http://www.openssh.com/txt/release-6.8 Changes since OpenSSH 6.7 ========================= OpenSSH 6.7 からの変更点 This is a major release, containing a number of new features as well as a large internal re-factoring. 多くの新機能と大きな内部リファクタリングを含む, 大規模なリリースだ. Potentially-incompatible changes -------------------------------- 互換性が失なわれるかもしれない変更 * sshd(8): UseDNS now defaults to 'no'. Configurations that match against the client host name (via sshd_config or authorized_keys) may need to re-enable it or convert to matching against addresses. sshd(8): UseDNS はデフォルトで 'no' になる. (sshd_config や authorized_keys のよる)クライアントホスト名 に対するマッチの設定は, UseDNS を再度有効にするか, アドレスに対して マッチするよう変更する必要があるかもしれない. New Features ------------ 新機能 * Much of OpenSSH's internal code has been re-factored to be more library-like. These changes are mostly not user-visible, but have greatly improved OpenSSH's testability and internal layout. OpenSSH の内部コードの多くを, よりライブラリ風にリファクタリングした. これらの変更は, ほとんどユーザから見えないが, OpenSSH のテスト可能性と 内部のレイアウトが非常に改善された. * Add FingerprintHash option to ssh(1) and sshd(8), and equivalent command-line flags to the other tools to control algorithm used for key fingerprints. The default changes from MD5 to SHA256 and format from hex to base64. FingerprintHash オプションを ssh(1) と sshd(8) に追加する. また, 鍵の指紋のために使われるアルゴリズムを制御する他のツールに 同様の指定をするコマンドラインフラグも追加する. デフォルトが MD5 から SHA256 に, 形式が hex から base64 になる. Fingerprints now have the hash algorithm prepended. An example of the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE Please note that visual host keys will also be different. 指紋は, ハッシュアルゴリズムが前に付く形式になる. 新しい形式の例: the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE ホスト鍵を可視化した際も異なることに注意. * ssh(1), sshd(8): Experimental host key rotation support. Add a protocol extension for a server to inform a client of all its available host keys after authentication has completed. The client may record the keys in known_hosts, allowing it to upgrade to better host key algorithms and a server to gracefully rotate its keys. ssh(1), sshd(8): 実験的なホスト鍵のローテーションをサポート. (ホスト)認証が完了した後でサーバがクライアントに利用可能なホスト鍵の すべてを通知するためのプロトコル拡張を追加する. クライアントは known_host に鍵を記録できる. これにより, クライアントが よりよいホスト鍵アルゴリズムへの更新をしたり, サーバがホスト鍵を graceful にローテートできるようになる. The client side of this is controlled by a UpdateHostkeys config option (default off). クライアント側での動作は, UpdateHostkeys 設定項目(デフォルト無効) で制御できる. (訳注: Call for testing の際はデフォルト有効でした) 訳中: OpenSSH、次期「OpenSSH 6.8」で「Ed25519オートコレクトキー」をサポート | スラッシュドット・ジャパン セキュリティ - http://security.slashdot.jp/story/15/02/04/101203/ * ssh(1): Add a ssh_config HostbasedKeyType option to control which host public key types are tried during host-based authentication. ssh(1): ssh_config に HostbasedKeyType 設定項目を追加する. ホストベース認証の際に試すホスト公開鍵の種類を制御する * ssh(1), sshd(8): fix connection-killing host key mismatch errors when sshd offers multiple ECDSA keys of different lengths. ssh(1), sshd(8): 異なる長さの複数の ECDSA 鍵を sshd が提供する 場合の, 接続を切るホスト鍵不一致エラーを修正する. * ssh(1): when host name canonicalisation is enabled, try to parse host names as addresses before looking them up for canonicalisation. fixes bz#2074 and avoiding needless DNS lookups in some cases. ssh(1): ホスト名の正規化が有効な場合, 正規化のためにホスト名を 検査うする前にホスト名をアドレスとしてパースできるか試す. bz#2074 を修正し, いくつかの場合で不必要な DNS の検索を避けるため. * ssh-keygen(1), sshd(8): Key Revocation Lists (KRLs) no longer require OpenSSH to be compiled with OpenSSL support. ssh-keygen(1), sshd(8): 鍵失効リスト(KRLs) が, OpenSSL サポート付きで コンパイルされた OpenSSH を必要としなくなった. * ssh(1), ssh-keysign(8): Make ed25519 keys work for host based authentication. ssh(1), ssh-keysign(8): ed25519 鍵がホストベース認証で動作する. * sshd(8): SSH protocol v.1 workaround for the Meyer, et al, Bleichenbacher Side Channel Attack. Fake up a bignum key before RSA decryption. sshd(8): Meyer, et al の Bleichenbacher サイドチャンネル攻撃 に対する SSH プロトコル v.1 の緩和策を追加. RSA の復号の前に 大きな数の鍵をでっちあげる. * sshd(8): Remember which public keys have been used for authentication and refuse to accept previously-used keys. This allows AuthenticationMethods=publickey,publickey to require that users authenticate using two _different_ public keys. sshd(8): 認証に利用した公開鍵を記録し, 先に利用された鍵の利用を拒否する. これにより, AuthenticationMethods=publickey,publickey という設定で, 2つの *異なる* 公開鍵を利用するようにユーザに要求できる. * sshd(8): add sshd_config HostbasedAcceptedKeyTypes and PubkeyAcceptedKeyTypes options to allow sshd to control what public key types will be accepted. Currently defaults to all. sshd(8): sshd_config の HostbasedAcceptedKeyTypes と PubkeyAcceptedKeyTypes 設定項目を追加する. 