移植可能なOpenSSHは、今日、ますます多くの人々によってインターネット上で使用されているOpenSSH(オープンソースセキュアシェル)プロトコルスイートの移植可能なバージョンであるオープンソースソフトウェアプロジェクトです。接続のハイジャックや盗聴など、予測できない潜在的な攻撃を効果的に排除するために、オフセットを使用してパスワードを含むすべてのネットワークトラフィックを暗号化するように設計されています。
機能の概要
主な機能には、Blowfish、AES、3DESおよびArcfourアルゴリズムに基づく強力な暗号化、X Window Systemトラフィックの暗号化によるX11転送、Kerberos認証、公開鍵およびワンタイムパスワードプロトコルに基づく強力な認証、レガシープロトコル用のチャネルを暗号化することでポート転送を実現します。
さらに、SSO(シングルサインオン)仕様、AFSおよびKerberosチケットのパッシング、SSH1およびSSH2プロトコルのSFTP(セキュアFTP)クライアントおよびサーバーのサポート、データ圧縮、および相互運用性を提供します。これにより、プログラムはSSH 1.3,1.5、および2.0プロトコル標準に準拠します。
何が含まれていますか?
インストールが完了すると、OpenSSHはTelnetとrloginユーティリティをSSH(Secure Shell)プログラムで置き換え、SFTPとRCPとSCPを持つFTPツールを自動的に置き換えます。さらに、SSHデーモン(sshd)と、ssh-agent、ssh-keygen、ssh-keysign、ssh-keyscan、sftp-serverなどのさまざまな有用なユーティリティも含まれています。
ボンネットと空室状況
プロジェクト全体はC言語で書かれており、GNU / Linuxオペレーティングシステム用の汎用ソースアーカイブとして配布されているため、32ビットまたは64ビット(推奨)のコンピュータにインストールすることができます。
ソースtarballは、インストール前にプロジェクトを設定してコンパイルする必要があるので、GNU / Linuxオペレーティングシステムのデフォルトのソフトウェアリポジトリからインストールすることを強く推奨します。
このリリースの新機能:
ssh(1)、sshd(8):OpenSSLでサポートされていない暗号を自動的に無効にしてコンパイルを修正しました。 bz#2466
その他:VA_COPYマクロの定義に関連するAIXコンパイラのいくつかのバージョンでコンパイルエラーを修正しました。 bz#2589
sshd(8):seccomp-bpfサンドボックスを有効にするために、より多くのアーキテクチャをホワイトリスト化します。 bz#2590
ssh-agent(1)、sftp-server(8):setpflags(__ PROC_PROTECT、...)を使用してSolarisでプロセストレースを無効にします。 bz#2584
sshd(8):Solarisでは、UsePAM = yesでSolaris setproject()を呼び出さないでください。PAMの責任です。 bz#2425
ssh(1)、sshd(8):OpenSSLでサポートされていない暗号を自動的に無効にしてコンパイルを修正しました。 bz#2466
その他:VA_COPYマクロの定義に関連するAIXコンパイラのいくつかのバージョンでコンパイルエラーを修正しました。 bz#2589
sshd(8):seccomp-bpfサンドボックスを有効にするために、より多くのアーキテクチャをホワイトリスト化します。 bz#2590
ssh-agent(1)、sftp-server(8):setpflags(__ PROC_PROTECT、...)を使用してSolarisでプロセストレースを無効にします。 bz#2584
sshd(8):Solarisでは、UsePAM = yesでSolaris setproject()を呼び出さないでください。PAMの責任です。 bz#2425
ssh(1)、sshd(8):OpenSSLでサポートされていない暗号を自動的に無効にしてコンパイルを修正しました。 bz#2466
その他:VA_COPYマクロの定義に関連するAIXコンパイラのいくつかのバージョンでコンパイルエラーを修正しました。 bz#2589
sshd(8):seccomp-bpfサンドボックスを有効にするために、より多くのアーキテクチャをホワイトリスト化します。 bz#2590
ssh-agent(1)、sftp-server(8):setpflags(__ PROC_PROTECT、...)を使用してSolarisでプロセストレースを無効にします。 bz#2584
sshd(8):Solarisでは、UsePAM = yesでSolaris setproject()を呼び出さないでください。PAMの責任です。 bz#2425
バージョン7.3p1の新機能:
