Di luar label versi, OpenSSH 10.1 mengkonsolidasikan jalur yang dimulai dengan seri 10: migrasi ke kriptografi pasca-kuantum, modernisasi QoS dengan DSCP, dan penguatan area yang secara historis sensitif (agen, kunci, registri, dan penguraian parameter). Di bawah ini Anda akan menemukan ulasan menyeluruh dari semua fitur baru (dengan konteks di mana ia menambah nilai), serta pedoman praktis untuk mengadopsinya tanpa kejutan.
Berikut ini adalah daftarnya Apa yang baru dalam versi ini, juga tersedia di catatan resmi.
Sorotan dan Konteks Rilis
Rilis resmi OpenSSH 10.1 (2025-10-06) menyoroti tiga sumbu: Keamanan preventif terhadap kriptografi kuantum, jaringan DSCP, dan sanitasi inputIni juga menghubungkan perubahan spesifik dengan dampak operasional yang tinggi: dari rute soket agen ke tanda diagnostik baru.
Pengingat utama proyek ini: Rilis mendatang akan mengabaikan log SSHFP berbasis SHA‑1Sementara ssh-keygen -r sekarang menghasilkan sidik jari SSHFP hanya dengan SHA‑256 secara default, menutup pintu untuk hash yang lemah untuk DNSSEC dan verifikasi kunci host.
Peringatan Kriptografi Non-Pasca-Kuantum dan Opsi WarnWeakCrypto Baru
OpenSSH 10.1 memperkenalkan peringatan ketika koneksi menegosiasikan pertukaran kunci yang tidak tahan terhadap serangan pasca-kuantumTujuannya adalah untuk fokus pada risiko "simpan sekarang, dekripsi nanti" dan mempercepat transisi dalam lingkungan yang sensitif.
Perilaku ini dikendalikan dengan WarnWeakCrypto (Pada ssh_config), yang diaktifkan secara default. Jika Anda melakukan migrasi bertahap atau mempertahankan host lama, Anda dapat menonaktifkan peringatan secara selektif dengan blok Match. Misalnya:
Cocokkan host unsafe.example.com WarnWeakCrypto tidak
Kriptografi dan keadaan terkini: PQC, hibrida, dan SSHFP
Pada 10.0, klien beralih menggunakan secara default mlkem768x25519‑sha256, algoritma pasca-kuantum hibrida yang menggabungkan ML-KEM (KEM NIST FIPS 203) dengan X25519. Strategi hibrida ini memastikan bahwa bahkan jika terobosan kriptoanalisis muncul di sisi PQ, Anda tidak akan lebih buruk daripada dengan ECDH klasik karena saluran tersebut mempertahankan kekuatan X25519.
Dengan 10.1, selain peringatan yang dijelaskan di atas, transisi diperkuat: OpenSSH akan terus mengabaikan SSHFP dengan SHA‑1 di masa mendatang.; alat ssh-keygen sudah menerbitkan SSHFP dengan SHA‑256 secara eksklusif. Secara operasional, tindakan yang direkomendasikan adalah regenerasi dan publikasikan sidik jari SSHFP dalam SHA‑256 untuk tuan rumah Anda.
Pertanyaan yang Sering Diajukan: Mengapa bersikeras sekarang jika komputer kuantum belum dapat memecahkan SSH? Karena penyerang dapat menangkap hari ini dan mendekripsinya besok. Penggunaan KEX pasca-kuantum sudah memitigasi vektor tersebut. Dan jika Anda khawatir tentang kemudaan algoritma PQ, ingatlah bahwa modalitas hibrida mempertahankan tingkat keamanan klasik sebagai dasar.
Modernisasi Jaringan: DSCP/IPQoS dan Prioritas Lalu Lintas
Rilis ini menggabungkan perombakan QoS yang mendalam. Baik di klien maupun server, Lalu lintas interaktif default ke kelas EF (Penerusan Dipercepat), yang membantu mengurangi latensi pada Wi-Fi dan media yang padat. Lalu lintas non-interaktif beralih menggunakan tanda DSCP default sistem, tanpa menaikkan prioritas.
