Ονομα
sshd - OpenSSH SSH δαίμονα
Σύνοψη
s - [ k - key_gen_time ] [- o επιλογή ] [- p θύρα ] [- f ] [-
Περιγραφή
sshd (SSH Daemon) είναι το πρόγραμμα daemon για ssh (1). Μαζί αυτά τα προγράμματα αντικαθιστούν το rlogin και rsh και παρέχει ασφαλή κρυπτογραφημένη επικοινωνία μεταξύ δύο μη αξιόπιστων κεντρικών υπολογιστών μέσω ενός μη ασφαλούς δικτύου. Τα προγράμματα προορίζονται να είναι όσο το δυνατόν πιο εύκολο να εγκατασταθούν και να χρησιμοποιηθούν.
Το sshd είναι ο δαίμονας που ακούει τις συνδέσεις από τους πελάτες. Ξεκινάει κανονικά κατά την εκκίνηση από το / etc / rc Πωλεί ένα νέο δαίμονα για κάθε εισερχόμενη σύνδεση. Οι διχαλωτές δαίμονες χειρίζονται την ανταλλαγή κλειδιών, την κρυπτογράφηση, τον έλεγχο ταυτότητας, την εκτέλεση εντολών και την ανταλλαγή δεδομένων. Αυτή η υλοποίηση του sshd υποστηρίζει ταυτόχρονα και την πρωτόκολλο SSH 1 και 2.
SSH πρωτόκολλο έκδοσης 1
Κάθε κεντρικός υπολογιστής έχει ένα ειδικό κλειδί RSA (συνήθως 1024 bits) που χρησιμοποιείται για τον εντοπισμό του κεντρικού υπολογιστή. Επιπλέον, όταν ο δαίμονας ξεκινά, δημιουργεί ένα κλειδί RSA server (κανονικά 768 bits). Αυτό το κλειδί κανονικά αναγεννάται κάθε ώρα αν έχει χρησιμοποιηθεί και δεν αποθηκεύεται ποτέ στο δίσκο.
Κάθε φορά που ένας πελάτης συνδέει τον δαίμονα αποκρίνεται με τα δημόσια κλειδιά του κεντρικού υπολογιστή και του διακομιστή του. Ο πελάτης συγκρίνει το κλειδί κεντρικού υπολογιστή RSA με τη δική του βάση δεδομένων για να επαληθεύσει ότι δεν έχει αλλάξει. Στη συνέχεια ο πελάτης παράγει έναν τυχαίο αριθμό 256-bit. Κρυπτογραφεί αυτόν τον τυχαίο αριθμό χρησιμοποιώντας το πλήκτρο κεντρικού υπολογιστή και το κλειδί διακομιστή και αποστέλλει τον κρυπτογραφημένο αριθμό στο διακομιστή. Και οι δύο πλευρές χρησιμοποιούν αυτόν τον τυχαίο αριθμό ως κλειδί συνόδου που χρησιμοποιείται για την κρυπτογράφηση όλων των περαιτέρω επικοινωνιών στην περίοδο σύνδεσης. Το υπόλοιπο της περιόδου σύνδεσης είναι κρυπτογραφημένο χρησιμοποιώντας έναν συμβατικό κρυπτογράφο, επί του παρόντος το Blowfish ή το 3DES, με το 3DES να χρησιμοποιείται από προεπιλογή. Ο πελάτης επιλέγει τον αλγόριθμο κρυπτογράφησης που θα χρησιμοποιήσει από αυτούς που προσφέρει ο διακομιστής.
Στη συνέχεια, ο διακομιστής και ο πελάτης εισάγουν ένα παράθυρο διαλόγου ελέγχου ταυτότητας. Ο πελάτης προσπαθεί να πιστοποιήσει τον εαυτό του χρησιμοποιώντας την πιστοποίηση .rhosts, τον έλεγχο ταυτότητας .rhosts σε συνδυασμό με τον έλεγχο ταυτότητας κεντρικού υπολογιστή RSA, τον έλεγχο ταυτότητας απόκρισης RSA ή τον έλεγχο ταυτότητας με κωδικό πρόσβασης .
