春山です.
OpenSSH 4.0 のリリースが近いようです.
openssh-unix-dev での 「Call for release testing」 メール
http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=110980487514162&w=2
中にあった変更点を適当に訳しましたの紹介します.
大きなセキュリティの修正はありません.
----------
OpenSSH 4.0 での変更点(暫定)
* ssh(1) now allows the optional specification of an address to bind to
in port forwarding connections (local, remote and dynamic). See the
-L, -R options in the ssh(1) man page as well as LocalForward and
RemoteForward options in ssh_config(5). (Bugzilla #413)
* ssh(1)は, (ローカル, リモート, ダイナミック)ポート転送の接続で
束縛するアドレスを指定できる.
ssh(1) のマニュアルの -L, -R オプション や ssh_config(5)の
LocalForward, RemoteForward 設定項目を参照のこと.
# -L オプションの引数が [bind_address:]port:host:hostport となるなど,
# 束縛するポートを設定できるよう拡張された.
* To control remote bindings while retaining backwards compatibility,
sshd(8)'s GatewayPorts option has been extended. To allow client
specified bind addresses for remote (-R) port forwardings, the server
must be configured with "GatewayPorts clientspecified".
* 後方互換性を維持しつつリモートでの束縛を制御するために,
sshd(8)の GatewayPorts 設定項目が拡張された.
リモート(-R)ポートの転送においてクライアントが束縛アドレスを指定するには,
サーバは "GatewayPorts clientspecified" と設定されてなければならない.
* To support better selection of binding addresses for remote port
forwardings, sshd(8) now supports the new address specification
methods in draft-ietf-secsh-connect-24.txt section 7.1. In
particular, the empty "" address_to_bind is recognised as meaning
a wildcard bind for all supported protocols (IPv4 and IPv6) whereas
"localhost" means an all-protocols loopback bind.
* リモートポートの転送で 束縛アドレスのよりよい選択をサポートするために,
sshd(8)は draft-ietf-secsh-connect-24.txt section 7.1 にある
新しいアドレス指定方法をサポートする. 特に, 空の "束縛されるアドレス" は,
すべてのサポートするプロトコル(IPv4 と IPv6)に対する
ワイルドカードな束縛を意味すると認識され,
一方, "localhost" はすべてのプロトコルのループバックな束縛を意味する
ことに注意.
* ssh(1) and ssh-keyscan(1) now support hashing of host names and
addresses added to known_hosts files, controlled by the ssh(1)
HashKnownHosts configuration directive. This option improves user
privacy by hiding which hosts have been visited. For this release
the option will be off by default, but may be turned on once it
receives sufficient testing.
* ssh(1) と ssh-keyscan(1) は ホスト名とアドレスのハッシュを
known_hosts ファイルに追加する機能をサポートする.
これは, ssh(1) の HashKnownHosts 設定項目で制御される.
この設定項目は, どのようなホストを訪れてきたという情報を隠して,
ユーザのプライバシーをより増す. このリリースにおいては
この設定は デフォルトで off だが, 十分なテストを受けたら
on となるだろう.
* Add options for managing keys in known_hosts files to ssh-keygen(1),
including the ability to search for hosts by name, delete hosts by
name and convert an unhashed known_hosts file into one with hashed
names. These are particularly useful for managing known_hosts files
with hashed hostnames.
* ssh-keygen (1)に, known_hosts ファイル中の鍵を管理するための
オプションが追加された. これには, 名前によるホストの検索,
名前によるホストの削除, ハッシュ化されていない known_hosts を
ハッシュ化された名前を持つように変換する機能が含まれている.
とりわけ, ハッシュ化されたホスト名を持つ known_hosts ファイルを
管理するために有用だ.
* Improve account and password expiry support in sshd(8). Ther server
will now warn in advance for both account and password expiry.
* sshd(8)での アカウントとパスワードのエクスパイアのサポートが改善された.
アカウントとパスワードのエクスパイアの双方について前もって警告
するようになっている.
