, agent dodaje nove zastavice: -U y -u za kontrolu čistoće pri pokretanju, -uu ignorisati ime hosta prilikom čišćenja i -T nametnuti historijsku lokaciju /tmp ako ti zaista treba.
U ključnoj ravni, klijent i agent ED25519 hostovan na PKCS#11 tokenima je sada podržanAko se oslanjate na HSM-ove ili kriptografske ključeve, dobit ćete fleksibilnost bez žrtvovanja snage.
ssh-add i certifikati: istek samočišćenja
Kada dodate certifikate agentu, Njegov istek je sada postavljen s periodom odgode od 5 minuta.Ideja je jednostavna: omogućiti transakcije da se završe u redu čekanja, a zatim, automatski izbriši certifikat agentaAko vaš tok zahtijeva potpunu kontrolu, ssh‑add -N onemogućite ovo ponašanje.
RefuseConnection: prekidi veze kontrolirani od strane klijenta
Postoje scenariji u kojima ste zainteresirani za prekid veze od strane samog klijenta jasnom porukom (na primjer, operativna preusmjeravanja ili obavještenja o zastarivanju). OpenSSH 10.1 dodaje Odbacite vezu a ssh_config: ako se na to naiđe tokom obrade aktivnog dijela, klijent završava s greškom i prikazuje tekst koji ste definirali.
Kvalitet koda i sigurnost uživo
Tim nastavlja s čišćenjem kodne baze. 10.1 liste ispravljeni cureci memorije, poboljšanja Atomije prilikom pisanja known_hosts s velikom posjećenošću i nekoliko uvjeti utrke riješeni u procesima kao što su MaxStartups ili X11 sesije.
Napomena o čišćenju kriptovaluta: podrška za XMSS je uklonjena (eksperimentalno i nikada po defaultu). Priprema terena za postkvantne sheme potpisa zrelije koje će se pojaviti u budućim verzijama.
Prenosivost i ekosistem: PAM, FreeBSD, macOS, Android…
Promjene u prenosivosti utiču na mnoge frontove: dodatne provjere u PAM okruženjima (kao što je osiguranje da se korisnik ne mijenja tokom procesa), poboljšanja integracije sa FreeBSD (prosljeđivanje tuna i kompatibilnost), MacOS (robustna detekcija funkcija i zaglavlja) i android (struktura passwd sa poljima koja nisu null).
Zaglavlja kompatibilnosti su također dodana za platforme bez određenih standardnih biblioteka, smanjujući broj #ifdef raspršene. Konačno, one se rafiniraju Pravila sigurnosnog okruženja seccomp na Linuxu da pokrije sistemske pozive poput futex_time64 u 32-bitnoj verziji, a dodana je i podrška za AWS-LC kao alternativa za OpenSSL/LibreSSL.
QoS u akciji: Praktični primjeri i IPQoS migracija
Ako ste koristili stare pseudonime iz Uslova korištenja (lowdelay, throughput...), sada će biti ignorisani i vidjet ćete poruku o debugiranju koja predlaže DSCP. Tipična migracija bi bila prelazak sa IPQoS lowdelay a IPQoS ef za interaktivne sesije; ako također koristite intenzivni SFTP, mogli biste definiraj profile po podudaranju en ssh_config/sshd_config da se odvoji saobraćaj.
Imajte na umu da motor automatski odabire i ažurira Označava u realnom vremenu na osnovu otvorenih kanala, tako da većinu posla OpenSSH već obavlja za vas.