Ο έλεγχος ταυτότητας Rhosts είναι κανονικά απενεργοποιημένος επειδή είναι βασικά ανασφαλής, αλλά μπορεί να ενεργοποιηθεί στο αρχείο διαμόρφωσης του διακομιστή, αν είναι επιθυμητό. Η ασφάλεια του συστήματος δεν βελτιώνεται εκτός αν απενεργοποιηθούν οι rshd rlogind και rexecd (απενεργοποιώντας έτσι το rlogin και rsh στο μηχάνημα).
SSH πρωτόκολλο έκδοσης 2
Η έκδοση 2 λειτουργεί παρομοίως: Κάθε κεντρικός υπολογιστής διαθέτει ένα κλειδί συγκεκριμένου κεντρικού υπολογιστή (RSA ή DSA) που χρησιμοποιείται για την αναγνώριση του κεντρικού υπολογιστή. Ωστόσο, όταν ο δαίμονας ξεκινά, δεν παράγει ένα κλειδί διακομιστή. Προηγούμενη ασφάλεια παρέχεται μέσω συμφωνίας κλειδιού Diffie-Hellman. Αυτή η συμφωνία κλειδί έχει ως αποτέλεσμα ένα κοινό κλειδί συνόδου.
Η υπόλοιπη περίοδος είναι κρυπτογραφημένη χρησιμοποιώντας συμμετρικό κρυπτογράφο, επί του παρόντος 128 bit AES, Blowfish, 3DES, CAST128, Arcfour, AES 192 bit ή AES 256 bit. Ο πελάτης επιλέγει τον αλγόριθμο κρυπτογράφησης που θα χρησιμοποιήσει από αυτούς που προσφέρει ο διακομιστής. Επιπλέον, η ακεραιότητα της σύνδεσης παρέχεται μέσω κώδικα κρυπτογραφικού ελέγχου ταυτότητας (hmac-sha1 ή hmac-md5).
Η έκδοση 2 του πρωτοκόλλου παρέχει μια μέθοδο εξακρίβωσης ταυτότητας με βάση το δημόσιο κλειδί (PubkeyAuthentication) ή τη φιλοσοφία host-host (HostbasedAuthentication), τον κλασικό έλεγχο ταυτότητας με κωδικό πρόσβασης και τις μεθόδους που βασίζονται στην ανταπόκριση.
Εκτέλεση εντολών και προώθηση δεδομένων
Εάν ο υπολογιστής-πελάτης επιβεβαιώσει επιτυχώς τον εαυτό του, εισάγεται ένα παράθυρο διαλόγου για την προετοιμασία της συνεδρίας Αυτή τη στιγμή, ο πελάτης μπορεί να ζητήσει πράγματα όπως να παραχωρήσει μια ψευδο-tty, να προωθήσει τις συνδέσεις X11, να προωθήσει τις συνδέσεις TCP / IP ή να προωθήσει τη σύνδεση του παράγοντα ελέγχου ταυτότητας μέσω του ασφαλούς καναλιού.
Τέλος, ο πελάτης είτε ζητά ένα κέλυφος είτε εκτέλεση μιας εντολής. Στη συνέχεια οι πλευρές εισέρχονται στη λειτουργία συνεδρίας. Σε αυτή τη λειτουργία, οποιαδήποτε πλευρά μπορεί να στείλει δεδομένα ανά πάσα στιγμή και τα δεδομένα αυτά προωθούνται προς / από το κέλυφος ή την εντολή στην πλευρά του διακομιστή και το τερματικό χρήστη στην πλευρά του πελάτη.
Όταν τερματίσει το πρόγραμμα χρήστη και όλα τα προωθούμενα X11 και άλλες συνδέσεις έχουν κλείσει, ο διακομιστής στέλνει την κατάσταση εξόδου εντολής στον πελάτη και οι δύο πλευρές εξέρχονται.
