OpenSSH 4.4リリース 19
ストーリー by yoosee
いつもいつも御世話になっています 部門より
いつもいつも御世話になっています 部門より
iida曰く、"OpenSSH 4.4 (及び 4.4p1) がリリースされた。4.4 リリースノートによると、3件のセキュリティー・バグに対応した模様。この 3件のうち 2件は GSSAPIを有効にしたクライアント側のようだが、残りの1件はサーバー側のDoSとのことだ。
このほかリリース・ノートには、立上げファイルの条件文、SHA256を使ったDH鍵交換などといった新機能や、たくさんのバグ・フィクスがリストアップされている。メンテナ諸氏に改めて感謝したい。"
新機能一覧 (スコア:5, 参考になる)
間違っていたら指摘してくださいな。
- Match命令の実装
sshd_configにmatch命令が使えるようになったことで、
ある状態のときのみに適用したいオプションを適用
出来るようになった。
- DH鍵交換の最後のhashにSHA256を使えるようになった
- ForceCommandオプション
sshd_configにForceCommandを書くことで
authorized_keysにcommand="..."と書いた時同様、
所定のコマンドしか実行できなくすることができる。
上で述べたMatchと一緒に使うと、特定のユーザーには
特定のコマンドしか実行できなくするということが
できる。
- PermitOpenオプションの追加
sshd_configにて指定することで、
authorized_keysのpermitopen="..."と同様
(自分はこんなオプションは知らないが)、
ポートフィワーディングで開くportを制限することが
できる。
- sftp-serverで行った処理のログを取れるようになった
- 標準的でないポート番号への接続要求のときに、
authorized_keysにホストへのポート番号を
sshが記録するようになった。
(これはauthorized_keysではなく、
known_hostsの誤植なのでは?)
- ExitOnForwardFailureオプションの追加
要求されたポートフォワードが確立できなかった
ときに接続を終了する。
- SubSystemがオプションを取れるようになった
- 整数値のオーバーフローを起こす危険性が大きい
malloc、reallocをオーバーフローチェックをする
実装へと置き換えた
------ portable 専用機能 -----
- SELinuxへの対応
- Solarisプロセス規約への対応
- SSL暗号化アクセラレーターへの対応
Re:新機能一覧 (スコア:2, 参考になる)
Re:新機能一覧 (スコア:0)
>authorized_keysにホストへのポート番号を sshが
>記録するようになった。
sshdのPortをPort Fowardした時にFoward元のhostの
ハッシュとFoward先のhostのハッシュが一致してい
ない警告が出なくなる?
FireWallの向こう側のsshに接続するときにPort Foward
することが多いからありがたい。
known_hostsの行を毎回消すの面倒だったし。
消してるとMan in the Middleされてもわからないし
Re:新機能一覧 (スコア:2, 参考になる)
Re:新機能一覧 (スコア:1)
Host 向こうのhost.example.jp
Hostname firewall.example.jp
Port forwardしているポート
UserKnownHostsFile ~/.ssh/known_hosts.向こうのhost
という設定をしています。
おまけの利点として、known_hostsをわけていると、大きくなっている~/.ssh/known_hostsを使う接続に比べて接続が速い気がします。
Re:新機能一覧 (スコア:1)
openssh は使用ポートを複数指定することができますが、
これを使えば、22番ポートの時は厳しいポリシーで、それ以外のポートのときは
比較的緩いポリシーで、というような使い分けができるようになる?
Re:新機能一覧 (スコア:2, 興味深い)
ポート10022はアカウントtunnel のみ接続可
ポート10023はアカウントtunnel_other,tunnel が接続可
としておいて、iptables で
ポート10022からは色々とフォワード可
ポート10023からはローカルのproxyポートにのみフォワード可
とすれば、他人にはプロキシにだけ使えるトンネルを、自分は色々使えるトンネルを提供出来る……のかな。
プロキシサーバもポートも二つ用意してaclで制御すれば、自分のサーバを保護しつつ AIR-EDGEの圧縮プロキシサーバを用意できそうだ。
OpenSSHの商用利用(-1:オフトピック) (スコア:0)
http://www.openssh.com/ja/features.html [openssh.com] ではしっかりと「どんな目的でも使用可。商用の利用も含む」とあります。
が、その人は"OpenSSHの商用利用には使用料が必要"という確固たる自信があるようで、「それはOpenSSHでなく、商用のSSHでは?」と言っても聞く耳をもってくれません…
# オフィシャルには「~開発には費用がかかっているため~とくに商用システムの~
# どうか当プロジェクトへの寄付をご検討ください。」とはありますが(先輩の都合のいいように引用)
その人は、世の中のSSHの実装がOpenSSHしかなく http://www.ssh.com/ [ssh.com] などの「商用のSSH」とごっちゃにしててるのでは?
と私は思ってるのですが、どうなのでしょう?
# Debianなんかのライセンスに厳しいシステムで標準インストールされるのに
# 商用利用に金が必要とは考えられないんですが…
Re:OpenSSHの商用利用(-1:オフトピック) (スコア:1, おもしろおかしい)
Re:OpenSSHの商用利用(-1:オフトピック) (スコア:1)
# Theoの発言から寄付をライセンス料と勘違いしてるのかもね
しないさせない!スルー力
Re:OpenSSHの商用利用(-1:オフトピック) (スコア:1, 興味深い)
>などの「商用のSSH」とごっちゃにしててるのでは?
>と私は思ってるのですが、どうなのでしょう?
その可能性なきにしも。
今年のインタロップでもSSHのブースあったし。
# OpenSSHと比較してのアドバンテージ、担当のお兄さんもちょっと苦吟してた気がする。