ssh - Online în cloud

PROGRAM:

NUME

ssh — Client OpenSSH SSH (program de conectare la distanță)

REZUMAT

ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b adresa_bind] [-c cipher_spec] [-D [adresa_bind:]port]
[-E fișier jurnal] [-e escape_char] [-F configfile] [-I pkcs11] [-i fişier_identitate]
[-L adresa] [-l nume de autentificare] [-m mac_spec] [-O ctl_cmd] [-o opțiune] [-p port]
[-Q opțiune_interogare] [-R adresa] [-S ctl_path] [-W gazdă:port] [-w local_tun[:remote_tun]]
[utilizator@]nume de gazdă [comandă]

DESCRIERE

ssh (client SSH) este un program pentru conectarea la o mașină la distanță și pentru executarea comenzilor
pe o mașină de la distanță. Este destinat să ofere comunicații criptate securizate între doi
gazde nesigure într-o rețea nesigură. Conexiuni X11, porturi TCP arbitrare și
Socketurile din domeniul UNIX pot fi, de asemenea, redirecționate pe canalul securizat.

ssh se conectează și se conectează la specificat nume de gazdă (cu opțional utilizator Nume). Utilizatorul trebuie
dovediți-i identitatea mașinii de la distanță folosind una dintre mai multe metode (vezi mai jos).

If comandă este specificat, este executat pe gazda la distanță în loc de un shell de conectare.

Opțiunile sunt următoarele:

-1 Forțele ssh pentru a încerca doar versiunea 1 a protocolului.

-2 Forțele ssh pentru a încerca doar versiunea 2 a protocolului.

-4 Forțele ssh pentru a utiliza numai adrese IPv4.

-6 Forțele ssh pentru a utiliza numai adrese IPv6.

-A Activează redirecționarea conexiunii agentului de autentificare. Poate fi și asta
specificat pe bază de gazdă într-un fișier de configurare.

Redirecționarea agentului ar trebui să fie activată cu prudență. Utilizatori cu capacitatea de a ocoli
permisiunile de fișier de pe gazda de la distanță (pentru socket-ul domeniului UNIX al agentului) pot avea acces
agentul local prin conexiunea redirecționată. Un atacator nu poate obține cheia
material de la agent, totuși aceștia pot efectua operațiuni asupra tastelor care permit
să se autentifice folosind identitățile încărcate în agent.

-a Dezactivează redirecționarea conexiunii agentului de autentificare.

-b adresa_bind
Utilizare adresa_bind pe mașina locală ca adresă sursă a conexiunii. Numai
util pe sisteme cu mai multe adrese.

-C Solicită comprimarea tuturor datelor (inclusiv stdin, stdout, stderr și date for
redirecționate X11, TCP și conexiuni de domeniu UNIX). Algoritmul de compresie este
acelasi folosit de gzip(1), iar „nivelul” poate fi controlat de CompressionLevel
opțiune pentru versiunea de protocol 1. Comprimarea este de dorit pe linii de modem și altele
conexiunile lente, dar vor încetini doar lucrurile în rețelele rapide. Implicit
valoarea poate fi setată de la gazdă la gazdă în fișierele de configurare; vezi
Comprimare opțiune.

-c cipher_spec
Selectează specificația de criptare pentru criptarea sesiunii.

Versiunea 1 a protocolului permite specificarea unui singur cifru. Valorile suportate
sunt „3des”, „blowfish” și „des”. Pentru versiunea 2 a protocolului, cipher_spec este o virgula-
listă separată de cifruri enumerate în ordinea preferințelor. Vezi cifrurile cuvânt cheie în
ssh_config(5) pentru mai multe informații.

-D [adresa_bind:]port
Specifică o redirecționare locală „dinamică” la nivel de aplicație. Aceasta funcționează prin
alocarea unei prize pentru a asculta port pe partea locală, opțional legat de
specificată adresa_bind. Ori de câte ori se face o conexiune la acest port, conexiunea
este transmis prin canalul securizat, iar protocolul de aplicație este apoi utilizat pentru
determinați unde să vă conectați de la mașina de la distanță. În prezent SOCKS4 și
Sunt acceptate protocoalele SOCKS5 și ssh va acționa ca un server SOCKS. Numai root poate
porturi privilegiate înainte. Redirecționările dinamice de porturi pot fi, de asemenea, specificate în
Fișier de configurare.

Adresele IPv6 pot fi specificate prin includerea adresei între paranteze drepte. Numai
superutilizatorul poate redirecționa porturi privilegiate. În mod implicit, portul local este legat
în conformitate cu GatewayPorts setare. Cu toate acestea, un explicit adresa_bind poate fi
folosit pentru a lega conexiunea la o anumită adresă. The adresa_bind de „localhost”
indică faptul că portul de ascultare este legat numai pentru uz local, în timp ce este gol
adresa sau „*” indică faptul că portul ar trebui să fie disponibil din toate interfețele.

-E fișier jurnal
Adăugați jurnalele de depanare la fișier jurnal în loc de eroare standard.

