Sürüm etiketinin ötesinde, OpenSSH 10.1, 10 serisiyle başlatılan yolu sağlamlaştırıyor: Kuantum sonrası kriptografiye geçiş, DSCP ile QoS modernizasyonu ve tarihsel olarak hassas alanların (aracılar, anahtarlar, kayıt defterleri ve parametre ayrıştırma) güçlendirilmesi. Aşağıda şunları bulacaksınız: tüm yeni özelliklerin kapsamlı bir incelemesi (değer kattığı bağlamlarla birlikte) ve bunları sürprizlerle karşılaşmadan benimsemeye yönelik pratik yönergeler.
Aşağıda liste şu şekildedir: Bu sürümdeki yenilikler, ayrıca şurada da mevcuttur: resmi notlar.
Sürümün Önemli Noktaları ve Bağlamı
OpenSSH 10.1'in (2025-10-06) resmi sürümü üç eksene dikkat çekiyor: Kuantum kriptografisine, DSCP ağlarına ve girdi temizliğine karşı önleyici güvenlikAyrıca, yüksek operasyonel etkiye sahip belirli değişiklikleri de birbirine bağlar: ajan soket rotalarından yeni tanısal işaretler.
Projenin önemli bir hatırlatıcısı: Gelecekteki bir sürüm SHA‑1 tabanlı SSHFP günlüklerini yok sayacaktırSüre ssh-keygen -r artık varsayılan olarak yalnızca SHA‑256 ile SSHFP parmak izleri üretiyor, zayıf karmalara kapıyı kapatmak DNSSEC ve ana bilgisayar anahtarı doğrulaması için.
Post-Kuantum Olmayan Kriptografi Uyarısı ve Yeni WarnWeakCrypto Seçeneği
OpenSSH 10.1, bağlantının bir anahtar değişimini müzakere etmesi durumunda bir uyarı sunar kuantum sonrası saldırılara karşı dayanıklı değildirAmaç, "şimdi sakla, sonra şifresini çöz" riskine odaklanmak ve hassas ortamlarda geçişi hızlandırmak.
Bu davranış şu şekilde kontrol edilir: WarnWeakCrypto (At ssh_config), varsayılan olarak etkindir. Kademeli bir geçiş yapıyorsanız veya eski ana bilgisayarları kullanıyorsanız, Uyarıyı seçerek devre dışı bırakabilirsiniz Eşleştirme bloklarıyla. Örneğin:
Eşleşme sunucusu unsafe.example.com WarnWeakCrypto hayır
Kriptografi ve son teknoloji: PQC, hibritler ve SSHFP
10.0'da istemci varsayılan olarak kullanmaya geçti mlkem768x25519‑sha256, kuantum sonrası hibrit bir algoritmadır ML-KEM (KEM NIST FIPS 203) X25519 ile. Bu hibrit strateji, PQ tarafında kriptoanalitik bir atılım ortaya çıksa bile, klasik ECDH'den daha kötü durumda olmazsınız çünkü kanal X25519'un gücünü koruyor.
10.1 ile yukarıda açıklanan uyarıya ek olarak geçiş güçlendiriliyor: OpenSSH, gelecekte de SHA-1 ile SSHFP'yi yok saymaya devam edecek.; araç ssh-keygen SSHFP'yi zaten yalnızca SHA‑256 ile yayınlıyor. Operasyonel olarak önerilen eylem şudur: SHA‑256'da SSHFP parmak izlerini yeniden oluşturun ve yayınlayın ev sahipleriniz için.
Sıkça Sorulan Sorular: Kuantum bilgisayarları henüz SSH'yi kıramıyorsa neden şimdi ısrar ediyoruz? Çünkü saldırganlar bugünü yakalayıp yarın şifresini çözebilir. Kuantum sonrası KEX kullanmak bu vektörü zaten hafifletiyor. Ve eğer PQ algoritmalarının gençliğinden endişeleniyorsanız, şunu unutmayın: hibrit modalite klasik güvenlik seviyesini baz olarak koruyor.
