SSH(1) | SSH | SSH(1) |
JMÉNO¶
ssh - secure shell klient (program pro remote login)
POUŽITͶ
ssh [-l přihlašovací_jméno] počítač [příkaz]
ssh [-a] [-c idea|blowfish|des|3des|arcfour|none] [-e escape_znak] [-i soubor_identit] [-l přihlašovací_jméno] [-n] [-k] [-V] [-o volba] [-p port] [-q] [-P] [-t] [-v] [-x] [-C] [-L port:počítač:vzdálport] [-R port:počítač:vzdálport] počítač [příkaz]
POPIS¶
Příkaz ssh (secure shell, bezpečný shell) slouží pro přihlašování na vzdálené počítače a pro spouštění příkazů na vzdálených počítačích. Je navržen jako náhrada příkazů rlogin a rsh a umožňuje bezpečnou zašifrovanou komunikaci mezi dvěma nedůvěryhodnými počítači přes nezabezpečenou síť. Umožňuje také forwardování X11 spojení nebo libovolných TCP/IP portů bezpečným kanálem.
Program ssh slouží k připojení a přihlášení uživatele na zadaný počítač. Uživatel musí prokázat svoji identitu na tomto vzdáleném stroji použitím jedné z následujících autentizačních metod:
První metoda je převzata z protokolu rsh/rlogin; normálně nebývá ssh serverem povolena, protože představuje ohrožení jeho bezpečnosti. Pokud je počítač, z něhož se uživatel hlásí, uveden v souboru /etc/hosts.equiv nebo /etc/ssh/shosts.equiv na vzdáleném stroji, a přihlašovací jména jsou na obou stranách stejná, uživateli je okamžitě povoleno přihlášení. Stejně funguje, jestliže uživatel má ve svém domovském adresáři na vzdáleném stroji soubor .rhosts nebo .shosts, v němž je řádek tvořený jménem klientského stroje, mezerou a jménem uživatele na klientském počítači.
Druhá (preferovaná) autentizační metoda používá soubor rhosts nebo hosts.equiv ve spojení s RSA autentizací počítače. To znamená, že přihlášení bude možné, jestliže by bylo povoleno podle souborů .rhosts, .shosts, /etc/hosts.equiv, nebo /etc/ssh/shosts.equiv, a zároveň server zná a zkontroluje klíč klientského počítače (viz $HOME/.ssh/known_hosts a /etc/ssh/ssh_known_hosts v části SOUBORY). Tato autentizační metoda uzavírá bezpečnostní díry využívající IP spoofingu, DNS spoofingu a routing spoofingu. [Poznámka pro správce: /etc/hosts.equiv, .rhosts, a protokol rlogin/rsh obecně jsou ze své podstaty nebezpečné a pokud je požadována bezpečnost, musí být zakázány.]
Jako třetí autentizační metodu používá ssh autentizaci založenou na RSA. Toto schéma je založeno na šifrování s veřejným klíčem, což je šifrovací systém, v němž jsou pro šifrování a dešifrování použity dva různé klíče, přičemž ze šifrovacího klíče nelze odvodit dešifrovací klíč. Jedním z těchto systémů je RSA. Myšlenka je taková, že si každý uživatel pro účely autentizace vytvoří dvojici klíčů; jeden veřejný a druhý soukromý. Server zná veřejný klíč, soukromý klíč zná pouze uživatel. Soubor $HOME/.ssh/authorized_keys obsahuje seznam veřejných klíčů, které je možné použít pro přihlášení. Když se uživatel přihlásí, program ssh oznámí serveru, kterou dvojici klíčů chce použít pro autentizaci. Server zkontroluje, zdali mu je daný klíč známý, a pokud ano, pošle uživateli (přesněji ssh programu spuštěnému uživatelem) výzvu -- náhodné číslo, zašifrované uživatelovým veřejným klíčem. Výzva může být dešifrována pouze použitím odpovídajícího soukromého klíče. Uživatelův klient dešifrováním výzvy prokáže, že zná soukromý klíč, aniž by jej prozradil serveru.
