http://www.openssh.org/txt/release-5.6 ------------------------------- Changes since OpenSSH 5.5 ========================= Features: * Added a ControlPersist option to ssh_config(5) that automatically starts a background ssh(1) multiplex master when connecting. This connection can stay alive indefinitely, or can be set to automatically close after a user-specified duration of inactivity. ControlPersist 設定項目を ssh_config(5) に追加した. 接続時に バックグラウンドの ssh(1) 多重化マスタを自動的に起動する. この接続はいつまでも生きつづけさせることもできるし, ユーザが指定する活動してない時間を過ぎたら自動的に閉じるように 設定できる. * Hostbased authentication may now use certificate host keys. CA keys must be specified in a known_hosts file using the @cert-authority marker as described in sshd(8). ホストベース認証が, 認証局のホスト鍵を利用できるようになる. CAの鍵は, sshd(8) で記述されているように @cert-authority マーカーを用いて known_hosts ファイル中で指定しなければ ならない. * ssh-keygen(1) now supports signing certificate using a CA key that has been stored in a PKCS#11 token. ssh-keygen(1) は, PKCS#11 トークン中に格納された CA鍵を用いて 証明書に署名できるようになる. * ssh(1) will now log the hostname and address that we connected to at LogLevel=verbose after authentication is successful to mitigate "phishing" attacks by servers with trusted keys that accept authentication silently and automatically before presenting fake password/passphrase prompts. ssh(1) は, LogLevel=verboseの際認証成功後に接続した hostname と address をログする. 偽の password/passphrase プロンプトを提示する前に 認証を静かに自動的に受け入れる信用された鍵を持っているサーバに よる "フィッシング" 攻撃を緩和する. Note that, for such an attack to be successful, the user must have disabled StrictHostKeyChecking (enabled by default) or an attacker must have access to a trusted host key for the destination server. 注: このような攻撃が成功するには, ユーザが (デフォルトでは有効な) StrictHostKeyChecking 設定項目を無効にしているか, 攻撃者が接続先サーバの信用されたホスト鍵にアクセスできなければならない. * Expand %h to the hostname in ssh_config Hostname options. While this sounds useless, it is actually handy for working with unqualified hostnames: ssh_config Hostname 設定項目で %h を ホスト名に展開する. これは 無益にみえるが, unqualified hostname (限定されてないホスト名) と 共に働くと便利だ. Host *.* Hostname %h Host * Hostname %h.example.org * Allow ssh-keygen(1) to import (-i) and export (-e) of PEM and PKCS#8 keys in addition to RFC4716 (SSH.COM) encodings via a new -m option (bz#1749) ssh-keygen(1) が PEM と PKCS#8 の鍵を import (-i), export(-e)できる ようになる. 加えて, RFC4716 (SSH.COM) エンコーディングも 新しい -m オプションで対応する(bz#1749). * sshd(8) will now queue debug messages for bad ownership or permissions on the user's keyfiles encountered during authentication and will send them after authentication has successfully completed. These messages may be viewed in ssh(1) at LogLevel=debug or higher. ssh(8) は, 認証時に遭遇するユーザの鍵ファイルの悪い ownership や permission について デバッグメッセージを キューに入れるようになる. そして, これらのメッセージをユーザが認証に成功したあとで送る. これらのメッセージは ssh(1)で LogLevel=debug 以上で見ることができる. * ssh(1) connection multiplexing now supports remote forwarding with dynamic port allocation and can report the allocated port back to the user: ssh(1) 接続の多重化は, 動的なポートを使うリモート転送をサポートする. また, ユーザに割り当てられたポートを報告できる. LPORT=`ssh -S muxsocket -R0:localhost:25 -O forward somehost` * sshd(8) now supports indirection in matching of principal names listed in certificates. By default, if a certificate has an embedded principals list then the username on the server must match one of the names in the list for it to be accepted for authentication. sshd(8) は, 証明書に挙げられたプリンシパル名の一致で indirection(間接指定?)