OpenSSH 7.4 发布了。OpenSSH(Open Secure Shell)是使用SSH透过计算机网络加密通讯的实现。它是取代由SSH Communications Security所提供的商用版本的开放源代码方案。
距离 OpenSSH 7.3 的发布,已经过去了四个半月,但 OpenSSH 7.4 主要修复了上一个版本中发现的 bug 和安全问题。需要指出的是,7.4 版本的各项底层变化,有可能会影响现有的配置。
OpenSSH 7.4 移除了对 SSH v1 协议的支持,换成了更安全、高效的 SSH2,以及便携版本的 SSH(Secure Shell),提供了 SSH 加密的 SFTP 功能。
它还移除了客户端上默认的 3des-cbc,且支持预鉴权压缩(pre-authentication compression)。其在发行说明中写到:
早期压缩协议在 1990 年代似乎合理,但今时早已不同于往日,这对加密来说显然是个坏主意(参见针对甲骨文的多起 TLS 攻击)。预鉴权压缩支持已经被默认禁用了 10 多年,但客户端中仍然残存。
新特性方面,受 PuTTY 应用程序的启发,OpenSSH 7.4 包括了添加了一个 ssh 命令的代理多路复用模式,以及一个 sshd_config DisableForwaring 选项,可拿来禁用 TCP、X11、隧道、代理、以及 Unix 域名的套接字转发。
此外,OpenSSH 7.4 添加了对“curve25519-sha256”到 sshd 和 ssh 命令 的密钥交换方法的支持,提升了 SIGHUP 的处理操作,允许 ClientAliveCountMax 和 ClientAliveInterval 指令出现在 sshd_config Match 块中,以及在 AuthorizedPrincipalsCommand 中添加 %-escapes 。
最后,OpenSSH 7.4 还带来了字符串匹配的规化测试、字符串关头函数、地址匹配、改进密钥交换的 fuzzer harness、以及解决了 OpenSSH 7.3 中发现的诸多 bug 。