Ağ Modernizasyonu: DSCP/IPQoS ve Trafik Önceliklendirme
Bu sürüm, kapsamlı bir QoS yenilemesini bir araya getiriyor. Hem istemci hem de sunucuda, Etkileşimli trafik varsayılan olarak EF (Hızlandırılmış Yönlendirme) sınıfına ayarlanırBu, Wi-Fi ve yoğun medyadaki gecikmeleri azaltmaya yardımcı olur. Etkileşimsiz trafik, sistem varsayılan DSCP işareti, önceliklendirmeden.
Pratikte her ikisi de ssh(1) ve sshd(8) dinamik olarak değişir Mevcut kanal türüne göre kullanılan marka: Aynı bağlantı bir kabuk ve bir sftp, etkileşimsiz transfer aşaması İşlem sırasında etkileşimli olmayan değeri kullanacak ve uygun olduğunda EF'ye geri dönecektir. Bu, anahtar tarafından kontrol edilir IPQoS en ssh_config y sshd_config.
Buna ek olarak, Eski IPv4 ToS desteği geri çekiliyor IPQoS seçeneğinde (lowdelay, throughput, reliability (etkisi kalmaz). Eğer hala kullanıyorsanız, DSCP terminolojisine geçiş yapar (Örneğin., ef, cs0, af11, Vb.)
Giriş sertleştirme: kullanıcılar, URI'ler ve genişletmeler
Güvenlik bölümünde, 10.1, harici verilerle komut satırları oluşturduğunuzda ve aynı zamanda kullandığınızda ortaya çıkan ince bir durumu düzeltir. %r/%u genişletmeleriyle ProxyCommand, bir saldırgan kabuk ifadelerini gizlice girebilir. Bunu hafifletmek için, ssh(1) artık CLI tarafından geçirilen veya genişletilmiş kullanıcılarda kontrol karakterlerini yasaklıyorve ayrıca URI'lerdeki boş karakterleri engeller ssh://.
Uyumluluk Notu: Meşru durumların bozulmasını önlemek için bir doğrulama noktası gevşetildi. Yapılandırma dosyalarında tanımlanan gerçek kullanıcı adları (%) hariç genişletmeler, yerel yapılandırmanın güvenilir kabul edilmesi temelinde muaftır.
Canlı sinyaller ve bilgiler: SIGINFO ve görünürlük
Bir diğer pratik hata ayıklama ipucu: ssh(1) ve sshd(8) SIGINFO işleyicilerini kazanır aktif kanalların ve oturumların durumunu kaydeden bir uygulamadır. Üretimde bu, akış tanılama, çoklama, yönlendirme ve X11'i kolaylaştırır bir hata ayıklayıcı eklemeye veya gereksiz yere ayrıntıyı artırmaya gerek kalmadan.
Aynı şeffaflık çizgisinde, bir sertifika kimlik doğrulaması başarısız olduğunda, sshd artık sertifikayı tanımlamak için yeterli bilgiyi günlüğe kaydediyor (ve neden reddedildiği de). PKI ve kullanıcı/ana bilgisayar sertifikalarıyla çalışıyorsanız, bu iyileştirme çözüm sürelerini büyük ölçüde kısaltır.
ssh-agent ve anahtarlar: soketler, temizleme ve PKCS#11
Montajın kısıtlı olduğu ortamlarda çapraz erişimi önlemek için /tmp, aracı soketleri (ve aracı tarafından iletilenler) sshd) Biliyorum /tmp'den ~/.ssh/agent'a taşıBu nedenle, sınırlı izinlere sahip bir işlem /tmp Artık aracıdan anahtarlarınızla imzalama yeteneğini yanlışlıkla devralmıyor.
Bu değişikliğin başka bir türevi daha var: İşletim sistemi eski soketleri temizleyebilmeden önce, artık ssh-agent kendi temizlemesini içerir Eski soketlerden. Ayrıca, aracı yeni bayraklar ekler: -U y -u başlangıçta temizliği kontrol etmek için, -uu temizleme sırasında ana bilgisayar adını yoksaymak ve -T tarihi konumu zorlamak /tmp eğer gerçekten ihtiyacınız varsa.