-e escape_char
Setează caracterul de escape pentru sesiunile cu un pty (implicit: '~'). Evadarea
caracterul este recunoscut doar la începutul unei linii. Personajul de evadare
urmat de un punct ('.') închide conexiunea; urmat de control-Z suspendă
conexiune; și urmat de el însuși trimite caracterul de evadare o dată. Setarea
caracterul la „niciunul” dezactivează orice evadare și face sesiunea complet transparentă.

-F configfile
Specifică un fișier de configurare alternativ pentru fiecare utilizator. Dacă un fișier de configurare este
dat pe linia de comandă, fișierul de configurare la nivelul întregului sistem (/ Etc / ssh / ssh_config)
vor fi ignorate. Valoarea implicită pentru fișierul de configurare per utilizator este ~ / .Ssh / config.

-f Cereri ssh pentru a merge în fundal chiar înainte de executarea comenzii. Acest lucru este util dacă
ssh va cere parole sau fraze de acces, dar utilizatorul le dorește în
fundal. Asta implică -n. Modul recomandat de a porni programele X11 de la o telecomandă
site-ul este cu ceva de genul ssh -f gazdă x termen.

În cazul în care ExitOnForwardFailure opțiunea de configurare este setată la „da”, apoi un client
a început cu -f va aștepta ca toate porturile de la distanță să fie redirecționate cu succes
stabilit înainte de a se plasa pe plan secund.

-G Cauze ssh pentru a-și imprima configurația după evaluare Gazdă si Match blocuri și
Ieșire.

-g Permite gazdelor de la distanță să se conecteze la porturile redirecționate locale. Dacă este folosit pe un multiplexat
conexiune, atunci această opțiune trebuie specificată în procesul principal.

-I pkcs11
Specificați biblioteca partajată PKCS#11 ssh ar trebui folosit pentru a comunica cu un PKCS#11
jeton care furnizează cheia RSA privată a utilizatorului.

-i fişier_identitate
Selectează un fișier din care se află identitatea (cheia privată) pentru autentificarea cu cheia publică
se citește. Valoarea implicită este ~/.ssh/identitate pentru versiunea de protocol 1 și ~/.ssh/id_dsa,
~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 si ~/.ssh/id_rsa pentru versiunea de protocol 2.
Fișierele de identitate pot fi, de asemenea, specificate pe bază de gazdă în fișierul de configurare.
Este posibil să aveți mai multe -i opțiuni (și identități multiple specificate în
fișiere de configurare). Dacă niciun certificat nu a fost specificat în mod explicit de către
CertificateFile directivă, ssh va încerca, de asemenea, să încarce informații despre certificat de la
numele fișierului obținut prin atașare -cert.pub pentru a identifica numele fișierelor.

-K Activează autentificarea și redirecționarea (delegarea) bazate pe GSSAPI
acreditările la server.

-k Dezactivează redirecționarea (delegarea) acreditărilor GSSAPI către server.

-L [adresa_bind:]port:gazdă:hostport
-L [adresa_bind:]port:priză_remotă
-L priză_locală:gazdă:hostport
-L priză_locală:priză_remotă
Specifică că conexiunile la portul TCP dat sau la soclul Unix pe local
gazda (client) trebuie să fie redirecționată către gazda și portul dat, sau soclul Unix, pe
partea de la distanță. Acest lucru funcționează prin alocarea unui socket pentru a asculta fie un TCP port on
partea locală, opțional legată de cele specificate adresa_bind, sau la un socket Unix.
Ori de câte ori se realizează o conexiune la portul sau soclul local, conexiunea este
transmis prin canalul securizat și se realizează o conexiune la oricare gazdă port
hostport, sau socket-ul Unix priză_remotă, de la aparatul de la distanță.

Redirecționările de porturi pot fi specificate și în fișierul de configurare. Doar
superutilizatorul poate redirecționa porturi privilegiate. Adresele IPv6 pot fi specificate prin
introducând adresa între paranteze drepte.

În mod implicit, portul local este legat în conformitate cu GatewayPorts setare.
Cu toate acestea, un explicit adresa_bind poate fi folosit pentru a lega conexiunea la un anumit
abordare. adresa_bind de „localhost” indică faptul că portul de ascultare este legat
numai pentru uz local, în timp ce o adresă goală sau „*” indică faptul că portul ar trebui să fie
disponibil de la toate interfețele.

-l nume de autentificare
Specifică utilizatorul să se autentifice ca pe mașina de la distanță. Poate fi specificat și acest lucru
pe bază de gazdă în fișierul de configurare.

-M Plasează ssh client în modul „master” pentru partajarea conexiunii. Multiplu -M
opțiuni locuri ssh în modul „master” cu confirmare necesară înainte de slave
conexiunile sunt acceptate. Consultați descrierea ControlMaster in
ssh_config(5) pentru detalii.

-m mac_spec
O listă separată prin virgulă de algoritmi MAC (cod de autentificare a mesajelor), specificați în
ordinea de preferință. Vezi MAC-uri cuvânt cheie pentru mai multe informații.

-N Nu executați o comandă de la distanță. Acest lucru este util doar pentru porturile de redirecționare.