ssh(1)、sshd(8):OpenSSLでサポートされていない暗号を自動的に無効にしてコンパイルを修正しました。 bz#2466
その他:VA_COPYマクロの定義に関連するAIXコンパイラのいくつかのバージョンでコンパイルエラーを修正しました。 bz#2589
sshd(8):seccomp-bpfサンドボックスを有効にするために、より多くのアーキテクチャをホワイトリスト化します。 bz#2590
ssh-agent(1)、sftp-server(8):setpflags(__ PROC_PROTECT、...)を使用してSolarisでプロセストレースを無効にします。 bz#2584
sshd(8):Solarisでは、UsePAM = yesでSolaris setproject()を呼び出さないでください。PAMの責任です。 bz#2425
バージョン7.2p2の新機能:
バグ修正:
ssh(1)、sshd(8):FuTTYの互換性回避策を追加する
ssh(1)、sshd(8):WinSCPの互換性の問題を解決する
ssh(1)とssh-keygen(1)で、いくつかのメモリフォールト(ダブルフリー、未初期化メモリなしなど)を修正しました。 Mateusz Kocielskiによって報告されました。
バージョン7.1p1の新機能:
バグ修正:
ssh(1)、sshd(8):FuTTYの互換性回避策を追加する
ssh(1)、sshd(8):WinSCPの互換性の問題を解決する
ssh(1)とssh-keygen(1)で、いくつかのメモリフォールト(ダブルフリー、未初期化メモリなしなど)を修正しました。 Mateusz Kocielskiによって報告されました。
sshd(8):sshd -Tを使用する場合のUsePAMの設定、bz#2346の一部
'ar'の前に '$ {host} -ar'を探して、クロスコンパイルを簡単にします。 bz#2352。
いくつかの移植可能なコンパイルの修正:bz#2402、bz#2337、bz#2370
moduli(5):DH-GEX係数を更新する
バージョン6.8p1の新機能:
設定時に--with-opensslをサポートします。 OpenSSLへの依存を無効にし、削除します。 SSHプロトコル1を含む多くの機能はサポートされず、暗号オプションのセットは大幅に制限されています。これは、native arc4randomまたは/ dev / urandomを持つシステムでのみ機能します。今は非常に実験的だと考えられています。
設定時に--without-ssh1オプションをサポートします。 SSHプロトコル1のサポートを無効にできます。
sshd(8):utmpxでIPv6がサポートされているシステムでコンパイルを修正しました。 bz#2296
Cygwin上のsshdのカスタムサービス名を許可する。異なるサービス名で実行されている複数のsshdの使用を許可します。
バージョン6.7p1の新機能:
移植性のあるOpenSSHはlibressl-portableに対するビルドをサポートするようになりました。
ポータブルOpenSSHには0.9s以上のopensslが必要です。古いバージョンはもはやサポートされていません。
OpenSSLのバージョンチェックでは、バージョンアップの修正を許可します(ただし、ダウングレードはしません。Debianバグ#748150)。
sshd(8):Cygwinでは、実行時に特権分離ユーザを決定する。なぜなら、それはドメインアカウントである必要があるからである。
sshd(8):Linuxでvhangupを使用しようとしないでください。 root以外のユーザーにはうまくいきません。また、tty設定が壊れてしまいます。
使用可能な場合はCLOCK_MONOTONICよりもCLOCK_BOOTTIMEを優先して使用してください。それは、一時停止に費やされた時間を考慮し、それによりタイムアウト(例えば期限切れのエージェントキー)が正しく発火することを保証する。 bz#2228
opensshd.init initスクリプトにed25519のサポートを追加します。
sftp-server(8):これをサポートするプラットフォームでは、sftp-serverが/ proc / self / {mem、maps}にアクセスするのを防ぐためにprctl()
バージョン6.5p1の新機能:
新機能:
ssh(1)、sshd(8):Daniel BernsteinのCurve25519で楕円曲線Diffie Hellmanを使って鍵交換のサポートを追加しました。この鍵交換方式は、クライアントとサーバの両方がサポートしている場合のデフォルトです。
ssh(1)、sshd(8):Ed25519のサポートを公開鍵タイプとして追加します。 Ed25519は、ECDSAおよびDSAよりも優れたセキュリティと優れたパフォーマンスを提供する楕円曲線署名方式です。ユーザーキーとホストキーの両方に使用できます。