Dalam praktiknya, keduanya ssh(1) dan sshd(8) berubah secara dinamis merek yang digunakan sesuai dengan jenis saluran yang ada: jika koneksi yang sama menggabungkan shell dan sftp, fase transfer non-interaktif akan menggunakan nilai non-interaktif selama operasi dan kembali ke EF jika diperlukan. Hal ini dikontrol oleh tombol IPQoS en ssh_config y sshd_config.
Selain itu, Dukungan untuk ToS IPv4 yang lama sedang ditarik dalam opsi IPQoS (lowdelay, throughput, reliability berhenti berpengaruh). Jika Anda masih menggunakannya, bermigrasi ke nomenklatur DSCP (misalnya., ef, cs0, af11, Dll).
Pengerasan input: pengguna, URI, dan ekspansi
Di bagian keamanan, 10.1 memperbaiki kasus halus di mana, jika Anda membuat baris perintah dengan data eksternal dan pada saat yang sama menggunakan ProxyCommand dengan ekspansi %r/%u, penyerang bisa saja memasukkan ekspresi shell. Untuk mengatasi hal ini, ssh(1) sekarang melarang karakter kontrol pada pengguna yang diteruskan atau diperluas CLI, dan juga memblokir karakter null di URI ssh://.
Catatan Kompatibilitas: Titik validasi telah dilonggarkan untuk menghindari pelanggaran kasus yang sah. Nama pengguna literal yang ditentukan dalam file konfigurasi (tanpa %) perluasan dikecualikan, atas dasar bahwa konfigurasi lokal dianggap tepercaya.
Sinyal dan informasi langsung: SIGINFO dan visibilitas
Tip debugging praktis lainnya: ssh(1) dan sshd(8) mendapatkan pengendali SIGINFO yang merekam status saluran dan sesi aktif. Dalam produksi, ini memfasilitasi diagnostik aliran, multiplexing, penerusan dan X11 tanpa perlu memasang debugger atau meningkatkan verbositas secara invasif.
Sejalan dengan transparansi, ketika otentikasi sertifikat gagal, sshd sekarang mencatat informasi yang cukup untuk mengidentifikasi sertifikat (dan juga alasan penolakannya). Jika Anda bekerja dengan PKI dan sertifikat pengguna/host, peningkatan ini sangat mempersingkat waktu penyelesaian.
ssh-agent dan kunci: soket, sanitasi, dan PKCS#11
Untuk mencegah akses silang di lingkungan dengan pemasangan terbatas /tmp, soket agen (dan yang diteruskan oleh sshd) Aku tahu pindah dari /tmp ke ~/.ssh/agent. Dengan demikian, suatu proses dengan izin terbatas pada /tmp tidak lagi secara tidak sengaja mewarisi kemampuan untuk menandatangani dengan kunci Anda dari agen.
Perubahan ini memiliki turunan lain: sebelum OS dapat membersihkan soket yang usang, sekarang ssh‑agent menggabungkan pembersihannya sendiri dari soket lama. Selain itu, agen menambahkan bendera baru: -U y -u untuk mengontrol kebersihan saat startup, -uu untuk mengabaikan nama host saat pembersihan, dan -T untuk memaksa lokasi historis di /tmp jika Anda benar-benar membutuhkannya.
Pada bidang kunci, klien dan agen ED25519 yang dihosting pada token PKCS#11 sekarang didukungJika Anda mengandalkan HSM atau kunci kriptografi, Anda akan memperoleh fleksibilitas tanpa mengorbankan kekuatan.
ssh‑add dan sertifikat: kedaluwarsa pembersihan otomatis
Saat Anda menambahkan sertifikat ke agen, Kedaluwarsanya sekarang ditetapkan dengan masa tenggang 5 menitIdenya sederhana: memungkinkan transaksi diselesaikan dalam antrian dan kemudian, hapus sertifikat agen secara otomatisJika aliran Anda menuntut kontrol total, ssh‑add -N nonaktifkan perilaku ini.