Program ssh implementuje RSA autentizační protokol automaticky. Uživatel vytvoří svůj pár RSA klíčů spuštěním programu ssh-keygen(1). Ten uloží soukromý klíč do souboru .ssh/identity a veřejný klíč do souboru .ssh/identity.pub v uživatelově domovském adresáři. Uživatel potom musí přidat obsah souboru identity.pub do .ssh/authorized_keys ve svém domovském adresáři na vzdáleném stroji (soubor authorized_keys odpovídá konvenčnímu souboru .rhosts a obsahuje jeden klíč na každém řádku -- jeho řádky mohou být velmi dlouhé). Poté se uživatel může přihlašovat bez zadávání přihlašovacího hesla. RSA autentizace je mnohem bezpečnější než autentizace pomocí souboru rhosts. Soubor s uživatelovým soukromým klíčem je chráněn právy v operačním systému Unix (neúčinné jako ochrana před superuživatelem) a navíc přístupovým heslem (passphrase).
Nejpříjemnější způsob použití RSA autentizace je s použitím autentizačního agenta. Podrobnější informace viz ssh-agent(1).
Jako čtvrtou autentizační metodu program ssh podporuje autentizaci uživatele pomocí TIS autentizačního serveru authsrv(8). V některých případech není vhodné, aby byla uživatelská jména v TIS databázi shodná se jmény lokálních uživatelů. Může k tomu například dojít, pokud se uživatel autentizuje pomocí karty smartcard nebo Digipass. V tomto případě je v databázi jako uživatelské jméno obvykle uvedeno sériové číslo autentizačního zařízení. Mapování mezi jmény v TIS databázi a uživatelskými jmény zajišťuje soubor /etc/ssh/sshd_tis.map. Jestliže tento soubor neexistuje, nebo v něm uživatel není uveden, předpokládá se, že obě jména jsou shodná.
Jestliže všechny autentizační metody selžou, ssh se zeptá uživatele na přihlašovací heslo. Heslo je posláno na vzdálený počítač pro obvyklé ověření. Nicméně protože veškerá komunikace je šifrovaná, nelze odposlechem provozu v síti přihlašovací heslo zjistit.
Jestliže byla uživatelova identita serverem akceptována, server buď provede zadaný příkaz, nebo zajistí přihlášení uživatele a spustí pro něj normální shell. Přitom veškerá komunikace se vzdáleným počítačem je automaticky šifrována.
Jestliže byl vytvořen pseudoterminál (pro normální login session), může uživatel zadáním "~." ukončit spojení, zadáním "~^Z" suspendovat ssh, zadáním "~#" vypsat všechna forwardovaná spojení, a pokud se session čekáním na ukončení forwardovaného X11 nebo TCP/IP spojení zablokuje, může být převedena do pozadí zadání "~&" (nesmí být použito, dokud je aktivní uživatelský shell, protože by mohlo dojít k jeho zamrznutí). Všechny dostupné escape posloupnosti lze vypsat pomocí "~?".
Aby byl escape znak interpretován jako speciální, musí být použit na začátku session nebo po znaku konec řádku (newline). Samotný znak vlnka je nutné vkládat zdvojený "~~" (nebo následovaný jiným znakem než je popsáno výše). V konfiguračním souboru nebo volbou v příkazovém řádku lze escape znak změnit.
Pokud nebyl alokován žádný pseudoterminál, session bude transparentní a může být použita pro spolehlivý přenos binárních dat. Na většině systemů nastavení escape znaku na ``none'' také způsobí, že session bude transparentní i při použití tty.
Session skončí, pokud skončí příkaz nebo shell na vzdáleném stroji a spojení není používáno žádnými X11 a TCP/IP spojeními. Návratový kód vzdáleného programu je vrácen jako návratový kód příkazu ssh.
Jestliže uživatel používá X11, je nastavena proměnná prostředí DISPLAY tak, jako kdyby program komunikoval s X serverem na stejném stroji (tj. na ssh serveru). Číslo displeje však bude větší než nula, protože se nejedná o skutečný X server na ssh serveru, ale pouze o "proxy" X server, který zajišťuje forwardování X11 spojení bezpečným kanálem vytvořeným programem ssh na skutečný X server běžící na stejném stroji jako ssh klient. Aby vše fungovalo, jak je zde popsáno, uživatel nesmí ručně nastavovat proměnnou prostředí DISPLAY. Pro konfiguraci forwardování X11 spojení lze použít parametry na příkazovém řádku nebo v konfiguračním souboru.