Anahtar düzlemde, müşteri ve temsilci PKCS#11 tokenlarında barındırılan ED25519 artık destekleniyorEğer HSM'lere veya kriptografik anahtarlara güvenirseniz, güçten ödün vermeden esneklik kazanırsınız.
ssh-add ve sertifikalar: kendi kendini temizleyen son kullanma tarihi
Ajana sertifika eklediğinizde, Son kullanma tarihi artık 5 dakikalık bir süre ile belirlendiFikir basit: kuyrukta işlemlerin tamamlanmasına izin verin ve ardından, aracı sertifikasını otomatik olarak silAkışınız tam kontrol gerektiriyorsa, ssh‑add -N Bu davranışı devre dışı bırakın.
RefuseConnection: istemci tarafında kontrol edilen bağlantı kesmeler
Bağlantıyı istemciden net bir mesajla sonlandırmak istediğiniz senaryolar vardır (örneğin, operasyonel yönlendirmeler veya kullanımdan kaldırma bildirimleri). OpenSSH 10.1 ekler Bağlantıyı Reddet a ssh_config: Sıcak bir bölüm işlenirken karşılaşılırsa, istemci bir hatayla sonlandırılır ve tanımladığınız metni görüntüler.
Kod kalitesi ve canlı güvenlik
Ekip kod tabanını temizlemeye devam ediyor. 10.1 listeleri bellek sızıntıları düzeltildi, atomia yazarken iyileştirmeler known_hosts yüksek katılım ve çeşitli yarış koşulları çözüldü gibi süreçlerde MaxStartups veya X11 oturumları.
Kripto temizleme notu: XMSS desteği kaldırıldı (deneysel ve asla varsayılan olarak değil). Zemin hazırlanıyor kuantum sonrası imza şemaları gelecekteki sürümlerde gelecek daha olgun olanları.
Taşınabilirlik ve ekosistem: PAM, FreeBSD, macOS, Android…
Taşınabilirlikteki değişiklikler birçok alanı etkiliyor: PAM ortamlarında ekstra kontroller (örneğin, kullanıcının işlem sırasında değişiklik yapmamasını sağlamak gibi), entegrasyon iyileştirmeleri FreeBSD (tun yönlendirme ve uyumluluk), macOS (fonksiyonların ve başlıkların sağlam bir şekilde algılanması) ve Android (boş olmayan alanlara sahip passwd yapısı).
Belirli standart kitaplıkları olmayan platformlar için uyumluluk başlıkları da eklenerek, uyumluluk sayısı azaltılmıştır. #ifdef dağıldılar. Son olarak, rafine edildiler seccomp sanal alan politikaları Linux'ta sistem çağrılarını kapsamak için futex_time64 32 bit'te ve destek eklendi AWS-LC OpenSSL/LibreSSL'e alternatif olarak.
Uygulamada QoS: Pratik Örnekler ve IPQoS Göçü
Eski ToS takma adlarını kullandıysanız (lowdelay, throughput...), artık görmezden gelinecekler ve DSCP'yi öneren bir hata ayıklama mesajı göreceksiniz. Tipik bir geçiş, IPQoS lowdelay a IPQoS ef etkileşimli oturumlar için; eğer yoğun SFTP kullanıyorsanız, Eşleşmeye göre profilleri tanımla en ssh_config/sshd_config trafiği ayırmak için.
Motorun otomatik olarak seçer ve günceller Açık kanallara göre gerçek zamanlı işaretleme yaptığı için işin büyük kısmını zaten OpenSSH sizin için yapmış oluyor.
Linux'a OpenSSH 10.1 Kurulumu (kaynak)
Dağıtımlar sürümü entegre ederken, resmi kaynaktan derleyebilirsiniz. Proje aynalarından tarball'ı indirin, sıkıştırılmış dosyayı açın ve derleyin:
tar -xvf openssh-10.1.tar.gz
Dizin'e girin ve önekleri ve yapılandırma yollarını yapılandırın Eğer ihtiyacınız varsa. Örneğin:
cd openssh-10.1 ./configure --prefix=/opt --sysconfdir=/etc/ssh
Derleyin ve yükleyin her zamanki gibi (izinlere bağlı olarak, belki süper kullanıcıyla):
yapmak
make install
PowerShell ile Windows'ta OpenSSH'yi Etkinleştirme
Modern Windows ortamlarında (Server 2019/Windows 10 1809+), OpenSSH istemcisini ve sunucusunu sistem özellikleri olarak kurabilirsiniz.Kapasiteleri ve durumu kontrol edin:
Get-WindowsCapability-Online | Where-Object Name -like 'OpenSSH*'
Bileşenleri yükleyin ihtiyacınız olduğu gibi:
Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0 Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
SSH sunucu hizmetini başlatın ve etkinleştirinve gelen güvenlik duvarı kuralını kontrol edin:
Başlat-Hizmet sshd Set-Service -Name sshd -BaşlangıçTürü 'Otomatik' Get-NetFirewallRule -Name 'TCP'de SSH-SunucusunuAç' -ErrorAction SessizceDevam Et
Başka bir Windows veya Linux ana bilgisayarından bağlanmak için standart istemciyi kullanın: ssh dominio\usuario@servidorİlk erişimde, ana bilgisayar parmak izini kabul eder ve şifrenizle kimlik doğrulaması yapın.
