OpenSSH 10.1: নিরাপত্তা, নেটওয়ার্কিং এবং কনফিগারেশনে নতুন সবকিছু

  • WarnWeakCrypto-এর সাথে পোস্ট-কোয়ান্টাম অ্যালগরিদমের জন্য সতর্কতা এবং সহায়তা।
  • QoS পর্যালোচনা: ডিফল্টরূপে DSCP, ইন্টারেক্টিভ ট্র্যাফিকের জন্য EF, এবং ToS অবচয়।
  • অপারেশনাল হার্ডেনিং: ~/.ssh/agent এবং ইনপুট ফিল্টারে এজেন্ট সকেট।
  • ব্যবহারিক উন্নতি: SIGINFO, RefuseConnection, PKCS#11 Ed25519 এবং গুরুত্বপূর্ণ বাগ সংশোধন।
Pablinux

9 মিনিট

OpenSSH 10.1

সংস্করণ লেবেলের বাইরে, OpenSSH 10.1 10 সিরিজ দিয়ে শুরু হওয়া পথকে একীভূত করে: পোস্ট-কোয়ান্টাম ক্রিপ্টোগ্রাফিতে স্থানান্তর, DSCP ব্যবহার করে QoS আধুনিকীকরণ, এবং ঐতিহাসিকভাবে সংবেদনশীল ক্ষেত্রগুলিকে (এজেন্ট, কী, রেজিস্ট্রি এবং প্যারামিটার পার্সিং) শক্ত করা। নীচে আপনি পাবেন সমস্ত নতুন বৈশিষ্ট্যের একটি পুঙ্খানুপুঙ্খ পর্যালোচনা (প্রেক্ষাপট সহ যেখানে এটি মূল্য যোগ করে), পাশাপাশি অবাক না হয়ে এগুলি গ্রহণের জন্য ব্যবহারিক নির্দেশিকা।

নীচে তালিকাটি দেওয়া হল এই সংস্করণে নতুন কী আছে, এছাড়াও পাওয়া যায় অফিসিয়াল নোট.

রিলিজের হাইলাইটস এবং প্রসঙ্গ

OpenSSH 10.1 (2025-10-06) এর অফিসিয়াল রিলিজ তিনটি অক্ষকে তুলে ধরে: কোয়ান্টাম ক্রিপ্টোগ্রাফি, ডিএসসিপি নেটওয়ার্ক এবং ইনপুট স্যানিটাইজেশনের বিরুদ্ধে প্রতিরোধমূলক সুরক্ষা। এটি নির্দিষ্ট পরিবর্তনগুলিকে উচ্চ কার্যক্ষম প্রভাবের সাথে সংযুক্ত করে: এজেন্ট সকেট রুট থেকে নতুন রোগ নির্ণয়ের লক্ষণ.

প্রকল্পের একটি গুরুত্বপূর্ণ অনুস্মারক: ভবিষ্যতের কোনও রিলিজ SHA-1 ভিত্তিক SSHFP লগগুলিকে উপেক্ষা করবেযদিও ssh-keygen -r এখন ডিফল্টরূপে শুধুমাত্র SHA‑256 দিয়ে SSHFP ফিঙ্গারপ্রিন্ট তৈরি করে, দুর্বল হ্যাশের দরজা বন্ধ করা হচ্ছে DNSSEC এবং হোস্ট কী যাচাইকরণের জন্য।

নন-পোস্ট-কোয়ান্টাম ক্রিপ্টোগ্রাফি সতর্কতা এবং নতুন ওয়ার্নউইকক্রিপ্টো বিকল্প

OpenSSH 10.1 একটি সতর্কতা প্রদান করে যখন সংযোগটি একটি কী বিনিময়ের সাথে আলোচনা করে যা কোয়ান্টাম-পরবর্তী আক্রমণের বিরুদ্ধে প্রতিরোধী নয়লক্ষ্য হল "এখনই সংরক্ষণ করুন, পরে ডিক্রিপ্ট করুন" এর ঝুঁকির উপর ফোকাস করা এবং সংবেদনশীল পরিবেশে রূপান্তরকে ত্বরান্বিত করা।