Program ssh umožňuje automatické nastavování Xauthority dat na serveru. K tomuto účelu vygeneruje náhodné autorizační cookie, uloží jej v souboru Xauthority na serveru, a zajistí, že všechna forwardovaná spojení ponesou toto cookie a při otevření spojení jej nahradí opravdovým cookie. Skutečné autentizační cookie není nikdy posíláno na server (a žádné cookies nejsou nikdy posílány nezašifrovaně).
Jestliže uživatel používá autentizačního agenta, spojení s agentem bude automaticky forwardováno na vzdálenou stranu, pokud to není zakázáno volbou na příkazovém řádku nebo v konfiguračním souboru.
Forwardování libovolného TCP/IP spojení přes bezpečný kanál může být vyžádáno buď z příkazového řádku nebo v konfiguračním souboru. Jednou z možných aplikací TCP/IP forwardingu je bezpečné spojení s elektronickou peněženkou; druhou je zajištění průchodu firewallem.
Program ssh umí automaticky udržovat a používat databázi obsahující RSA identifikace všechny počítačů, se kterými dosud komunikoval. Databáze je uložena v souboru .ssh/known_hosts v uživatelově domovském adresáři. Pro kontrolu je používán i soubor /etc/ssh/ssh_known_hosts. Při nastavení volby StrictHostKeyChecking na "no" budou jakékoli nové počítače automaticky přidány do uživatelského souboru. Jestliže se změní identifikace počítače, ssh na to upozorní a zakáže autentizaci přihlašovacím heslem, aby se zabránilo trojským koním získat uživatelovo přihlašovací heslo. Dalším účelem tohoto mechanismu je zabránění útokům typu man-in-the-middle, který by jinak mohl být použit na obejití šifrování. Volba StrictHostKeyChecking (viz dále) může být použita na zabránění přihlášení na stroje, jejichž klíč není známý nebo byl změněn.
VOLBY¶
- -a
- Zakáže forwardování spojení s autentizačním agentem. V konfiguračním souboru lze nastavit i pro jednotlivé počítače.
- -c idea|des|3des|blowfish|arcfour|none
- Vybere šifru použitou pro šifrování session. Implicitně je použita šifra idea, která je pokládána za bezpečnou. des je sice standard pro šifrování dat, ale s dostatečným technickým zázemím (kterým mohou disponovat vlády, velké korporace a velké kriminální organizace) jej lze rozluštit. 3des (triple-des) je trojice šifrování-dešifrování-šifrování se třemi různými klíči. Je pravděpodobně bezpečnější než DES. Pokud některý z konců nepodporuje šifru IDEA, je implicitně použita šifra 3des. blowfish je šifrovací algoritmus objevený Brucem Schneierem. Používá 128 bitový klíč. arcfour je algoritmus publikovaný v roce 1995 v Usenet News. Věří se, že je stejně silný jako šifra RC4 od RSA Data Security (RC4 je ochranná značka firmy RSA Data Security). V současnosti je to nejrychlejší používaný algoritmus. none zcela zakáže šifrování; je určeno pouze pro ladící účely, není bezpečné.
- -e ch|^ch|none
- Nastaví escape znak pro session používající pty (implicitně: ~). Escape znak je rozpoznán pouze na začátku řádku. Escape znak následovaný znakem tečka (.) uzavře spojení, následovaný znakem control-Z suspenduje spojení, a následovaný sebou samým pošle jeden escape znak. Nastavení znaku na 'none' zakáže jakékoli escape znaky a způsobí, že spojení bude plně transparentní.
- -f
- Požaduje, aby ssh po provedení autentizace a zahájení forwardování přešel do pozadí. Tato volba je vhodná, pokud uživatel chce, aby ssh běžel v pozadí, ale ssh bude ještě ptát na přihlašovací nebo přístupová hesla. Může být vhodná také ve skriptech. Implikuje volbu -n. Doporučený způsob pro start X11 programů na vzdáleném počítači je "ssh -f počítač xterm".
- -i soubor_identit
- Udává jméno soubor, z něhož se čtou identity (soukromé klíče) pro RSA autentizaci. Implicitně je .ssh/identity v uživatelově domovském adresáři. V konfiguračním souboru může být zadáno více souborů identit, pro každý počítač jeden. Lze použít více voleb -i.
- -k
- Zakáže forwardování kerberos tiketů. V konfiguračním souboru lze nastavit i pro jednotlivé počítače.
