OpenSSH版本的重大升级 :OpenSSH 10

OpenSSH 10 更新亮点

参考文档 :

文章最后有RPM包的下载地址

密码学架构全面升级

OpenSSH 10 最重大的变革是彻底移除了脆弱的 DSA(数字签名算法)支持。虽然从 2015 年起 ,DSA 就已经被默认禁用,但本次更新终于彻底退役了 DSA。

其他值得关注的底层调整包括:

  • scp和sftp命令现在默认会向 SSH 传递ControlMaster no配置参数,避免意外的隐式会话创建。
  • 版本号直接跃升至 OpenSSH 10,可能会影响依赖简单模式匹配的脚本逻辑。例如,解析版本信息时使用OpenSSH_1*.的脚本或工具,需要做出相应调整。

服务器安全架构重塑

服务端组件sshd进行了革命性重构:

  • 认证流程从sshd-session迁移至专用的sshd-auth二进制文件。
  • 默认禁用了基于有限域的 Diffie-Hellman(modp)密钥交换。
  • 全面转向更安全高效的 ECDH 椭圆曲线算法。

前瞻性功能升级

虽然淘汰弱算法和调整认证流程才是本次更新的核心,但 OpenSSH 10 也带来了各类新功能和改进,全面提升了实用性。以下几个功能尤为值得关注:

  • 混合后量子密钥交换:引入了全新的mlkem768x25519-sha256混合算法,完美平衡了量子安全与性能需求。
  • 调整加密算法优先级:OpenSSH 10.0 在连接中优先选择AES-GCM而非AES-CTR 作为加密算法,同时将ChaCha20/Poly1305排在首位,确保最高的性能和可靠性。
  • 增强配置灵活性:支持在多个ssh_config指令中使用%-token和环境变量扩展(如SetEnv、User),为用户提供了更灵活的配置选项。同时,新增的Match规则支持根据本地 OpenSSH 版本(Match version)或会话类型(如shell、exec、subsystem或none)进行更加细粒度的控制。
  • 管理功能升级:从在sshd_config中新增的模式匹配功能(如AuthorizedKeysFile和AuthorizedPrincipalsFile),到针对 FIDO token 在ssh-agent中的行为控制,OpenSSH 10 对管理员和高级用户的工作流程进行了显著优化。

稳定性提升与问题修复

OpenSSH 10 重点解决了以下问题:

  • X11 转发中的 ObscureKeystrokeTiming 问题。
  • 增强 Diffie-Hellman Group Exchange 回退机制。
  • 解决了一些出现在sftp和ssh中的边界问题。
  • 提升了大型sshd配置文件的解析性能。

适用于Centos 9 stream 下载地址 :
https://github.com/mosaicwang/myrpm/releases/tag/Openssh-10.0p1

相关推荐
添砖java‘’4 小时前
vim高效编辑:从入门到精通
linux·编辑器·操作系统·vim
tryCbest4 小时前
CentOS部署Docker容器
linux·docker·centos
qyhua6 小时前
【Linux运维实战】彻底修复 CVE-2011-5094 漏洞
linux·运维·安全
坠金6 小时前
linux/centos迁移conda文件夹
linux·centos·conda
纳于大麓7 小时前
Kotlin基础语法
linux·windows·kotlin
九皇叔叔7 小时前
Linux Shell 正则表达式中的 POSIX 字符集:用法与实战
linux·运维·正则表达式
東雪蓮☆7 小时前
K8s 平滑升级
linux·运维·云原生·kubernetes
---学无止境---8 小时前
Linux中进程创建和缓存对象初始化fork_init、proc_caches_init和buffer_init
linux
qq_183802879 小时前
Linux内核idr数据结构使用
linux·运维·服务器
噜啦噜啦嘞好9 小时前
Linux:库制作与原理
linux·运维·服务器