新機能一覧 (#1028253) | OpenSSH 4.4リリース

「OpenSSH 4.4リリース」記事へのコメント

記事ページを表示すべてのコメント取得

検索19コメント Log In/Create an Account

新機能一覧 (スコア:5, 参考になる)

by shojin (28072) on 2006年09月28日 15時27分 (#1028253) 日記

誰も書かないので新機能の一覧を。
間違っていたら指摘してくださいな。

- Match命令の実装
sshd_configにmatch命令が使えるようになったことで、
ある状態のときのみに適用したいオプションを適用
出来るようになった。

- DH鍵交換の最後のhashにSHA256を使えるようになった
- ForceCommandオプション
sshd_configにForceCommandを書くことで
authorized_keysにcommand="..."と書いた時同様、
所定のコマンドしか実行できなくすることができる。
上で述べたMatchと一緒に使うと、特定のユーザーには
特定のコマンドしか実行できなくするということが
できる。

- PermitOpenオプションの追加
sshd_configにて指定することで、
authorized_keysのpermitopen="..."と同様
(自分はこんなオプションは知らないが)、
ポートフィワーディングで開くportを制限することが
できる。

- sftp-serverで行った処理のログを取れるようになった
- 標準的でないポート番号への接続要求のときに、
authorized_keysにホストへのポート番号を
sshが記録するようになった。
(これはauthorized_keysではなく、
known_hostsの誤植なのでは？)

- ExitOnForwardFailureオプションの追加
要求されたポートフォワードが確立できなかった
ときに接続を終了する。

- SubSystemがオプションを取れるようになった
- 整数値のオーバーフローを起こす危険性が大きい
malloc、reallocをオーバーフローチェックをする
実装へと置き換えた

------ portable 専用機能 -----
- SELinuxへの対応
- Solarisプロセス規約への対応
- SSL暗号化アクセラレーターへの対応
- Re:新機能一覧 (スコア:2, 参考になる)
  
  by kjm (1606) on 2006年09月28日 17時52分 (#1028346) ホームページ
  
  標準的でないポート番号への接続要求のときに、 authorized_keysにホストへのポート番号を sshが記録するようになった。 (これはauthorized_keysではなく、 known_hostsの誤植なのでは？)
  
  確かに……。手元で OpenSSH 4.4p1 な ssh を非標準ポートなサーバに対して接続してみたら、
  
  [hogehoge]:2222,[133.83.xx.xx]:2222 ssh-dss AAAAB3NzaC1kc3MAAAEB……
  
  というknown_hostsが生成されました。
  
  シェア
  
  親コメント
  - Re:新機能一覧 (スコア:0)
    
    by Anonymous Coward
    
    >標準的でないポート番号への接続要求のときに、
    >authorized_keysにホストへのポート番号を sshが
    >記録するようになった。
    sshdのPortをPort Fowardした時にFoward元のhostの
    ハッシュとFoward先のhostのハッシュが一致してい
    ない警告が出なくなる？
    
    FireWallの向こう側のsshに接続するときにPort Foward
    することが多いからありがたい。
    known_hostsの行を毎回消すの面倒だったし。
    消してるとMan in the Middleされてもわからないし
    - Re:新機能一覧 (スコア:2, 参考になる)
      
      by kjm (1606) on 2006年09月29日 1時37分 (#1028524) ホームページ
      
      sshdのPortをPort Fowardした時にFoward元のhostのハッシュとFoward先のhostのハッシュが一致していない警告が出なくなる？
      
      それはHostKeyAliasを使って回避すべき場面なのでは? SSH, The Secure Shell: The Definitive Guide, Second Edition [oreilly.com] に出ている例:
      
      $ ssh -L 2001:david:22 goliath $ ssh -p 2001 -o HostKeyAlias=david localhost
      
      シェア
      
      親コメント
    - Re:新機能一覧 (スコア:1)
      
      by znz (2728) on 2006年10月02日 1時13分 (#1029972) 日記
      
      今はそういうホストには~/.ssh/configに
      
      Host 向こうのhost.example.jp
      Hostname firewall.example.jp
      Port forwardしているポート
      UserKnownHostsFile ~/.ssh/known_hosts.向こうのhost
      
      という設定をしています。
      
      おまけの利点として、known_hostsをわけていると、大きくなっている~/.ssh/known_hostsを使う接続に比べて接続が速い気がします。
      
      シェア
      
      親コメント
- Re:新機能一覧 (スコア:1)
  
  by druaga (13366) on 2006年09月29日 0時44分 (#1028511) 日記
  
  - Match命令の実装
  sshd_configにmatch命令が使えるようになったことで、
  ある状態のときのみに適用したいオプションを適用
  出来るようになった。
  
  openssh は使用ポートを複数指定することができますが、
  これを使えば、22番ポートの時は厳しいポリシーで、それ以外のポートのときは
  比較的緩いポリシーで、というような使い分けができるようになる？
  
  シェア
  
  親コメント
  - Re:新機能一覧 (スコア:2, 興味深い)
    
    by jl4cvb (4926) on 2006年09月29日 13時13分 (#1028661)
    
    ってことは、
    　ポート10022はアカウントtunnel のみ接続可
    　ポート10023はアカウントtunnel_other,tunnel が接続可
    としておいて、iptables で
    　ポート10022からは色々とフォワード可
    　ポート10023からはローカルのproxyポートにのみフォワード可
    とすれば、他人にはプロキシにだけ使えるトンネルを、自分は色々使えるトンネルを提供出来る……のかな。
    
    プロキシサーバもポートも二つ用意してaclで制御すれば、自分のサーバを保護しつつ AIR-EDGEの圧縮プロキシサーバを用意できそうだ。
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

OpenSSH 4.4リリース More ログイン

「OpenSSH 4.4リリース」記事へのコメント

新機能一覧 (スコア:5, 参考になる)

Re:新機能一覧 (スコア:2, 参考になる)

Re:新機能一覧 (スコア:0)

Re:新機能一覧 (スコア:2, 参考になる)

Re:新機能一覧 (スコア:1)

Re:新機能一覧 (スコア:1)

Re:新機能一覧 (スコア:2, 興味深い)

スラド