訳者記: http://www.rc.tutrp.tut.ac.jp/%7Enakaji/install/NEWS/net/openssh.html にて中治 弘行が「 NEWS-OS 4.x で OpenSSH を導入する」が公開されています. # 龍咲ぎるくさんから誤字のご指摘を頂きました. (2002/9/3) # version 9.1p1 1. Prerequisites ---------------- 1. 前提条件 A C compiler. Any C89 or better compiler that supports variadic macros should work. Where supported, configure will attempt to enable the compiler's run-time integrity checking options. Some notes about specific compilers: - clang: -ftrapv and -sanitize=integer require the compiler-rt runtime (CC=clang LDFLAGS=--rtlib=compiler-rt ./configure) C コンパイラ. 可変長引数のマクロをサポートするC89 以上のコンパイラが利用できる. サポートされているならば, configure は コンパイラの実行時整合性チェックオプション を有効にしようとします. 特定のコンパイラについての注意: - clang: -ftrapv と -sanitize=integer は compiler-rt ランタイムを必要とします. (CC=clang LDFLAGS=--rtlib=compiler-rt ./configure) To support Privilege Separation (which is now required) you will need to create the user, group and directory used by sshd for privilege separation. See README.privsep for details. (現在必須の)特権分離のサポートのために, 特権分離のために sshd が 利用するユーザ/グループ/ディレクトリを作成する必要があります. 詳細は README.privsep を参照してください. The remaining items are optional. 残りはオプションです. A working installation of zlib: Zlib 1.1.4 or 1.2.1.2 or greater (earlier 1.2.x versions have problems): https://zlib.net/ zlib の実際に動く実装: Zlib 1.1.4 ないし 1.2.1.2 以上 (それより前の 1.2.x のバージョンには問題があります) http://www.gzip.org/zlib/ libcrypto from either of LibreSSL or OpenSSL. Building without libcrypto is supported but severely restricts the avialable ciphers and algorithms. - LibreSSL (https://www.libressl.org/) 3.1.0 or greater - OpenSSL (https://www.openssl.org) 1.1.1 or greater LibreSSL ないし OpenSSL のどちらかによる libcrypto. libcrypto なしでのビルドもサポートしていますが, 利用できる暗号とアルゴリズムが 非常に限られます. - LibreSSL (https://www.libressl.org/) 3.1.0 以上 - OpenSSL (https://www.openssl.org) 1.1.1 以上 LibreSSL/OpenSSL should be compiled as a position-independent library (i.e. -fPIC, eg by configuring OpenSSL as "./config [options] -fPIC" or LibreSSL as "CFLAGS=-fPIC ./configure") otherwise OpenSSH will not be able to link with it. If you must use a non-position-independent libcrypto, then you may need to configure OpenSSH --without-pie. LibreSSL/OpenSSL は 位置独立ライブラリ (つまり -fPIC 付きで, OpenSSL のの設定では "./config [options] -fPIC" として LibreSSL では "CFLAGS=-fPIC ./configure" として) としてコンパイルされている必要があります. そうでなければ, OpenSSH は これらをリンクできないかもしれません. もし 位置独立でない libcrypto を 利用しなければならないなら, OpenSSH を --without-pie で設定する 必要があるかもしれません. If you build either from source, running the OpenSSL self-test ("make tests") or the LibreSSL equivalent ("make check") and ensuring that all tests pass is strongly recommended. もしソースから libcrypto をビルドするなら, OpenSSL の 自己テスト ("make tests") か LibreSSL の同等のもの ("make check") を実行し, すべてのテストが通ることを 保証するのを強く勧めます. NB. If you operating system supports /dev/random, you should configure (LibreSSL/OpenSSL) to use it. OpenSSH relies on libcrypto's direct support of /dev/random, or failing that, either prngd or egd. 