Το sshd μπορεί να ρυθμιστεί χρησιμοποιώντας επιλογές γραμμής εντολών ή αρχείο ρυθμίσεων. Οι επιλογές γραμμής εντολών παρακάμπτουν τις τιμές που καθορίζονται στο αρχείο ρυθμίσεων.
Το sshd ξαναδιαμορφώνει το αρχείο ρυθμίσεων όταν λαμβάνει ένα σήμα hang- up , SIGHUP εκτελώντας το ίδιο με το όνομα που ξεκίνησε σαν / usr / sbin / sshd
Οι επιλογές είναι οι εξής:
-b bits
Ορίζει τον αριθμό των δυαδικών ψηφίων στο κλειδί διακομιστή εφήμερης έκδοσης πρωτοκόλλου 1 (προεπιλογή 768).
-ρε
Λειτουργία εντοπισμού σφαλμάτων. Ο διακομιστής στέλνει εξαντλητική έξοδο εντοπισμού σφαλμάτων στο αρχείο καταγραφής συστήματος και δεν τοποθετείται στο παρασκήνιο. Ο διακομιστής επίσης δεν θα λειτουργήσει και θα επεξεργαστεί μόνο μία σύνδεση. Αυτή η επιλογή προορίζεται μόνο για εντοπισμό σφαλμάτων για το διακομιστή. Οι επιλογές πολλαπλών επιλογών αυξάνουν το επίπεδο εντοπισμού σφαλμάτων. Το μέγιστο είναι 3.
-μι
Όταν καθοριστεί αυτή η επιλογή, το sshd θα αποστείλει την έξοδο στο τυπικό σφάλμα αντί για το αρχείο καταγραφής συστήματος.
-f configuration_file
Καθορίζει το όνομα του αρχείου ρυθμίσεων. Η προεπιλογή είναι / etc / ssh / sshd_config sshd αρνείται να ξεκινήσει αν δεν υπάρχει αρχείο διαμόρφωσης.
-g login_grace_time
Παρέχει το χρόνο χάριτος για τους πελάτες να πιστοποιήσουν τον εαυτό τους (προεπιλογή 120 δευτερόλεπτα). Εάν ο πελάτης δεν κατορθώσει να πιστοποιήσει τον χρήστη μέσα σε αυτά τα δευτερόλεπτα, ο διακομιστής αποσυνδέεται και εξέρχεται. Μία τιμή μηδέν δείχνει κανένα όριο.
-h host_key_file
Καθορίζει ένα αρχείο από το οποίο διαβάζεται ένα κλειδί κεντρικού υπολογιστή. Αυτή η επιλογή πρέπει να δίνεται εάν το sshd δεν εκτελείται ως root (καθώς τα κανονικά αρχεία κλειδιού κεντρικού υπολογιστή κανονικά δεν μπορούν να διαβαστούν από κανέναν παρά από root). Η προεπιλογή είναι / etc / ssh / ssh_host_key για την έκδοση πρωτοκόλλου 1 και / etc / ssh / ssh_host_rsa_key και / etc / ssh / ssh_host_dsa_key για την έκδοση πρωτοκόλλου 2. Είναι πιθανό να έχετε πολλαπλά αρχεία κλειδιού κεντρικού υπολογιστή για τις διαφορετικές εκδόσεις πρωτοκόλλου και κλειδί κεντρικού υπολογιστή αλγορίθμους.
-Εγώ
Καθορίζει ότι το sshd εκτελείται από το inetd. Το sshd κανονικά δεν εκτελείται από το inetd επειδή χρειάζεται να δημιουργήσει το κλειδί του διακομιστή πριν να μπορέσει να ανταποκριθεί στον πελάτη και αυτό μπορεί να διαρκέσει δεκάδες δευτερόλεπτα. Οι πελάτες θα πρέπει να περιμένουν πάρα πολύ καιρό, εάν το κλειδί αναγεννηθεί κάθε φορά. Ωστόσο, με μικρά μεγέθη κλειδιών (π.χ., 512) χρησιμοποιώντας sshd από inetd μπορεί να είναι εφικτή.
