Marka laga reebo summada nooca, OpenSSH 10.1 waxay xoojinaysaa dariiqa lagu bilaabay 10 taxane: u haajiridda xog-ururinta ka dib-quantum, Casriyeynta QoS ee DSCP, iyo adkaynta aagagga xasaasiga ah ee taariikhiga ah (wakiilada, furayaasha, diiwaannada, iyo falanqaynta cabbirka). Hoos waxaad ka heli doontaa dib u eegis dhamaystiran oo ku saabsan dhammaan sifooyinka cusub (oo leh macnaha guud ee ay ku kordhinayso qiimaha), iyo sidoo kale tilmaamo wax ku ool ah oo loo qaato iyaga oo aan la yaab lahayn.
Kuwa soo socda waa liiska leh Maxaa ku cusub noocaan, sidoo kale laga heli karo qoraalada rasmiga ah.
Siidaynta Qodobbada ugu muhiimsan iyo macnaha guud
Siideynta rasmiga ah ee OpenSSH 10.1 (2025-10-06) waxay muujineysaa saddex faas: Nabadgelyada ka-hortagga ah ee ka-hortagga xog-ururinta quantum, shabakadaha DSCP, iyo fayadhowrka gelinta. Waxa kale oo ay ku xidhaa isbeddello gaar ah oo leh saamayn hawleed sare leh: min waddooyinka godka wakiilka ilaa calaamadaha ogaanshaha cusub.
Xusuusinta muhiimka ah ee mashruuca: Siideynta mustaqbalka waxay iska indhatiri doontaa diiwaannada SSHFP ee ku saleysan SHA-1halka ssh-keygen -r hadda waxay soo saartaa faraha SSHFP oo keliya SHA‑256 si caadi ah, xidhitaanka albaabka xashiish daciif ah ee DNSSEC iyo xaqiijinta furaha martigeliyaha.
Digniinta Cryptography ee aan-Post-Quantum ahayn iyo ikhtiyaarka DigniinWeakCrypto cusub
OpenSSH 10.1 waxay soo bandhigaysaa digniin marka xiriirku ka gorgortamo isweydaarsiga muhiimka ah kaas uma adkaysanayo weerarrada quntum ka dambeeyaHadafka ayaa ah in diirada la saaro khatarta ah "bakhaar hadda, kala furfurida dambe" iyo dardargelinta kala-guurka jawi xasaasi ah.
Dhaqankan waa lagu xakameynayaa DigniinWeakCrypto (in ssh_config), Kaas oo si caadi ah loo dajiyay. Haddii aad samaynayso socdaal tartiib ah ama aad ilaalinayso martigaliyayaasha dhaxalka ah, Waxaad si xushmad leh u joojin kartaa digniinta oo leh blocks Match. Tusaale ahaan:
Ciyaarta martida loo yahay unsafe.example.com DigniinWeakCrypto no
Cryptography iyo xaaladda farshaxanka: PQC, Beelaha iyo SSHFP
10.0, macmiilku wuxuu u wareegay isticmaalka si caadi ah mlkem768x25519-sha256, Algorithm-ka dambe ee isku-dhafan ee isku-darka ah ML-KEM (KEM NIST FIPS 203) oo wata X25519. Istaraatiijiyadan isku-dhafka ah waxay hubisaa in xitaa haddii horumarka cryptanalytic uu ka soo baxo dhinaca PQ, kama xumaan doontid marka loo eego ECDH-ga caadiga ah sababtoo ah kanaalka ayaa xajinaya xoogga X25519.
Iyadoo 10.1, marka lagu daro digniinta kor lagu sharaxay, kala-guurka ayaa la xoojiyay: OpenSSH waxay sii wadi doontaa inay iska indhatirto SSHFP SHA-1 mustaqbalka.; qalabka ssh-keygen waxay horey u siisaa SSHFP SHA‑256 si gaar ah. Hawl ahaan, tallaabada lagu taliyay waa dib u soo kici oo ku daabac faraha SSHFP gudaha SHA-256 ee martidaada.