Operasyonel kılavuz: teşhis ve iyi uygulamalar
Kullanıcı/ana bilgisayar sertifikalarına sahip ortamlar için, geliştirilmiş günlük kaydından yararlanın inkarların sshd CA'ları ve uzantıları hata ayıklamak için. Bir oturum takılırsa veya çoklamadan şüpheleniyorsanız, SIGINFO'yu başlattı küresel günlük seviyesini yükseltmeden aktif kanalları listeleme sürecine.
Eğer aracılara bağımlıysanız, soketlerin şu anda nerede olduğunu kontrol edin (~/.ssh/agent) Y otomatik temizlemeyi etkinleştir Dağıtım modelinizde. Paylaşımlı veya NFS iş istasyonlarında, gerektiğinde yoldaki ana bilgisayar adı karmalarını ayarlamak için aracı işaretini kullanmayı düşünün.
En alakalı hata düzeltmeleri
10.1'de çözüldüler X11'de küçük regresyonlar kalp atış hızı azaltımlarıyla birleştirildiğinde (ObscureKeystrokeTiming), bir vaka MaxStartups'ın zayıf muhasebesi bu, slotları doldurabilir ve yazılması known_hosts artık bitti atomik operasyonlarda yüksek eşzamanlılıkta iç içe geçmiş satırlardan kaçınmak için.
Diğer düzeltmeler iyileştirildi anahtarlar yüklenirken tanılama, yapılandırma boyutu sınırlarının (256KB'den 4MB'ye kadar) işlenmesi, yerel iletimlerde ve kontrol dizilerinde denetim çıktısı ve egzotik köşe durumları. Ayrıca, iletiler ve çıktılar ssh -G y sshd -T.
Önerilen geçiş kontrol listesi
Bu hızlı liste Projenin kendisinin önerdiği görevleri ve değişikliklerden ortaya çıkanları içerir:
- Cripto: kontrol edin
KexAlgorithmshibrit PQ'ya izin verir ve SHA-256'da yeni SSHFP oluştururssh-keygen -r. - QoS: Çıkış yapmak
IPQoSistemci/sunucu üzerinde; eski ToS'u DSCP'ye taşıyın; etkileşimli oturumlar için EF'den yararlanın. - Temsilciler: komut dosyalarını ve değişkenleri soketlere uyarlar
~/.ssh/agent; değerleri ajanın kendisi tarafından otomatik olarak temizlenir. - Büyük yapılandırmalar: Toplu yapılandırmalar oluşturursanız, sınır 4MB'a kadar çıkar; akıllıca uygula ve doğrulamayı kontrol eder.
- Ayrıştırıcılar: güvenilmeyen girdilerden komut satırları oluşturmaktan kaçının; kullanın
configKullanıcı adlarında garip durumlar olduğunda yerelleri gerçek anlamlarıyla kullanın.
Karma filoları yönetenler 10.1'in güvenliği en az acıtacak yere sıkıştırın (ayrıştırıcılar, aracılar, uyarılar) ve aynı zamanda günlük deneyimi iyileştirmek (Dinamik Hizmet Kalitesi, SIGINFO, sertifika kaydı). Zaten 10.0 kullanıyorsanız, geçiş oldukça basit; 9.x'ten geliyorsanız, DSCP'yi ayarlamak, SSHFP'yi SHA‑256'ya dönüştürmek ve performanstan ödün vermeden kuantum tehdidinden korunmak için hibrit KEX'leri etkinleştirmek için zaman ayırın.