bcrypt KDFを使用する新しい秘密鍵形式を追加して、残りの鍵をよりよく保護します。このフォーマットは、Ed25519のキーに対して無条件に使用されますが、-o ssh-keygen(1)オプションを使用して他のタイプの既存キーを生成または保存する際に要求されることがあります。新しいフォーマットを近い将来デフォルトにするつもりです。新しい形式の詳細は、PROTOCOL.keyファイルにあります。
ssh(1)、sshd(8):新しいトランスポート暗号 "chacha20-poly1305@openssh.com"を追加します。 Daniel BernsteinのChaCha20ストリーム暗号とPoly1305 MACを組み合わせて、認証された暗号化モードを構築しています。詳細はPROTOCOL.chacha20poly1305ファイルに記載されています。
ssh(1)、sshd(8):弱い鍵交換ハッシュ計算を使用する古い独自のクライアントとサーバを拒否します。
ssh(1):各対称鍵サイズに対して要求されたDiffie-Hellmanグループのサイズを増やします。 RFC4419で指定された上限値を持つNIST Special Publication 800-57の新しい値。
ssh(1)、ssh-agent(1):raw公開鍵(bz#1908として要求)の代わりにX.509証明書のみを提供するpkcs#11トークをサポートします。
ssh(1):ssh_config(5)の "Match"を追加します。キーワードは、任意のコマンドのホスト名、ユーザー、結果と照合して条件付き構成を適用できるようにします。
ssh(1):ssh_config(5)のDNSサフィックスとルールのセットを使用して、クライアント側のホスト名の正規化をサポートします。これにより、修飾されていない名前を完全修飾ドメイン名に正規化して、known_hostsのキーを調べたりホスト証明書の名前を調べる際のあいまいさをなくします。sftp-server(8):sftpプロトコル要求をホワイトリストに登録したりブラックリストに載せる機能を名前で追加します。
sftp-server(8):sftp "fsync@openssh.com"を追加します。開いているファイルハンドルに対してfsync(2)を呼び出すことをサポートしています。
sshd(8):ssh_config(5)PermitTTYを追加して、TTY割り当てを禁止し、長年のno-pty authorized_keysオプションをミラーリングします。
ssh(1):接続を確立するProxyCommandsの使用をサポートするssh_config ProxyUseFDPassオプションを追加し、接続されたファイル記述子をssh(1)に戻します。これにより、ProxyCommandを終了してデータを転送するのではなく、終了することができます。
バグの修正:
ssh(1)、sshd(8):ネストされた証明書によってスタックが枯渇する可能性を修正しました。
ssh(1):bz#1211:UsePrivilegedPortでBindAddressを動作させます。
sftp(1):bz#2137:再開された転送の進行状況を修正します。
ssh-add(1):bz#2187:ssh-agentから鍵を削除するときにスマートカードのPINを要求しません。
sshd(8):bz#2139:オリジナルのsshdバイナリを実行できないときの再実行のフォールバックを修正しました。
ssh-keygen(1):有効期限の開始時刻ではなく、現在の時刻に対する相対指定の証明書の有効期限を設定します。
sshd(8):bz#2161:AuthorizedKeysCommandをMatchブロック内に修正します。sftp(1):bz#2129:ファイルをシンボリックリンクすると、ターゲットパスが不正に正規化されます。
ssh-agent(1):bz#2175:PKCS#11エージェントヘルパー実行ファイルでuse-after-freeを修正します。
sshd(8):ユーザ名、リモートホストとポート、セッションタイプ(シェル、コマンドなど)と割り当てられたTTY(もしあれば)を含むセッションのロギングを改善します。
sshd(8):bz#1297:サーバーのGatewayPorts設定によって優先リスンアドレスがオーバーライドされたときに、クライアントに(デバッグメッセージ経由で)通知します。
sshd(8):bz#2162:不正なプロトコルバナーメッセージのレポートポートをインクルードします。
sftp(1):bz#2163:do_readdir()のエラーパスでメモリリークを修正しました。
sftp(1):bz#2171:エラー時にファイル記述子をリークしません。
sshd(8):" Connection from ..."にローカルアドレスとポートを含めます。メッセージ(loglevel> =詳細にのみ表示されます)。
ポータブルOpenSSH:
