「OpenSSH 7.0」がリリース、PermitRootLogin設定の変更などセキュリティ強化が行われる

末岡洋子
シェア

 The OpenBSD ProjectのOpenSSH開発チームは8月11日、フリーのSSH実装「OpenSSH 7.0/7.0p」をリリースした。レガシーな暗号方式のサポート打ち切りなど、安全性の強化が中心となる。

 OpenSSHはSSH 2.0のフリー実装で、SFTPクライアントおよびサーバーについてもサポートされている。レガシーからの移行をサポートする目的でSSH 1.3/1.5もサポートする。

 2012年4月に公開したOpenSSH 6.0/6.0p以来のメジャーリリースとなる。安全性強化のため、レガシーあるいは安全ではない暗号技術の廃止にフォーカスした。SSH v1のコンパイル時でのサポートはデフォルトで無効となり、「ssh-dss」や「ssh-dss-cert-*」を使用するホストおよびユーザー鍵の実行時のサポートについてもデフォルトで無効となった。このほかにも、レガシーなv00証明書フォーマットのサポートが削除され、1024ビットのdiffie-hellman-group1-sha1鍵交換の実行時のサポートもデフォルトで無効化された。

 また、「PermitRootLogin」オプションについてデフォルト値が従来の「yes」から「prohibit-password」に変更されたほか、新たな設定値として「prohibit-password」を指定できるようになった。さらに、PermitRootLoginの値が「without-password」および「prohibit-password」に設定されていた場合、すべてのインタラクティブな認証を禁止し、公開鍵もしくはホストベース、GSSAPIによる認証のみが有効になるよう変更された。

 新機能としては、ssh_configファイルでユーザー認証に利用できる公開鍵の種類を制御できる「PubkeyAcceptedKeyTypes」オプション、ホスト認証に提供する公開鍵の種類を制御できる「HostKeyAlgorithms」オプションが加わった。ssh、sshdでも新しいオプションが加わっている。これらに加え、多数のバグも修正されている。

 プロジェクトではリリースに合わせて、次期リリースでは1024ビット以下のRSA鍵を拒否する(現在は768ビット以下となっている)など、レガシーな暗号技術のサポートを打ち切る計画を明らかにしている。

OpenSSH
http://www.openssh.com/