2025.április 9-én megjelent az OpenSSH 10.0 verziója, amely már elérhető a hivatalos tükörszervereken keresztül az openssh.com weboldalon. Az OpenSSH egy teljes SSH 2.0 protokoll-megvalósítás, beépített sftp klienssel és szerverrel, amelyet széles körben alkalmaznak biztonságos távoli eléréshez. Az új verzió több jelentős technikai és biztonsági változást vezet be.
Tartalomjegyzék
Kompatibilitást érintő változások
A 10.0-s verzió végleg eltávolította a korábban már letiltott DSA algoritmus támogatását. A DSA algoritmust 2015-ben nyilvánították elavultnak (deprecated), és most végleg kikerült a szoftverből. Fontos változás, hogy az scp és sftp parancsok már nem hoznak létre implicit vezérlőkapcsolatot, még akkor sem, ha az ControlMaster beállítás aktív. Ez kiküszöböli azt a meglepő viselkedést, amelyet néhány felhasználó tapasztalt.
A szoftver verzióazonosítója mostantól SSH-2.0-OpenSSH_10.0, ami néhány egyszerű mintázat alapján működő eszközt megzavarhat. Emellett jelentős belső architekturális változás is történt: az sshd mostantól külön binárisban hajtja végre a felhasználó hitelesítését (sshd-auth), elkülönítve a fő folyamat címterétől. Ez biztonsági szempontból előnyös, mivel csökkenti a támadási felületet, és kis mennyiségű memóriát is megtakarít a hitelesítés után.
További módosítás, hogy az sshd alapértelmezetten letiltja a modp típusú (véges mezős) Diffie-Hellman kulcscserét, mivel ezek lényegesen lassabbak és kevésbé hatékonyak a modern elliptikus görbéken alapuló megoldásokhoz képest. Emellett a DH csoportcserénél megszűnik a korábbi automatikus visszaesés a beépített csoportokra, ha a moduli fájl hibásan van konfigurálva.
Újdonságok a 9.9-es verzióhoz képest
A 10.0-s kiadás több újítást hoz, köztük biztonsági fejlesztéseket és új funkciókat. A legfontosabb változás, hogy alapértelmezett kulcsmegosztási algoritmussá vált a kvantumbiztos mlkem768x25519-sha256, amely nemcsak gyorsabb, mint a korábbi megoldások, hanem a jövőbeni kvantumszámítógépek ellen is védelmet nyújt.
Az ssh mostantól előnyben részesíti az AES-GCM titkosítási módot az AES-CTR-rel szemben, ami hatékonyabb és biztonságosabb kapcsolatot biztosít. A konfigurációs fájlok SetEnv és User direktívái már támogatják a %-tokeneket és környezeti változók bővítését. Emellett több új Match feltételt vezetnek be, például Match version, Match sessiontype és Match command, amelyek finomhangolt viselkedést tesznek lehetővé a kapcsolat típusa vagy verziója alapján.
Újdonság, hogy az ssh-agent SIGUSR1 jellel történő vezérlésre reagálva képes minden kulcsot törölni. Továbbá támogatja a systemd-féle socket-aktivációt is, ami integrációt tesz lehetővé modern Linux rendszerekben.
A FIDO-alapú hardverkulcsokkal kapcsolatban is történtek fejlesztések: mostantól azok az eszközök is használhatók, amelyek nem küldenek azonosítást igazoló adatokat (attestation). Emellett bekerült egy kísérleti ellenőrző eszköz, amely képes ezeket az azonosító adatokat vizsgálni, ha az eszköz mégis küld ilyeneket.
Hibajavítások és megbízhatóság
Számos hibajavítás érkezett a stabilitás és kompatibilitás jegyében. Kijavították a DisableForwarding direktíva működését, amely eddig nem tiltotta le teljesen az X11 és ügynök átirányítást. Továbbá a konfigurációkezelés is robusztusabb lett, így már nem okoz hibát a túlméretezett beállításfájl.
Megszüntették azokat a regressziókat, amelyek a 9.8-as verzióban jelentkeztek, így például ismét elfogadott a Match criteria=argument szintaxis. A ssh és sftp több NULL dereferencia hibáját is javították, amelyek a biztonságot érinthették.
Fejlődött a naplózás is: az új binárisokra bontott sshd részfolyamatok közti üzenetküldés már nem vész el, és a hibák forrása is jobban nyomon követhető.
Platformkompatibilitás és hordozhatóság
A kiadásban támogatást kapott az AWS-LC kriptográfiai könyvtár, amely az Amazon által fejlesztett biztonsági megoldás. Ez a lépés hozzájárul a szélesebb platformkompatibilitáshoz, és lehetőséget biztosít alternatív kriptográfiai háttér használatára is.
A változások többsége teljesen átlátható marad a felhasználók számára, de az üzemeltetőknek és disztribútoroknak érdemes figyelmesen átnézni a frissítés részleteit, különösen az új sshd-auth bináris beépítése, a konfigurációs változások és az elavult algoritmusok eltávolítása miatt.
A teljes kiadási megjegyzés és a frissített csomagok elérhetők az OpenSSH hivatalos oldalán: https://www.openssh.com/.
