安全 Shell 和 OpenSSH 项目

安全 Shell 是 OpenSSH 项目的一个分支。安全 Shell 中集成了在较新 OpenSSH 版本中发现的漏洞的安全修复，就像是单独的错误修复和功能一样。关于 安全 Shell 分支的内部开发仍在继续。

在此 安全 Shell 发行版中，针对 v2 协议实现以下功能：

• ForceCommand 关键字－强制执行指定的命令，无论用户在命令行输入什么内容。此关键字在 Match 数据块中非常有用。此 sshd_config 配置选项类似于$HOME/.ssh/authorized_keys 中的 command="..." 选项 。

• AES-128 口令短语保护－在本发行版中，对 ssh-key en 命令生成的私钥使用 AES-128 算法进行保护。此算法保护新生成的密钥和重新加密的密钥，如口令短语更改时的密钥。

• sftp-server 命令的 -u 选项－允许用户对文件和目录设置明确的 umask。此选项可覆盖用户的缺省 umask。有关示例，请参见 sshd_config(4) 手册页中对 Subsystem 的说明。

• Match 块的其他关键字－AuthorizedKeysFile、ForceCommand 和 HostbasedUsesNameFromPacketOnly 在 Match 块内受支持。缺省情况下，AuthorizedKeysFile的值为 $HOME/ ssh/authorized_keys，HostbasedUsesNameFromPacketOnly 为 no。要使用 Match 块，请参见如何创建不同于 安全 Shell 缺省值的用户和主机例外。

Oracle Solaris 工程师不仅为该项目提供错误修复，他们还将以下 Oracle Solaris 功能集成到安全 Shell 分支中：

• PAM－安全 Shell 使用 PAM。不支持 OpenSSH UsePAM 配置选项。

• 特权分离－安全 Shell 不使用来自于 OpenSSH 项目的特权分离代码。安全 Shell 将审计处理、记录保存和重新生成密钥与会话协议的处理相分离。

  安全 Shell 特权分离代码始终开启，无法关闭。不支持 OpenSSH UsePrivilegeSeparation 选项。

• 语言环境－安全 Shell 完全支持 RFC 4253《Secure Shell Transfer Protocol》中定义的语言协商。用户登录后，该用户的登录 shell 配置文件可以覆盖安全 Shell 协商的语言环境设置。

• 审计－安全 Shell 完全集成到 Solaris 审计服务中。有关审计服务的详细信息，请参见第 7 部分, 在 Oracle Solaris 中审计。

• GSS-API 支持－GSS-API 可用于用户验证和初始密钥交换。GSS-API 在 RFC4462《Generic Security Service Application Program Interface》中进行定义。

• 代理命令－安全 Shell 为 SOCKS5 和 HTTP 协议提供了代理命令。有关示例，请参见如何设置防火墙外部主机的缺省 安全 Shell 连接。

在 Oracle Solaris 发行版中，安全 Shell 从 OpenSSH 项目中重新同步 SSH_OLD_FORWARD_ADDR 兼容性标志。截止 2011 年 3 月，安全 Shell 版本为 1.5。