এই আচরণটি নিয়ন্ত্রিত হয় ওয়ার্নউইকক্রিপ্টো (ইন ssh_config), যা ডিফল্টরূপে সক্রিয় থাকে। যদি আপনি ধীরে ধীরে মাইগ্রেশন করছেন বা লিগ্যাসি হোস্টগুলি বজায় রাখছেন, আপনি বেছে বেছে সতর্কতাটি অক্ষম করতে পারেন ম্যাচ ব্লক সহ। উদাহরণস্বরূপ:

হোস্ট unsafe.example.com ম্যাচ করুন WarnWeakCrypto নং

ক্রিপ্টোগ্রাফি এবং অত্যাধুনিক প্রযুক্তি: PQC, হাইব্রিড এবং SSHFP

১০.০-এ, ক্লায়েন্ট ডিফল্টভাবে ব্যবহারে স্যুইচ করেছে mlkem768x25519‑sha256 সম্পর্কে, একটি হাইব্রিড পোস্ট-কোয়ান্টাম অ্যালগরিদম যা একত্রিত করে এমএল-কেইএম (KEM NIST FIPS 203) X25519 সহ। এই হাইব্রিড কৌশলটি নিশ্চিত করে যে PQ দিকে যদি কোনও ক্রিপ্ট্যানালিটিক ব্রেকথ্রু আবির্ভূত হয়, ক্লাসিক ECDH এর চেয়ে খারাপ অবস্থা আর হবে না। কারণ চ্যানেলটি X25519 এর শক্তি ধরে রেখেছে।

১০.১ এর সাথে, উপরে বর্ণিত সতর্কতা ছাড়াও, রূপান্তরটি আরও শক্তিশালী করা হয়েছে: ভবিষ্যতেও OpenSSH SHA‑1 সহ SSHFP উপেক্ষা করবে।; হাতিয়ারটি ssh-keygen ইতিমধ্যেই SHA‑256 এর সাথে SSHFP ইস্যু করে। কার্যকরীভাবে, প্রস্তাবিত পদক্ষেপ হল SHA‑256 তে SSHFP ফিঙ্গারপ্রিন্ট পুনরুজ্জীবিত এবং প্রকাশ করুন তোমার হোস্টদের জন্য।

সচরাচর জিজ্ঞাস্য: কোয়ান্টাম কম্পিউটার যদি এখনও SSH ভাঙতে না পারে, তাহলে এখনই কেন জোর করবেন? কারণ আক্রমণকারীরা আজকে ক্যাপচার করতে পারে এবং আগামীকাল ডিক্রিপ্ট করতে পারে। পোস্ট-কোয়ান্টাম KEX ব্যবহার ইতিমধ্যেই সেই ভেক্টরকে হ্রাস করে। এবং যদি আপনি PQ অ্যালগরিদমের তরুণত্ব সম্পর্কে চিন্তিত হন, তাহলে মনে রাখবেন যে হাইব্রিড পদ্ধতি ভিত্তি হিসেবে ক্লাসিক নিরাপত্তা স্তর বজায় রাখে।

নেটওয়ার্ক আধুনিকীকরণ: DSCP/IPQoS এবং ট্রাফিক অগ্রাধিকার

এই রিলিজটি একটি গভীর QoS ওভারহলকে একত্রিত করে। ক্লায়েন্ট এবং সার্ভার উভয় ক্ষেত্রেই, ইন্টারেক্টিভ ট্র্যাফিক ডিফল্টভাবে EF ক্লাসে সেট করা হয় (এক্সপিডেটেড ফরওয়ার্ডিং), যা ওয়াই-ফাই এবং ভিড়যুক্ত মিডিয়াতে বিলম্ব কমাতে সাহায্য করে। নন-ইন্টারেক্টিভ ট্র্যাফিক ব্যবহার করে সিস্টেম ডিফল্ট DSCP চিহ্ন, অগ্রাধিকার বৃদ্ধি না করেই।

