セキュリティを改善する変更が加えられたOpenSSH 5.6/5.6p1リリース

末岡洋子
シェア

 SSHサーバー/クライアントのフリーな実装を開発するOpenSSHコミュニティは8月23日、最新版となる「OpenSSH 5.6」およびその移植(portable)版である「OpenSSH 5.6p1」を公開した。プロジェクトのWebサイトより入手できる。バグ修正のほか、新しい機能の追加や強化が図られている。

 OpenSSHはSSHプロトコル1.3/1.5/2.0に対応する完全な実装で、sftpクライアントとサーバーのサポートも含む。OpenSSH 5.6での大きな変更点としては、ssh_configで設定できる設定オプションとして「ControlPesist」が追加された点が上げられる。これにより、サーバーでSSH接続の受付時に多重接続のためのマスターを自動的に起動することができるようになる。また、多重化されたSSH接続で動的なポート割り当てを使うリモート転送もサポートするようになった。

 また、sshコマンドではLogLevelとして「verbose」を指定していた場合、認証の成功後に接続先のホスト名とアドレスを記録するようになった。これは、認証が成功しセッションが開始されたあとに偽のパスワード/パスフレーズ入力プロンプトを表示するようなフィッシング攻撃対策になるという。

 sshdでは、証明書のプリンシパル名のマッチングにおいて間接化(indirection)がサポートされたほか、ユーザーの鍵ファイルに関する不適切なパーミッション設定に関するデバッグメッセージを出力することが可能となった。このメッセージはLogLevelとして「debug」以上を設定した場合に確認できる。

 鍵周りの変更点としては、まずssh-keygenではPKCS#11トークン内に格納されているCA鍵を使った証明書への署名が可能となった。また、証明書鍵のフォーマットも一部変更され、ssh-{dss,rsa}-cert-v01@openssh.com」という形式となった。シリアル番号フィールド追加などの変更が含まれるとのこと。

OpenSSH
http://www.openssh.com/