Instaliranje OpenSSH 10.1 na Linux (izvor)
Dok distribucije integriraju verziju, Možete kompajlirati iz službenog izvoraPreuzmite tarball sa mirror-a projekta, raspakujte i kompajlirajte:
tar -xvf openssh -10.1.tar.gz
Unesite direktorij i konfigurirati prefikse i konfiguracijske rute ako vam zatreba. Na primjer:
cd openssh-10.1 ./configure --prefix=/opt --sysconfdir=/etc/ssh
Kompajlirajte i instalirajte kao i obično (ovisno o dozvolama, možda sa superkorisnikom):
napraviti
make install
Omogućite OpenSSH na Windowsu pomoću PowerShella
U modernim Windows okruženjima (Server 2019/Windows 10 1809+), Možete instalirati OpenSSH klijent i server kao sistemske funkcije.Provjerite kapacitete i status:
Get-WindowsCapability-Online | Where-Object Name -like 'OpenSSH*'
Instalirajte komponente kako vam treba:
Add-WindowsCapability -Online -Naziv OpenSSH.Client~~~~0.0.1.0 Add-WindowsCapability -Online -Naziv OpenSSH.Server~~~~0.0.1.0
Pokrenite i omogućite SSH server uslugui provjerite pravilo dolaznog zaštitnog zida:
Start-Service sshd Set-Service -Naziv sshd -StartupType 'Automatski' Get-NetFirewallRule -Naziv 'OpenSSH-Server-In-TCP' -ErrorAction SilentlyContinue
Za povezivanje s drugog Windows ili Linux hosta, koristite standardni klijent: ssh dominio\usuario@servidorPrilikom prvog pristupa, prihvata otisak prsta domaćina i autentifikujte se svojom lozinkom.
Operativni vodič: dijagnostika i dobre prakse
Za okruženja sa korisničkim/host certifikatima, iskoristite prednosti poboljšanog evidentiranja odbijanja u sshd za otklanjanje grešaka u CA-ima i ekstenzijama. Ako se sesija zaglavi ili sumnjate na multipleksiranje, pokreće SIGINFO procesu listanja aktivnih kanala bez podizanja globalnog nivoa dnevnika.
Ako zavisite od agenata, provjerite gdje se trenutno nalaze utičnice (~/.ssh/agent) y aktivirajte automatsko čišćenje u vašem modelu implementacije. Na dijeljenim ili NFS radnim stanicama, razmislite o korištenju zastavice agenta za postavljanje heševa imena hosta u putanji kada je to potrebno.
Najrelevantnije ispravke grešaka
U 10.1 su riješeni manje regresije u X11 u kombinaciji sa ublažavanjem otkucaja srca (ObscureKeystrokeTiming), slučaj Loše računovodstvo MaxStartupsa što bi moglo preplaviti slotove, i pisanje known_hosts sada je gotovo u atomskim operacijama kako bi se izbjegle isprepletene linije s visokom konkurentnošću.
Druge ispravke se poboljšavaju dijagnostika prilikom učitavanja ključeva, rukovanje ograničenjima veličine konfiguracije (od 256KB do 4MB), izlaz revizije i egzotični uglovni slučajevi u lokalnim prosljeđivanjima i kontrolnim sekvencama. Pored toga, poruke i izlaz iz ssh -G y sshd -T.
Preporučena kontrolna lista za migraciju
Ova brza lista Uključuje zadatke koje sam projekat predlaže i šta proizilazi iz promjena:
- Kripto: provjerite da li je vaš
KexAlgorithmsomogućava hibridni PQ i generira novi SSHFP u SHA-256 sassh-keygen -r. - QoS: provjeri
IPQoSna klijent/server platformi; migrirajte zastarjele ToS uslove na DSCP; iskoristite EF za interaktivne sesije. - Agenti: prilagođava skripte i varijable soketima pod
~/.ssh/agent; cijeni automatsko čišćenje samim sredstvom. - Velike konfiguracijeAko generirate skupne konfiguracije, ograničenje ide do 4 MB; primijeni to mudro i kontroliše validaciju.
- Parseriizbjegavajte kreiranje komandnih linija od nepouzdanih ulaznih podataka; koristite
configlokalne promjene s literalima kada imate čudne slučajeve u korisničkim imenima.
Oni koji upravljaju mješovitim voznim parkom će cijeniti to 10.1 Stisnite sigurnost tamo gdje najmanje boli (parseri, agenti, upozorenja) i istovremeno poboljšati svakodnevno iskustvo (Dinamički QoS, SIGINFO, evidentiranje certifikata). Ako ste već bili na verziji 10.0, prijelaz je jednostavan; ako dolazite s verzije 9.x, odvojite vrijeme za podešavanje DSCP-a, regeneriranje SSHFP-a na SHA-256 i omogućite hibridne KEX-ove kako biste se zaštitili od kvantne prijetnje bez žrtvovanja performansi.