বাস্তবে, উভয়ই ssh(1) এবং sshd(8) গতিশীলভাবে পরিবর্তিত হয় বর্তমান চ্যানেলের ধরণ অনুসারে ব্যবহৃত ব্র্যান্ড: যদি একই সংযোগ একটি শেল এবং একটিকে একত্রিত করে sftp, অ-ইন্টারেক্টিভ স্থানান্তর পর্যায় অপারেশনের সময় অ-ইন্টারেক্টিভ মান ব্যবহার করবে এবং উপযুক্ত হলে EF-এ ফিরে আসবে। এটি কী দ্বারা নিয়ন্ত্রিত হয় IPQoS en ssh_config y sshd_config.

উপরন্তু, পুরোনো IPv4 ToS-এর জন্য সমর্থন প্রত্যাহার করা হচ্ছে IPQoS বিকল্পে (lowdelay, throughput, reliability (যদি আপনি এখনও এগুলি ব্যবহার করে থাকেন, DSCP নামকরণে স্থানান্তরিত হয় (যেমন, ef, cs0, af11, ইত্যাদি)।

ইনপুট শক্তকরণ: ব্যবহারকারী, URI এবং সম্প্রসারণ

নিরাপত্তা বিভাগে, 10.1 একটি সূক্ষ্ম কেস ঠিক করে যেখানে, যদি আপনি বাহ্যিক ডেটা দিয়ে কমান্ড লাইন তৈরি করেন এবং একই সাথে ব্যবহার করেন %r/%u এক্সপ্যানশন সহ প্রক্সিকমান্ড, একজন আক্রমণকারী শেল এক্সপ্রেশনে লুকিয়ে থাকতে পারে। এটি প্রশমিত করার জন্য, ssh(1) এখন CLI-পাস করা বা প্রসারিত ব্যবহারকারীদের মধ্যে নিয়ন্ত্রণ অক্ষর নিষিদ্ধ করে, এবং URI-তে নাল অক্ষরটিও ব্লক করে ssh://.

সামঞ্জস্যতা দ্রষ্টব্য: বৈধ মামলাগুলি ভঙ্গ এড়াতে একটি বৈধতা বিন্দু শিথিল করা হয়েছে। কনফিগারেশন ফাইলগুলিতে সংজ্ঞায়িত আক্ষরিক ব্যবহারকারীর নাম (% ছাড়া) সম্প্রসারণগুলি অব্যাহতিপ্রাপ্ত, এই ভিত্তিতে যে স্থানীয় কনফিগারেশনটি বিশ্বস্ত বলে বিবেচিত হয়।

লাইভ সিগন্যাল এবং তথ্য: SIGINFO এবং দৃশ্যমানতা

আরেকটি ব্যবহারিক ডিবাগিং টিপস: ssh(1) এবং sshd(8) SIGINFO হ্যান্ডলার লাভ করে যা সক্রিয় চ্যানেল এবং সেশনের অবস্থা রেকর্ড করে। উৎপাদনে, এটি ফ্লো ডায়াগনস্টিকস, মাল্টিপ্লেক্সিং, ফরোয়ার্ডিং এবং X11 সহজতর করে কোনও ডিবাগার সংযুক্ত করার প্রয়োজন ছাড়াই বা আক্রমণাত্মকভাবে শব্দভাণ্ডার বৃদ্ধি করার প্রয়োজন ছাড়াই।

স্বচ্ছতার একই ধারায়, যখন কোনও সার্টিফিকেট প্রমাণীকরণ ব্যর্থ হয়, sshd এখন সার্টিফিকেট সনাক্ত করার জন্য পর্যাপ্ত তথ্য লগ করে। (এবং কেন এটি অস্বীকার করা হয়েছিল)। আপনি যদি PKI এবং ব্যবহারকারী/হোস্ট সার্টিফিকেট নিয়ে কাজ করেন, তাহলে এই উন্নতি রেজোলিউশনের সময় অনেক কমিয়ে দেয়.

