आवृत्ती लेबलच्या पलीकडे, OpenSSH 10.1 10 मालिकेपासून सुरू झालेल्या मार्गाचे एकत्रीकरण करते.: पोस्ट-क्वांटम क्रिप्टोग्राफीकडे स्थलांतर, DSCP सह QoS आधुनिकीकरण आणि ऐतिहासिकदृष्ट्या संवेदनशील क्षेत्रांचे (एजंट, की, रजिस्ट्री आणि पॅरामीटर पार्सिंग) कडकीकरण. खाली तुम्हाला आढळेल सर्व नवीन वैशिष्ट्यांचा सखोल आढावा (ज्या संदर्भात ते मूल्य वाढवते), तसेच आश्चर्यचकित न होता ते स्वीकारण्यासाठी व्यावहारिक मार्गदर्शक तत्त्वे.
खालील यादी आहे ज्यात या आवृत्तीमध्ये काय नवीन आहे, मध्ये देखील उपलब्ध आहे अधिकृत नोट्स.
प्रकाशनाचे ठळक मुद्दे आणि संदर्भ
OpenSSH 10.1 (2025-10-06) चे अधिकृत प्रकाशन तीन अक्षांवर प्रकाश टाकते: क्वांटम क्रिप्टोग्राफी, डीएससीपी नेटवर्क आणि इनपुट सॅनिटायझेशन विरूद्ध प्रतिबंधात्मक सुरक्षा. हे विशिष्ट बदलांना उच्च ऑपरेशनल प्रभावासह देखील जोडते: एजंट सॉकेट मार्गांपासून ते नवीन निदान चिन्हे.
प्रकल्पाची एक महत्त्वाची आठवण: भविष्यातील रिलीझ SHA-1 आधारित SSHFP लॉगकडे दुर्लक्ष करेल.तर ssh-keygen -r आता डीफॉल्टनुसार फक्त SHA‑256 सह SSHFP फिंगरप्रिंट जनरेट करते, कमकुवत हॅशचे दरवाजे बंद करणे DNSSEC आणि होस्ट की पडताळणीसाठी.
नॉन-पोस्ट-क्वांटम क्रिप्टोग्राफी वॉर्निंग आणि नवीन वॉर्नवीकक्रिप्टो पर्याय
जेव्हा कनेक्शन की एक्सचेंजशी वाटाघाटी करते तेव्हा OpenSSH 10.1 एक चेतावणी सादर करते जे क्वांटमनंतरच्या हल्ल्यांना प्रतिरोधक नाही"आता स्टोअर करा, नंतर डिक्रिप्ट करा" या जोखमीवर लक्ष केंद्रित करणे आणि संवेदनशील वातावरणात संक्रमणाला गती देणे हे ध्येय आहे.
हे वर्तन नियंत्रित केले जाते वॉर्नवीकक्रिप्टो (मध्ये ssh_config), जे डिफॉल्टनुसार सक्षम केले जाते. जर तुम्ही हळूहळू स्थलांतर करत असाल किंवा लेगसी होस्ट राखत असाल, तुम्ही निवडकपणे चेतावणी अक्षम करू शकता. मॅच ब्लॉक्ससह. उदाहरणार्थ:
जुळणारे होस्ट unsafe.example.com WarnWeakCrypto no
क्रिप्टोग्राफी आणि अत्याधुनिक तंत्रज्ञान: पीक्यूसी, हायब्रिड्स आणि एसएसएचएफपी
१०.० मध्ये, क्लायंटने डीफॉल्टनुसार वापरण्यास स्विच केले एमएलकेएम७६८x२५५१९‑शा२५६, एक हायब्रिड पोस्ट-क्वांटम अल्गोरिथम जो एकत्रित करतो एमएल-केईएम (KEM NIST FIPS 203) X25519 सह. ही संकरित रणनीती सुनिश्चित करते की जरी PQ बाजूला क्रिप्टअनालिटिकल प्रगती झाली तरी, क्लासिक ECDH पेक्षा तुमची स्थिती वाईट होणार नाही. कारण चॅनेलने X25519 ची ताकद कायम ठेवली आहे.
