子プロセスでのサンドボックスを実験的に実装したOpenSSH 5.9/5.9p1リリース

末岡洋子
シェア

 OpenSSHを開発するOpen BSD Project開発チームは9月6日、最新版「OpenSSH 5.9」およびその移植(portable)版である「OpenSSH 5.9p1」をリリースした。特権分離済み子プロセスでサンドボックスが実験的に導入されるなど、新機能が加わっている。

 OpenSSHはSSHプロトコル1.3/1.5/2.0を完全に実装したオープンソースのSSHライブラリ。scp、sftpクライアントやサーバーも含まれている。ライセンスはBSDライセンス。

 最新版は、2011年2月のバージョン5.8公開以来、7か月ぶりのリリースとなる。大きな特徴として、ユーザー認証前、特権分離(privsep)が行われた子プロセスでサンドボックスを利用できるようになった。システムコールを制限し子プロセスの悪用を防ぐもので、3種類の実装が用意された。sshd_config設定ファイルから設定できる。同サンドボックス機能は実験的な位置づけだが、将来はデフォルトにする予定という。

 また、SHA256ベースのHMAC(Keyed-Hashing for Message Authentication code)転送完全モードが4種類加わった。クライアント(ssh)およびサーバー(sshd)でデフォルトで利用できる。ユーザー認証前のサーバーで特権分離されたスレーブプロセスも強化し、マスタープロセスと共有するソケット経由でのログが可能となった。

 このほかにも多数の機能が加わっており、移植版も複数のバグが修正されている。

OpenBSD Project
http://www.openbsd.org/

OpenSSH
http://www.openssh.com/