E foi lançado o OpenSSH 8.4 como uma implementação 100% completa do protocolo SSH 2.0, e outras melhorias. Confira as novidades e veja com instalar no Linux.
O OpenSSH é o mais importante conjunto de utilitários de rede relacionado à segurança que provém a criptografia em sessões de comunicações em uma rede de computadores usando o protocolo SSH.
Agora, após quatro meses de desenvolvimento, é apresentado o lançamento da nova versão do OpenSSH 8.4, uma implementação aberta de cliente e servidor para SSH 2.0 e SFTP.
Novidades do OpenSSH 8.4
A nova versão, destaca-se por ser uma implementação 100% completa do protocolo SSH 2.0 e além de incluir alterações no suporte para servidor e cliente sftp, também para FIDO, Ssh-keygen e algumas outras alterações.
O agente Ssh agora verifica se a mensagem será assinada usando métodos SSH ao usar chaves FIDO que não foram geradas para autenticação SSH (o ID da chave não começa com a string “ssh:”).
A mudança não permitirá o redirecionamento do agente ssh para hosts remotos que têm chaves FIDO para bloquear a capacidade de usar essas chaves para gerar assinaturas para solicitações de autenticação da web (caso contrário, quando o navegador pode assinar uma solicitação SSH, ele foi inicialmente excluído devido ao uso do prefixo “ssh:” na identificação da chave).
Ssh-keygen, ao gerar uma chave residente, inclui suporte para o plug-in credProtect descrito na especificação FIDO 2.1, que fornece proteção adicional para chaves, exigindo que um PIN seja inserido antes de realizar qualquer operação que possa resultar na extração da chave. chave residente de token.
Em relação às mudanças que potencialmente quebram a compatibilidade:
Para compatibilidade com FIDO U2F, é recomendado usar a biblioteca libfido2 de pelo menos versão 1.5.0.
A possibilidade de usar edições antigas está parcialmente implementada, mas neste caso funções como chaves residentes, solicitação de PIN e conexão de vários tokens não estarão disponíveis.
Em ssh-keygen, no formato de informação de confirmação, que é opcionalmente salvo ao gerar a chave FIDO, são adicionados os dados do autenticador, que são necessários para verificar as assinaturas digitais de confirmação.
Ao criar uma versão portátil do OpenSSH, o automake agora é necessário para gerar o script de configuração e os arquivos de montagem que o acompanham (se você estiver compilando a partir de um arquivo tar de código publicado, não é necessário reconstruir o configure).
Adicionado suporte para chaves FIDO que requerem verificação de PIN para ssh e ssh-keygen. Para gerar chaves com um PIN, a opção “verificar necessário” foi adicionada ao ssh-keygen.
No caso de utilizar tais chaves, antes de realizar a operação de criação de assinatura, o usuário é solicitado a confirmar suas ações inserindo o código PIN.
No sshd, na configuração authorized_keys, a opção “verificar necessário” é implementada, o que requer o uso de recursos para verificar a presença de um usuário durante as operações de token.
Sshd e ssh-keygen adicionaram suporte para verificar assinaturas digitais que estão em conformidade com o padrão FIDO Webauthn, que permite que chaves FIDO sejam usadas em navegadores da web.
Das outras mudanças dessa versão, destacam-se:
- Adicionado suporte ssh e ssh-agent para a variável de ambiente $ SSH_ASKPASS_REQUIRE, que pode ser usada para habilitar ou desabilitar a chamada ssh-askpass.
- Em ssh, em ssh_config, na diretiva AddKeysToAgent, foi adicionada a capacidade de limitar o período de validade da chave. Depois que o limite especificado expira, as chaves são removidas automaticamente do agente ssh.
- Em scp e sftp, usando o sinalizador “-A”, agora você pode permitir explicitamente o redirecionamento em scp e sftp usando ssh-agent (por padrão, o redirecionamento está desabilitado).
- Adicionado suporte para a substituição ‘% k’ na configuração ssh para o nome da chave do host.
- O Sshd fornece o registro do início e do final do processo de queda da conexão, controlado pelo parâmetro MaxStartups.
Para saber mais sobre essa versão do OpenSSH, acesse a nota de lançamento.
Como instalar ou atualizar o OpenSSH 8.4
Para aqueles que estão interessados em poder instalar esta nova versão do OpenSSH em seus sistemas, no momento eles podem fazer isso baixando o código-fonte e fazendo a compilação em seus computadores.
Isso ocorre porque a nova versão ainda não foi incluída nos repositórios das principais distribuições Linux. Mas possivelmente, em breve estará disponível.
Portanto, se você quer instalar a versão mais recente do OpenSSH nas principais distribuições Linux, faça o seguinte:
Passo 1. Abra um terminal com privilégios de administrador (root) ou abra um terminal como usuário comum e use o ‘sudo
‘ antes dos comandos a seguir;
Passo 2. Baixe o código fonte do programa com esse comando;
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/openssh-8.4.tar.gz -O openssh.tar.gz
Passo 3. Quando terminar o download, descompacte o arquivo baixado, usando esse comando;
tar -xvf openssh.tar.gz
Passo 4. Acesse a pasta criada durante a descompactação;
cd openssh-*/
Passo 5. Use o comando abaixo para prepara o código fonte para ser compilado;
./configure --prefix=/opt --sysconfdir=/etc/ssh
Passo 6. Em seguida, use esse comando para compilar o código fonte;
make
Passo 7. Por fim, use o comando abaixo para instalar o programa no seu sistema.
make install
Pronto! O OpenSSH está instalado.
Se depois você precisar desinstalar, em um terminal (com privilégios de administrador ou seguido de ‘sudo
‘), acesse novamente a pasta criada ao descompactar e use o comando abaixo;
make uninstall