१०.१ सह, वर वर्णन केलेल्या इशाऱ्याव्यतिरिक्त, संक्रमण अधिक मजबूत केले आहे: भविष्यात OpenSSH SHA‑1 सह SSHFP कडे दुर्लक्ष करत राहील.; साधन ssh-keygen आधीच SHA‑256 सह SSHFP जारी करते. ऑपरेशनलदृष्ट्या, शिफारस केलेली कृती आहे SHA‑256 मध्ये SSHFP फिंगरप्रिंट पुन्हा निर्माण करा आणि प्रकाशित करा तुमच्या यजमानांसाठी.
वारंवार विचारले जाणारे प्रश्न: जर क्वांटम संगणक अद्याप SSH तोडू शकत नाहीत तर आताच आग्रह का करायचा? कारण हल्लेखोर आज कॅप्चर करू शकतात आणि उद्या डिक्रिप्ट करू शकतात. पोस्ट-क्वांटम KEX वापरल्याने तो वेक्टर आधीच कमी होतो. आणि जर तुम्हाला PQ अल्गोरिदमच्या तरुणपणाबद्दल काळजी वाटत असेल, तर लक्षात ठेवा की संकरित पद्धती आधार म्हणून क्लासिक सुरक्षा पातळी राखते.
नेटवर्क आधुनिकीकरण: DSCP/IPQoS आणि वाहतूक प्राधान्यक्रम
या प्रकाशनात सखोल QoS सुधारणा एकत्रित केल्या आहेत. क्लायंट आणि सर्व्हर दोन्हीवर, इंटरॅक्टिव्ह ट्रॅफिक डीफॉल्टनुसार वर्ग EF (एक्सपीडेटेड फॉरवर्डिंग) वर सेट केले जाते., जे वाय-फाय आणि गर्दीच्या मीडियावरील विलंब कमी करण्यास मदत करते. नॉन-इंटरॅक्टिव्ह ट्रॅफिक वापरण्यास स्विच करते सिस्टम डीफॉल्ट DSCP चिन्ह, प्राधान्य न वाढवता.
प्रत्यक्षात, दोन्ही ssh(1) आणि sshd(8) गतिमानपणे बदलतात उपस्थित असलेल्या चॅनेलच्या प्रकारानुसार वापरलेला ब्रँड: जर समान कनेक्शन शेल आणि अ ला एकत्र करत असेल तर sftp, नॉन-इंटरॅक्टिव्ह ट्रान्सफर टप्पा ऑपरेशन दरम्यान नॉन-इंटरॅक्टिव्ह व्हॅल्यू वापरेल आणि योग्य असल्यास EF वर परत येईल. हे की द्वारे नियंत्रित केले जाते IPQoS en ssh_config y sshd_config.
तसेच, जुन्या IPv4 ToS साठी समर्थन काढून घेतले जात आहे IPQoS पर्यायामध्ये (lowdelay, throughput, reliability परिणाम होणे थांबवा). जर तुम्ही अजूनही ते वापरत असाल, DSCP नामांकनात स्थलांतरित होते (उदा., ef, cs0, af11, इत्यादी).
इनपुट कडक करणे: वापरकर्ते, URI आणि विस्तार
सुरक्षा विभागात, १०.१ एक सूक्ष्म केस दुरुस्त करते जिथे, जर तुम्ही बाह्य डेटासह कमांड लाइन तयार केल्या आणि त्याच वेळी वापरल्या तर %r/%u विस्तारांसह प्रॉक्सी कमांड, हल्लेखोर शेल एक्सप्रेशन्समध्ये घुसू शकतो. हे कमी करण्यासाठी, ssh(1) आता CLI-पास केलेल्या किंवा विस्तारित वापरकर्त्यांमध्ये नियंत्रण वर्णांना प्रतिबंधित करते., आणि URI मधील शून्य वर्ण देखील अवरोधित करते ssh://.