注意: あなたの OS が/dev/random をサポートしているなら, (LibreSSL/OpenSSL) がそれを使う ように設定する必要があります. OpenSSH は libcrypto の直接の /dev/random サポートを信頼しています, /dev/random がない場合は, prngd か egdを信頼します. PRNGD: If your system lacks Kernel based random collection, the use of Lutz Jaenicke's PRNGd is recommended. It requires that libcrypto be configured +to support it. http://prngd.sourceforge.net/ カーネルベースの乱数生成ができない環境ならば, Lutz Jaenicke 氏の PRNGd を 使うことをお薦めします. libcrypto がこの PRNGd を利用するように設定されている 必要があります. EGD: The Entropy Gathering Daemon (EGD) supports the same interface as prngd. It also supported only if libcrypto is configured to support it. Entropy Gathering Daemon (EGD) も prngd として同様のインタフェイスをサポートします. こちらも libcrypto が EGD を利用するように設定されている 必要があります. http://egd.sourceforge.net/ PAM: OpenSSH can utilise Pluggable Authentication Modules (PAM) if your system supports it. PAM is standard most Linux distributions, Solaris, HP-UX 11, AIX >= 5.2, FreeBSD, NetBSD and Mac OS X. OpenSSHは, システムがサポートするならば, Pluggable Authentication Modules (PAM) を利用できます. PAMは, 多くの Linux のディストリビューション, Solaris, HP-UX 11, AIX 5.2以上, FreeBSD, NetBSD, Mac OS X で標準です. Information about the various PAM implementations are available: 様々なPAMの実装についての情報は以下にあります. Solaris PAM: http://www.sun.com/software/solaris/pam/ Linux PAM: http://www.kernel.org/pub/linux/libs/pam/ OpenPAM: http://www.openpam.org/ If you wish to build the GNOME passphrase requester, you will need the GNOME libraries and headers. GNOME の passphrase requester を作りたいなら, GNOME のライブラリとヘッダが 必要です. GNOME: http://www.gnome.org/ GNOME passphrese requester ( ssh-askpass ) を作りたいならば, GNOME のライブラリとヘッダが必要です. Alternatively, Jim Knoble has written an excellent X11 passphrase requester. This is maintained separately at: http://www.jmknoble.net/software/x11-ssh-askpass/ あるいは, Jim Knoble が書いてくれた 素晴しい X11 passphrase requester があります. これは OpenSSH とは 別に管理されていて: http://www.ntrnet.net/~jmknoble/software/x11-ssh-askpass/index.html にあります. LibEdit: sftp supports command-line editing via NetBSD's libedit. If your platform has it available natively you can use that, alternatively you might try these multi-platform ports: http://www.thrysoee.dk/editline/ http://sourceforge.net/projects/libedit/ NetBSD の libedit によって sftpは コマンドライン編集をサポートします. プラットフォームがネイティブにこのライブラリを有効にしているなら, 利用できます. もしくは, これらの マルチプラットフォームな移植を試せます. LDNS: LDNS is a DNS BSD-licensed resolver library which supports DNSSEC. http://nlnetlabs.nl/projects/ldns/ LDNS は, DNSSEC をサポートする BSD ライセンスの DNS リゾルバライブラリです. Autoconf: If you modify configure.ac or configure doesn't exist (eg if you checked the code out of git yourself) then you will need autoconf-2.69 and automake-1.16.1 to rebuild the automatically generated files by running "autoreconf". Earlier versions may also work but this is not guaranteed. http://www.gnu.org/software/autoconf/ http://www.gnu.org/software/automake/ configure.acを編集したり (git から自分でチェックアウトして) configure が存在しないとき, "autoreconf" を走らせて自動的に生成されるファイルを再作成するのに autoconf-2.69 と automake-1.15.1 が必要です. それより前のバージョンも動くと思われますが, 保証しません. Basic Security Module (BSM): Native BSM support is known to exist in Solaris from at least 2.5.1, FreeBSD 6.1 and OS X. Alternatively, you may use the OpenBSM implementation (http://www.openbsm.org). ネイティブな BSM サポートが 少なくとも2.5.1以降の Solaris や FreeBSD 6.1, OS Xで利用できます. 