-k key_gen_time
Καθορίζει πόσο συχνά αναπαράγεται το κλειδί διακομιστή εφήμερης έκδοσης πρωτοκόλλου 1 (προεπιλογή 3600 δευτερόλεπτα ή μία ώρα). Το κίνητρο για την ανανέωση του κλειδιού αρκετά συχνά είναι ότι το κλειδί δεν αποθηκεύεται οπουδήποτε και μετά από περίπου μία ώρα καθίσταται αδύνατη η ανάκτηση του κλειδιού για την αποκρυπτογράφηση των παρεμπιπτόμενων επικοινωνιών, ακόμη και αν το μηχάνημα είναι ραγισμένο ή σωματικά κατασχεμένο. Μια τιμή μηδέν δείχνει ότι το κλειδί δεν θα αναγεννηθεί ποτέ.
-η επιλογή
Μπορεί να χρησιμοποιηθεί για να δώσει επιλογές στη μορφή που χρησιμοποιείται στο αρχείο ρυθμίσεων. Αυτό είναι χρήσιμο για τον καθορισμό των επιλογών για τις οποίες δεν υπάρχει ξεχωριστή σημαία γραμμής εντολών.
-p θύρα
Καθορίζει τη θύρα στην οποία ο διακομιστής ακούει τις συνδέσεις (προεπιλογή 22). Επιτρέπονται οι επιλογές πολλαπλών θυρών. Οι θύρες που καθορίζονται στο αρχείο ρυθμίσεων αγνοούνται όταν έχει καθοριστεί μια θύρα γραμμής εντολών.
-q
Ήσυχη λειτουργία. Δεν αποστέλλεται τίποτα στο αρχείο καταγραφής συστήματος. Συνήθως καταγράφονται η αρχή, ο έλεγχος ταυτότητας και ο τερματισμός κάθε σύνδεσης.
-t
Δοκιμή λειτουργίας. Ελέγξτε μόνο την εγκυρότητα του αρχείου ρυθμίσεων και την ορθότητα των πλήκτρων. Αυτό είναι χρήσιμο για την έγκυρη ενημέρωση του sshd καθώς οι επιλογές διαμόρφωσης ενδέχεται να αλλάξουν.
-u len
Αυτή η επιλογή χρησιμοποιείται για τον καθορισμό του μεγέθους του πεδίου στη δομή utmp που περιέχει το όνομα του απομακρυσμένου κεντρικού υπολογιστή. Αν το επιλεγμένο όνομα κεντρικού υπολογιστή είναι μεγαλύτερο από το απλώς θα χρησιμοποιηθεί η διακεκομμένη δεκαδική τιμή. Αυτό επιτρέπει στους οικοδεσπότες με πολύ μεγάλα ονόματα κεντρικών υπολογιστών που ξεχειλίζουν αυτό το πεδίο για να είναι ακόμη μοναδικά αναγνωρισμένα. Ο προσδιορισμός - u0 υποδηλώνει ότι μόνο οι διακεκομμένες δεκαδικές διευθύνσεις θα πρέπει να τεθούν στο αρχείο utmp. - u0 χρησιμοποιείται επίσης για να εμποδίσει το sshd να κάνει αιτήσεις DNS, εκτός εάν το απαιτεί ο μηχανισμός ελέγχου ταυτότητας ή η διαμόρφωση. Οι μηχανισμοί ελέγχου ταυτότητας που ενδέχεται να απαιτούν DNS περιλαμβάνουν RhostsAuthentication RhostsRSAAuthentication HostbasedAuthentication και χρησιμοποιώντας μια επιλογή = από λίστα μοτίβων σε ένα αρχείο κλειδιού. Οι επιλογές διαμόρφωσης που απαιτούν DNS περιλαμβάνουν τη χρήση ενός προτύπου USER @ HOST στα AllowUsers ή DenyUsers
-ΡΕ
Όταν αυτή η επιλογή καθορίζεται, το sshd δεν αποσπάται και δεν γίνεται δαίμονας. Αυτό επιτρέπει την εύκολη παρακολούθηση του sshd
-4
Δυνάμεις sshd να χρησιμοποιούν μόνο διευθύνσεις IPv4.
