fwknop

fwknop "演算子をノックファイアウォール」の略で、Netfilterの政策を介して所望のアクセスおよび/または完全なコマンドを含む各種情報を通信するために、単一の暗号化されたパケットを必要とNetfilterのとのlibpcapをベースに認可スキームを実装していますターゲットシステム上で実行する。
は「デフォルトのドロップ」のスタンスを維持するためにNetfilterのを使用することにより、このプログラムの主な用途は、作るために、追加のセキュリティ層でOpenSSHなどのサービスを保護することですはるかに難しい脆弱性の悪用（0日とパッチを適用していないコードの両方が）。
は認可サーバーは、受動的にlibcapを経由して、許可パケットを監視し、したがって、伝統的な意味で接続するための「サーバー」はありません。保護されたサービスへのアクセスは、唯一の有効な暗号化された非リプレイパケットを監視した後に付与されます。
はこのメソッドは、単純なノマドによって提案された単一のパケット認可スキームに類似しており、NMRCの人々

はfwknopプロジェクトは、パッシブOSフィンガープリントとノック伝統的な暗号化されたポートを結合する最初のツールでもあった。これは、あなたのSSHデーモンに接続するだけでできるように、たとえば、Linuxベース2.4 / 2.6システムのようなことを行うことを可能にする。

のこのリリースのの新機能：ます。

• （Radostanリーデル）はDebianとUbuntuのシステム上で動作することが知られてfwknopdためのAppArmorのポリシーを追加しました。ポリシーファイルには、エクストラ/ AppArmorの/ usr.sbin / fwknopdで入手できます。
• [libfko]ニコライKolevのは、strlcat（）及びstrlcpyに（のローカルfwknopコピー）がすでにOS X 10.9に付属しているものと競合したMac OS Xのマーベリックスとのビルドの問題を報告した。 githubの上の＃108を閉じます。

LIB / fko_util.cに関数を投棄
• [libfko]（フランクJoncourt）連結FKOコンテキスト。 FKOコンテキストを印刷するための共有の効用関数を追加することに加えて、この変更は、単一の行（この変化は、最終的なSPAパケットデータの印刷を影響）の各FKO属性を印刷することによって解析するFKOコンテキスト出力がわずかに容易になる。テストスイートは、同様に、この変更を説明するために更新されています。

FKO_ENC_MODE_ASYMMETRICに設定ENCRYPTION_MODEとfkoオブジェクトなしGnuPGでSPAパケット解読を試みないために
• [libfko]バグ修正。このバグは、テスト/ファジング/ fuzzing_spa_packetsのスパファジングパケットのセットと一緒にperlのFKO拡張に対してvalgrindの検証で逮捕された。追加のチェックがaccess.confのスタンザはGPGキー情報が含まれているときはいつでもFKO_ENC_MODE_ASYMMETRICを強制的にfwknopd自体の中に作られているので、このバグはfwknopd経由でトリガすることができないことに注意してください。この修​​正は、独立してGPGキー情報なしfkoオブジェクトの使用が試みGPG暗号解読操作にならないことを要求すること自体libfko強化しています。したがって、この修正プログラムがlibfkoの第三者の使用量にほとんど適用されます。
• i.e。 fwknopdの株式インストールは影響を受けません。これがまたしてもこの修正にlibfko前にします。
のための回避策を提供するのでいつものように、それは可能な限りさえGPGモードのためにHMAC認証された暗号化を使用することをお勧めします
• [アンドロイド]（ジェリーリノ）はアンドロイド4.4と互換性があるようにAndroidのクライアントを更新します。
• （現在はオプション）[アンドロイド]を追加しましHMACをサポートします。
• [サーバー]を更新pcap_dispatch（）デフォルトのパケットは、ゼロからこの変更はpcap_dispatch（）のマニュアルページあたりのlibpcapの旧バージョンとの下位互換性を確保するためになされたものであり、した100にカウントものレアーケルからの報告のいくつかの理由（＃110を閉じ）、この変更によって固定されます。
のlibpcap-1.5.1とアーチLinux上で予期せぬクラッシュ
iptablesのファイアウォールでSPAのNATモードの
• [サーバー]バグ修正、それらが実行されているfwknopdインスタンスの下から削除されます場合は、します。
チェーンfwknopそのカスタムが再作成されることを保証するために
• [サーバー]をaccess.confファイルに追加FORCE_SNATごとのアクセススタンザSNAT基準はSPAへのアクセス用に指定することができるようにします。
• [テストスイート]は、以前に実行fwknopまたはfwknopdコマンドが使用されるテストスイートと同じコマンドライン引数で、GDBを介​​して送信されるように--gdbテストを追加しました。これは急速にfwknop / fwknopdの問題を調査するときにgdbを起動できるように利便性のためであるます。
• [クライアント]（フランクJoncourt）は〜/ .fwknoprcからスタンザ名を表示するように--stanza-list引数を追加しました。
• [libfko]（ハンクLeininger）が大幅に特定のエラー条件が何を意味するかに関するより良い情報を提供するために、様々な場所でlibfkoエラー·コードの説明を拡張するパッチを提供してくれました。 ＃98を閉じます。
• [テストスイート]はCPANのテスト:: Valgrindのモジュールの下にT /ディレクトリにperlのFKOモジュール内蔵のテストを実行する機能が追加されました。これはvalgrindのメモリチェックをperlのFKOモジュールを介して機能をlibfkoために適用されることを可能にする（したがって、ラピッドプロトタイピングは、メモリリーク検出と組み合わせることができる）。チェックがテスト:: Valgrindのモジュールがインストールされているかどうかを判断する、と--enable-valgrindのも必要です（または---enableすべて）test-fwknop.plコマンドラインでます。

端末の設定をリセットするfwknopクライアントにおけるバグ修正

のバージョン2.5.1でのの新機能である標準入力経由でキーを入力した後の値を元のトークしてます。

• PIDファイルの存在を警告します。
を印刷しないためにfwknopdデーモンでバグ修正
• テストスイートのバグ修正には、Linux以外のシステムでiptablesのラインダールHMACテストを実行しません。

バージョン2.5での新機能

の