代りに, OpenBSM の実装(http://www.openbsm.org)を使うことも できます. makedepend: https://www.x.org/archive/individual/util/ If you are making significant changes to the code you may need to rebuild the dependency (.depend) file using "make depend", which requires the "makedepend" tool from the X11 distribution. コードに重要な変更をして "make depend" で依存性ファイル (.depend) を更新する必要がある場合は, X11 の配布に含まれる "makedepend" ツール が必要となります. libfido2: libfido2 allows the use of hardware security keys over USB. libfido2 in turn depends on libcbor. libfido2 >= 1.4.0 is needed. libfido2 によりUSB 上のハードウェアセキュリティキーの利用ができます. libfido2 は libcbor に依存しています. libfido2 1.4.0 以上が必要です. https://github.com/Yubico/libfido2 https://github.com/pjk/libcbor 2. Building / Installation -------------------------- 2. 作成 / インストール To install OpenSSH with default options: デフォルトのオプションによって OpenSSH をインストールするには ./configure make make install とします. This will install the OpenSSH binaries in /usr/local/bin, configuration files in /usr/local/etc, the server in /usr/local/sbin, etc. To specify a different installation prefix, use the --prefix option to configure: こうすると, OpenSSH のバイナリは /usr/local/bin に, 設定ファイルは/usr/local/etc に, サーバは /usr/local/sbin に などなど といった具合にインストールされます. ( /usr/local とは ) 別の インストール prefix を特定したい場合には, ./configure --prefix=/opt make make install のようにすると, Will install OpenSSH in /opt/{bin,etc,lib,sbin}. You can also override specific paths, for example: OpenSSH を /opt/{bin,etc,lib,sbin} にインストールします. 特定のパスを 上書きすることもできて, ./configure --prefix=/opt --sysconfdir=/etc/ssh make make install とすれば This will install the binaries in /opt/{bin,lib,sbin}, but will place the configuration files in /etc/ssh. バイナリは /opt/{bin,lib,sbin} にインストールし, 設定ファイルを /etc/ssh にインストールします. If you are using PAM, you may need to manually install a PAM control file as "/etc/pam.d/sshd" (or wherever your system prefers to keep them). Note that the service name used to start PAM is __progname, which is the basename of the path of your sshd (e.g., the service name for /usr/sbin/osshd will be osshd). If you have renamed your sshd executable, your PAM configuration may need to be modified. PAM をお使いの場合は, "/etc/pam.d/sshd" (ないしは システムが それを保存するのを好む場所 ) のような PAM の制御ファイルを 手動でインストールする必要があります. PAM をスタートするのに 用いられるサービス名は, sshd のパスの basename (ファイル名からディレクトリとサフィックスを取り除いたもの) になっています ( /usr/sbin/osshd の サービス名は, osshd となります). もし, sshd の実行形式の名前を変えたなら, PAM の設定も変更しなければなりません. A generic PAM configuration is included as "contrib/sshd.pam.generic", you may need to edit it before using it on your system. If you are using a recent version of Red Hat Linux, the config file in contrib/redhat/sshd.pam should be more useful. Failure to install a valid PAM file may result in an inability to use password authentication. On HP-UX 11 and Solaris, the standard /etc/pam.conf configuration will work with sshd (sshd will match the other service name). 一般的な PAM の設定は (OpenSSH package 中の)"contrib/sshd.pam.generic" に含まれていて, 使う前に編集する必要があるでしょう. 最近の version の Redhat Linux を 使っているなら, 設定ファイル contrib/redhat/sshd.pam のほうが より有用です. 有効な PAM のファイルをインストールしないと, パスワード認証が 使用できません. HP-UX 11 と Solaris では, 標準の/etc/pam.conf の設定で sshd と PAM がうまく動きます (sshd は 別のサービス名とマッチします). There are a few other options to the configure script: configure スクリプトの その他の幾つかのオプションを示します. --with-audit=[module] enable additional auditing via the specified module. Currently, drivers for "debug" (additional info via syslog) and "bsm" (Sun's Basic Security Module) are supported. --with-audit=[module]は, 指定されたモジュールによる追加の監査を有効にします. 