ssh-এজেন্ট এবং কী: সকেট, স্যানিটাইজেশন, এবং PKCS#11

সীমিত মাউন্টিং সহ পরিবেশে ক্রস অ্যাক্সেস প্রতিরোধ করতে /tmp, এজেন্ট সকেট (এবং যেগুলি ফরোয়ার্ড করা হয়েছে sshd) আমি জানি /tmp থেকে ~/.ssh/agent এ সরান। সুতরাং, সীমিত অনুমতি সহ একটি প্রক্রিয়া /tmp এজেন্টের কাছ থেকে আপনার চাবি দিয়ে স্বাক্ষর করার ক্ষমতা আর দুর্ঘটনাক্রমে উত্তরাধিকারসূত্রে পায় না।

এই পরিবর্তনের আরেকটি ডেরিভেটিভ আছে: আগে ওএস অপ্রচলিত সকেট পরিষ্কার করতে পারত, এখন ssh-এজেন্ট নিজস্ব পরিষ্কার-পরিচ্ছন্নতা অন্তর্ভুক্ত করে পুরাতন সকেট থেকে। এছাড়াও, এজেন্ট নতুন পতাকা যোগ করে: -U y -u শুরুতেই পরিষ্কার-পরিচ্ছন্নতা নিয়ন্ত্রণ করতে, -uu ক্লিনআপে হোস্টনেম উপেক্ষা করা, এবং -T ঐতিহাসিক অবস্থান জোর করে স্থাপন করতে /tmp যদি তোমার সত্যিই এটির প্রয়োজন হয়।

মূল সমতলে, ক্লায়েন্ট এবং এজেন্ট PKCS#11 টোকেনে হোস্ট করা ED25519 এখন সমর্থিতআপনি যদি HSM বা ক্রিপ্টোগ্রাফিক কীগুলির উপর নির্ভর করেন, তাহলে শক্তি ত্যাগ না করেই আপনি নমনীয়তা অর্জন করতে পারবেন।

ssh-add এবং সার্টিফিকেট: স্ব-পরিষ্কারের মেয়াদ শেষ

যখন আপনি এজেন্টের সাথে সার্টিফিকেট যোগ করবেন, এর মেয়াদ এখন ৫ মিনিটের অতিরিক্ত সময়কাল সহ নির্ধারণ করা হয়েছে।ধারণাটি সহজ: লেনদেনগুলি সারিতে সম্পন্ন করার অনুমতি দিন এবং তারপর, এজেন্ট সার্টিফিকেট স্বয়ংক্রিয়ভাবে মুছে ফেলুনযদি তোমার প্রবাহের উপর পূর্ণ নিয়ন্ত্রণের প্রয়োজন হয়, ssh‑add -N এই আচরণটি অক্ষম করুন।

রিফিউজকানেকশন: ক্লায়েন্ট-সাইড নিয়ন্ত্রিত সংযোগ বিচ্ছিন্ন

এমন কিছু পরিস্থিতি রয়েছে যেখানে আপনি ক্লায়েন্ট থেকে একটি স্পষ্ট বার্তা সহ একটি সংযোগ বাতিল করতে আগ্রহী (উদাহরণস্বরূপ, কার্যকরী পুনঃনির্দেশনা বা অবচয় রোধের বিজ্ঞপ্তি)। OpenSSH 10.1 যোগ করা হয়েছে সংযোগ প্রত্যাখ্যান করুন a ssh_config: যদি একটি গরম অংশ প্রক্রিয়াকরণের সময় সম্মুখীন হয়, ক্লায়েন্ট একটি ত্রুটির সাথে বন্ধ হয়ে যায় এবং আপনার সংজ্ঞায়িত লেখাটি প্রদর্শন করে.

