主要观点：在XZ 后门事件后，Debian 项目重新审视了其OpenSSH包中的一些补丁以提高安全性，将把对Kerberos)密钥交换的支持拆分为单独的包，明年 Debian 13（“trixie”）发布后实施，对 Debian 用户影响应较小。
关键信息：

• Colin Watson 重新考虑 Debian OpenSSH 打包中的一些选择，因补丁导致 Debian 和 Fedora 包易受 XZ 后门影响，识别出 4 个补丁讨论，包括 libsystemd、SELinux、TCP 包装器和 GSS-API 等。
• 讨论了是否放弃 TCP 包装器支持，部分用户不愿失去，Watson 提议用 tcpd 替代，d'Itri 因安全问题反对，目前 TCP 包装器支持未被取消。
• OpenSSH 2003 年添加 GSS-API 支持，Debian 2005 年合并相关补丁，后被 OpenSSH 开发者拒绝，现由 Debian 和 Fedora 贡献者在 GitHub 维护，Debian 计划在 forky 版本中拆分该功能。
• 最终 Debian 创建了特殊的 openssh-client-gssapi 和 openssh-server-gssapi 包来拆分 GSS-API 密钥交换支持，Fedora 决定保留该补丁。
  重要细节：
• Debian 对 OpenSSH 有近 40 个补丁，范围从大到小。
• Watson 认为合并 libsystemd 补丁时合理但后来觉得不妥，有工作在移除依赖。
• Fedora 2018 年放弃使用 TCP 包装器。
• OpenSSH GSS-API 支持存在一些争议和考虑，如安全性等。
• 过渡对 Debian 用户应较轻松，有足够时间准备。