Su'aalaha Inta badan La Isweydiiyo: Maxaa hadda loogu adkaysanayaa haddii kombuyuutarrada quantumku aanay weli jebin karin SSH? Sababtoo ah weeraryahanadu way qabsan karaan maanta oo berito ayay kala saari karaan Isticmaalka KEX-ka-dambeysta ah ayaa horeba u yaraynaysaa fayraskaas. Oo haddii aad ka welwelsan tahay dhalinyarada PQ algorithms, xusuusnow taas habka isku-dhafka ah wuxuu ilaaliyaa heerka amniga caadiga ah saldhig ahaan.
Casriyeynta Shabakadda: DSCP/IPQoS iyo Mudnaanta Gaadiidka
Siideyntani waxay xoojinaysaa dib u habaynta QoS ee qoto dheer. Labada macmiil iyo server, Dhaqdhaqaaqa taraafiggu waxa uu u leexanayaa fasalka EF (Degdeg gudbinta), kaas oo gacan ka geysta yaraynta daahitaanka Wi-Fi iyo warbaahinta ciriiriga ah. Taraafikada aan is dhexgalka lahayn waxay u beddeshaa isticmaalka nidaamka DSCP ee caadiga ah, iyada oo aan mudnaanta la siin.
Ficil ahaan, labadaba ssh (1) iyo sshd(8) si firfircoon ayay isu beddelaan astaanta loo isticmaalo si waafaqsan nooca kanaalada jira: haddii isku xidhka isku midka ah uu isku daro qolof iyo a sftp, wejiga wareejinta ee aan is dhexgalka lahayn waxay isticmaali doontaa qiimaha aan is-dhexgal ahayn inta lagu jiro hawlgalka oo ku soo noqda EF marka ay habboon tahay. Tan waxaa gacanta ku haya furaha IPQoS en ssh_config y sshd_config.
Sidoo kale, Taageerada IPV4 ToS ee da'da weyn waa laga noqonayaa Ikhtiyaarka IPQoS (lowdelay, throughput, reliability joojinta saamaynta). Haddii aad wali isticmaali jirtay, u haajiraan magaca DSCP (tus., ef, cs0, af11, iwm.).
Adkeyn gelinta: isticmaalayaasha, URI-yada, iyo ballaarinta
Qaybta amniga, 10.1 waxay hagaajisaa kiis khiyaano leh, haddii aad dhistay khadadka taliska oo leh xog dibadeed isla markaana isla markaa la isticmaalo ProxyCommand oo wata %r/% u balaarin, weeraryahanku wuxuu ku dhex dhuuman karaa tibaaxaha qolofka. Si loo yareeyo tan, ssh(1) hadda waxa ay mamnuucaysaa jilayaasha kontoroolka ee isticmaalayaasha CLI-ku gudbay ama la ballaariyay, iyo sidoo kale xannibaadda dabeecadda aan jirin ee URIs ssh://.
Ogeysiis Waafaqid: Barta ansixinta waa la debciyay si looga fogaado jebinta kiisaska sharciga ah. Isticmaalayaasha suugaanta ah ee lagu qeexay faylasha qaabeynta (la'aan %) balaadhinta waa laga dhaafay, iyadoo lagu salaynayo in habaynta deegaanka loo arko mid la aamini karo.
Calaamadaha tooska ah iyo macluumaadka: SIGINFO iyo muuqaalka
Talo kale oo wax-ka-saar ah oo wax ku ool ah: ssh (1) iyo sshd (8) waxay heleen SIGINFO gacan-qabayaal kuwaas oo diiwaangeliya heerka kanaalada firfircoon iyo fadhiyada. In wax soo saarka, tani fududeeyaa ogaanshaha socodka socodka, isku dhufashada, gudbinta iyo X11 iyada oo aan loo baahnayn in lagu dhejiyo cilladaha ama si xad dhaaf ah loo kordhiyo hadalka.
