A segurança digital é um assunto sério, e o OpenSSH 10 chegou para nos salvar de nós mesmos, trazendo mudanças ousadas, algoritmos mais robustos e algumas surpresas que podem deixar administradores de sistemas aliviados. Vamos conhecer as principais novidades dessa atualização.
O não tão bom e velho DSA foi para o espaço
Se você ainda estava usando DSA (Digital Signature Algorithm) para assinaturas digitais, temos más notícias: o OpenSSH 10 finalmente deu o adeus definitivo a esse algoritmo. Na verdade, ele já estava desativado por padrão desde 2015, mas agora foi removido de vez. Se alguém ainda dependia disso, é melhor correr para atualizar as configurações antes que o pior aconteça.
A mensagem é clara: ECDSA e Ed25519 reinam, oferecendo segurança muito superior. Se você ainda não migrou, não se preocupe muito—só o bastante, porque realmente era para ter feito isso há anos.
SCP e SFTP
Você já se confundiu com sessões implícitas do SSH ao usar SCP ou SFTP? Pois é, o OpenSSH 10 decidiu acabar com essa dúvida indesejada. Agora, por padrão, esses comandos passam “ControlMaster no”, evitando a criação automática de sessões multiplexadas.
Para quem adorava a conveniência do multiplexing, isso pode significar um pequeno ajuste nos scripts. Mas, convenhamos, é melhor ter controle explícito do que descobrir que suas conexões estão se comportando como um exército de clones sem sua permissão.
Atenção no script
A versão pulou direto para 10, o que pode confundir sistemas que esperavam um número de versão do tipo “OpenSSH_1*”. Se você tem scripts que fazem verificações ingênuas de versão, é bom revisá-los antes que eles decidam que o OpenSSH 10 é, na verdade, uma versão antiga e bloqueiem tudo.
Regex mal escrito é uma das maiores fontes de bugs. Se seus scripts quebrarem, a culpa não é do OpenSSH.
Sshd dividido em dois
O sshd, o daemon do SSH, passou por uma reforma interna significativa. Agora, o código de autenticação do usuário foi movido para um binário separado, o sshd-auth, deixando o sshd-session responsável apenas pela conexão.
Traduzindo: se um atacante explorar uma vulnerabilidade durante a autenticação, o resto da sessão SSH continua protegido. É como separar a cozinha do restaurante—se alguém fizer bagunça lá, os clientes no salão nem ficam sabendo.
Diffie-Hellman de curvas elípticas
O Diffie-Hellman de campos finitos (modp) foi desativado por padrão no servidor. Em seu lugar, o ECDH (Elliptic Curve Diffie-Hellman) assume o posto, oferecendo melhor desempenho e segurança equivalente (ou superior).
Se você ainda estava usando métodos antigos, aproveite a atualização para testar seu sistema e garantir que tudo continua funcionando sem surpresas.
Criptografia pós-quântica chegou
Uma das grandes novidades é o suporte a troca de chaves híbrida pós-quântica, com o algoritmo mlkem768x25519-sha256 agora sendo o padrão. Ele combina a segurança tradicional das curvas elípticas com proteção contra futuros ataques de computadores quânticos.
Isso não significa que os hackers quânticos estão batendo na sua porta—ainda não—mas é sempre bom se preparar. Afinal, melhor ter e não precisar do que precisar e… bem, você sabe o resto.
Outras melhorias
AES-GCM agora é preferido sobre AES-CTR, embora o ChaCha20/Poly1305 continue no topo da lista por desempenho. Além disso, temos:
- Expansão de variáveis de ambiente em configurações do SSH, permitindo setups mais dinâmicos;
- Novas regras de Match para controle fino baseado em versão ou tipo de sessão;
- Correções de bugs.
Se você é um administrador de sistemas, já sabe o que fazer: confira as notas de lançamento, atualize e coloque a mão na massa para nada quebrar. Se você é um usuário comum, provavelmente nem vai notar a diferença—e isso é ótimo, porque significa que a segurança está funcionando.
Mostre ao mundo que você ama tecnologia e Linux: Visite nossa loja e vista a camisa do pinguim!