কোডের মান এবং লাইভ নিরাপত্তা

দলটি কোডবেস পরিষ্কার করার কাজ চালিয়ে যাচ্ছে। ১০.১ তালিকা মেমোরি লিক ঠিক করা হয়েছে, লেখার সময় অ্যাটোমিয়ার উন্নতি known_hosts উচ্চ উপস্থিতি এবং বেশ কয়েকটি সহ জাতিগত অবস্থার সমাধান হয়েছে যেমন প্রক্রিয়াগুলিতে MaxStartups অথবা X11 সেশন।

একটি ক্রিপ্টো পরিষ্কারের নোট: XMSS এর জন্য সমর্থন সরানো হয়েছে (পরীক্ষামূলক এবং কখনই পূর্বনির্ধারিত নয়)। এর জন্য স্থল প্রস্তুত করা হচ্ছে পোস্ট-কোয়ান্টাম স্বাক্ষর স্কিম ভবিষ্যতের সংস্করণগুলিতে আরও পরিপক্ক সংস্করণ আসবে।

পোর্টেবিলিটি এবং ইকোসিস্টেম: PAM, FreeBSD, macOS, Android…

বহনযোগ্যতার পরিবর্তনগুলি অনেক দিককে প্রভাবিত করে: PAM পরিবেশে অতিরিক্ত চেক (যেমন ব্যবহারকারী যাতে প্রক্রিয়া চলাকালীন পরিবর্তন না হয় তা নিশ্চিত করা), ইন্টিগ্রেশন উন্নতি FreeBSD 'র (টিউন ফরওয়ার্ডিং এবং সামঞ্জস্য), MacOS (ফাংশন এবং হেডারের শক্তিশালী সনাক্তকরণ) এবং অ্যান্ড্রয়েড (নন-নাল ফিল্ড সহ struct passwd)।

নির্দিষ্ট স্ট্যান্ডার্ড লাইব্রেরিবিহীন প্ল্যাটফর্মগুলির জন্যও সামঞ্জস্যতা শিরোনাম যুক্ত করা হয়, যার ফলে সংখ্যা হ্রাস পায় #ifdef ছড়িয়ে ছিটিয়ে। অবশেষে, তারা পরিমার্জিত হয় seccomp স্যান্ডবক্স নীতিমালা লিনাক্সে সিস্টেমকল কভার করার জন্য যেমন futex_time64 ৩২-বিটে, এবং সমর্থন যোগ করা হয়েছে AWS-LC সম্পর্কে OpenSSL/LibreSSL এর বিকল্প হিসেবে।

কার্যকরী QoS: ব্যবহারিক উদাহরণ এবং IPQoS মাইগ্রেশন

যদি আপনি পুরানো ToS উপনাম ব্যবহার করেন (lowdelay, throughput...), এখন তাদের উপেক্ষা করা হবে এবং আপনি DSCP-এর পরামর্শ দিয়ে একটি ডিবাগ বার্তা দেখতে পাবেন। সাধারণত মাইগ্রেশনটি হবে এখান থেকে যাওয়া। IPQoS lowdelay a IPQoS ef ইন্টারেক্টিভ সেশনের জন্য; যদি আপনি ভারী SFTPও করেন, তাহলে আপনি ম্যাচ অনুসারে প্রোফাইল সংজ্ঞায়িত করুন en ssh_config/sshd_config ট্র্যাফিক আলাদা করতে।

মনে রাখবেন যে ইঞ্জিনটি স্বয়ংক্রিয়ভাবে নির্বাচন এবং আপডেট করে এটি ওপেন চ্যানেলের উপর ভিত্তি করে রিয়েল টাইমে চিহ্নিত করে, তাই বেশিরভাগ কাজ ইতিমধ্যেই OpenSSH দ্বারা আপনার জন্য সম্পন্ন করা হয়েছে।

লিনাক্সে OpenSSH 10.1 ইনস্টল করা (উৎস)

যখন বিতরণগুলি সংস্করণটিকে একীভূত করে, আপনি অফিসিয়াল উৎস থেকে কম্পাইল করতে পারেন. প্রজেক্ট মিরর থেকে টারবল ডাউনলোড করুন, আনজিপ করুন এবং কম্পাইল করুন:

tar -xvf ওপেনশ -10.1.tar.gz

ডিরেক্টরিটি প্রবেশ করান এবং প্রিফিক্স এবং কনফিগারেশন রুট কনফিগার করুন যদি তোমার প্রয়োজন হয়। উদাহরণস্বরূপ:

