OpenSSH 10 更新亮点
参考文档 :
文章最后有RPM包的下载地址
密码学架构全面升级
OpenSSH 10 最重大的变革是彻底移除了脆弱的 DSA(数字签名算法)支持。虽然从 2015 年起 ,DSA 就已经被默认禁用,但本次更新终于彻底退役了 DSA。
其他值得关注的底层调整包括:
- scp和sftp命令现在默认会向 SSH 传递ControlMaster no配置参数,避免意外的隐式会话创建。
- 版本号直接跃升至 OpenSSH 10,可能会影响依赖简单模式匹配的脚本逻辑。例如,解析版本信息时使用OpenSSH_1*.的脚本或工具,需要做出相应调整。
服务器安全架构重塑
服务端组件sshd进行了革命性重构:
- 认证流程从sshd-session迁移至专用的sshd-auth二进制文件。
- 默认禁用了基于有限域的 Diffie-Hellman(modp)密钥交换。
- 全面转向更安全高效的 ECDH 椭圆曲线算法。
前瞻性功能升级
虽然淘汰弱算法和调整认证流程才是本次更新的核心,但 OpenSSH 10 也带来了各类新功能和改进,全面提升了实用性。以下几个功能尤为值得关注:
- 混合后量子密钥交换:引入了全新的mlkem768x25519-sha256混合算法,完美平衡了量子安全与性能需求。
- 调整加密算法优先级:OpenSSH 10.0 在连接中优先选择AES-GCM而非AES-CTR 作为加密算法,同时将ChaCha20/Poly1305排在首位,确保最高的性能和可靠性。
- 增强配置灵活性:支持在多个ssh_config指令中使用%-token和环境变量扩展(如SetEnv、User),为用户提供了更灵活的配置选项。同时,新增的Match规则支持根据本地 OpenSSH 版本(Match version)或会话类型(如shell、exec、subsystem或none)进行更加细粒度的控制。
- 管理功能升级:从在sshd_config中新增的模式匹配功能(如AuthorizedKeysFile和AuthorizedPrincipalsFile),到针对 FIDO token 在ssh-agent中的行为控制,OpenSSH 10 对管理员和高级用户的工作流程进行了显著优化。
稳定性提升与问题修复
OpenSSH 10 重点解决了以下问题:
- X11 转发中的 ObscureKeystrokeTiming 问题。
- 增强 Diffie-Hellman Group Exchange 回退机制。
- 解决了一些出现在sftp和ssh中的边界问题。
- 提升了大型sshd配置文件的解析性能。
适用于Centos 9 stream 下载地址 :
https://github.com/mosaicwang/myrpm/releases/tag/Openssh-10.0p1