OpenSSH 10.1 发布：引入 DSCP 处理机制，弃用 SHA1 SSHFP

OpenSSH 10.1 正式发布了！作为一套广受信赖的安全工具集，OpenSSH 被广泛应用于「远程登录」和「文件传输」的加密连接。现在，你就可以通过官方镜像下载到最新版本。

OpenSSH 10.1 主要更新亮点

弃用 SHA1 的 SSHFP DNS 记录

鉴于 SHA1 算法存在已知的安全缺陷，OpenSSH 官方宣布：

• 将弃用基于 SHA1 的 SSHFP DNS 记录，未来版本将不再支持这类记录。
• 从现在起，ssh-keygen -r命令将只生成基于 SHA256 的 SSHFP 记录。

DSCP 处理机制重大调整

对 DSCP（即 IPQoS）的处理机制进行了重大调整：

• 为了更好地优化延迟表现，「交互式 SSH 流量」现在默认采用「加速转发」等级，而非交互式流量（比如 SFTP 文件传输）会继续使用系统的默认设置。
• 一些旧版的 IPv4 ToS 关键字，例如lowdelay、reliability和throughput已被标记为「废弃」，并由更现代的 DSCP 标记所替代。

安全方面

• 对于非后量子密钥协商机制，OpenSSH 引入了警告功能，提醒用户注意潜在的「先存储、后解密」类型的攻击风险。该功能由新增的WarnWeakCrypto选项控制，并已默认启用。
• 修复了一个安全问题：攻击者可能通过「非可信的 SSH 命令行」或 URI，将「控制字符」注入到用户名中，导致在ProxyCommand配置启用时，可能触发 Shell 注入。

ssh-agent 方面

• Socket 文件的默认存储路径已经从/tmp迁移到了~/.ssh/agent，能够提升受限系统环境中的安全性。
• 同时，ssh-agent现在支持自动清理旧的 Socket 文件，并可在证书过期后（不久）自动将其删除。

其他变更

• 支持在 PKCS#11 令牌上使用ed25519密钥。
• 在ssh_config配置文件中新增了RefuseConnection选项。
• 配置文件大小限制从 256 KB 增大到了 4 MB。
• 修复了与 X 客户端相关的延迟问题，改进了密钥加载过程中的诊断信息，并修复了多个内存泄漏问题。

对于可移植版本，本次更新包含了适用于 Linux、macOS 和 BSD 的兼容性修复，新增了一个支持 GNOME 40+ 的 askpass 工具。同时，还增强了 PAM 处理机制、seccomp 沙箱功能，以及对 32 位系统上 futex 系统调用的支持。