OpenSSH 10.3: подробный обзор обновлений, улучшений и новшеств

В апреле 2026 года вышла новая версия OpenSSH 10.3 — одной из ключевых реализаций протокола SSH, используемой для безопасного удалённого подключения и управления серверами. Данный релиз содержит значительные исправления безопасностии важные изменения в функциональности, особенно в области agent forwarding, многопоточности и обработки ключей.

Основные изменения и улучшения

1. Улучшения безопасностии исправления ошибок. OpenSSH 10.3 устраняет несколько уязвимостей, включая проблемы с поздней проверкой спецсимволов в именах пользователей, которые могли привести к выполнению произвольных команд.
2. Удалена поддержка устаревшего rekeying. Соединения с реализациями SSH, которые не поддерживают процедуру rekeying (переустановки ключей), теперь будут разрываться при необходимости обновления ключей, что повышает общую безопасность.
3. Улучшенное соответствие сертификатов. Сертификаты с пустым списком principals больше не рассматриваются как wildcard, а wildcard теперь поддерживается только для host-сертификатов. Это снижает риск неверной аутентификации.
4. Усиленная валидация ProxyJump. Опция -J и эквивалентное -oProxyJump теперь проверяют имена пользователей и хостов, что снижает риск внедрения вредоносного вводного текста.
5. Исправление поведения SCP. Ранее при скачивании файлов от root в legacy‑режиме не удалялись биты setuid и setgid — теперь это исправлено.

Новые функции и улучшения удобства

1. Обновлённый Agent Forwarding. В OpenSSH 10.3 введена поддержка кодовых точек IANA для agent forwarding в соответствии с проектом стандартизации, а также новый параметр -Q для ssh-add, который позволяет запрашивать расширения протокола агента.

2. Новые команды SSH. Добавлены команды:
— ssh -O conninfo — информация о соединении;
— ssh -O channels — активные каналы;
и новый escape‑последовательный символ ~I для интерактивного сеанса.

3. Поддержка множественных файлов для RevokedHostKeys. Конфигурационные директивы теперь принимают несколько файлов, что упрощает управление отозванными ключами.

4. Новые параметры безопасности в sshd. Сервер OpenSSH теперь поддерживает “invaliduser” penalty в PerSourcePenalties для управления несуществующими пользователями и более точное время штрафов с плавающей точкой.

5. Поддержка формата PKCS8 и FIDO/WebAuthn. Улучшена работа с ключами ED25519, теперь их можно записывать в PKCS8‑формате, а FIDO/WebAuthn‑подписи включены по умолчанию, что облегчает работу с аппаратными ключами безопасности.

Что это означает на практике?

Обновление до OpenSSH 10.3 важно для всех системных администраторов и пользователей, которые заботятся о безопасности удалённых соединений. Оно устраняет серьёзные недостатки, усиливает валидацию входных данных и улучшает поддержку современных функций SSH, особенно в контексте агентской пересылки ключей и мультиплексирования соединений.

Однако существует вероятность того, что некоторые старые реализации SSH могут перестать работать корректно из‑за удаления поддержки устаревших механизмов, поэтому перед обновлением в критичных инфраструктурах рекомендуется провести тестирование.

Для получения дополнительной информации см. журнал изменений.

Выводы

• OpenSSH 10.3 — важное обновление безопасности и функциональности.
• Удаление устаревших механизмов повышает общую надёжность.
• Новые команды и расширения облегчают диагностику и управление SSH‑соединениями.
• Улучшенная обработка ключей и сертификатов повышает защиту от потенциальных атак.

Часто задаваемые вопросы

Что такое OpenSSH и для чего он используется?

OpenSSH — это реализация протокола SSH, которая обеспечивает защищённые удалённые подключения, выполнение команд на удалённых серверах, туннелирование и безопасную передачу файлов.

Стоит ли обновляться до версии 10.3?

Да — обновление закрывает несколько уязвимостей и вводит полезные функции. Однако в средах с устаревшим SSH‑окружением тестирование перед развёртыванием обязательно.

Что такое agent forwarding?

Agent forwarding — это механизм, позволяющий использовать локальные SSH‑ключи через цепочку SSH‑соединений, не копируя ключи на промежуточные машины.

Удалит ли обновление поддержку старых клиентов SSH?

OpenSSH 10.3 исключает поддержку некоторых устаревших механизмов, таких как legacy rekeying, что может привести к несовместимости со старым SSH‑ПО.

Какие новые команды полезны для администраторов?

Команды ssh -O conninfo, ssh -O channels и escape‑секвенция ~I позволяют лучше диагностировать и отслеживать активные SSH‑соединения.

Редактор: AndreyEx