OpenSSH目前使用最广泛的SSH服务器/客户端套件，项目源于OpenBSD项目是其子项目。其中OpenSSH p1版本是OpenSSH的Linux发行版本，基本上所有的Linux发行版都默认安装了OpenSSH的服务器端SSHD服务器和ssh,scp，sftp，ssh-keygen等客户端工具。

日前OpenSSH发布了最新版本8.8,其主要版本变化是scp命令更换了其底层不安全的协议scp/rcp统一为sftp协议。

scp

OpenSSH 版本中附带的scp工具，其底层的旧版scp/rcp协议默认切换为使用SFTP。

旧的scp/rcp协议通过远程shell执行远程文件名的通配符扩展（例如“scp host:* .”）是会产生副作用，必须要求scp命令行中包含的文件名对shell元字符进行引用，否则可能会在远程服务器解释为shell命令。

新版本中使用sftp协议时scp不再需要需要引用，并且对后不再向后兼容。另外，在对用户目录路径使用中sftp协议不支持相对于用户主目录的远程路径的，比如：

"scp host:~user/file /tmp"

sftp协议没有本地方式来支持~user 路径。OpenSSH 8.7和更高版本中的 sftp-server支持协议扩展“expand-path@openssh.com”来支持它。

安全性

OpenSSH 6.2到8.7版本，在执行 AuthorizedKeysCommand 或 AuthorizedPrincipalsCommand 时，无法正确初始化补充组，其中 AuthorizedKeysCommandUser 或 AuthorizedPrincipalsCommandUser 指令已设置为以不同用户身份运行该命令时，其运行还会继承sshd开始时使用的组。

这样由于根据系统配置，可会导致AuthorizedKeysCommand/ AuthorizedPrincipalsCommand 获得root权限的，导致提权执行。

注意：默认情况下，sshd_config中不会启用AuthorizedKeysCommand 和 AuthorizedPrincipalsCommand。

禁止SHA-1算法

现版本中，直接默认禁用使用SHA-1哈希算法的RSA签名。由于SHA-1哈希算法已经在密码学上被碰撞破坏（可以以少于5万美刀的成本创建前缀哈希冲突。）。

对于大多数用户来说，这种变化应该是不可见的，不需要替换ssh-rsa密钥。OpenSSH 7.2 版以后，OpenSSH就已支持 RFC8332 RSA/SHA-256/512 签名，现有的ssh-rsa密钥将在可能的情况下自动使用更强的算法。

当连接到尚未升级或没有密切跟踪SSH协议改进的旧版本时，可能会由于不兼容导致连接失败。对于这些情况，可能手动配置HostkeyAlgorithms 和 PubkeyAcceptedAlgorithms 选项启用 RSA/SHA1进行连接和用户身份验证。

可以在在用户ssh配置文件~/.ssh/config 中的以下对单台目标主机启用 RSA/SHA1：

Host Chongchong
       HostkeyAlgorithms +ssh-rsa
       PubkeyAcceptedAlgorithms +ssh-rsa

建议尽在特殊情况下暂时启用 RSA/SHA1，对出现该问题的主机尽快升级版本或者更换证书类型，比如可以使用ECDSA 或 Ed25519。

其他更新

ssh：允许 ssh_config CanonicalizePermittedCNAMEs 指令接受“none”参数来指定默认行为。

ssh/sshd：对pselect 替换兼容性代码的一些修复。

ssh：修复了多路复用中的一些内存泄漏，

scp：当使SFTP协议时，发生传输错误后继续传输文件，更好地匹配原始scp/rcp行为。

ssh-keygen: 使用 -Y find-principals 命令时避免崩溃。

ssh-agent: 在 FreeBSD 上，使用procctl禁用 ptrace

其他大量文档和说明改进。

安装升级

用户可以到openssh官方网站或者其镜像站点（比如国内镜像站）下载安装，下载安装包后记得校验文件包的哈希：

openssh-8.8p1.tar.gz包：

SHA1 ：1eb964897a4372f6fb96c7effeb509ec71c379
SHA256：RZCJDqm7ms5Pca4zF4WjpYIyMkNRYZYO1fyGWI8zH+k=

下载后编译安装即可：