0.9.6より前のバージョンのOpenSSLをサポートするポータブルOpenSSHの最新バージョンであることに注意してください。サポート(つまりSSH_OLD_EVP)は、6.5p1のリリース後に削除されます。移植性のあるOpenSSHは最近のgcc風のコンパイラで、Linux、OS X、OpenBSD上でPosition Independent Executableとしてコンパイルとリンクを試みます。他のプラットフォームや古い/他のコンパイラは--with-pie configureフラグを使ってこれを要求することができます。
利用可能であれば、他の多くのツールチェーン関連の強化オプションが自動的に使用されます。たとえば、符号付き整数オーバーフローを中止する-ftrapv、動的リンク情報を書き込み保護するオプションなどがあります。これらのオプションの使用は、--without-hardening configureフラグを使用して無効にすることができます。
ツールチェーンがそれをサポートしている場合、-fstack-protector-strong、-fstack-protector-allまたは-fstack-protectorコンパイルフラグの1つを使用して、スタックオーバーフローに基づく攻撃を緩和するガードを追加します。これらのオプションの使用は、--without-stackprotect configureオプションを使用して無効にすることができます。
sshd(8):FreeBSD 10で導入されたCapsicum APIを使用して、事前認証サンドボックスのサポートを追加しました。
ChaCha20ベースのarc4random()PRNGに切り替えて、独自のプラットフォームを用意しないでください。
sshd(8):bz#2156:SIGHUPを処理するときにLinuxのoom_adj設定を復元し、再帰的な動作を維持します。
sshd(8):bz#2032:完全なクライアント名ではなく、krb5_kuserokチェックでローカルユーザ名を使用します。これはuser @ REALMという形式にすることができます。
ssh(1)、sshd(8):OpenSSLのECC NID番号の有無をテストし、実際に動作することを確認します。 Fedora(少なくとも)は動作しないNID_secp521r1を持っています。
bz#2173:pkg-config --libsを使用して、libeditの正しい-L場所を含めます。
sshd(8):AES-GCM暗号が選択されているときに再キーイング中にトリガされたメモリ破損問題を修正しました。
バージョン6.4p1の新機能:
。この脆弱性の詳細については、http://www.openssh.com/txt/gcmrekey.advを参照してください。
バージョン6.3p1の新機能:
機能:
sshd(8):ssh-agent(1)のサポートをsshd(8)に追加します。暗号化されたホスト鍵、またはスマートカード上のホスト鍵を許可します。
ssh(1)/ sshd(8):既存のRekeyLimitオプションの第2引数を介してオプションの時間ベースの再キーイングを可能にします。 RekeyLimitはクライアント上だけでなくsshd_configでもサポートされるようになりました。
sshd(8):ユーザ認証中の情報のロギングを標準化する。
表示されたキー/証明書とリモートユーザ名(使用可能な場合)は、ローカルユーザ名、リモートホスト/ポート、および使用中のプロトコルと同じログライン上の認証成功/失敗メッセージに記録されるようになりました。証明書の内容と署名CAの鍵の指紋も記録されます。
1行にすべての関連情報を含めることで、複数のログエントリに散在している情報を関連付ける必要がなくなり、ログ分析が簡単になります。
ssh(1):バイナリでサポートされている暗号、MACアルゴリズム、キータイプ、鍵交換メソッドを照会する機能を追加しました。
ssh(1):サポートProxyCommand = - stdinとstdoutがすでにプロキシを指しているサポートケースを許可する。
ssh(1):許可IdentityFile =なし
sftp(1):" reget"を使用して部分ダウンロードを再開するためのサポートを追加します。コマンドとsftpコマンドラインまたは "get" "-a"コマンドラインを使用するコマンドライン。 (追加)オプション。
ssh(1): "IgnoreUnknown"を追加します。構成オプションを使用して、未知の構成指示文に起因するエラーを選択的に抑止します。
sshd(8):AuthenticationMethodsを介してリストされた必要な認証メソッドにサブメソッドを追加するためのサポートを追加します。
バグの修正:
sshd(8):CAキーの前にauthorized_keysにCAキーと異なるタイプのキーが現れた場合、証明書を受け入れることを拒否します。