Isla khadadka daahfurnaanta, marka xaqiijinta shahaadodu ay fashilanto, sshd hadda waxay diiwaan gelisaa macluumaad ku filan si loo aqoonsado shahaadada (sidoo kale sababta loo diiday). Haddii aad la shaqeyso PKI iyo shahaadooyinka isticmaalaha/martigeliyaha, horumarkan waxay si weyn u gaabinaysaa waqtiyada xallinta.
ssh-wakiilka iyo furayaasha: saldhigyada, fayadhowrka, iyo PKCS#11
Si looga hortago isu gudubka meelaha ay ku xiran tahay kor u qaadista /tmp, saldhigyada wakiilka (iyo kuwa ay soo gudbiyeen sshd) Waan ogahay Ka guuri /tmp una gudub ~/.ssh/agent. Sidaas darteed, hab leh oggolaansho xaddidan oo shid /tmp mar dambe si lama filaan ah ugama dhaxli karto awoodda aad furahaaga ku saxiixdo wakiilka.
Isbeddelkaani wuxuu leeyahay soosaar kale: ka hor inta uusan OS-gu nadiifin saldhigyada duugoobay, hadda Wakiilka ssh-ku wuxuu ku daraa nadiifintiisa laga soo bilaabo saldhigyadii hore. Intaa waxaa dheer, wakiilku wuxuu ku daraa calamo cusub: -U y -u si loo xakameeyo nadaafadda marka la bilaabayo, -uu in la iska indho tiro magaca martida loo yahay ee nadiifinta, iyo -T in lagu qasbo goobta taariikhiga ah /tmp haddii aad runtii u baahan tahay.
Diyaaradda muhiimka ah, macmiilka iyo wakiilka ED25519 lagu marti galiyay PKCS#11 calaamadaha hadda waa la taageerayHaddii aad ku tiirsan tahay HSM-yada ama furayaasha cryptographic, waxaad heli doontaa dabacsanaan adigoon u hurayn xoog.
ssh-ku-dar iyo shahaadooyin: is-nadiifinta dhicitaanka
Markaad ku darto shahaadooyin wakiilka, Waqtigeeda dhicitaanku hadda waxaa lagu dejiyay waqti fadli ah oo 5 daqiiqo ahFikradda waa sahlan tahay: u ogolow wax kala iibsiga in lagu dhammeeyo safka ka dibna, si toos ah u tirtir shahaadada wakiilka. Haddii socodkaagu u baahan yahay xakameyn buuxda, ssh‑add -N dami habdhaqankan.
RefuseConnection: kala goynta dhinaca macmiilka ah ee la xakameeyey
Waxaa jira xaalado aad xiisaynayso inaad ka soo riddo xidhiidhka macmiilka laftiisa oo wata fariin cad (tusaale ahaan, ogaysiisyada wareejinta ama ogaysiisyada goynta). OpenSSH 10.1 ayaa ku daraysa Diid Connection a ssh_config: haddii la kulmo marka la farsameynayo qayb kulul, macmiilku wuxuu ku dhammeeyaa qalad iyo wuxuu soo bandhigayaa qoraalka aad qeexday.
Tayada code iyo badbaadada nool
Kooxdu waxay sii waddaa nadiifinta codebase. 10.1 liisaska xusuusta daadato go'an, horumarinta atomia marka la qorayo known_hosts oo aad u badan iyo dhowr xaaladaha jinsiyadda la xaliyay hababka sida MaxStartups ama fadhiyada X11.
Qoraal nadiifinta crypto: Taageerada XMSS waa meesha laga saaray (tijaabo ah oo aan waligiis dhicin). Diyaarinta dhulka nidaamyada saxeexa ka dambeeya tirada kuwa bislaaday oo ku iman doona qoraalada mustaqbalka.
