OpenSSH 9.9 lançado com melhorias e correções de bugs

E foi lançado o OpenSSH 9.9 com melhorias e correções de bugs, e mais. Confira as novidades e veja com instalar no Linux.

O OpenSSH é o mais importante conjunto de utilitários de rede relacionado à segurança que provém a criptografia em sessões de comunicações em uma rede de computadores usando o protocolo SSH.

O OpenSSH é uma implementação gratuita e de código aberto do protocolo SSH (Secure Shell) que fornece funcionalidade de cliente e servidor para comunicações seguras em uma rede.

O protocolo SSH é usado principalmente para acessar sistemas remotamente e para transferir arquivos com segurança entre sistemas, especialmente em ambientes de rede onde a segurança é uma preocupação primordial.

Agora, o OpenSSH 9.9 está disponível como a versão mais recente dessa implementação SSH de código aberto amplamente usada.

Novidades do OpenSSH 9.9

OpenSSH 9.9 lançado com melhorias e correções de bugs
OpenSSH 9.9 lançado com melhorias e correções de bugs

Esta nova versão apresenta recursos significativos, incluindo suporte para troca de chaves pós-quânticas híbridas usando uma implementação ML-KEM formalmente verificada, controles aprimorados para gerenciar conexões indesejadas, código de troca de chaves NTRUPrime mais rápido e muito mais.

Uma das adições mais notáveis ​​no OpenSSH 9.9 é o suporte para um novo método de troca de chaves pós-quânticas híbridas.

Este método combina o FIPS 203 Module-Lattice Key Encapsulation Mechanism (ML-KEM) com o X25519 Elliptic Curve Diffie-Hellman (ECDH), aumentando a segurança contra potenciais ameaças à computação quântica.

O algoritmo, chamado mlkem768x25519-sha256, é habilitado por padrão, marcando um passo significativo em direção aos padrões criptográficos pós-quânticos.

Além disso, a diretiva ssh_config “Include” agora suporta expansão de variáveis ​​de ambiente e o mesmo conjunto de %-tokens que a opção “Match Exec”, permitindo assim arquivos de configuração mais flexíveis e dinâmicos.

O OpenSSH 9.9 também introduz uma nova opção “RefuseConnection” no sshd_config. Quando definida, ela encerra conexões na primeira solicitação de autenticação, fornecendo aos administradores uma ferramenta para descartar conexões indesejadas rapidamente.

Complementando isso, uma nova classe de penalidade “refuseconnection” em sshd_config “PerSourcePenalties” aplica penalidades quando uma conexão é interrompida usando a palavra-chave “RefuseConnection”.

Além disso, as opções “Match” de sshd_config agora incluem um predicado “Match invalid-user”. Esse recurso corresponde quando o nome de usuário de destino não é válido no servidor, permitindo um controle mais granular sobre as tentativas de autenticação.

A versão também atualiza o código Streamlined NTRUPrime para uma implementação substancialmente mais rápida, melhorando o desempenho geral.

No lado das correções de bugs, o OpenSSH 9.9 também aborda vários bugs:

  • Análise de nome de tipo de chave: impõe uma análise mais rigorosa de nomes de tipo de chave, permitindo apenas nomes curtos no código da interface do usuário e exigindo nomes completos do protocolo SSH em outros lugares.
  • Requisito de caminho absoluto relaxado: restaura o comportamento anterior em que o sshd não requer um caminho absoluto quando iniciado no modo inetd.
  • Correções de registro: corrige um problema em que os endereços de origem e destino eram trocados em algumas mensagens de registro sshd.
  • Manipulação de chaves autorizadas: corrige um problema em que as opções authorized_keys eram aplicadas incorretamente quando a verificação de assinatura falhava.
  • Análise de usuário@host: o OpenSSH 9.9 garante uma análise consistente procurando o último “@” na sequência, permitindo nomes de usuários que contenham caracteres “@”.

Lembre-se de que o OpenSSH planeja remover o suporte para o algoritmo de assinatura DSA no início de 2025.

A versão 9.9 desabilita o DSA por padrão no tempo de compilação. O DSA, conforme especificado no protocolo SSHv2, é inerentemente fraco, sendo limitado a uma chave privada de 160 bits e ao uso do resumo SHA1, oferecendo um nível de segurança estimado de apenas 80 bits simétricos equivalentes.

O OpenSSH desencorajou o uso de chaves DSA desde 2015, mantendo apenas o suporte opcional de tempo de execução. O motivo é que com algoritmos melhores amplamente suportados em todas as implementações SSH ativamente mantidas, os custos de manutenção do DSA não são mais justificados.

Para saber mais sobre essa versão do OpenSSH, acesse a nota de lançamento.

Como instalar ou atualizar o OpenSSH

Para aqueles que estão interessados ​​em poder instalar esta nova versão do OpenSSH em seus sistemas, no momento eles podem fazer isso baixando o código-fonte e fazendo a compilação em seus computadores.

Isso ocorre porque a nova versão ainda não foi incluída nos repositórios das principais distribuições Linux. Mas possivelmente, em breve estará disponível.

Portanto, se você quer instalar a versão mais recente do OpenSSH nas principais distribuições Linux, faça o seguinte:

Passo 1. Abra um terminal com privilégios de administrador (root) ou abra um terminal como usuário comum e use o ‘sudo‘ antes dos comandos a seguir;
Passo 2. Baixe o código fonte do programa com esse comando;

wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/openssh-9.9.tar.gz -O openssh.tar.gz

Passo 3. Quando terminar o download, descompacte o arquivo baixado, usando esse comando;

tar -xvf openssh.tar.gz

Passo 4. Acesse a pasta criada durante a descompactação;

cd openssh-*/

Passo 5. Use o comando abaixo para prepara o código fonte para ser compilado;

./configure --prefix=/opt --sysconfdir=/etc/ssh

Passo 6. Em seguida, use esse comando para compilar o código fonte;

make

Passo 7. Por fim, use o comando abaixo para instalar o programa no seu sistema.

make install

Pronto! O OpenSSH está instalado.

Se depois você precisar desinstalar, em um terminal (com privilégios de administrador ou seguido de ‘sudo‘), acesse novamente a pasta criada ao descompactar e use o comando abaixo;

make uninstall
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.