সিডি openssh-10.1 ./configure --prefix=/opt --sysconfdir=/etc/ssh

কম্পাইল এবং ইনস্টল করুন যথারীতি (অনুমতি অনুসারে, সম্ভবত সুপার ইউজারের সাথে):

করা

make install

PowerShell দিয়ে Windows এ OpenSSH সক্ষম করুন

আধুনিক উইন্ডোজ পরিবেশে (সার্ভার 2019/উইন্ডোজ 10 1809+), আপনি সিস্টেম বৈশিষ্ট্য হিসেবে OpenSSH ক্লায়েন্ট এবং সার্ভার ইনস্টল করতে পারেন।. ধারণক্ষমতা এবং স্থিতি পরীক্ষা করুন:

গেট-উইন্ডোজক্যাপাবিলিটি-অনলাইন | কোথায়-অবজেক্টের নাম - 'OpenSSH*' এর মতো

উপাদানগুলি ইনস্টল করুন আপনার প্রয়োজন অনুসারে:

অ্যাড-উইন্ডোজক্যাপাবিলিটি -অনলাইন -নাম OpenSSH.Client~~~~0.0.1.0 অ্যাড-উইন্ডোজক্যাপাবিলিটি -অনলাইন -নাম OpenSSH.Server~~~~0.0.1.0

SSH সার্ভার পরিষেবা শুরু এবং সক্ষম করুন, এবং ইনবাউন্ড ফায়ারওয়াল নিয়মটি পরীক্ষা করুন:

স্টার্ট-সার্ভিস sshd সেট-সার্ভিস -নাম sshd -স্টার্টআপটাইপ 'স্বয়ংক্রিয়' গেট-নেটফায়ারওয়ালরুল -নাম 'ওপেনএসএইচ-সার্ভার-ইন-টিসিপি' -ত্রুটি-ক্রিয়া নীরবে চালিয়ে যান

অন্য উইন্ডোজ বা লিনাক্স হোস্ট থেকে সংযোগ করতে, স্ট্যান্ডার্ড ক্লায়েন্ট ব্যবহার করুন: ssh dominio\usuario@servidorপ্রথম অ্যাক্সেসে, হোস্ট ফিঙ্গারপ্রিন্ট গ্রহণ করে এবং আপনার পাসওয়ার্ড দিয়ে প্রমাণীকরণ করুন।

অপারেশনাল গাইড: রোগ নির্ণয় এবং ভালো অনুশীলন

ব্যবহারকারী/হোস্ট সার্টিফিকেট সহ পরিবেশের জন্য, উন্নত লগিং সুবিধা গ্রহণ করুন অস্বীকারের মধ্যে sshd CA এবং এক্সটেনশন ডিবাগ করতে। যদি কোন সেশন আটকে যায় অথবা আপনার মাল্টিপ্লেক্সিং সন্দেহ হয়, SIGINFO চালু করেছে গ্লোবাল লগ লেভেল না বাড়িয়ে সক্রিয় চ্যানেল তালিকাভুক্ত করার প্রক্রিয়ায়।

যদি আপনি এজেন্টদের উপর নির্ভর করেন, তাহলে সকেটগুলি এখন কোথায় থাকে তা পরীক্ষা করুন (~/.ssh/agent) Y স্বয়ংক্রিয় পরিষ্কার সক্রিয় করুন আপনার ডিপ্লয়মেন্ট মডেলে। শেয়ার্ড বা NFS ওয়ার্কস্টেশনে, প্রয়োজনে পাথে হোস্টনেম হ্যাশ সেট করার জন্য এজেন্ট ফ্ল্যাগ ব্যবহার করার কথা বিবেচনা করুন।