現在, "debug" (syslogによる追加の情報) と "bsm" (Sunの Basic Security Modules) がサポートされています. --with-pam enables PAM support. If PAM support is compiled in, it must also be enabled in sshd_config (refer to the UsePAM directive). --with-pam は PAM のサポートを有効にします. PAMのサポートを有効にして コンパイルした場合には, sshd_configの中でも有効にされなければなりません. (UsePAM 設定項目を参照のこと) --with-prngd-socket=/some/file allows you to enable EGD or PRNGD support and to specify a PRNGd socket. Use this if your Unix lacks /dev/random. --with-pngrd-socket=/some/file は EGD ないし PRNGD のサポートを 有効にし, PRNGd の プールソケットを指定します. システムに/dev/random が ない場合にこのオプションを使います. --with-prngd-port=portnum allows you to enable EGD or PRNGD support and to specify a EGD localhost TCP port. Use this if your Unix lacks /dev/random and you don't want to use OpenSSH's builtin entropy collection support. --with-prngd-port=portnum は EGD ないし PRNGD のサポートを 有効にし ローカルホストの EGD のポート番号を指定します. システムに /dev/random がなく, OpenSSH の内部 entropy collection サポートを 使用したくないならこのオプションを使います. --with-lastlog=FILE will specify the location of the lastlog file. ./configure searches a few locations for lastlog, but may not find it if lastlog is installed in a different place. --with-lastlog=FILE で lastlog ファイルの場所を指定します. ./configure は lastlog について いくつかの場所を探しますが, 違った場所に lastlog がインストールされていれば, 見付けることが できないでしょう. --without-lastlog will disable lastlog support entirely. --without-lastlog は lastlog のサポートを完全に無効にします. --with-osfsia, --without-osfsia will enable or disable OSF1's Security Integration Architecture. The default for OSF1 machines is enable. --with-osfsia, -without-osfsia で, OSF1 のセキュリティ統合構造を 有効にしたり無効にしたりできます. OSF1 環境でのデフォルトは有効です. --with-tcp-wrappers will enable TCP Wrappers (/etc/hosts.allow|deny) support. --with-tcp-wrappers は TCP Wrappers (/etc/hosts.allow|deny) の サポート を有効にします. --with-utmpx enables utmpx support. utmpx support is automatic for some platforms. --with-utmpx は utmpx のサポートを有効にします. utmpx のサポートは いくつかのプラットホームでは自動的に有効になります. --without-shadow disables shadow password support. --without-shadow は shadow パスワードのサポートを無効にします. --with-ipaddr-display forces the use of a numeric IP address in the $DISPLAY environment variable. Some broken systems need this. --with-ipaddr-display は 環境変数 $DISPLAY で (数字の) IP アドレスを 使うよう強制します. 怪しいシステムでは必要となります. --with-default-path=PATH allows you to specify a default $PATH for sessions started by sshd. This replaces the standard path entirely. --with-default-path で sshd によってスタートするセッションのデフォルトの 環境変数 $PATH を 指定できます. これは 標準のパスを完全に置きかえます. --with-pid-dir=PATH specifies the directory in which the sshd.pid file is created. --with-pid-dir=PATH で sshd.pid ファイルが作られるディレクトリを指定します. --with-xauth=PATH specifies the location of the xauth binary --with-xauth=PATH で xauth の実行形式の場所を指定します. --with-ssl-dir=DIR allows you to specify where your Libre/OpenSSL libraries are installed. --with-ssl-dir=DIR で Libre/OpenSSL ライブラリがインストールされている場所 を指定できます. --with-ssl-engine enables OpenSSL's (hardware) ENGINE support --with-ssl-engine で OpenSSLの(ハードウェア) ENGINE サポートが有効になります. --without-openssl builds without using OpenSSL. Only a subset of ciphers and algorithms are supported in this configuration. --without-openssl は OpenSSL を利用せずにビルドします. この設定では 暗号とアルゴリズムのサブセットのみがサポートされます. --without-zlib builds without zlib. This disables