Qaadashada iyo nidaamka deegaanka: PAM, FreeBSD, macOS, Android…
Isbeddellada la qaadi karo waxay saameeyaan dhinacyo badan: hubin dheeraad ah ee deegaanka PAM (sida hubinta in isticmaaluhu aanu isbeddelin inta lagu jiro hawsha), hagaajinta is dhexgalka FreeBSD (soo gudbinta tunka iyo waafaqid), macOS ( Ogaanshaha adag ee shaqooyinka iyo madaxyada) iyo Android (ku dhis passwd leh meelo aan waxba ka jirin).
Madax waafaqid sidoo kale waxaa lagu daraa dhufto ee aan lahayn maktabadaha caadiga ah qaarkood, yaraynta tirada #ifdef kala firdhiyey. Ugu dambeyntii, waa la safeeyey seccomp siyaasadaha sandbox on Linux si ay u daboosho syscalls sida futex_time64 32-bit, oo taageero ayaa lagu daraa AWS-LC sida beddelka OpenSSL/LibreSSL.
QoS ee Ficilka: Tusaalooyinka la taaban karo iyo Socdaalka IPQoS
Haddii aad isticmaashay magacyadii hore ee ToS (lowdelay, throughput...), hadda waa la iska indhatiray waxaadna arki doontaa fariinta ciribtirka ee soo jeedinaysa DSCP. Socdaalka caadiga ah wuxuu noqon lahaa inuu ka tago IPQoS lowdelay a IPQoS ef fadhiyada isdhexgalka; Haddii aad sidoo kale sameyso SFTP culus, waad awoodi kartaa ku qeex profiles by Match en ssh_config/sshd_config si loo kala saaro gaadiidka.
Xusuusnow in mishiinka si toos ah u doorta oo cusbooneysiiya Waxay calaamadeeysaa waqtiga dhabta ah iyadoo lagu saleynayo kanaalada furan, marka shaqada inteeda badan waxaa horay kuugu sameeyay OpenSSH.
Ku rakibida OpenSSH 10.1 Linux ( isha)
Iyadoo qaybintu ay midayso nooca, waxaad ka soo ururin kartaa isha rasmiga ah. Ka soo deji kubbadda daamurka muraayadaha mashruuca, ka fur oo soo ururi:
daamur -xvf openssh-10.1.tar.gz
Geli hagaha oo habee horgalayaasha iyo dariiqyada habaynta haddii aad u baahan tahay. Tusaale ahaan:
cd openssh-10.1 ./configure --prefix=/opt --sysconfdir=/etc/ssh
Ururi oo rakib sida caadiga ah (waxay kuxirantahay ogolaanshaha, laga yaabee inuu wato superuser):
dhigi
make install
Ka yeel OpenSSH Windows adigoo wata PowerShell
Degaanada Windows casriga ah (Server 2019/Windows 10 1809+), Waxaad ku rakibi kartaa macmiilka OpenSSH iyo server-ka sifada nidaamka.. Hubi kartida iyo heerka:
Hel-WindowsCapability-online | Meesha -Waxyaabaha Magaca -sida 'OpenSSH*'
Ku rakib qaybaha sida aad u baahan tahay:
Kudar-WindowsCapability -Online -Magaca FurSSH.Client~~~~0.0.1.0 Kudar-WindowsCapability -Online -Magaca FurSSH.Server~~~~0.0.1.0
Bilow oo karti u yeelo adeegga serverka SSH, oo hubi xeerka dab-damiska gudaha soo gala:
Adeegga Bilowga sshd Set-Service -Magaca sshd -StartupType 'Automatic' Hel-NetFirewallRule -Magaca 'OpenSSH-Server-In-TCP' -CilladAction Silently
Si aad uga xidho martida kale ee Windows ama Linux, isticmaal macmiilka caadiga ah: ssh dominio\usuario@servidor. Marka ugu horeysa ee la galo, aqbala faraha martida loo yahay oo ku xaqiiji furahaaga
Hagaha hawlgalka: ogaanshaha iyo dhaqamada wanaagsan
Deegaanka leh shahaadooyin isticmaale/martigeliyaha, ka faa'iidayso goynta la hagaajiyay ee diidmada gudaha sshd si loo saxo CA-yada iyo kordhinta Haddii fadhigu xannibmo ama aad ka shakisan tahay isku-dhufashada, bilaabay SIGINFO si loo habeeyo liiska kanaalada firfircoon iyada oo aan kor loo qaadin heerka log ee caalamiga ah.