-n Redirecționează stdin de la / Dev / null (de fapt, împiedică citirea din stdin). Acest lucru trebuie
să fie folosit când ssh este rulat în fundal. Un truc obișnuit este să utilizați acest lucru pentru a rula X11
programe de pe o mașină la distanță. De exemplu, ssh -n umbre.cs.hut.fi emacs & voi
porniți un emacs pe shadows.cs.hut.fi și conexiunea X11 va fi automată
redirecționate pe un canal criptat. The ssh programul va fi pus în fundal.
(Acest lucru nu funcționează dacă ssh trebuie să ceară o parolă sau o expresie de acces; vezi si pe
-f opțiune.)

-O ctl_cmd
Controlați un proces principal de multiplexare a conexiunii active. Cand -O opțiunea este
specificat, cel ctl_cmd argumentul este interpretat și transmis procesului principal.
Comenzile valide sunt: ​​„check” (verificați dacă procesul principal rulează), „forward”
(solicitați redirecționări fără executarea comenzii), „anulați” (anulați redirecționările),
„exit” (cereți comandantului să iasă) și „stop” (cereți comandantului să se oprească
acceptând alte cereri de multiplexare).

-o opțiune
Poate fi folosit pentru a oferi opțiuni în formatul utilizat în fișierul de configurare. Aceasta este
util pentru specificarea opțiunilor pentru care nu există un semnal separat de linie de comandă. Pentru
detalii complete despre opțiunile enumerate mai jos și valorile lor posibile, vezi
ssh_config(5).

AddKeysToAgent
AdresăFamilie
BatchMode
BindAddress
Domenii Canonice
CanonicalizeFallbackLocal
CanonicalizeHostname
CanonicalizeMaxDots
Canonicalize PermittedCNAMEs
CertificateFile
ChallengeResponseAuthentication
CheckHostIP
Cifru
cifrurile
ClearAllForwardings
Comprimare
CompressionLevel
Încercări de conectare
ConnectTimeout
ControlMaster
ControlPath
ControlPersist
DynamicForward
EscapeChar
ExitOnForwardFailure
FingerprintHash
Agent de expediere
ÎnainteX11
ForwardX11Timeout
Înainte X11 Încredere
GatewayPorts
GlobalKnownHostsFile
Autentificare GSSAPI
GSSAPIDelegateCredentials
HashKnownHosts
Gazdă
Autentificare bazată pe gazdă
Tipuri de chei bazate pe gazdă
HostKeyAlgorithms
HostKeyAlias
Nume gazdă
IdentityFile
Numai Identități
IPQoS
KbdInteractive Authentication
KbdInteractiveDevices
KexAlgoritmi
LocalCommand
LocalForward
LogLevel
MAC-uri
Match
NoHostAuthenticationForLocalhost
NumberOfPasswordPrompts
PasswordAuthentification
PermitLocalCommand
Furnizor PKCS11
Port
PreferredAuthentications
Protocol
ProxyCommand
ProxyUseFdpass
PubkeyAcceptedKeyTypes
PubkeyAuthentication
RekeyLimit
RemoteForward
Solicitați TTY
RhostsRSAAutentificare
Autentificare RSA
TrimiteEnv
ServerAliveInterval
ServerAliveCountMax
StreamLocalBindMask
StreamLocalBindUnlink
StrictHostKeyChecking
TPCeepAlive
Tunel
Dispozitiv tunel
UpdateHostKeys
UtilizațiPrivilegedPort
Utilizator
UserKnownHostsFile
VerifyHostKeyDNS
VisualHostKey
XAuthLocation

-p port
Port la care se conectează pe gazda la distanță. Acest lucru poate fi specificat pe bază de gazdă în
fisierul de configurare.

-Q opțiune_interogare
Interogări ssh pentru algoritmii acceptați pentru versiunea specificată 2. Disponibil
caracteristicile sunt: cifru (cifre simetrice acceptate), cifr-auth (suportat simetric
cifruri care acceptă criptare autentificată), mac (integritatea mesajului acceptată
coduri), KEX (algoritmi de schimb de chei), cheie (tipuri de chei), cheie-cert (cheia certificatului
tipuri), cheie-plată (tipuri de chei fără certificat) și versiune-protocol (SSH acceptat
versiuni de protocol).

-q Mod silențios. Determină suprimarea majorității mesajelor de avertizare și diagnosticare.

-R [adresa_bind:]port:gazdă:hostport
-R [adresa_bind:]port:priză_locală
-R priză_remotă:gazdă:hostport
-R priză_remotă:priză_locală
Specifică că conexiunile la portul TCP dat sau la soclul Unix de pe telecomandă
gazda (server) trebuie să fie redirecționată către gazda și portul dat, sau soclul Unix, pe
partea locală. Acest lucru funcționează prin alocarea unui socket pentru a asculta fie un TCP port sau pentru a
o priză Unix pe partea de la distanță. Ori de câte ori se face o conexiune la acest port sau
Socket Unix, conexiunea este redirecționată pe canalul securizat și o conexiune
este făcută fie gazdă port hostport, priză_locală, de la aparatul local.