-6
Επιβάλλει sshd να χρησιμοποιεί μόνο διευθύνσεις IPv6.
Αρχείο ρύθμισης παραμέτρων
Το sshd διαβάζει δεδομένα διαμόρφωσης από το / etc / ssh / sshd_config (ή το αρχείο που καθορίζεται με το - f στη γραμμή εντολών). Η μορφή αρχείου και οι επιλογές διαμόρφωσης περιγράφονται στο sshd_config5.
Διαδικασία σύνδεσης
Όταν ένας χρήστης συνδέεται με επιτυχία, το sshd κάνει τα εξής:
- Εάν η σύνδεση είναι σε tty και δεν έχει καθοριστεί καμία εντολή, εκτυπώνει την τελευταία ώρα σύνδεσης και / etc / motd (εκτός εάν δεν έχει προληφθεί στο αρχείο διαμόρφωσης ή από το $ HOME / .hushlogin δείτε την ενότητα Sx FILES).
- Εάν η σύνδεση είναι σε tty, καταγράφει την ώρα σύνδεσης.
- Ελέγχει / etc / nologin εάν υπάρχει, εκτυπώνει τα περιεχόμενα και τερματίζει (εκτός και αν είναι root).
- Αλλαγές για εκτέλεση με τα κανονικά δικαιώματα χρήστη.
- Ορίζει το βασικό περιβάλλον.
- Διαβάζει $ HOME / .ssh / περιβάλλον εάν υπάρχει και επιτρέπεται στους χρήστες να αλλάξουν το περιβάλλον τους. Ανατρέξτε στην επιλογή PermitUserEnvironment στο sshd_config5.
- Αλλαγές στον αρχικό κατάλογο του χρήστη.
- Αν το $ HOME / .ssh / rc υπάρχει, το τρέχει. αλλιώς αν / etc / ssh / sshrc υπάρχει, το τρέχει? διαφορετικά τρέχει xauth. Στα αρχεία `` rc '' δίνεται το πρωτόκολλο ελέγχου ταυτότητας X11 και το cookie σε τυπική είσοδο.
- Εκτελεί το κέλυφος ή την εντολή του χρήστη.
Authorized_Keys File Format
Το $ HOME / .ssh / authorized_keys είναι το προεπιλεγμένο αρχείο που παραθέτει τα δημόσια κλειδιά που επιτρέπονται για έλεγχο ταυτότητας RSA σε έκδοση πρωτοκόλλου 1 και για έλεγχο ταυτότητας δημόσιου κλειδιού (PubkeyAuthentication) στην έκδοση πρωτοκόλλου 2. Το AuthorizedKeysFile μπορεί να χρησιμοποιηθεί για τον καθορισμό ενός εναλλακτικού αρχείου.
Κάθε γραμμή του αρχείου περιέχει ένα κλειδί (οι κενές γραμμές και οι γραμμές που αρχίζουν με ένα '#' αγνοούνται ως σχόλια). Κάθε δημόσιο κλειδί RSA αποτελείται από τα ακόλουθα πεδία, χωρισμένα με κενά: επιλογές, bits, exponent, modulus, comment. Κάθε δημόσιο κλειδί έκδοσης πρωτοκόλλου 2 αποτελείται από: επιλογές, keytype, key64 encoded key, comment. Το πεδίο επιλογών είναι προαιρετικό. η παρουσία της καθορίζεται από το αν η γραμμή αρχίζει με έναν αριθμό ή όχι (το πεδίο επιλογών δεν ξεκινά ποτέ με έναν αριθμό). Τα πεδία bit, exponent, modulus και comment περιέχουν το κλειδί RSA για την έκδοση πρωτοκόλλου 1. το πεδίο σχολίου δεν χρησιμοποιείται για τίποτα (αλλά μπορεί να είναι βολικό για τον χρήστη να αναγνωρίσει το κλειδί). Για την έκδοση πρωτοκόλλου 2 ο τύπος κλειδιού είναι `` ssh-dss '' ή `` ssh-rsa ''
Σημειώστε ότι οι γραμμές σε αυτό το αρχείο είναι συνήθως αρκετές εκατοντάδες ψηφιολέξεις (λόγω του μεγέθους της κωδικοποίησης δημόσιου κλειδιού). Δεν θέλετε να τις πληκτρολογήσετε. Αντίθετα, αντιγράψτε την ταυτότητα.pub id_dsa.pub ή το αρχείο id_rsa.pub και επεξεργαστείτε το.