ssh(1)/ ssh-agent(1)/ sshd(8):キープアライブやrekeyingなどの作業がクロックステップ上正しく動作するように、タイマには単調な時間ソースを使用します。
sftp(1):データが送信されたときではなく、データが確認されたときに進行状況を更新します。 bz#2108
ssh(1)/ ssh-keygen(1):現在のユーザが/ etc / passwdに存在しない場合のエラーメッセージを改善します。 bz#2125
ssh(1):認証が部分的に成功した後で公開鍵が試される順序をリセットします。ssh-agent(1):デバッグモードのときにSIGINTの後にソケットファイルをクリーンアップする。 bz#2120
ssh(1)など:システムリゾルバの設定が壊れた場合のエラーメッセージを混乱させないようにする。 bz#2122
ssh(1):-Nで始まる接続のTCPノードを設定します。 bz#2124
ssh(1):〜/ .ssh / configの許可要件に関する正しいマニュアル。 bz#2078
ssh(1):TCP接続がハングアップした場合にControlPersistのタイムアウトが発生しないように修正しました。 bz#1917
ssh(1):ControlPersistマスタを制御端末から適切に取得します。
sftp(1):マルチバイト文字サポートでコンパイルされている場合、libeditのクラッシュを回避します。 bz#1990
sshd(8):sshd -Dを実行するときに、stderrへのログを明示的に要求しない限り、stderrを閉じます。 bz#1976、
ssh(1):不完全なbzeroを修正する。 bz#2100
sshd(8):ChrootDirectoryが指定され、ルート特権なしで実行されている場合、ログとエラーを返して終了します。
回帰テストスイートの多くの改良。特に、ログファイルは、失敗後にsshとsshdから保存されるようになりました。
いくつかのメモリリークを修正しました。 bz#1967 bz#2096その他
sshd(8):a:スタイルが要求されたユーザ名に追加されたときに公開鍵認証を修正する。
ssh(1):マルチプレックスで作成されたチャンネルをクリーンアップしようとすると、致命的に終了しません。 bz#2079
ポータブルOpenSSH:
contrib / cygwin / READMEの主要なオーバーホール
厳密な整合アーキテクチャのためのumac.cでのアライメントされていないアクセスを修正しました。 bz#2101
コンパイラがサポートしている場合は、-Wsizeof-pointer-memaccessを有効にします。 bz#2100
間違ったコマンドライン報告エラーを修正しました。 bz#1448
libcryptoに必要なサポートがある場合は、SHA256とECCベースの鍵交換方法のみを含めてください。
厳密な整合アーキテクチャでSOCKS5動的転送コードのクラッシュを修正しました。
Android用の移植性の修正:* Androidでlastlogを使用しようとしないでください。 bz#2111 *ネイティブcrypt()関数を持たないplatormsでopensslのDES_crypt関数を使用することに戻りました。 bz#2112 * fd_mask、howmany、NFDBITSをテストしていないplaformを列挙しようとするのではなく、テストしてください。 bz#2085 *標準化されていないS_IWRITEをS_IWUSRに置き換えてください。 bz#2085 *それを持っていないプラットフォーム(例えば、Android)のためのendgrentのヌル実装を追加してください。bz#2087 * struct passwd.pw_gecosのないAndroidなどのサポートプラットフォーム。 bz#2086
バージョン6.2p2の新機能:
sshd(8):システムヘッダーがコンパイル時にサポートされていれば、それを有効にできるかどうかにかかわらず、seccomp-filterサンドボックスは有効になりません。ランタイムシステムがseccomp-filterをサポートしていない場合、sshdはrlimit擬似サンドボックスにフォールバックします。
ssh(1):Kerberosライブラリにリンクしないでください。 sshd(8)だけでクライアント上では必要ありません。 bz#2072
Solaris上でGSSAPIリンクを修正しました。別名GSSAPIライブラリを使用します。 bz#2073
openssl-1.0.0-fipsのシステムでコンパイルを修正しました。
RPM仕様ファイルにいくつかのエラーを修正しました。
ポータブルOpenSSHのバグ修正:
バージョン5.8p1の新機能:
SELinuxサポートを有効にするとコンパイルエラーを修正しました。
SELinuxが無効のときにSELinux関数を呼び出さないでください。 bz#1851
コメントが見つかりません