Redirecționările de porturi pot fi specificate și în fișierul de configurare. Porturi privilegiate
poate fi redirecționat numai atunci când vă conectați ca root pe mașina de la distanță. adrese IPv6
poate fi specificat prin introducerea adresei între paranteze drepte.

În mod implicit, socketurile de ascultare TCP de pe server vor fi legate la loopback
numai interfață. Acest lucru poate fi anulat prin specificarea a adresa_bind. Un gol
adresa_bind, sau adresa „*”, indică faptul că priza de la distanță ar trebui să asculte
toate interfețele. Specificarea telecomenzii adresa_bind va reuși numai dacă serverul
GatewayPorts opțiunea este activată (vezi sshd_config(5)).

În cazul în care port argumentul este „0”, portul de ascultare va fi alocat dinamic pe
server și raportat clientului în timpul rulării. Când este utilizat împreună cu -O înainte
portul alocat va fi imprimat la ieșirea standard.

-S ctl_path
Specifică locația unei prize de control pentru partajarea conexiunii sau șirul
„niciunul” pentru a dezactiva partajarea conexiunii. Consultați descrierea ControlPath si
ControlMaster in ssh_config(5) pentru detalii.

-s Poate fi folosit pentru a solicita invocarea unui subsistem pe sistemul de la distanță. Subsisteme
să faciliteze utilizarea SSH ca transport sigur pentru alte aplicații (de ex
sftp(1)). Subsistemul este specificat ca comandă de la distanță.

-T Dezactivați alocarea pseudo-terminală.

-t Forțați alocarea pseudo-terminală. Acesta poate fi folosit pentru a executa ecran arbitrar-
programe bazate pe o mașină de la distanță, care pot fi foarte utile, de exemplu, la implementare
servicii de meniu. Multiplu -t opțiunile forțează alocarea tty, chiar dacă ssh nu are local
tty.

-V Afișați numărul versiunii și ieșiți.

-v Modul verbos. Cauze ssh pentru a imprima mesaje de depanare despre progresul acesteia. Aceasta este
util în depanarea problemelor de conexiune, autentificare și configurare.
Multiplu -v opțiunile cresc verbozitatea. Maximul este 3.

-W gazdă:port
Solicită ca intrarea și ieșirea standard de pe client să fie transmisă către gazdă on port
pe canalul securizat. implică -N, -T, ExitOnForwardFailure si
ClearAllForwardings.

-w local_tun[:remote_tun]
Solicită redirecționarea dispozitivului tunel cu specificația bute(4) dispozitive între
client (local_tun) și serverul (remote_tun).

Dispozitivele pot fi specificate prin ID numeric sau cuvântul cheie „orice”, care utilizează
următorul dispozitiv tunel disponibil. Dacă remote_tun nu este specificat, este implicit „orice”.
Consultați și Tunel si Dispozitiv tunel directive în ssh_config(5). Dacă Tunel
directiva nu este setată, este setată la modul implicit de tunel, care este „punct la punct”.

-X Activează redirecționarea X11. Acest lucru poate fi specificat și pe bază de gazdă într-un
Fișier de configurare.

Redirecționarea X11 ar trebui să fie activată cu prudență. Utilizatori cu capacitatea de a ocoli
permisiunile de fișiere pe gazda la distanță (pentru baza de date de autorizare X a utilizatorului) pot
accesați afișajul X11 local prin conexiunea redirecționată. Un atacator poate atunci
să poată efectua activități precum monitorizarea apăsării tastei.

Din acest motiv, redirecționarea X11 este supusă restricțiilor de extensie X11 SECURITY
în mod implicit. Vă rugăm să consultați ssh -Y și opțiunea Înainte X11 Încredere directivă
in ssh_config(5) pentru mai multe informații.

(specific Debian: redirecționarea X11 nu este supusă extensiei X11 SECURITY
restricții în mod implicit, deoarece prea multe programe se blochează în prezent în acest mod.
Seteaza Înainte X11 Încredere opțiunea „nu” pentru a restabili comportamentul în amonte. Acest
se poate schimba în viitor, în funcție de îmbunătățirile din partea clientului.)

-x Dezactivează redirecționarea X11.

-Y Activează redirecționarea X11 de încredere. Redirecționările X11 de încredere nu sunt supuse
Comenzile extensiei X11 SECURITY.

(specific Debian: această opțiune nu face nimic în configurația implicită: este
echivalentă cu "Înainte X11 Încredere da”, care este implicit așa cum este descris mai sus. A stabilit
il Înainte X11 Încredere opțiunea „nu” pentru a restabili comportamentul în amonte. Acest lucru poate
schimbare în viitor, în funcție de îmbunătățirile din partea clientului.)

-y Trimiteți informații de jurnal utilizând syslog(3) modul de sistem. În mod implicit, această informație
este trimis la stderr.

ssh poate obține în plus date de configurare dintr-un fișier de configurare per utilizator și a
fișier de configurare la nivelul întregului sistem. Formatul fișierului și opțiunile de configurare sunt descrise în
ssh_config(5).

