http://www.openssh.org/txt/release-5.9 Changes since OpenSSH 5.8 ========================= Features: * Introduce sandboxing of the pre-auth privsep child using an optional sshd_config(5) "UsePrivilegeSeparation=sandbox" mode that enables mandatory restrictions on the syscalls the privsep child can perform. This intention is to prevent a compromised privsep child from being used to attack other hosts (by opening sockets and proxying) or probing local kernel attack surface. privsep (特権分離) 子プロセスが実行できるシステムコールを強制的に 制限できる 新しい sshd_config(5) の 選択項目 "UsePrivilegeSeparation=sandbox" モードを 用いて, 認証前の privsep の子プロセスのサンドボックスを導入する. この目的は, 攻撃を受けた privsep の子プロセスが (ソケットを開いたりプロキシして) 別のホストを攻撃するのに利用されたり, ローカルのカーネル攻撃の可能性を探査するのを防ぐことだ. Three concrete sandbox implementation are provided (selected at configure time): systrace, seatbelt and rlimit. 3つのサンドボックス実装が提供されている( configure 時に選択する): systrace と, seatbelt, rlimit. The systrace sandbox uses systrace(4) in unsupervised "fast-path" mode, where a list of permitted syscalls is supplied. Any syscall not on the list results in SIGKILL being sent to the privsep child. Note that this requires a kernel with the new SYSTR_POLICY_KILL option (only OpenBSD has this mode at present). systrace サンドボックスは, 許可するシステムコールのリストが与えられている 監督されていない "fast-pash" モードの systrace(4) を用いる. リストに載っていないシステムコールを用いると, privsep の子プロセスに SIGKILL が送られる. これは, 新しい SYSTR_POLICY_KILL オプションが 有効なカーネルを要求する(現在OpenBSDのみがこのモードを持っている)ことに注意. The seatbelt sandbox uses OS X/Darwin sandbox(7) facilities with a strict (kSBXProfilePureComputation) policy that disables access to filesystem and network resources. seatbelt サンドボックスは, ファイルシステムとネットワーク資源への アクセスを無効にする strict (KSBXPROFILEPURECOMPUTATION) ポリシーで OS X/Darwin sandbox(7) 機能を用いる. The rlimit sandbox is a fallback choice for platforms that don't support a better one; it uses setrlimit() to reset the hard-limit of file descriptors and processes to zero, which should prevent the privsep child from forking or opening new network connections. rlimit サンドボックスは, よりよいサンドボックスをサポートしていない プラットフォームでのフォールバックな選択だ. setrlimit() を用いて, ファイルディスクリプタ と プロセスの ハードリミットを 0 にリセットする. これは, privsep の子プロセスが fork したり 新しいネットワーク接続を 開始するのを防ぐ. Sandboxing of the privilege separated child process is currently experimental but should become the default in a future release. Native sandboxes for other platforms are welcome (e.g. Capsicum, Linux pid/net namespaces, etc.) 特権分離された子プロセスのサンドボックス化は, 現在は実験的なものだ しかし, 将来のリリースでデフォルトとなるだろう. 他のプラットフォームのナイティブなサンドボックスを喜んで受け入れる (例えば, Capsicum, Linux pid/net 名前空間など). * Add new SHA256-based HMAC transport integrity modes from http://www.ietf.org/id/draft-dbider-sha2-mac-for-ssh-02.txt These modes are hmac-sha2-256, hmac-sha2-256-96, hmac-sha2-512, and hmac-sha2-512-96, and are available by default in ssh(1) and sshd(8) http://www.ietf.org/id/draft-dbider-sha2-mac-for-ssh-02.txt からの 新しい SHA256 ベースの HMAC 転送完全性モード を追加する. hmac-sha2-256, hmac-sha2-256-96, hmac-sha2-512, hmac-sha2-512-96 がそのモードで, ssh(1) と sshd(8) でデフォルトで利用可能だ. * The pre-authentication sshd(8) privilege separation slave process now logs via a socket shared with the master process, avoiding the need to maintain /dev/log inside the chroot. 認証前の sshd(8) の特権分離されたスレーブのプロセスは, マスタープロセスと 共有するソケット経由でログを出力する. chroot 内部で /dev/log を 維持する必要をなくすためだ. * ssh(1) now warns when a server refuses X11 forwarding ssh(1) は, サーバがX11転送を拒否した際に警告する. * sshd_config(5)'s AuthorizedKeysFile now accepts multiple paths, separated by whitespace. The undocumented AuthorizedKeysFile2 option is deprecated (though the default for AuthorizedKeysFile includes .ssh/authorized_keys2) sshd_config(5) の AuthorizedKeysFile は 空白で区切られた 複数のパスを受け入れる. 文書化されていない AuthorizedKeysFile2 設定項目は 非推奨だ ( ただし, AuthorizedKeysFile のデフォルトは .ssh/authorized_keys2 を含んでいる ) * sshd_config(5): similarly deprecate UserKnownHostsFile2 and GlobalKnownHostsFile2 by making UserKnownHostsFile and GlobalKnownHostsFile accept multiple options and default to include known_hosts2 sshd_config(5): 同様に UserKnownHostsFile2 と GlobalKnownHostsFile2 非推奨となる. UserKnownHostsFile と GlobalKnownHostsFile が複数の 設定を受け入れ, これらはデフォルトで known_hosts2 を含む. * Retain key comments when loading v.2 keys. These will be visible in "ssh-add -l" and other places. bz#439 v.2 鍵をロードする際, 鍵コメントを維持する. これらは "ssh-add -l" などで 見ることができる. bz#439 * ssh(1) and sshd(8): set