RefuseConnection: pemutusan yang dikontrol sisi klien
Ada skenario di mana Anda tertarik untuk membatalkan koneksi dari klien itu sendiri dengan pesan yang jelas (misalnya, pengalihan operasional atau pemberitahuan penghentian). OpenSSH 10.1 menambahkan Koneksi Tolak a ssh_config: jika ditemui saat memproses bagian panas, klien diakhiri dengan kesalahan dan menampilkan teks yang telah Anda definisikan.
Kualitas kode dan keamanan langsung
Tim terus membersihkan basis kode. 10.1 daftar kebocoran memori diperbaiki, peningkatan atomia saat menulis known_hosts dengan kehadiran yang tinggi dan beberapa kondisi balapan teratasi dalam proses seperti MaxStartups atau sesi X11.
Catatan pembersihan kripto: dukungan untuk XMSS dihapus (eksperimen dan tidak pernah secara default). Mempersiapkan dasar untuk skema tanda tangan pasca-kuantum yang lebih matang yang akan hadir di versi mendatang.
Portabilitas dan ekosistem: PAM, FreeBSD, macOS, Android…
Perubahan portabilitas memengaruhi banyak hal: pemeriksaan tambahan di lingkungan PAM (seperti memastikan bahwa pengguna tidak berubah selama proses), peningkatan integrasi dengan FreeBSD (penerusan tun dan kompatibilitas), MacOS (deteksi fungsi dan header yang kuat) dan Android (struct passwd dengan bidang bukan null).
Header kompatibilitas juga ditambahkan untuk platform tanpa pustaka standar tertentu, sehingga mengurangi jumlah #ifdef tersebar. Akhirnya, mereka disempurnakan kebijakan kotak pasir seccomp di Linux untuk menutupi syscall seperti futex_time64 dalam 32‑bit, dan dukungan ditambahkan ke AWS‑LC sebagai alternatif untuk OpenSSL/LibreSSL.
QoS dalam Aksi: Contoh Praktis dan Migrasi IPQoS
Jika Anda menggunakan alias ToS lama (lowdelay, throughput...), sekarang mereka akan diabaikan dan Anda akan melihat pesan debug yang menyarankan DSCP. Migrasi yang umum adalah beralih dari IPQoS lowdelay a IPQoS ef untuk sesi interaktif; jika Anda juga melakukan SFTP berat, Anda bisa tentukan profil berdasarkan Kecocokan en ssh_config/sshd_config untuk memisahkan lalu lintas.
Ingat bahwa mesin secara otomatis memilih dan memperbarui Ini menandai secara real time berdasarkan saluran terbuka, jadi sebagian besar pekerjaan sudah dilakukan untuk Anda oleh OpenSSH.
Menginstal OpenSSH 10.1 di Linux (sumber)
Sementara distribusi mengintegrasikan versi, Anda dapat mengkompilasi dari sumber resmiUnduh tarball dari mirror proyek, ekstrak zip, dan kompilasi:
tar -xvf membukash-10.1.tar.gz
Masuk ke direktori dan konfigurasikan awalan dan rute konfigurasi jika Anda membutuhkannya. Misalnya:
cd openssh-10.1 ./konfigurasi --prefix=/opt --sysconfdir=/etc/ssh
Kompilasi dan instal seperti biasa (tergantung izin, mungkin dengan superuser):
membuat
make install
Mengaktifkan OpenSSH di Windows dengan PowerShell
Di lingkungan Windows modern (Server 2019/Windows 10 1809+), Anda dapat menginstal klien dan server OpenSSH sebagai fitur sistem.Periksa kapasitas dan status:
Dapatkan-Kemampuan-Windows-Online | Di Mana-Nama Objek -seperti 'OpenSSH*'
Pasang komponennya sesuai kebutuhan Anda:
Add-WindowsCapability -Online -Nama OpenSSH.Client~~~~0.0.1.0 Add-WindowsCapability -Online -Nama OpenSSH.Server~~~~0.0.1.0
Mulai dan aktifkan layanan server SSH, dan periksa aturan firewall masuk:
Mulai-Layanan sshd Set-Layanan -Nama sshd -JenisStartup 'Otomatis' Dapatkan-NetFirewallRule -Nama 'OpenSSH-Server-Di-TCP' -TindakanKesalahan Diam-diamLanjutkan
Untuk terhubung dari host Windows atau Linux lain, gunakan klien standar: ssh dominio\usuario@servidorPada akses pertama, menerima sidik jari host dan autentikasi dengan kata sandi Anda.