AUTENTIFICARE

Clientul OpenSSH SSH acceptă protocoalele SSH 1 și 2. Implicit este utilizarea protocolului 2
numai, deși acest lucru poate fi schimbat prin intermediul Protocol opțiune în ssh_config(5) sau -1 si -2
opțiuni (vezi mai sus). Protocolul 1 nu trebuie utilizat și este oferit doar pentru a sprijini moștenirea
dispozitive. Suferă de o serie de slăbiciuni criptografice și nu acceptă multe dintre ele
caracteristicile avansate disponibile pentru protocolul 2.

Metodele disponibile pentru autentificare sunt: ​​autentificare bazată pe GSSAPI, bazată pe gazdă
autentificare, autentificare cu cheie publică, autentificare cu răspuns la provocare și parolă
autentificare. Totuși, metodele de autentificare sunt încercate în ordinea specificată mai sus
PreferredAuthentications poate fi folosit pentru a modifica ordinea implicită.

Autentificarea bazată pe gazdă funcționează după cum urmează: Dacă aparatul de la care se conectează utilizatorul este listat
in /etc/hosts.equiv or /etc/ssh/shosts.equiv pe mașina de la distanță, iar numele de utilizator sunt
la fel pe ambele părți, sau dacă fișierele ~/.rhosts or ~/.shosts există în casa utilizatorului
directorul de pe mașina de la distanță și conține o linie care conține numele mașinii client
și numele utilizatorului de pe acea mașină, utilizatorul este luat în considerare pentru autentificare. În plus,
server-ul trebuie sa să poată verifica cheia gazdă a clientului (consultați descrierea
/etc/ssh/ssh_known_hosts si ~/.ssh/known_hosts, mai jos) pentru ca autentificarea să fie permisă. Acest
metoda de autentificare închide găurile de securitate din cauza falsării IP, a falsificării DNS și a rutării
falsificarea. [Notă pentru administrator: /etc/hosts.equiv, ~/.rhosts, și rlogin/rsh
protocolul, în general, sunt în mod inerent nesigur și ar trebui să fie dezactivate dacă se dorește securitatea.]

Autentificarea cu cheie publică funcționează după cum urmează: Schema se bazează pe criptografia cu cheie publică,
folosind criptosisteme în care criptarea și decriptarea se fac folosind chei separate și este
imposibil de a deriva cheia de decriptare din cheia de criptare. Ideea este ca fiecare utilizator
creează o pereche de chei publice/private în scopuri de autentificare. Serverul cunoaște publicul
cheie și numai utilizatorul cunoaște cheia privată. ssh implementează autentificarea cu cheie publică
protocol automat, folosind unul dintre algoritmii DSA, ECDSA, Ed25519 sau RSA. Istoria
secțiune de ssl(8) (pentru sisteme non-OpenBSD, a se vedea
http://www.openbsd.org/cgi-bin/man.cgi?query=ssl&sektion=8#HISTORY) conține un scurt
discuție despre algoritmii DSA și RSA.

Fișierul ~/.ssh/authorized_keys listează cheile publice care sunt permise pentru autentificare.
Când utilizatorul se conectează, ssh programul spune serverului ce pereche de chei ar dori să utilizeze
pentru autentificare. Clientul dovedește că are acces la cheia privată și la server
verifică dacă cheia publică corespunzătoare este autorizată să accepte contul.

Utilizatorul își creează perechea de chei rulând ssh-keygen(1). Aceasta stochează cheia privată în
~/.ssh/identitate (protocolul 1), ~/.ssh/id_dsa (DSA), ~/.ssh/id_ecdsa (ECDSA),
~/.ssh/id_ed25519 (Ed25519), sau ~/.ssh/id_rsa (RSA) și stochează cheia publică în
~/.ssh/identity.pub (protocolul 1), ~/.ssh/id_dsa.pub (DSA), ~/.ssh/id_ecdsa.pub (ECDSA),
~/.ssh/id_ed25519.pub (Ed25519), sau ~ / .ssh / id_rsa.pub (RSA) în directorul principal al utilizatorului.
Utilizatorul ar trebui apoi să copieze cheia publică în ~/.ssh/authorized_keys în directorul său principal
pe mașina de la distanță. The chei_autorizate fisierul corespunde celui conventional ~/.rhosts
fișier și are o cheie pe linie, deși liniile pot fi foarte lungi. După aceasta, utilizatorul poate
autentifică-te fără a da parola.

O variantă a autentificării cu cheie publică este disponibilă sub formă de certificat
autentificare: în loc de un set de chei publice/private, se folosesc certificate semnate. Acest
are avantajul că o singură autoritate de certificare de încredere poate fi utilizată în locul mai multor
chei publice/private. Consultați secțiunea CERTIFICATE din ssh-keygen(1) pentru mai multe informații.

Cel mai convenabil mod de a utiliza cheia publică sau autentificarea certificatului poate fi cu un
agent de autentificare. Vedea agent ssh(1) și (opțional) AddKeysToAgent directivă în
ssh_config(5) pentru mai multe informații.

Autentificarea răspuns la provocare funcționează după cum urmează: Serverul trimite un mesaj arbitrar
text de „provocare” și solicită un răspuns. Exemple de autentificare provocare-răspuns
includ autentificarea BSD (vezi login.conf(5)) și PAM (unele sisteme non-OpenBSD).