- -l login_name
- Určuje uživatelské jméno na přihlášení vzdáleném počítači. V konfiguračním souboru lze nastavit i pro jednotlivé počítače.
- -n
- Přesměruje stdin na /dev/null (zabraňuje čtení ze stdin). Musí být použito, jestliže je ssh spuštěn na pozadí. Obvyklým trikem je použít tuto volbu pro spuštění X11 programů na vzdáleném stroji. Příkaz "ssh -n shadows.cs.hut.fi emacs &" odstartuje emacs na shadows.cs.hut.fi, a X11 spojení bude automaticky forwardováno přes zašifrovaný kanál. Program ssh bude spuštěn na pozadí. (Toto nebude fungovat jestliže ssh se bude ptát na přihlašovací nebo přístupové heslo; pak je třeba použít volbu -f.)
- -o 'volba'
- Může být použito pro zadání voleb ve formátu použitém v konfiguračním souboru. Lze použít pro zadání parametrů, pro které neexistuje žádná volba v příkazovém řádku. Volba má stejný formát jako řádka v konfiguračním souboru.
- -p port
- Port, na který se připojit na vzdáleném počítači. V konfiguračním souboru lze nastavit i pro jednotlivé počítače.
- -q
- Tichý režim. Potlačí výpis varování a diagnostických zpráv. Jsou vypisovány pouze fatální chyby.
- -P
- Použije neprivilegovaný port. S touto volbou nelze použít autentizaci pomocí rhosts nebo rsarhosts, ale může být použito na překonání některých firewallů, které nedovolují používat privilegované zdrojové porty.
- -t
- Vynutí přidělení pseudo-tty. Může být použito pro provádění libovolného obrazovkově orientovaného programu na vzdáleném stroji, což může být velmi užitečné například pro programy ovládané pomocí menu.
- -v
- Upovídaný režim. Způsobí, že program ssh bude vypisovat ladící zprávy o své činnosti. Lze použít při ladění spojení a při autentizačních a konfiguračních problémech.
- -V
- Vypíše pouze číslo verze a skončí.
- -g
- Povolí vzdáleným strojům připojování na lokální forwardované porty. Implicitně se může na tyto porty připojovat pouze localhost.
- -x
- Zakáže X11 forwardování. V konfiguračním souboru lze nastavit i pro jednotlivé počítače.
- -C
- Bude komprimovat všechna data (včetně stdin, stdout, stderr, a dat pro forwardované X11 a TCP/IP spojení). Komprimační algoritmus je týž jako v programu gzip. Úroveň komprese může být zadána volbou CompressionLevel volba (viz dále). Komprese je žádoucí na modemových linkách a pro jiná pomalá spojení, ale přes rychlou síť bude zpomalovat činnost. Implicitní hodnota může být nastavenu pro jednotlivé počítače v konfiguračním souboru; viz volba Compress dále.
- -L port:počítač:vzdálport
- Určuje, že zadaný port na lokálním počítači (tj. ssh klientovi) má být forwardován přes bezpečný kanál na ssh server a z něj má být navazováno TCP spojení na zadaný vzdálený počítač a port. Alokuje soket, který bude naslouchat na zadaném portu na lokálním počítači, a kdykoli bude vytvořeno spojení na tento port, bude forwardováno přes bezpečný kanál, a ze vzdáleného stroje bude navázáno spojení na zadaný počítač:vzdálport. Forwardování portu může být také nastaveno v konfiguračním souboru. Privilegované port může forwardovat pouze root.
- -R port:počítač:vzdálport
- Určuje, že zadaný port na vzdáleném počítači (tj. serveru) má být forwardován na lokální počítač a odtud na další zadaný počítač a port. Alokuje soket, který bude naslouchat na zadaném portu na vzdálené straně, a kdykoli je navázáno spojení na tento port, spojení bude forwardováno přes bezpečný kanál na lokální stroj, a z něj bude navázáno spojení na zadaný počítač:vzdálport. Forwardování portů může být zadáno v konfiguračním souboru. Privilegované porty mohou být forwardovány pouze při přihlášení jako root na vzdáleném stroji.