Haddii aad ku tiirsan tahay wakiilada, hubi halka ay saldhigyadu hadda ku nool yihiin (~/.ssh/agent) y firfircooni nadiifinta tooska ah qaabka aad geynayso. Goobaha shaqada ee la wadaago ama NFS, tixgeli isticmaalka calanka wakiilka si aad u dejiso hashes magaca martida loo yahay dariiqa marka loo baahdo.
Hagaajinta cayayaanka ugu badan ee khuseeya
10.1 waa la xaliyay dib u dhac yar oo ku yimi X11 marka lagu daro dhimista garaaca wadnaha (ObscureKeystrokeTiming), kiis ka mid ah Xisaabinta liita ee MaxStartups oo daadad kara boosaska, iyo qorista known_hosts hadda waa la sameeyay hawlaha atomiga si looga fogaado khadadka isdhaafsan ee isdhaafsiga sare leh.
Hagaajinta kale ayaa soo hagaagaysa ogaanshaha marka furayaasha la shubayo, wax ka qabashada xadka cabbirka habaynta (laga bilaabo 256KB ilaa 4MB), wax soo saarka hantidhawrka iyo kiisaska geesaha qalaad ee hor-u-socodka maxalliga ah iyo taxanaha xakamaynta. Intaa waxaa dheer, fariimaha iyo wax soo saarka ka ssh -G y sshd -T.
Liiska hubinta socdaalka ee lagu taliyay
Liiskan degdega ah Waxa ka mid ah hawlaha uu mashruuca laftiisu soo jeedinayo iyo waxa ka soo baxaya isbeddellada:
- Crypto: hubi in aad
KexAlgorithmswaxay ogolaataa PQ isku-dhafan oo waxay abuurtaa SSHFP cusub gudaha SHA-256 oo lehssh-keygen -r. - QoS: baadhid
IPQoSon macmiilka/server; U haajiraan dhaxalka ToS una guuro DSCP; ka faa'iidayso EF fadhiyada isdhexgalka. - Wakiilada: wuxuu waafajiyaa qoraallada iyo doorsoomayaasha saldhigyada hoostooda
~/.ssh/agent; qiyamka nadiifinta tooska ah ee wakiilka laftiisa. - Hababka waaweyn: Haddii aad abuurto qaab-dhismeedka bulk, xadku wuxuu gaarayaa ilaa 4MB; si xikmad leh u dabaq waxayna xakameysaa ansixinta.
- BaarayaalKa fogow dhisidda khadadka taliska ee soo-gelinta aan la aamini karin; isticmaal
configdadka deegaanka oo leh erayo sax ah marka aad leedahay kiisas yaab leh oo ku jira isticmaalayaasha.
Kuwa maamula maraakiibta isku dhafan waxay qadarin doonaan in 10.1 tuujin amniga meesha ay ugu dhib yar tahay (baarayaasha, wakiilada, digniinaha) iyo isla mar ahaantaana wanaaji waayo aragnimada maalinlaha ah (QoS firfircoon, SIGINFO, gelitaanka shahaadada). Haddii aad hore ugu jirtay 10.0, kala-guurku waa toos; Haddii aad ka imanayso 9.x, qaado wakhti aad ku hagaajiso DSCP, dib u soo noolaynta SSHFP ilaa SHA‑256, oo u suurtageli KEX-yada isku-dhafka ah inay ka difaacaan naftaada khatarta tirada adoon u hurayn waxqabadka.
