OpenSSH 10.2: что нового и почему обновление важно для вашей безопасности

10 октября 2025 года вышла новая версия OpenSSH 10.2 — бесплатного и безотказного клиента и сервера для SSH 2.0 и SFTP. Обновление вышло, что характерно, всего через четыре дня после предыдущей версии 10.1, и произошло это не потому что команде разработчиков скучно (судя по всему, они там вообще спать не любят), а из-за багов и недочетов, которые опять всплыли свеженькими баг-репортами.

Для тех, кто бегло читает новости, поясняю простым языком: OpenSSH 10.2 — это, по сути, «заплатка» и чистка косяков из 10.1, плюс развитие тех функций, которые критично важны для любого, кто живет работой по сетям, виртуальной АТС, работает с облачными сервисами или просто хочет, чтобы SSH ему наконец не вредил, а помогал. Но обо всем по порядку — расскажу, почему это важно с человеческой стороны и как это сыграло в моей практике.

Что нового в OpenSSH 10.2: простыми словами

Выпуск OpenSSH 10.2 — это не очередная версия «пофиксили баги, улучшили стабильность», хотя и без этого, конечно, никуда. Главные новости:

• Реально закрыли свежие баги, которые мешали (иногда ломали) работу SSH-сеансов с опцией ControlPersist.
• Пофиксили глюки с загрузкой ключей из PKCS#11 токенов (спасибо команде — теперь мои токены снова мне улыбаются).
• Почистили нюансы с цифровыми подписями и хранением CA-ключей в ssh-agent — теперь подписание работает предсказуемо, а не по календарю фаз луны.
• Окончательно отказались от использования PAM_RHOST для хостов с UNKNOWN (важно для тех, у кого нестандартная сеть и периодически все «висит»).

Постквантовые алгоритмы: почему теперь всем стоит задуматься о безопасности

В версии 10.0 OpenSSH ребята показали, что следят за трендами. Теперь по умолчанию можно использовать mlkem768×25_519-sha256 — это такой алгоритм обмена ключами, который даже в далеких и таинственных квантовых эпохах будет стоять как скала (ну, как минимум, обещают так crypto-профи). Еще одна важная штука: если ваш ключ не устойчив к квантовым атакам, с версии 10.1 ssh сам подскажет тревожное сообщение. Решили добавить новый параметр WarnWeakCrypto в ssh_config — теперь админы спать будут чуточку спокойнее.

Актуальные баги, наконец-то решены

ControlPersist: от вечной сессии к стабильной жизни

Был случай: нужно было коллегам срочно выдать кучу временных ssh-доступов с ControlPersist. Как нетрудно догадаться, сессии застревали в каком-то лимбе, люди не понимали, что происходит, и в чате появился любимый вопрос: «Максим, у нас опять все висит?» Благодаря обновлению баг решен, теперь можно, как говорится, спокойно спать и дружить в сети.

PKCS#11 и цифровые подписи

Помню, как однажды ради теста тащил целый токен с ключами на встречу с заказчиком: «Смотрите, говорю, теперь ssh-keygen ваш токен поддерживает, все должно работать!» А оно раз — и криво читает. Теперь проблема исправлена, и ключи грузятся, как по маслу.

Удалено все лишнее: «прощай, DSA»

В OpenSSH 10.0 попрощались с поддержкой DSA. Нет, ну а что — этот алгоритм уже давно был лишним балластом, да и защищал он только от самых ленивых (или забывчивых) хакеров. Удаление DSA — грамотный шаг: меньше старого ненадежного кода — выше общий уровень информационной безопасности.

FIDO/U2F — аппаратная 2FA для простых смертных

Когда появилась OpenSSH 8.2, мне пришлось обновить свою ветку инструкций для заказчиков: «Теперь, ребята, есть возможность подкладывать двухфакторные физические токены». Это оказался настоящий хит у параноиков вроде меня — вставляешь «ключик» и спишь спокойно.

Сетевая интеграция: OpenSSH на Windows

Для всех, кто вечно скачивает PuTTY и «кивает» на несовместимость с нормальными тулзами: Microsoft еще давно встроила OpenSSH-клиент прямо в Windows. Первый раз, когда увидел это, честно, сел на пятую точку: «Что, теперь можно не объяснять каждому айтишнику, как работать по ssh в любимой ОС без костылей?! Да это же мечта!» Теперь подключаешься в пару кликов, и никаких танцев с бубном.

Terrapin и вечная гонка "щит и меч"

В конце 2023 года появился описанный в научной публикации трюк под названием Terrapin — атака, позволяющая манипуляциями с номерами последовательности «причесывать» SSH-канал под свои нужды, по сути сбрасывая первые пакеты. Если коротко: если не обновляться и использовать старое, сколько бы ни было «защит» — можно остаться ни с чем. Поэтому — срочно ставьте свежий OpenSSH и проверяйте настройки!

Для кого эти обновления нужны в первую очередь

Вы работаете с SD-WAN или серьезной IP-телефонией? А может, админите 1С в облаке? Тогда стабильный и безопасный SSH — ваш хлеб насущный. Регулярные апдейты вроде 10.2 — залог того, что ночью никто не ворвется в вашу систему через старую дыру. Не забывайте: современные угрозы все чаще нацелены именно на небрежно обновляемые системы!

Моё мнение: почему такие апдейты — новая норма жизни

За последние 18 лет я видел поколения админов, фанатов OpenSSH, и — без обид — людей вечно бегающих с устаревшими конфигами. Я дважды ловил фейлы из-за поломанного ControlPersist, однажды чуть не упустил ключевой проект из-за глючных signature-функций. Мой профессиональный вывод — обновляться нужно всегда, а сейчас это стало просто делом выживания, а не «для галочки».

Как заметили в аналитике Gartner, «ключевой фактор устойчивости бизнеса — регулярное обновление инструментов управления инфраструктурой». Неважно, маленький вы офис или гигантская дата-ферма.

Практические советы и итог

• Проверьте свои ssh-клиенты и сервера прямо сегодня — не зависли ли вы еще на старых версиях?
• Запланируйте миграцию с DSA на более современные ключи.
• Тестируйте новые возможности post-quantum-crypto — рынка ждут новые выкрутасы атакующих.
• Используйте двухфакторку и физические токены FIDO/U2F — лишняя защита не помешает.

Что это значит для рынка и для вас

Безопасность — дело не только параноиков, но и нормальных людей, которые не хотят потерять свой бизнес из-за дырки в старом ssh. OpenSSH 10.2 — хороший пример, когда проект живет, развивается и не дает расслабляться ни себе, ни нам. Рынок движется к интеграции, унификации и zero trust — не оглядывайтесь, бегите впереди!

Нужна помощь с настройкой и безопасностью OpenSSH? Оставьте заявку, и наши специалисты свяжутся с вами в течение 15 минут — разберем вашу задачу и предложим решение. Получить консультацию бесплатно