În cele din urmă, dacă alte metode de autentificare eșuează, ssh solicită utilizatorului o parolă. The
parola este trimisă gazdei la distanță pentru verificare; cu toate acestea, întrucât toate comunicările sunt
criptată, parola nu poate fi văzută de cineva care ascultă în rețea.

ssh menține și verifică automat o bază de date care conține identificarea tuturor gazdelor pe care o are
a fost folosit vreodată cu. Cheile gazdei sunt stocate în ~/.ssh/known_hosts în casa utilizatorului
director. În plus, fișierul /etc/ssh/ssh_known_hosts este verificat automat
gazde cunoscute. Orice gazdă nouă este adăugată automat în fișierul utilizatorului. Dacă al unei gazde
identificarea se schimbă mereu, ssh avertizează despre acest lucru și dezactivează autentificarea parolei la
preveniți falsificarea serverului sau atacurile de tip man-in-the-middle, care altfel ar putea fi folosite
eluda criptarea. The StrictHostKeyChecking opțiunea poate fi folosită pentru a controla autentificarea
la mașinile a căror cheie gazdă nu este cunoscută sau s-a schimbat.

Când identitatea utilizatorului a fost acceptată de către server, serverul fie execută
comanda dată într-o sesiune non-interactivă sau, dacă nu a fost specificată nicio comandă, se conectează
mașină și oferă utilizatorului un shell normal ca o sesiune interactivă. Toată comunicarea
cu comanda de la distanță sau shell-ul va fi criptat automat.

Dacă se solicită o sesiune interactivă ssh implicit va solicita doar un pseudo-terminal
(pty) pentru sesiuni interactive când clientul are una. Steagurile -T si -t pot fi utilizate pentru a
trece peste acest comportament.

Dacă a fost alocat un pseudo-terminal, utilizatorul poate folosi caracterele de escape menționate mai jos.

Dacă nu a fost alocat niciun pseudo-terminal, sesiunea este transparentă și poate fi folosită
transferați în mod fiabil date binare. Pe majoritatea sistemelor, setarea caracterului de evacuare la „niciunul” va fi
de asemenea, faceți sesiunea transparentă chiar dacă este folosit un tty.

Sesiunea se încheie când comanda sau shell-ul de pe mașina de la distanță iese și toate X11 și
Conexiunile TCP au fost închise.

ESCAPE CARACTERE

Când a fost solicitat un pseudo-terminal, ssh acceptă o serie de funcții prin intermediul
utilizarea unui caracter de evadare.

Un singur caracter tilde poate fi trimis ca ~~ sau prin urmărirea tildei de către un alt personaj
decât cele descrise mai jos. Personajul de evadare trebuie să urmeze întotdeauna o nouă linie pentru a fi
interpretat ca special. Caracterul de evacuare poate fi modificat în fișierele de configurare folosind
il EscapeChar directiva de configurare sau pe linia de comandă de către -e opțiune.

Escape-urile acceptate (presupunând că implicit „~”) sunt:

~. Deconectat.

~^Z Context ssh.

~# Listați conexiunile redirecționate.

~& Context ssh la deconectare când se așteaptă conexiunea redirecționată / sesiunile X11 către
termina.

~? Afișează o listă de caractere de evacuare.

~B Trimiteți un BREAK către sistemul de la distanță (util doar dacă peer-ul îl acceptă).

~C Deschideți linia de comandă. În prezent, acest lucru permite adăugarea de redirecționări de porturi folosind
-L, -R si -D opțiuni (vezi mai sus). De asemenea, permite anularea celor existente
port-forwardings cu -KL[adresa_bind:]port pentru local, -KR[adresa_bind:]port pentru
la distanţă şi -KD[adresa_bind:]port pentru redirecționări dinamice de porturi. !comandă permite
utilizatorul să execute o comandă locală dacă PermitLocalCommand opțiunea este activată în
ssh_config(5). Ajutorul de bază este disponibil, folosind -h opțiune.

~R Solicitați reintroducerea conexiunii (utilă doar dacă peer-ul o acceptă).

~V Reduceți verbozitatea (LogLevel) când erorile sunt scrise în stderr.

~v Creșteți verbozitatea (LogLevel) când erorile sunt scrise în stderr.

TCP ÎNTREPRINIRE

Redirecționarea conexiunilor TCP arbitrare prin canalul securizat poate fi specificată fie pe
linia de comandă sau într-un fișier de configurare. O posibilă aplicație a redirecționării TCP este
o conexiune sigură la un server de e-mail; altul trece prin firewall-uri.

În exemplul de mai jos, ne uităm la criptarea comunicării între un client IRC și un server,
chiar dacă serverul IRC nu acceptă direct comunicații criptate. Acest lucru funcționează
după cum urmează: utilizatorul se conectează la gazda de la distanță folosind ssh, specificând un port pentru care să fie folosit
redirecționează conexiunile către serverul de la distanță. După aceea, este posibil să porniți serviciul
care urmează să fie criptat pe computerul client, conectându-se la același port local și ssh
va cripta și va redirecționa conexiunea.