Το sshd επιβάλλει ένα ελάχιστο μέγεθος συντελεστή κλειδιού RSA για κλειδιά πρωτοκόλλου 1 και πρωτόκολλο 2 με 768 bits.
Οι επιλογές (εάν υπάρχουν) αποτελούνται από τις επιλογές επιλογής που χωρίζονται με κόμμα. Δεν επιτρέπονται κενά, εκτός από τα διπλά εισαγωγικά. Υποστηρίζονται οι ακόλουθες προδιαγραφές επιλογής (σημειώστε ότι οι λέξεις-κλειδιά των επιλογών δεν έχουν διάκριση πεζών-κεφαλαίων):
από = μοτίβο-λίστα
Καθορίζει ότι εκτός από τον έλεγχο ταυτότητας δημόσιου κλειδιού, η κανονική ονομασία του απομακρυσμένου κεντρικού υπολογιστή πρέπει να υπάρχει στη λίστα διαχωρισμένων με κόμματα μοτίβα ("*" και "?" Χρησιμεύουν ως μπαλαντέρ). Η λίστα μπορεί επίσης να περιέχει πρότυπα που εξαλείφονται με την προτίμησή τους με το '!' . εάν το κανονικό όνομα κεντρικού υπολογιστή ταιριάζει με ένα αρνητικό μοτίβο, το κλειδί δεν είναι αποδεκτό. Ο σκοπός αυτής της επιλογής είναι η προαιρετική αύξηση της ασφάλειας: ο έλεγχος δημόσιου κλειδιού από μόνος του δεν εμπιστεύεται τους διακομιστές δικτύου ή ονομάτων ή οτιδήποτε άλλο (αλλά το κλειδί). Ωστόσο, αν κάποιος κλέψει με κάποιο τρόπο το κλειδί, το κλειδί επιτρέπει σε έναν εισβολέα να συνδεθεί από οπουδήποτε στον κόσμο. Αυτή η πρόσθετη επιλογή κάνει πιο δύσκολη τη χρήση κλεμμένου κλειδιού (οι διακομιστές ονομάτων ή / και οι δρομολογητές θα πρέπει να διακυβεύονται εκτός από το κλειδί).
εντολή = εντολή
Καθορίζει ότι η εντολή εκτελείται κάθε φορά που χρησιμοποιείται αυτό το κλειδί για έλεγχο ταυτότητας. Η εντολή που παρέχεται από το χρήστη (εάν υπάρχει) αγνοείται. Η εντολή τρέχει σε ένα pty αν ο πελάτης ζητήσει ένα pty. διαφορετικά τρέχει χωρίς tty. Εάν απαιτείται ένα καθαρό κανάλι 8-bit, δεν πρέπει να ζητήσετε ένα pty ή να ορίσετε το μη-pty. Μια παραπομπή μπορεί να περιλαμβάνεται στην εντολή αναφέροντάς την με μια ανάστροφη κάθετο. Αυτή η επιλογή μπορεί να είναι χρήσιμη για να περιορίσετε ορισμένα δημόσια κλειδιά για να εκτελέσετε μόνο μια συγκεκριμένη λειτουργία. Ένα παράδειγμα μπορεί να είναι ένα κλειδί που επιτρέπει απομακρυσμένα αντίγραφα ασφαλείας, αλλά τίποτα άλλο. Σημειώστε ότι ο υπολογιστής-πελάτης μπορεί να καθορίσει την προώθηση TCP / IP και / ή X11, εκτός εάν απαγορεύεται ρητά. Σημειώστε ότι αυτή η επιλογή ισχύει για εκτέλεση κελύφους, εντολών ή υποσυστήματος.