IPv6 traffic class from IPQoS (as well as IPv4 ToS/DSCP). bz#1855 ssh(1) と sshd(8): (IPV4 ToS/DSCP と同様に) IPQoS を IPv6 トラフィック クラスに設定する. * ssh_config(5)'s ControlPath option now expands %L to the host portion of the destination host name. ssh_config(5) の ControlPath オプションは, %L を 接続先ホスト名の ホスト部に展開する. * ssh_config(5) "Host" options now support negated Host matching, e.g. ssh_config(5) の "Host" 設定項目は ホストの否定のマッチをサポートする. たとえば, Host *.example.org !c.example.org User mekmitasdigoat Will match "a.example.org", "b.example.org", but not "c.example.org" は, "a.example.org", "b.example.org" にマッチするが, "c.example.org" にはマッチしない. * ssh_config(5): a new RequestTTY option provides control over when a TTY is requested for a connection, similar to the existing -t/-tt/-T ssh(1) commandline options. ssh_config(5): 新しい RequestTTY 設定項目は, 既存の ssh(1) コマンドライン オプション -t/-tt/-T と同様に 接続に TTY を要求するかの制御を提供する. * sshd(8): allow GSSAPI authentication to detect when a server-side failure causes authentication failure and don't count such failures against MaxAuthTries; bz#1244 sshd(8): GSSAPI認証で, サーバサイドでの失敗が認証の失敗となる場合を 検出し, その失敗を MaxAuthTries にカウントしない bz#1244 * ssh-keygen(1): Add -A option. For each of the key types (rsa1, rsa, dsa and ecdsa) for which host keys do not exist, generate the host keys with the default key file path, an empty passphrase, default bits for the key type, and default comment. This is useful for system initialisation scripts. ssh-keygen(1); -A オプションを追加する. 鍵の種類 (rsa1, rsa, das, ecdsa) それぞれに対してホスト鍵が存在しない場合, デフォルトの鍵パスに 空のパスフレーズ, 鍵の種類に対応したデフォルトのbit, デフォルトのコメントで ホスト鍵を生成する. これは, システムの初期化スクリプトで有用だ. * ssh(1): Allow graceful shutdown of multiplexing: request that a mux server removes its listener socket and refuse future multiplexing requests but don't kill existing connections. This may be requested using "ssh -O stop ..." ssh(1): 多重化の上品な(graceful)な終了ができる: 多重化サーバが そのリスナーソケットを除去し将来の多重化要求を拒否するが, 既存の接続を切断しない要求だ. これは, "ssh -O stop ..." を用いて 要求される. * ssh-add(1) now accepts keys piped from standard input. E.g. "ssh-add - < /path/to/key" ssh-add(1) は, 標準入力からパイプされた鍵を受け入れる. 例えば, "ssh-add - < /path/to/key" * ssh-keysign(8) now signs hostbased authentication challenges correctly using ECDSA keys; bz#1858 ssh-keysign(8) は, ECDSA 鍵を用いてホストベース認証のチャレンジを 正しく署名する. bz#1858 * sftp(1): document that sftp accepts square brackets to delimit addresses (useful for IPv6); bz#1847a sftp(1): sftpがアドレスを区切らない角カッコを受け入れることを 文書化する; bz#1847a * ssh(1): when using session multiplexing, the master process will change its process title to reflect the control path in use and when a ControlPersist-ed master is waiting to close; bz#1883 and bz#1911 ssh(1): セッションの多重化を用いる際, マスタープロセスが, 利用しているコントルールパスや ControlPersistされたマスターが 閉じるのを待っている場合を反映して, プロセスの タイトルを変更するようになる. bz#1881 と bz#1911 * Other minor bugs fixed: 1849 1861 1862 1869 1875 1878 1879 1892 1900 1905 1913 * 他のマイナーなバグが修正された: Portable OpenSSH Bugfixes: 移植版 OpenSSH のバグ修正 * Fix a compilation error in the SELinux support code. bz#1851 SELinux サポートコードのコンパイルエラーを修正. bz#1851 * This release removes support for ssh-rand-helper. OpenSSH now obtains its random numbers directly from OpenSSL or from a PRNGd/EGD instance specified at configure time. このリリースは, ssh-rand-helper のサポートを削除する. OpenSSH は, OpenSSL や configure 時に指定した PRNGd/EGD インスタンス から直接乱数を得る. * sshd(8) now resets the SELinux process execution context before executing passwd for password changes; bz#1891 sshd(8) は, パスワード変更のために passwd を実行する前に SELinux のプロセスの実行コンテキストをリセットする. bz#1891 * Since gcc >= 4.x ignores all -Wno-options options, test only the corresponding -W-option when trying to determine whether it is accepted; bz#1901 gcc >= 4.x は すべての -Wno-options オプションを無視するので, 受け入れられるか決定するために 対応する -W-option のみをテストする; bz#1901 * Add ECDSA key generation to the Cygwin ssh-{host,user}-config scripts. Cygwin の ssh-{host,user}-config スクリプトに ECDSA 鍵の生成を追加する. * Updated .spec and init files for Linux; bz#1920 Linux用の .spec と init ファイルを更新した; bz#1920 * Improved SELinux error messages in context change failures and suppress error messages when attempting to change from the "unconfined_t" type; bz#1924 bz#1919 コンテキストの変更の失敗の SELinux のエラーメッセージを改善し "unconfined_t" タイプから変更しようとした際のエラーメッセージを 抑制する; bz#1924 bz#1919 * Fix build errors on platforms without dlopen(); bz#1929 dlopen()のないプラットフォームでのビルドエラーを修正; bz#1929