KONFIGURAČNÍ SOUBORY¶
Program ssh získává konfigurační informace postupně z následujících zdrojů (v uvedeném pořadí): volby v příkazovém řádku, uživatelský konfigurační soubor ($HOME/.ssh/config), a hlavní konfigurační soubor (/etc/ssh/ssh_config) pro celý počítač. Pro každý parameter bude použita první získaná hodnota. Konfigurační soubory obsahují sekce uvozené řádkem "Host", a každá sekce platí pouze pro počítače, které vyhovují jednomu ze vzorků zadaných v řádku "Host". Jméno počítače se porovnává v tom tvaru, v jakém je uvedeno na příkazovém řádku.
Protože se použije první získaná hodnota pro každý parameter, musí být na začátku souboru hodnoty specifické pro jednotlivé počítače, a obecné implicitní hodnoty na konci.
Konfigurační soubor má následující formát:
- Prázdné řádky a řádky začínající znakem '#' jsou komentáře.
- Ostatní řádky mají formát "klíčové-slovo argumenty" nebo "klíčové-slovo = argumenty". V konfiguračních souborech se rozlišují malá a velká písmena, ale v klíčových slovech nikoli.
- Host
- Omezuje následující deklarace (až po další řádek s klíčovým slovem Host) pouze pro počítače, které vyhovují jednomu ze vzorků zadaných za klíčovým slovem. Vzorky mohou obsahovat žolíkové znaky '*' a '?'. Vzorek '*' vyhovuje všem počítačům. Vzorek se porovnává s parametrem hostname zadaným v příkazovém řádku (t.j., jméno není konvertováno na kanonické před porovnáním se vzorkem).
- BatchMode
- Je-li nastaveno na "yes", program se nebude ptát na přístupové nebo přihlašovací heslo. Vhodné pro skripty a jiné dávkové úlohy, kde není žádný uživatel, který by zadal přihlašovací heslo. Argument musí být "yes" nebo "no".
- Cipher
- Určuje druh šifry použité pro šifrování session. V současnosti jsou podporovány šifry idea, des, 3des, blowfish, arcfour, a none. Implicitní je "idea" (nebo "3des" jestliže "idea" není podporována oběma stroji). Použití "none" (bez šifrování) je určeno pouze pro účely ladění, a výsledné spojení není bezpečné.
- ClearAllForwardings
- Po načtení všech konfiguračních souborů a zpracování příkazového řádku zruší veškeré forwardování. Lze použít pro zákaz forwardování uvedených v konfiguračním souboru při navazování druhého spojení na počítač, který má forwardování nastaveno v konfiguračním souboru. Program scp nastavuje tuto volbu implicitně na "on", takže i kdyby forwardování bylo vyžádáno v konfiguračním souboru, k chybě nedojde.
- Compression
- Určuje, zda použít kompresi. Argument musí být "yes" nebo "no".
- CompressionLevel
- Určuje úroveň komprese, je-li povolena. Argument musí být celé číslo od 1 (nízká komprese, největší rychlost) do 9 (největší komprese, nejnižší rychlost). Implicitní úroveň, vhodná pro většinu aplikací, je 6. Hodnota má stejný význam jako v programu GNU gzip.
- ConnectionAttempts
- Určuje počet pokusů o spojení, které se provedou (s opakováním po sekundě), než ssh použije rsh nebo ukončením programu ssh. Argument musí být celé číslo. Vhodné pro použití ve skriptech, pokud se ne vždy podaří navázat spojení.
- EscapeChar
- Nastaví escape znak (implicitně ~). Escape znak může být také nastaven na příkazovém řádku. Argument musí být jediný znak (aby bylo spojení transparentní pro binární data), je třeba použít hodnotu ``none''.
- FallBackToRsh
- Pokud se nepodaří navázat spojení pomocí ssh a spojení bude odmítnuto (protože na vzdáleném počítači neběží sshd), použije se automaticky rsh (přitom se vypíše varování, že komunikace nebude šifrovaná). Argument musí být "yes" nebo "no".
- ForwardAgent
- Určuje, zda spojení s autentizačním agentem (pokud existuje) má být forwardováno na vzdálený stroj. Argument musí být "yes" nebo "no".
- ForwardX11
- Určuje, zda X11 spojení má být automaticky přesměrováno přes bezpečný kanál a nastavena proměnné prostředí DISPLAY. Argument musí být "yes" nebo "no".
- GatewayPorts
- Určuje, že také vzdálené stroje se mohou připojovat na lokálně forwardované porty. Argument musí být "yes" nebo "no".