सुसंगतता टीप: कायदेशीर प्रकरणे मोडू नयेत म्हणून एक प्रमाणीकरण बिंदू शिथिल करण्यात आला आहे. कॉन्फिगरेशन फाइल्समध्ये परिभाषित केलेले शब्दशः वापरकर्तानावे स्थानिक कॉन्फिगरेशन विश्वसनीय मानले जाते या आधारावर, (% शिवाय) विस्तारांना सूट दिली जाते.
थेट सिग्नल आणि माहिती: SIGINFO आणि दृश्यमानता
आणखी एक व्यावहारिक डीबगिंग टीप: ssh(1) आणि sshd(8) SIGINFO हँडलर मिळवतात जे सक्रिय चॅनेल आणि सत्रांची स्थिती रेकॉर्ड करतात. उत्पादनात, हे फ्लो डायग्नोस्टिक्स, मल्टिप्लेक्सिंग, फॉरवर्डिंग आणि X11 सुलभ करते डीबगर जोडण्याची किंवा आक्रमकपणे शब्दसंग्रह वाढवण्याची गरज न पडता.
पारदर्शकतेच्या त्याच धर्तीवर, जेव्हा प्रमाणपत्र प्रमाणीकरण अयशस्वी होते, sshd आता प्रमाणपत्र ओळखण्यासाठी पुरेशी माहिती लॉग करते. (तसेच ते का नाकारले गेले). जर तुम्ही PKI आणि वापरकर्ता/होस्ट प्रमाणपत्रांसह काम करत असाल, तर ही सुधारणा रिझोल्यूशन वेळ खूप कमी करते.
ssh-एजंट आणि की: सॉकेट्स, सॅनिटायझेशन आणि PKCS#11
मर्यादित माउंटिंग असलेल्या वातावरणात क्रॉस अॅक्सेस टाळण्यासाठी /tmp, एजंट सॉकेट्स (आणि जे फॉरवर्ड केले जातात sshd) मला माहित आहे /tmp वरून ~/.ssh/agent वर हलवा.. अशाप्रकारे, मर्यादित परवानग्या असलेली प्रक्रिया /tmp एजंटकडून तुमच्या चाव्या वापरून सही करण्याची क्षमता आता चुकून मिळत नाही.
या बदलाचे आणखी एक व्युत्पन्न आहे: ओएस जुने सॉकेट्स साफ करू शकत असे त्यापूर्वी, आता ssh-एजंट स्वतःची स्वच्छता समाविष्ट करतो जुन्या सॉकेटमधून. याव्यतिरिक्त, एजंट नवीन ध्वज जोडतो: -U y -u सुरुवातीच्या वेळी स्वच्छता नियंत्रित करण्यासाठी, -uu क्लीनअपवर होस्टनेम दुर्लक्षित करणे, आणि -T ऐतिहासिक स्थान जबरदस्तीने आणण्यासाठी /tmp जर तुम्हाला खरोखर गरज असेल तर.
मुख्य पातळीवर, क्लायंट आणि एजंट PKCS#11 टोकनवर होस्ट केलेले ED25519 आता समर्थित आहेत.जर तुम्ही HSM किंवा क्रिप्टोग्राफिक कीजवर अवलंबून असाल, तर तुम्हाला ताकदीचा त्याग न करता लवचिकता मिळेल.
ssh-add आणि प्रमाणपत्रे: स्वयं-साफसफाईची कालबाह्यता
जेव्हा तुम्ही एजंटला प्रमाणपत्रे जोडता, त्याची कालबाह्यता आता ५ मिनिटांच्या वाढीव कालावधीसह निश्चित केली आहे.कल्पना सोपी आहे: रांगेत व्यवहार पूर्ण करू द्या आणि नंतर, एजंट प्रमाणपत्र आपोआप हटवाजर तुमच्या प्रवाहावर पूर्ण नियंत्रण हवे असेल, ssh‑add -N हे वर्तन अक्षम करा.