をサポートする. デフォルトでは, 証明書が埋めこみプリンシパルリストを持っていたら, その証明書を用いて認証が受け入れられるためには, 接続先のユーザ名がそのリストの名前の1つと一致しなければならない. sshd(8) now has a new AuthorizedPrincipalsFile option to specify a file containing a list of names that may be accepted in place of the username when authorizing a certificate trusted via the sshd_config(5) TrustedCAKeys option. Similarly, authentication using a CA trusted in ~/.ssh/authorized_keys now accepts a principals="name1[,name2,...]" to specify a list of permitted names. sshd(8) は, sshd_config(5) の TrustedCAKeys 設定項目によって信用 された証明書を認証する際に ,ユーザ名の代りに受け入れる名前のリストを を含むファイルを指定する AuthorizedPrincipalsFile 設定項目をサポートする. 同様に ~/.ssh/authorized_keys で信用された CAを用いる認証は, principals="name1[,name2,...]" のように許可する名前のリストの 指定を受け入れる. If either option is absent, the current behaviour of requiring the username to appear in principals continues to apply. These options are useful for role accounts, disjoint account namespaces and "user@realm"-style naming policies in certificates. どちらの設定もない場合, プリンシパル中に現れるユーザ名を要求する 現在の振舞いが適用され続ける. これらの設定項目は, 証明書の中でアカウントの名前空間と "user@realm"形式の名前付けポリシー を分離する, 役割のアカウントに有用だ. * Additional sshd_config(5) options are now valid inside Match blocks: Matchブロック中で有効な sshd_config(5)設定項目が追加される. AuthorizedKeysFile AuthorizedPrincipalsFile HostbasedUsesNameFromPacketOnly PermitTunnel * Revised the format of certificate keys. The new format, identified as ssh-{dss,rsa}-cert-v01@openssh.com includes the following changes: 証明書鍵の形式が改訂された. ssh-{dss,rsa}-cert-v01@openssh.com で 識別される新しいフォーマットは, 次の変更を含んでいる. - Adding a serial number field. This may be specified by the CA at the time of certificate signing. シリアル番号のフィールドが追加. 証明書署名の時にCAによって 指定される場合がある. - Moving the nonce field to the beginning of the certificate where it can better protect against chosen-prefix attacks on the signature hash (currently infeasible against the SHA1 hash used) 証明書の最初にナンスのフィールドを移動. これは, (現在 SHA1ハッシュを用いたものには実行不可能な) 署名のハッシュへの 接頭辞選択攻撃により良い保護を行なう. - Renaming the "constraints" field to "critical options" "constraints" フィールドを "critical options" に名前を変更. - Addng a new non-critical "extensions" field. The "permit-*" options are now extensions, rather than critical options to permit non-OpenSSH implementation of this key format to degrade gracefully when encountering keys with options they do not recognize. 新しい重要ではない "extensions" フィールドを追加. "permit-*" オプションは extensions になり, 重要なオプションではない. OpenSSHではないこの鍵フォーマットの実装が, 理解できないオプションを持つ鍵を処理する際にきれいに機能を落せる ようになった. The older format is still supported for authentication and may still be used when signing certificates (use "ssh-keygen -t v00 ..."). The v00 format, introduced in OpenSSH 5.4, will be supported for at least one year from this release, after which it will be deprecated and removed. 以前のフォーマットも 認証のためにはサートされ, 証明書に署名する (use "ssh-keygen -t v00 ...") ために利用できる. OpenSSH 5.4 で導入された v00 フォーマットは, このリリース以後 少なくとも1年サポートされる. その後非推奨となり削除されるだろう. BugFixes: バグ修正: * The PKCS#11 code now retries a lookup for a private key if there is no matching key with CKA_SIGN attribute enabled; this fixes fixes MuscleCard support (bz#1736) PKCS#11 のコードは, CKA_SIGN 属性が有効な鍵がみつからない場合に 秘密鍵の検索を再試行する. この修正は MuscleCard サポートを修正する (bz#1736) * Unbreak strdelim() skipping past quoted strings (bz#1757). For example, the following directive was not parsed correctly: strdelim()のクオートされた文字列のあとの空白をスキップしない バグを修正した (bz#1757) . 例えば, 次の指定が正しくパースできなかった. AllowUsers "blah blah" blah * sftp(1): fix swapped args in upload_dir_internal(), breaking recursive upload depth checks and causing verbose printing of transfers to always be turned on (bz#1797) sftp(1): upload_dir_internal() で引数が入れかわっていたのを修正. 