περιβάλλον = NAME = τιμή
Καθορίζει ότι η συμβολοσειρά πρόκειται να προστεθεί στο περιβάλλον κατά τη σύνδεση με αυτό το κλειδί. Οι μεταβλητές περιβάλλοντος που ορίζονται με τον τρόπο αυτό παρακάμπτουν άλλες προεπιλεγμένες τιμές περιβάλλοντος. Πολλές επιλογές αυτού του τύπου επιτρέπονται. Η επεξεργασία περιβάλλοντος είναι απενεργοποιημένη από προεπιλογή και ελέγχεται μέσω της επιλογής PermitUserEnvironment . Αυτή η επιλογή απενεργοποιείται αυτόματα εάν είναι ενεργοποιημένη η λειτουργία UseLogin .
μη μεταβίβαση θυρών
Απαγορεύει την προώθηση TCP / IP όταν αυτό το κλειδί χρησιμοποιείται για έλεγχο ταυτότητας. Οποιοδήποτε αίτημα προώθησης θύρας από τον πελάτη θα επιστρέψει ένα σφάλμα. Αυτό μπορεί να χρησιμοποιηθεί, π.χ. σε σχέση με την επιλογή εντολών .
no-X11-forwarding
Απαγορεύει την προώθηση X11 όταν αυτό το κλειδί χρησιμοποιείται για έλεγχο ταυτότητας. Οποιαδήποτε αιτήματα προώθησης του X11 από τον πελάτη θα επιστρέψουν ένα σφάλμα.
χωρίς μεταβίβαση πράκτορα
Απαγορεύει την προώθηση του παράγοντα επαλήθευσης ταυτότητας όταν αυτό το κλειδί χρησιμοποιείται για έλεγχο ταυτότητας.
no-pty
Αποτρέπει την κατανομή tty (ένα αίτημα κατανομής ενός pty θα αποτύχει).
enableopen = κεντρικός υπολογιστής: θύρα
Περιορίστε την τοπική προώθηση `` ssh -L '' έτσι ώστε να μπορεί να συνδεθεί μόνο με τον καθορισμένο κεντρικό υπολογιστή και τη θύρα. Οι διευθύνσεις IPv6 μπορούν να διευκρινιστούν με μια εναλλακτική σύνταξη: κεντρικός υπολογιστής / θύρα Οι πολλαπλές επιλογές άδειας μπορούν να εφαρμοστούν χωριστά με κόμματα. Δεν πραγματοποιείται αντιστοίχιση προτύπου στα καθορισμένα ονόματα κεντρικών υπολογιστών, πρέπει να είναι κυριολεκτικά τομείς ή διευθύνσεις.
Παραδείγματα
1024 33 12121 ... 312314325 ylo@foo.bar
από το "*. niksula.hut.fi,! pc.niksula.hut.fi" 1024 35 23 ... 2334 ylo @ niksula
εντολή = "dump / home", no-pty, no-port-forwarding 1024 33 23 ... 2323 backup.hut.fi
επιτρέπεται = "10.2.1.55:80", επιτρέπεται = "10.2.1.56:25" 1024 33 23 ... 2323
Ssh_Known_Hosts μορφή αρχείου
Τα αρχεία / etc / ssh / ssh_known_hosts και $ HOME / .ssh / known_hosts περιέχουν δημόσια κλειδιά υποδοχής για όλους τους γνωστούς κεντρικούς υπολογιστές. Το συνολικό αρχείο θα πρέπει να προετοιμάζεται από τον διαχειριστή (προαιρετικό) και το αρχείο ανά χρήστη θα διατηρείται αυτόματα: κάθε φορά που ο χρήστης συνδέεται από έναν άγνωστο κεντρικό υπολογιστή, το κλειδί του προστίθεται στο αρχείο ανά χρήστη.
Κάθε γραμμή σε αυτά τα αρχεία περιέχει τα ακόλουθα πεδία: ονόματα ονομάτων, bits, exponent, modulus, comment. Τα πεδία χωρίζονται με κενά.