रिफ्यूजकनेक्शन: क्लायंट-साइड नियंत्रित डिस्कनेक्ट
अशी परिस्थिती आहे जिथे तुम्हाला क्लायंटकडूनच स्पष्ट संदेश देऊन कनेक्शन रद्द करायचे आहे (उदाहरणार्थ, ऑपरेशनल रीडायरेक्ट्स किंवा कालबाह्यता सूचना). OpenSSH 10.1 जोडते कनेक्शन नाकारा a ssh_config: जर गरम भागावर प्रक्रिया करताना आढळले तर, क्लायंट एका त्रुटीसह समाप्त होतो आणि तुम्ही परिभाषित केलेला मजकूर प्रदर्शित करते.
कोड गुणवत्ता आणि थेट सुरक्षा
टीम कोडबेस साफ करत राहते. १०.१ याद्या मेमरी लीक दुरुस्त केले, लिहिताना अणुशक्तीमध्ये सुधारणा known_hosts मोठ्या उपस्थितीसह आणि अनेक शर्यतीच्या अटी सोडवल्या अशा प्रक्रियांमध्ये MaxStartups किंवा X11 सत्रे.
क्रिप्टो क्लीनिंग नोट: XMSS साठी समर्थन काढून टाकले आहे. (प्रायोगिक आणि कधीही पूर्वनिर्धारित नाही). साठी जमीन तयार करणे क्वांटमनंतरच्या स्वाक्षरी योजना भविष्यातील आवृत्त्यांमध्ये येणारे अधिक परिपक्व.
पोर्टेबिलिटी आणि इकोसिस्टम: पीएएम, फ्रीबीएसडी, मॅकओएस, अँड्रॉइड…
पोर्टेबिलिटी बदल अनेक आघाड्यांवर परिणाम करतात: PAM वातावरणात अतिरिक्त तपासणी (जसे की प्रक्रियेदरम्यान वापरकर्ता बदलत नाही याची खात्री करणे), सह एकत्रीकरण सुधारणा FreeBSD (ट्यून फॉरवर्डिंग आणि सुसंगतता), MacOS (फंक्शन्स आणि हेडरची मजबूत ओळख) आणि Android (नॉन-नल फील्डसह पासडब्ल्यूडी स्ट्रक्चर करा).
विशिष्ट मानक लायब्ररी नसलेल्या प्लॅटफॉर्मसाठी सुसंगतता शीर्षलेख देखील जोडले जातात, ज्यामुळे संख्या कमी होते #ifdef विखुरलेले. शेवटी, ते परिष्कृत केले जातात सेककॉम्प सँडबॉक्स धोरणे लिनक्सवर सिस्कॉल कव्हर करण्यासाठी जसे की futex_time64 ३२-बिट मध्ये, आणि समर्थन जोडले आहे AWS-LC OpenSSL/LibreSSL ला पर्याय म्हणून.
कृतीशील QoS: व्यावहारिक उदाहरणे आणि IPQoS स्थलांतर
जर तुम्ही जुने ToS उपनाम वापरले असतील (lowdelay, throughput...), आता त्यांना दुर्लक्षित केले जाईल. आणि तुम्हाला DSCP सूचित करणारा एक डीबग संदेश दिसेल. सामान्य मायग्रेशन म्हणजे येथून जाणे. IPQoS lowdelay a IPQoS ef परस्परसंवादी सत्रांसाठी; जर तुम्ही हेवी SFTP देखील करत असाल, तर तुम्ही मॅचनुसार प्रोफाइल परिभाषित करा en ssh_config/sshd_config वाहतूक वेगळी करण्यासाठी.