再帰的なアップロードの深さチェックが破壊されていて, 転送の冗長な 印字が常に有効になっていた (bz#1797) * Fix a longstanding problem where if you suspend scp(1) at the password/passphrase prompt the terminal mode is not restored. 長年の問題だった, scp(1)を password/passphrase プロンプトで サスペンドするとターミナルモードが復元しない問題が修正 * Fix a PKCS#11 crash on some smartcards by validating the length returned for C_GetAttributValue (bz#1773) C_GetAttributValue が返す長さのチェックで いくつかのスマートカードで PKCS#11 がクラッシュしていたのを修正 * sftp(1): fix ls in working directories that contain globbing characters in their pathnames (bz#1655) sftp(1): パス名に glob文字を含む作業ディレクトリでに ls を修正 (bz#1655) * Print warning for missing home directory when ChrootDirectory=none (bz#1564) ChrootDirectory=none時にホームディレクトリがなければ警告を表示 (bz#1564) * sftp(1): fix a memory leak in do_realpath() error path (bz#1771) sftp(1): do_realpath() のエラーパスでのメモリリークを修正 (bz#1771) * ssk-keygen(1): Standardise error messages when attempting to open private key files to include "progname: filename: error reason" (bz#1783) ssh-keygen(1): 秘密鍵ファイルを開こうとする際のエラーメッセージを "progname: filename: error reason" を含むように標準化 (bz#1783) * Replace verbose and overflow-prone Linebuf code with read_keyfile_line() (bz#1565) read_keyfile_line() の冗長でオーバーフローしがちな Linebuf コードを 置換 (bz#1565) * Include the user name on "subsystem request for ..." log messages "subsystem request for ..." ログメッセージにユーザ名を含めるように * ssh(1) and sshd(8): remove hardcoded limit of 100 permitopen clauses and port forwards per direction (bz#1327) ssh(1) と sshd(8) permitopen 節と方向ごとのポート転送で 100にハードコードされた制限を削除 (bz#1327) * sshd(8): ignore stderr output from subsystems to avoid hangs if a subsystem or shell initialisation writes to stderr (bz#1750) sshd(8): サブシステムやシェルの初期化が標準エラーに出力するときに ハングしないようにサブシステムからの標準エラー出力を無視 (bz#1750) * Skip the initial check for access with an empty password when PermitEmptyPasswords=no (bz#1638) PermitEmptyPasswords=no 時に パスワードなしでのアクセスの 初期チェックをスキップ (bz#1638) * sshd(8): fix logspam when key options (from="..." especially) deny non-matching keys (bz#1765) sshd(8): 鍵のオプション (特に from="...")が一致しない鍵を拒否する 際の ログスパムを修正 (bz#1765) * ssh-keygen(1): display a more helpful error message when $HOME is inaccessible while trying to create .ssh directory (bz#1740) ssh-keygen(1): .ssh ディレクトリを作成する際に $HOME が アクセス不能の場合, より助けになるエラーメッセージを出力 (bz#1740) * ssh(1): fix hang when terminating a mux slave using ~. (bz#1758) ssh(1): 多重化 slave を ~ を使って終了する際のハングを修正. (bz#1758) * ssh-keygen(1): refuse to generate keys longer than OPENSSL_[RD]SA_MAX_MODULUS_BITS, since we would refuse to use them anyway (bz#1516) ssh-keygen(1): OPENSSL_[RD]SA_MAX_MODULUS_BITS を越える鍵の作成を 拒否. どちらにしろこれらを使うことはできないので (bz#1516) * Suppress spurious tty warning when using -O and stdin is not a tty (bz#1746) -O を利用し stdin が tty でない場合に 偽のtty警告を抑制 (bz#1746) * Kill channel when pty allocation requests fail. Fixed stuck client if the server refuses pty allocation (bz#1698) pty割り当て要求が失敗したらチャンネルを終了. サーバがpty割り当てを 拒否したときの クライアントのスタックを修正 (bz#1698) Portable OpenSSH Bugfixes: 移植版 OpenSSH バグ修正: * sshd(8): increase the maximum username length for login recording to 512 characters (bz#1579) sshd(8): ログイン記録のための最大ユーザ名長を 512文字まで増加 (bz#1579) * Initialize the values to be returned from PAM to sane values in case the PAM method doesn't write to them. (bz#1795) PAMのメソッドがそれらに書き込めない場合に PAMから返された値を健全な値に初期化するようにした. (bz#1795) * Let configure find OpenSSL libraries in a lib64 subdirectory. (bz#1756) configure が lib64 サブディレクトリにある OpenSSL ライブラリを 見つけられるようにした. (bz#1756)