受けつける公開鍵の種類を sshd が制御できる. 現在のデフォルトは all. * sshd(8): Don't count partial authentication success as a failure against MaxAuthTries. sshd(8): 部分的な認証の成功を MaxAuthTries での失敗にカウントしない. * ssh(1): Add RevokedHostKeys option for the client to allow text-file or KRL-based revocation of host keys. ssh(1): RevokedHostKeys 設定項目を追加する. クライアントが ホスト鍵の テキストファイルや KRLベースの失効を行なえるようになる. * ssh-keygen(1), sshd(8): Permit KRLs that revoke certificates by serial number or key ID without scoping to a particular CA. ssh-keygen(1), sshd(8): KRL で, 特定の CA を詳しく調べることなしに シリアル番号や鍵IDで証明書を失効できるようにする. * ssh(1): Add a "Match canonical" criteria that allows ssh_config Match blocks to trigger only in the second config pass. ssh(1): "Match canonical" 条件を追加する. ssh_config の Match ブロックで, 2回目の(ホスト名の正規化の後の) 設定のパースのパスでのみ有効になる. * ssh(1): Add a -G option to ssh that causes it to parse its configuration and dump the result to stdout, similar to "sshd -T". ssh(1): -G オプションを追加, "sshd -T" と同様に, 設定をパースし結果を標準出力にダンプする. * ssh(1): Allow Match criteria to be negated. E.g. "Match !host". ssh(1): Match の条件に否定を許す. 例えば "Match !host" * The regression test suite has been extended to cover more OpenSSH features. The unit tests have been expanded and now cover key exchange. 回帰テストスートが, より広範囲の OpenSSH の機能をカバーするよう拡張 された. ユニットテストは拡張され, 鍵効果もカバーする Bugfixes バグ修正 * ssh-keyscan(1): ssh-keyscan has been made much more robust again servers that hang or violate the SSH protocol. ssh-keyscan(1): ssh-keyscan は ハングしたり SSH プロトコルを破っている サーバに対してより強固になった. * ssh(1), ssh-keygen(1): Fix regression bz#2306: Key path names were being lost as comment fields. ssh(1), ssh-keygen(1): bz#2306 の再発を修正. 鍵のパス名が コメントフィールドのように失なわれていた. * ssh(1): Allow ssh_config Port options set in the second config parse phase to be applied (they were being ignored). bz#2286 ssh(1): ssh_config の Port 設定項目が, 2回目の設定のパースの 段階でも有効になる(いままでは無視されていた). bz#2286 * ssh(1): Tweak config re-parsing with host canonicalisation - make the second pass through the config files always run when host name canonicalisation is enabled (and not whenever the host name changes) bz#2267 ssh(1): ホスト正規化の後で設定をもう1度パースするように調整した. ホスト名の正規化が有効で(ホスト名が変わらない場合)に 設定ファイルの パースの2回目のパスが常に走る. * ssh(1): Fix passing of wildcard forward bind addresses when connection multiplexing is in use; bz#2324; ssh(1): 接続の多重化を利用している場合の ワイルドカードが先に付く バインドアドレスのパースを修正する. bz#2324 * ssh-keygen(1): Fix broken private key conversion from non-OpenSSH formats; bz#2345. ssh-keygen OpenSSH ではない形式からの壊れた秘密鍵変換を修正. bz#2345 * ssh-keygen(1): Fix KRL generation bug when multiple CAs are in use. ssh-keygen(1): 複数の CA を利用している場合の KRL 生成バグを修正. * Various fixes to manual pages: bz#2288, bz#2316, bz#2273 マニュアルページの多数の修正: bz#2288, bz#2316, bz#2273 Portable OpenSSH 移植版 OpenSSH * Support --without-openssl at configure time configure 時の --without-openssl をサポート Disables and removes dependency on OpenSSL. Many features, including SSH protocol 1 are not supported and the set of crypto options is greatly restricted. This will only work on systems with native arc4random or /dev/urandom. OpenSSL への依存を無効化し削除する. SSH プロトコル1を含む多くの特徴 がサポートされなくなり, 暗号のオプションが非常に制限される. システムが ネイティブな arc4random か /dev/urandom を持っている 場合にのみ動作する. Considered highly experimental for now. 現在非常に実験的だと考えられる. * Support --without-ssh1 option at configure time configure 時の --without-ssh1 をサポート Allows disabling support for SSH protocol 1. SSH プロトコル 1 のサポートを無効にできる. * sshd(8): Fix compilation on systems with IPv6 support in utmpx; bz#2296 sshd(8): utmpx で IPv6 サポートを持つシステムでのコンパイルを修正; bz#2296 * Allow custom service name for sshd on Cygwin. Permits the use of multiple sshd running with different service names. Cygwin の sshd でカスタムサービス名を許す. 異なるサービス名で 複数の sshd を利用できるようになる.