the Compression option. --without-zlib は zlib なしでビルドします. これは Compression 設定項目を 無効にします. --with-4in6 Check for IPv4 in IPv6 mapped addresses and convert them to real (AF_INET) IPv4 addresses. Works around some quirks on Linux. --with-4in6 は 射影された IPv6 アドレス中の IPv4 のアドレスを 調べて, それらを本当の (AF_INET の) IPv4 のアドレスに変換します. これは, Linux のいくつかの癖をごまかします. If you need to pass special options to the compiler or linker, you can specify these as environment variables before running ./configure. For example: CC="/usr/foo/cc" CFLAGS="-O" LDFLAGS="-s" LIBS="-lrubbish" ./configure コンパイラやリンカに特別なオプションを付ける必要があるなら ./configure を走らせる前に, 環境変数としてそれらを指定できます. 3. Configuration ---------------- 3. 設定 The runtime configuration files are installed by in ${prefix}/etc or whatever you specified as your --sysconfdir (/usr/local/etc by default). 実行時用設定ファイルは ${prefix}/etc ないし --sysconfdir で 指定したところにインストールされます (デフォルトでは /usr/local/etc). The default configuration should be instantly usable, though you should review it to ensure that it matches your security requirements. デフォルトの設定で直ちに使うことができるでしょうが, 設定がセキュリティについての要求を満しているかよく確かめるべきです. To generate a host key, run "make host-key". Alternately you can do so manually using the following command: ssh-keygen -t [type] -f /etc/ssh/ssh_host_key -N "" for each of the types you wish to generate (rsa, dsa or ecdsa) or ssh-keygen -A to generate keys for all supported types. ホスト鍵を作るには, "make host-key" を実行します. 手動で鍵を作る こともできて, あなたが作りたい種類(rsa や dsa, ecdsa)の鍵を作成するなら 次のようにします. ssh-keygen -t [type] -f /etc/ssh/ssh_host_key -N "" すべてのサポートされた種類の鍵を作るには次のようにします. ssh-keygen -A Replacing /etc/ssh with the correct path to the configuration directory. (${prefix}/etc or whatever you specified with --sysconfdir during configuration). 例中の /etc/ssh は設定ディレクトリの正しいパスに置き換えて下さい. (${prefix}/etc ないし (設定で)--sysconfdir で指定したところ) If you have configured OpenSSH with EGD/prngd support, ensure that EGD is or prngd is running and has collected some entropy first. EGD/prngd サポートを有効にして OpenSSH を設定したならば, EGD か prngd が走っていて エントロピーを集めてるかまず確かめましょう. For more information on configuration, please refer to the manual pages for sshd, ssh and ssh-agent. 設定についてより多くの情報が知りたいのでしたら, sshd や ssh,ssh-agent の マニュアルページを参照して下さい. 4. (Optional) Send survey ------------------------- 4. システム設定情報の調査結果を送信する $ make survey [check the contents of the file "survey" to ensure there's no information that you consider sensitive] $ make send-survey [survey ファイルの内容をチェックしてあなたが機密だと思う情報がないか確認してください] This will send configuration information for the currently configured host to a survey address. This will help determine which configurations are actually in use, and what valid combinations of configure options exist. The raw data is available only to the OpenSSH developers, however summary data may be published. これは, 現在の設定されたホストの設定情報を調査アドレスへ送信します. これは, どのような設定が実際に使われているか またconfigure のオプションのどのような正当な組合せがあるか を測定するのを助けます. 生のデータは OpenSSH の開発者のみが利用しますが, 集計されたデータは公開されるかもしれません. 5. Problems? ------------ 5. 問題? If you experience problems compiling, installing or running OpenSSH. Please refer to the "reporting bugs" section of the webpage at https://www.openssh.com/ OpenSSH のコンパイル時, インストール時, 実行時に問題を見つけたら Web ページ https://www.openssh.com/ 中の "reporting bugs" セクションを参照して下さい.