Τα ονόματα κεντρικών υπολογιστών είναι μια λίστα μοτίβων που χωρίζονται με κόμματα ('*' και '?' Δρουν ως μπαλαντέρ). κάθε μοτίβο, με τη σειρά του, ταιριάζει με το κανονικό όνομα κεντρικού υπολογιστή (κατά την επικύρωση ενός πελάτη) ή με το όνομα που παρέχεται από τον χρήστη (κατά την επικύρωση ενός διακομιστή). Ένα πρότυπο μπορεί επίσης να προηγείται από το!! για να υποδείξετε την άρνηση: εάν το όνομα του κεντρικού υπολογιστή ταιριάζει με ένα αρνητικό μοτίβο, δεν είναι αποδεκτό (από αυτή τη γραμμή) ακόμα κι αν ταιριάζει με ένα άλλο μοτίβο στη γραμμή.
Τα bit, exponent και modulus λαμβάνονται απευθείας από το κλειδί του κεντρικού υπολογιστή RSA. μπορούν να ληφθούν, π.χ. από το /etc/ssh/ssh_host_key.pub Το προαιρετικό πεδίο σχολίων συνεχίζεται στο τέλος της γραμμής και δεν χρησιμοποιείται.
Οι γραμμές που αρχίζουν με `# 'και κενές γραμμές αγνοούνται ως σχόλια.
Όταν πραγματοποιείτε έλεγχο ταυτότητας κεντρικού υπολογιστή, ο έλεγχος ταυτότητας γίνεται δεκτός εάν οποιαδήποτε γραμμή αντιστοιχίας έχει το σωστό κλειδί. Είναι επομένως επιτρεπτό (αλλά δεν συνιστάται) να έχουν αρκετές γραμμές ή διαφορετικά κλειδιά υποδοχής για τα ίδια ονόματα. Αυτό θα συμβεί αναπόφευκτα όταν οι σύντομες μορφές ονομάτων κεντρικών υπολογιστών από διαφορετικούς τομείς τοποθετούνται στο αρχείο. Είναι πιθανό τα αρχεία να περιέχουν αντικρουόμενες πληροφορίες. ο έλεγχος ταυτότητας γίνεται δεκτός αν υπάρχουν έγκυρες πληροφορίες από οποιοδήποτε αρχείο.
Σημειώστε ότι οι γραμμές σε αυτά τα αρχεία είναι συνήθως εκατοντάδες χαρακτήρες, και σίγουρα δεν θέλετε να πληκτρολογήσετε τα πλήκτρα κεντρικού υπολογιστή με το χέρι. Αντ 'αυτού, δημιουργήστε τους με ένα σενάριο ή παίρνοντας /etc/ssh/ssh_host_key.pub και προσθέτοντας τα ονόματα κεντρικών υπολογιστών μπροστά.
Παραδείγματα
closenet, ..., 130.233.208.41 1024 37 159 ... 93 closenet.hut.fi cvs.openbsd.org, 199.185.137.3 ssh-rsa AAAA1234 ..... =Δείτε επίσης
scsh (1), sft (1), ssh (1), ssh-add1, ssh-agent1, ssh-keygen1, login.conf5, moduli (5), sshd_config5, sftp-server8
T. Ylonen T. Kivinen Μ. Saarinen T. Rinne S. Lehtinen "Αρχιτεκτονική πρωτοκόλλου SSH" draft-ietf-secsh-architecture-12.txt Ιανουάριος 2002 εργασία σε εξέλιξη υλικό
M. Friedl Ν. Provos WA Simpson "Ανταλλαγή ομάδας Diffie-Hellman για το πρωτόκολλο μεταφοράς SSH" draft-ietf-secsh-dh-group-exchange-02.txt Ιανουάριος 2002 εργασία σε εξέλιξη υλικό
Σημαντικό: Χρησιμοποιήστε την εντολή man ( % man ) για να δείτε πώς χρησιμοποιείται μια εντολή στον υπολογιστή σας.