* sshd(8) will now log the source of connections denied by AllowUsers,
DenyUsers, AllowGroups and DenyGroups (Bugzilla #909)
* sshd(8) は, AllowUsers, DenyUsers, AllowGroups, DenyGroups で
拒否された接続のソースのログを取るようになった. (Bugzilla #909)
* Added AddressFamily option to sshd(8), to allow global control over
IPv4/IPv6 usage. (Bugzilla #989)
sshd(8)に AddressFamily オプションが追加された.
これにより, IPv4/IPv6 の使用を グローバルに制御できる. (Bugzilla #989)
* Improved sftp(1) client, including bugfixes and optimisations for the
``ls'' command and command history and editing support using libedit.
This may be enabled using the --with-libedit configure argument
* sftp(1) クライアントが改善された. バグフィックスに加えて,
``ls'' コマンドの最適化や,
libedit を用いた コマンドヒストリや編集のサポートが含まれる.
これは, --with-libedit を configure の引数に使うことで
有効となる.
* Improved the handling of bad data in authorized_keys files,
eliminating fatal errors on corrupt or very large keys. (Bugzilla
#884)
* authorized_keys ファイルの中の悪いデータの扱いが改善された.
壊れていたり非常に大きな鍵に対する fatal エラーが除かれている.
(Bugzilla #884)
* Improved connection multiplexing support in ssh(1). Several bugs
have been fixed and a new "command mode" has been added to allow the
control of a running multiplexing master connection, including
checking that it is up, determining its PID and asking it to exit.
* ssh(1)の接続の多重化機能が改善された. いくつかのバグが修正され,
すでに走っている多重化されたマスターの接続に対する
新しい "command mode" が追加された.
これには,
マスターの接続が生きているかチェックしたり,
そのPIDを決定したり, マスターが exit するようにする機能が含まれてる.
# ssh の -O オプション
* Have scp(1) and sftp(1) wait for the spawned ssh to exit before they
exit themselves. This prevents ssh from being unable to restore
terminal modes (not normally a problem on OpenBSD but common with
-Portable on POSIX platforms). (Bugzilla #950)
* scp(1) と sftp(1) は, 自身が exit する前に 自らが生成した ssh が exit
するのを待つようになった. これは, ssh が ターミナルモードを回復
できないのを防ぐ ( OpenBSD では通常問題ではないが,
POSIX プラットフォームでの移植版には共通の問題).
* Portable OpenSSH:
* 移植版 OpenSSH
- Add *EXPERIMENTAL* BSM audit support for Solaris systems
(Bugzilla #125)
- Solaris に対する *実験的な* BSM 監査のサポートの追加 (Bugzilla #125)
- Enable IPv6 on AIX where possible (see README.platform for
details), working around a misfeature of AIX's getnameinfo.
(Bugzilla #835)
- 可能な場合に AIX で IPv6 を有効にする (詳しくは README.platform を参照)
AIX の getnameinfo の間違った機能に対処した.
- Teach sshd(8) to write failed login records to btmp for failed
auth attempts (currently only for password, kbdint and C/R, only
on Linux and HP-UX)
- sshd(8) に, 失敗したログインの記録を 失敗した 認証の試みとして
btmp へ書き込むようにした. (現在は password と kbdint と C/R だけ有効
また, Linux と HP-UX の上でだけ有効)
- sshd(8) now sends output from failing PAM session modules to the
user before exiting, similar to the way /etc/nologin is handled
- sshd(8) は /etc/nologin を扱う場合と同様に,
失敗した PAM セッションモジュールからの
出力を 終了前にユーザへ 送るようになった.
- Store credentials from gssapi-with-mic authentication early enough
to be available to PAM session modules when privsep=yes.
- privsep=yes のときに, PAM セッションモジュールに利用できるだけ
十分早く, gssapi-with-mic 認証からの 証明書を保存するようになった.
* Many bug fixes and improvements, for details see the ChangeLog
and http://bugzilla.mindrot.org/show_bug.cgi?id=914
* たくさんのバグ修正と改善. 詳しくは ChangeLog と
http://bugzilla.mindrot.org/show_bug.cgi?id=914 を参照