लक्षात ठेवा की इंजिन स्वयंचलितपणे निवडते आणि अपडेट करते हे ओपन चॅनेलवर आधारित रिअल टाइममध्ये चिन्हांकित करते, त्यामुळे बहुतेक काम तुमच्यासाठी OpenSSH द्वारे आधीच केले गेले आहे.
लिनक्सवर ओपनएसएसएच १०.१ स्थापित करणे (स्रोत)
वितरणे आवृत्ती एकत्रित करताना, तुम्ही अधिकृत स्रोतावरून संकलित करू शकता. प्रोजेक्ट मिररमधून टारबॉल डाउनलोड करा, अनझिप करा आणि कंपाईल करा:
tar -xvf openssh -10.1.tar.gz
निर्देशिका प्रविष्ट करा आणि उपसर्ग आणि कॉन्फिगरेशन मार्ग कॉन्फिगर करा जर तुम्हाला त्याची गरज असेल तर. उदाहरणार्थ:
सीडी ओपनएसएच-१०.१ ./कॉन्फिगर --प्रीफिक्स=/ऑप्ट --सिसकॉन्फिडर=/इत्यादि/एसएसएच
संकलित करा आणि स्थापित करा नेहमीप्रमाणे (परवानग्यांवर अवलंबून, कदाचित सुपरयुजरसह):
करा
make install
पॉवरशेल वापरून विंडोजवर ओपनएसएसएच सक्षम करा.
आधुनिक विंडोज वातावरणात (सर्व्हर २०१९/विंडोज १० १८०९+), तुम्ही सिस्टम वैशिष्ट्ये म्हणून OpenSSH क्लायंट आणि सर्व्हर स्थापित करू शकता.क्षमता आणि स्थिती तपासा:
विंडोज क्षमता ऑनलाइन मिळवा | ऑब्जेक्टचे नाव 'ओपनएसएसएच*' सारखे आहे.
घटक स्थापित करा तुम्हाला गरजेनुसार:
विंडोज क्षमता जोडा -ऑनलाइन -नाव ओपनएसएसएच.क्लायंट~~~~०.०.१.० विंडोज क्षमता जोडा -ऑनलाइन -नाव ओपनएसएसएच.सर्व्हर~~~~०.०.१.०
SSH सर्व्हर सेवा सुरू करा आणि सक्षम करा., आणि इनबाउंड फायरवॉल नियम तपासा:
स्टार्ट-सर्व्हिस sshd सेट-सर्व्हिस -नाव sshd -स्टार्टअपटाइप 'ऑटोमॅटिक' गेट-नेटफायरवॉलनियम -नाव 'ओपनएसएसएच-सर्व्हर-इन-टीसीपी' -एररअॅक्शन शांतपणे सुरू ठेवा
दुसऱ्या विंडोज किंवा लिनक्स होस्टवरून कनेक्ट करण्यासाठी, मानक क्लायंट वापरा: ssh dominio\usuario@servidor. पहिल्या प्रवेशावर, होस्ट फिंगरप्रिंट स्वीकारतो आणि तुमच्या पासवर्डने प्रमाणित करा.
ऑपरेशनल मार्गदर्शक: निदान आणि चांगल्या पद्धती
वापरकर्ता/होस्ट प्रमाणपत्रांसह वातावरणासाठी, सुधारित लॉगिंगचा फायदा घ्या मध्ये नकारांची sshd सीए आणि एक्सटेंशन डीबग करण्यासाठी. जर एखादे सत्र अडकले किंवा तुम्हाला मल्टीप्लेक्सिंगचा संशय आला, SIGINFO लाँच करते जागतिक लॉग पातळी न वाढवता सक्रिय चॅनेल सूचीबद्ध करण्याच्या प्रक्रियेसाठी.