Panduan operasional: diagnostik dan praktik baik
Untuk lingkungan dengan sertifikat pengguna/host, memanfaatkan pencatatan yang lebih baik penolakan di sshd untuk men-debug CA dan ekstensi. Jika sesi macet atau Anda mencurigai adanya multiplexing, meluncurkan SIGINFO ke proses pencantuman saluran aktif tanpa menaikkan tingkat log global.
Jika Anda bergantung pada agen, periksa di mana soket berada sekarang (~/.ssh/agent) Dan aktifkan pembersihan otomatis dalam model penerapan Anda. Pada workstation bersama atau NFS, pertimbangkan untuk menggunakan tanda agen untuk menetapkan hash nama host di jalur tersebut jika diperlukan.
Perbaikan bug yang paling relevan
Pada 10.1 mereka terpecahkan Regresi minor di X11 bila dikombinasikan dengan mitigasi detak jantung (ObscureKeystrokeTiming), suatu kasus Akuntansi MaxStartups yang buruk yang bisa membanjiri slot, dan penulisan known_hosts sekarang sudah selesai dalam operasi atom untuk menghindari baris-baris yang disisipkan dengan konkurensi yang tinggi.
Perbaikan lainnya meningkatkan diagnostik saat memuat kunci, penanganan batas ukuran konfigurasi (dari 256 KB hingga 4 MB), keluaran audit, dan kasus-kasus khusus yang tidak lazim dalam penerusan lokal dan urutan kontrol. Selain itu, pesan dan keluaran dari ssh -G y sshd -T.
Daftar periksa migrasi yang direkomendasikan
Daftar cepat ini Ini mencakup tugas-tugas yang disarankan oleh proyek itu sendiri dan apa yang muncul dari perubahan-perubahan:
- Cripto: periksa apakah Anda
KexAlgorithmsmemungkinkan PQ hybrid dan menghasilkan SSHFP baru dalam SHA‑256 denganssh-keygen -r. - QoS: Periksa
IPQoSpada klien/server; migrasikan ToS lama ke DSCP; manfaatkan EF untuk sesi interaktif. - Agen: menyesuaikan skrip dan variabel ke soket di bawah
~/.ssh/agent; nilai pembersihan otomatis oleh agen itu sendiri. - Konfigurasi besar: Jika Anda membuat konfigurasi massal, batasnya naik hingga 4MB; terapkan dengan bijak dan mengontrol validasi.
- Parser: hindari membangun baris perintah dari input yang tidak tepercaya; gunakan
configlokal dengan literal ketika Anda memiliki kasus aneh dalam nama pengguna.
Mereka yang mengelola armada campuran akan menghargai bahwa 10.1 menekan keamanan di tempat yang paling tidak menyakitkan (parser, agen, peringatan) dan pada saat yang sama meningkatkan pengalaman sehari-hari (QoS Dinamis, SIGINFO, pencatatan sertifikat). Jika Anda sudah menggunakan versi 10.0, transisinya mudah; jika Anda menggunakan versi 9.x, luangkan waktu untuk menyetel DSCP, meregenerasi SSHFP ke SHA‑256, dan mengaktifkan KEX hibrida untuk melindungi diri Anda dari ancaman kuantum tanpa mengorbankan kinerja.