Următorul exemplu tunelizează o sesiune IRC de la mașina client „127.0.0.1” (localhost) la
server la distanță „server.example.com”:

$ ssh -f -L 1234:localhost:6667 server.example.com sleep 10
$ irc -c '#utilizatori' -p 1234 pinky 127.0.0.1

Acest lucru tunelizează o conexiune la serverul IRC „server.example.com”, unindu-se la canalul „#users”,
porecla „pinky”, folosind portul 1234. Nu contează ce port este folosit, atâta timp cât este
mai mare de 1023 (rețineți, numai root poate deschide socket-uri pe porturi privilegiate) și nu
conflict cu orice port deja utilizat. Conexiunea este redirecționată către portul 6667 de pe
server la distanță, deoarece acesta este portul standard pentru serviciile IRC.

-f fundaluri opțiuni ssh iar comanda de la distanță „sleep 10” este specificată pentru a permite an
perioada de timp (10 secunde, în exemplu) pentru a porni serviciul care urmează să fie tunelizat.
Dacă nu se fac conexiuni în timpul specificat, ssh va ieși.

X11 ÎNTREPRINIRE

În cazul în care ÎnainteX11 variabila este setată la „da” (sau consultați descrierea -X, -x și -Y
opțiunile de mai sus) și utilizatorul folosește X11 (variabila de mediu DISPLAY este setată),
conexiunea la afișajul X11 este redirecționată automat către partea de la distanță în acest fel
că orice programe X11 pornite din shell (sau comandă) vor trece prin criptarea
canal, iar conexiunea la serverul X real se va face de pe mașina locală. The
utilizatorul nu trebuie să seteze manual DISPLAY. Redirecționarea conexiunilor X11 poate fi configurată
linia de comandă sau în fișierele de configurare.

Valoarea DISPLAY setată de ssh va indica mașina server, dar cu un număr de afișare
mai mare decât zero. Acest lucru este normal și se întâmplă pentru că ssh creează un server X „proxy”.
mașina server pentru redirecționarea conexiunilor prin canalul criptat.

ssh de asemenea, va configura automat datele Xauthority pe computerul server. În acest scop,
va genera un cookie de autorizare aleatoriu, îl va stoca în Xauthority pe server și
verificați dacă toate conexiunile redirecționate poartă acest cookie și înlocuiți-l cu cookie-ul real
când conexiunea este deschisă. Cookie-ul de autentificare real nu este niciodată trimis la server
mașină (și nu sunt trimise cookie-uri în câmpie).

În cazul în care Agent de expediere variabila este setată la „da” (sau consultați descrierea -A si -a
opțiunile de mai sus) și utilizatorul folosește un agent de autentificare, conexiunea cu agentul este
redirecționat automat către partea de la distanță.

VERIFICAREA HOST CHEI

Când vă conectați la un server pentru prima dată, o amprentă a cheii publice a serverului este
prezentat utilizatorului (cu excepția cazului în care opțiunea StrictHostKeyChecking a fost deconectat).
Amprentele pot fi determinate folosind ssh-keygen(1):

$ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key

Dacă amprenta este deja cunoscută, aceasta poate fi potrivită și cheia poate fi acceptată sau
respins. Dacă sunt disponibile doar amprentele digitale vechi (MD5) pentru server, acesta ssh-keygen(1)
-E opțiunea poate fi utilizată pentru a downgrade algoritmul de amprentă pentru a se potrivi.

Din cauza dificultății de a compara cheile gazdă doar privind șirurile de amprente,
există, de asemenea, suport pentru a compara vizual cheile gazdă, folosind aleator artă. Prin setarea
VisualHostKey opțiunea „da”, un mic grafic ASCII este afișat la fiecare conectare la a
server, indiferent dacă sesiunea în sine este interactivă sau nu. Învățând tiparul a
server cunoscut, un utilizator poate afla cu ușurință că cheia gazdă s-a schimbat atunci când a
este afișat un model complet diferit. Pentru că aceste modele nu sunt clare
cu toate acestea, un model care arată asemănător cu modelul amintit dă doar un bun
probabilitatea ca cheia gazdă să fie aceeași, dovadă nu este garantată.

Pentru a obține o listă a amprentelor digitale împreună cu arta lor aleatorie pentru toate gazdele cunoscute, the
se poate folosi următoarea linie de comandă:

$ ssh-keygen -lv -f ~/.ssh/known_hosts

Dacă amprenta este necunoscută, este disponibilă o metodă alternativă de verificare: SSH
amprentele digitale verificate de DNS. O înregistrare suplimentară de resurse (RR), SSHFP, este adăugată la a
zonefile și clientul care se conectează poate potrivi amprenta cu cea a cheii
prezentat.

În acest exemplu, conectăm un client la un server, „host.example.com”. SSHFP
înregistrările de resurse ar trebui mai întâi adăugate la zonefile pentru host.example.com:

$ ssh-keygen -r host.example.com.

Liniile de ieșire vor trebui adăugate la zonefile. Pentru a verifica dacă zona răspunde
interogări de amprentă:

$ dig -t SSHFP host.example.com

În cele din urmă, clientul se conectează:

$ ssh -o „VerifyHostKeyDNS ask” host.example.com
[...]
Amprenta digitală a cheii gazdă care se potrivește găsită în DNS.
Sigur doriți să continuați conectarea (da / nu)?