जर तुम्ही एजंटवर अवलंबून असाल, तर सॉकेट्स आता कुठे राहतात ते तपासा (~/.ssh/agent) आणि स्वयंचलित स्वच्छता सक्रिय करा तुमच्या डिप्लॉयमेंट मॉडेलमध्ये. शेअर्ड किंवा NFS वर्कस्टेशन्सवर, आवश्यक असल्यास पथमध्ये होस्टनेम हॅश सेट करण्यासाठी एजंट फ्लॅग वापरण्याचा विचार करा.
सर्वात संबंधित बग निराकरणे
१०.१ मध्ये ते सोडवले आहेत. X11 मध्ये किरकोळ प्रतिगमन हृदय गती कमी करण्यासोबत एकत्रित केल्यावर (ObscureKeystrokeTiming), एक प्रकरण मॅक्सस्टार्टअप्सचे खराब अकाउंटिंग ज्यामुळे स्लॉट भरू शकतात, आणि लेखन known_hosts आता ते झाले आहे. अणु ऑपरेशन्समध्ये उच्च समांतरता असलेल्या इंटरलीव्ह रेषा टाळण्यासाठी.
इतर दुरुस्त्या सुधारतात की लोड करताना निदान, कॉन्फिग आकार मर्यादा हाताळणे (२५६KB ते ४MB पर्यंत), स्थानिक फॉरवर्ड्स आणि कंट्रोल सीक्वेन्समध्ये ऑडिट आउटपुट आणि एक्झॉटिक कॉर्नर केसेस. याव्यतिरिक्त, संदेश आणि आउटपुट ssh -G y sshd -T.
शिफारस केलेले स्थलांतर चेकलिस्ट
ही छोटी यादी त्यामध्ये प्रकल्प स्वतः सुचवलेली कामे आणि बदलांमधून उद्भवणारी कामे समाविष्ट आहेत:
- क्रिप्टो: तुमचे आहे का ते तपासा
KexAlgorithmsहायब्रिड PQ ला परवानगी देते आणि SHA‑256 मध्ये नवीन SSHFP जनरेट करतेssh-keygen -r. - क्यूओएस: तपासा
IPQoSक्लायंट/सर्व्हरवर; लेगसी ToS DSCP वर स्थलांतरित करा; परस्परसंवादी सत्रांसाठी EF चा वापर करा. - एजंट्स: स्क्रिप्ट्स आणि व्हेरिएबल्सना सॉकेटमध्ये रुपांतरित करते
~/.ssh/agent; एजंटद्वारेच स्वयंचलित साफसफाईचे मूल्य देते. - मोठे कॉन्फिगरेशन: जर तुम्ही बल्क कॉन्फिगरेशन जनरेट केले तर मर्यादा ४MB पर्यंत वाढते; ते हुशारीने वापरा आणि प्रमाणीकरण नियंत्रित करते.
- पार्सर्स: अविश्वसनीय इनपुटवरून कमांड लाइन तयार करणे टाळा; वापरा
configजेव्हा तुमच्या वापरकर्तानावांमध्ये विचित्र केसेस असतात तेव्हा शब्दशः स्थानिक.
जे मिश्र फ्लीट्स व्यवस्थापित करतात त्यांना हे १०.१ आवडेल जिथे कमीत कमी त्रास होतो तिथे सुरक्षा दाबा (पार्सर, एजंट, इशारे) आणि त्याच वेळी दैनंदिन अनुभव सुधारा (डायनॅमिक QoS, SIGINFO, सर्टिफिकेट लॉगिंग). जर तुम्ही आधीच 10.0 वर असाल, तर संक्रमण सोपे आहे; जर तुम्ही 9.x वरून येत असाल, तर DSCP ट्यून करण्यासाठी वेळ काढा, SSHFP ला SHA‑256 वर पुन्हा निर्माण करा आणि कामगिरीला तडा न देता क्वांटम धोक्यापासून स्वतःचे संरक्षण करण्यासाठी हायब्रिड KEX सक्षम करा.