সবচেয়ে প্রাসঙ্গিক বাগ সংশোধন

১০.১-এ এগুলো সমাধান করা হয়েছে X11-এ ক্ষুদ্রতর রিগ্রেশন হৃদস্পন্দন হ্রাসের সাথে মিলিত হলে (ObscureKeystrokeTiming), একটি মামলা ম্যাক্সস্টার্টআপসের দুর্বল হিসাবরক্ষণ যা স্লট প্লাবিত করতে পারে, এবং লেখার known_hosts এখন এটা হয়ে গেছে। পারমাণবিক অপারেশনে উচ্চ সঙ্গতিপূর্ণ আন্তঃপাতাযুক্ত রেখা এড়াতে।

অন্যান্য সংশোধনগুলি উন্নত হয় কী লোড করার সময় ডায়াগনস্টিকস, কনফিগারেশন আকারের সীমা (256KB থেকে 4MB পর্যন্ত) পরিচালনা, স্থানীয় ফরোয়ার্ড এবং নিয়ন্ত্রণ ক্রমগুলিতে অডিট আউটপুট এবং বহিরাগত কর্নার কেস। এছাড়াও, বার্তা এবং আউটপুট থেকে ssh -G y sshd -T.

প্রস্তাবিত মাইগ্রেশন চেকলিস্ট

এই সংক্ষিপ্ত তালিকাটি এতে প্রকল্প নিজেই যে কাজগুলি প্রস্তাব করে এবং পরিবর্তনগুলি থেকে কী উদ্ভূত হয় তা অন্তর্ভুক্ত রয়েছে:

  • ক্রিপ্টো: পরীক্ষা করে দেখুন যে আপনার KexAlgorithms হাইব্রিড PQ অনুমোদন করে এবং SHA‑256 তে নতুন SSHFP তৈরি করে ssh-keygen -r.
  • QoS মধ্যে: চেক আউট IPQoS ক্লায়েন্ট/সার্ভারে; লিগ্যাসি ToS DSCP-তে স্থানান্তর করুন; ইন্টারেক্টিভ সেশনের জন্য EF ব্যবহার করুন।
  • এজেন্টস: স্ক্রিপ্ট এবং ভেরিয়েবলগুলিকে সকেটের অধীনে অভিযোজিত করে ~/.ssh/agent; এজেন্ট নিজেই স্বয়ংক্রিয় পরিষ্কারের মান নির্ধারণ করে।
  • বড় কনফিগারেশন: যদি আপনি বাল্ক কনফিগারেশন তৈরি করেন, তাহলে সীমা 4MB পর্যন্ত বেড়ে যায়; বিজ্ঞতার সাথে এটি প্রয়োগ করুন এবং বৈধতা নিয়ন্ত্রণ করে।
  • পার্সার্স: অবিশ্বস্ত ইনপুট থেকে কমান্ড লাইন তৈরি করা এড়িয়ে চলুন; ব্যবহার করুন config যখন আপনার ব্যবহারকারীর নামগুলিতে অদ্ভুত কেস থাকে তখন লিটারেল সহ স্থানীয়।

যারা মিশ্র নৌবহর পরিচালনা করেন তারা এই ১০.১ যেখানে নিরাপত্তার ক্ষতি কম সেখানেই চাপ দিন (পার্সার, এজেন্ট, সতর্কতা) এবং একই সাথে দৈনন্দিন অভিজ্ঞতা উন্নত করুন (ডাইনামিক QoS, SIGINFO, সার্টিফিকেট লগিং)। যদি আপনি ইতিমধ্যেই 10.0 ব্যবহার করে থাকেন, তাহলে পরিবর্তনটি সহজ; যদি আপনি 9.x থেকে আসেন, তাহলে DSCP টিউন করার জন্য সময় নিন, SSHFP কে SHA‑256 তে পুনরায় তৈরি করুন, এবং পারফরম্যান্সকে ক্ষয়ক্ষতি না করে কোয়ান্টাম হুমকি থেকে নিজেকে রক্ষা করার জন্য হাইব্রিড KEX সক্ষম করুন।

OpenSSH
সম্পর্কিত নিবন্ধ:
OpenSSH 9.0 scp, উন্নতি এবং আরও অনেক কিছুর পরিবর্তে SFTP সহ আসে