A se vedea VerifyHostKeyDNS opțiune în ssh_config(5) pentru mai multe informații.

BAZAT SSH VIRTUAL PRIVAT REȚELE

ssh conține suport pentru tunelarea rețelei private virtuale (VPN) folosind bute(4) rețea
pseudo-dispozitiv, permițând conectarea în siguranță a două rețele. The sshd_config(5)
opțiunea de configurare PermisTunnel controlează dacă serverul acceptă acest lucru și la ce
nivel (trafic de nivel 2 sau 3).

Următorul exemplu ar conecta rețeaua client 10.0.50.0/24 cu rețeaua de la distanță
10.0.99.0/24 folosind o conexiune punct la punct de la 10.1.1.1 la 10.1.1.2, cu condiția ca
Serverul SSH care rulează pe gateway-ul către rețeaua la distanță, la 192.168.1.15, permite acest lucru.

Pe client:

# ssh -f -w 0:1 192.168.1.15 adevărat
# ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
# route add 10.0.99.0/24 10.1.1.2

Pe server:

# ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252
# route add 10.0.50.0/24 10.1.1.1

Accesul clientului poate fi reglat mai fin prin intermediul /root/.ssh/authorized_keys fișier (vezi mai jos)
si PermitRootLogin opțiunea de server. Următoarea intrare ar permite conexiunile
bute(4) dispozitivul 1 de la utilizatorul „jane” și pe dispozitivul tun 2 de la utilizatorul „john”, dacă PermitRootLogin is
setat la „forțat-comenzi-doar”:

tunnel="1",command="sh /etc/netstart tun1" ssh-rsa ... jane
tunnel="2",command="sh /etc/netstart tun2" ssh-rsa ... john

Deoarece o configurare bazată pe SSH implică o sumă destul de mare de cheltuieli generale, poate fi mai potrivită
setări temporare, cum ar fi pentru VPN-urile fără fir. Mai multe VPN-uri permanente sunt mai bine furnizate de
instrumente precum ipsecctl(8) și isakmpd(8).

MEDIUL

ssh va seta în mod normal următoarele variabile de mediu:

DISPLAY Variabila DISPLAY indică locația serverului X11. Este
setat automat de ssh pentru a indica o valoare de forma „hostname:n”,
unde „hostname” indică gazda în care rulează shell-ul și „n” este
un număr întreg ≥ 1. ssh folosește această valoare specială pentru a transmite X11
conexiuni prin canalul securizat. În mod normal, utilizatorul nu ar trebui să seteze
DISPLAY explicit, deoarece asta va face conexiunea X11 nesigură
(și va solicita utilizatorului să copieze manual orice autorizație necesară
cookie-uri).

HOME Setați calea directorului principal al utilizatorului.

LOGNAME Sinonim pentru USER; setat pentru compatibilitate cu sistemele care folosesc acest lucru
variabilă.

MAIL Setează calea căsuței poștale a utilizatorului.

PATH Setați la PATH implicit, așa cum este specificat la compilare ssh.

SSH_ASKPASS Dacă ssh are nevoie de o expresie de acces, va citi expresia de acces din
terminalul curent dacă a fost rulat de la un terminal. Dacă ssh nu are
un terminal asociat cu acesta, dar DISPLAY și SSH_ASKPASS sunt setate, acesta
va executa programul specificat de SSH_ASKPASS și va deschide un X11
fereastra pentru a citi fraza de acces. Acest lucru este deosebit de util atunci când
apel ssh de la un .xsession sau script înrudit. (Rețineți că la unele
mașinile de la care poate fi necesar să redirecționați intrarea / Dev / null la
face asta să funcționeze.)

SSH_AUTH_SOCK Identifică calea unui socket de domeniu UNIX utilizat pentru a comunica
agentul.

SSH_CONNECTION Identifică capetele client și server ale conexiunii. Variabila
conține patru valori separate prin spațiu: adresa IP a clientului, portul clientului
numărul, adresa IP a serverului și numărul portului serverului.

SSH_ORIGINAL_COMMAND Această variabilă conține linia de comandă originală dacă este o comandă forțată
este executat. Poate fi folosit pentru a extrage argumentele originale.

SSH_TTY Acesta este setat la numele tty-ului (calea către dispozitiv) asociat
cu shell-ul sau comanda curentă. Dacă sesiunea curentă nu are tty,
această variabilă nu este setată.

TZ Această variabilă este setată pentru a indica fusul orar actual dacă a fost setat
când a fost pornit demonul (adică demonul îi transmite valoarea către
conexiuni noi).

UTILIZATOR Setați la numele utilizatorului care se conectează.

În plus, ssh citește ~/.ssh/environmentși adaugă linii cu formatul „VARNAME=valoare” la
mediul dacă fișierul există și utilizatorii au voie să-și schimbe mediul. Pentru
mai multe informații, consultați PermisUserEnvironment opțiune în sshd_config(5).

Utilizați ssh online folosind serviciile onworks.net