- GlobalKnownHostsFile
- Definuje, jaký soubor použít místo /etc/ssh/ssh_known_hosts.
- HostName
- Definuje skutečné jméno vzdáleného počítače. Umožňuje používání přezdívek nebo zkratek pro jména počítačů. Implicitně je jméno počítače shodné se jménem zadaný v příkazovém řádku. Jsou povoleny i numerické IP adresy (jak i příkazovém řádku, tak jako argument HostName).
- IdentityFile
- Definuje soubor, ze kterého se čte uživatelova RSA autentizační identita (implicitně .ssh/identity v uživatelově domovském adresáři). Navíc budou pro autentizaci použity i všechny identity známé autentizačnímu agentu. Ve jméně souboru lze použít znak vlnka pro označení uživatelova domovského adresáře. Konfigurační soubory mohou obsahovat více identit; tyto identity budou zkoušeny postupně.
- KeepAlive
- Určuje, zda systém má posílat
protistraně udržovací zprávy (keepalive
messages). Tyto zprávy umožňují zjistit
přerušení spojení nebo havárii jednoho
ze strojů. Ovšem i při dočasném
přerušení komunikace bude spojení
ukončeno. Řadě lidí se toto
chování nelíbí, je však vhodné
při dávkovém zpracování.
Implicitní hodnota je "yes" (posílat udržovací zprávy), takže klient bude informován, pokud dojde k přerušení spojení nebo havárii vzdáleného počítače.
Pro zákaz zasílání udržovacích zpráv musí být nastaveno "no" jak v konfiguraci serveru, tak klienta.
- KerberosAuthentication
- Určuje, zda má být použita autentizace Kerberos V5.
- KerberosTgtPassing
- Určuje, zda má být Kerberos V5 TGT forwardováno na server.
- LocalForward
- Určuje, že TCP/IP port na lokálním stroji má být forwardován přes bezpečný kanál na vzdálený stroj a odtud na další zadaný počítač:port. První argument musí být číslo portu, druhý počítač:port. Lze zadat více forwardování a další forwardování mohou být zadána v příkazovém řádku. Privilegované porty může forwardovat pouze root.
- NumberOfPasswordPrompts
- Určuje počet výzev na zadání přihlašovacího hesla. Argument musí být celé číslo. Pamatujte, že také server omezuje počet pokusů (implicitně na 5), takže nastavení tohoto parametru na větší hodnotu nemá význam. Implicitní hodnota je 1.
- PasswordAuthentication
- Určuje, zda použít autentizaci přihlašovacím heslem. Argument musí být "yes" nebo "no".
- PasswordPromptHost
- Určuje, zda ve výzvě k zadání hesla má být obsaženo jméno vzdáleného stroje. Argument musí být "yes" nebo "no".
- PasswordPromptLogin
- Určuje, zda ve výzvě k zadání hesla má být obsaženo přihlašovací jméno na vzdáleném počítači. Argument musí být "yes" nebo "no".
- Port
- Určuje číslo portu pro připojení na vzdálený počítač. Implicitně 22.
- ProxyCommand
- Definuje, jaký příkaz použít pro
připojení na server. Příkazový
řetězec může pokračovat do konce
řádku, a bude prováděn shellem /bin/sh. V
příkazovém řetězci bude %h nahrazeno
jménem počítače, ke kterému se
má připojovat a %p číslem portu.
Příkaz může být v zásadě
cokoli, ale musí číst z stdin a zapisovat na stdout.
Musí se připojit na sshd server
běžící na nějakém stroji, nebo
někde provést "sshd -i". Správa
klíčů počítačů bude
prováděna užitím HostName
počítače, ke kterému se připojuje
(implicitně na jméno zadané uživatelem).
Pamatujte, že ssh může být také zkonfigurováno pro podporu SOCKS systémů používajících --s-socks4 nebo --s-socks5 konfigurační volbu při překladu.
- RemoteForward
- Požaduje, aby zadaný TCP/IP port na vzdáleném stroji byl přes bezpečný kanál forwardován na lokální počítač, na kterém vyvolá TCP spojení na další zadaný počítač:port. První argument musí být číslo portu na vzdáleném stroji, druhý argument libovolný počítač:port. Lze zadat více než jedno forwardování a další mohou být zadána z příkazového řádku. Privilegované porty může forwardovat pouze root.
- RhostsAuthentication
- Určuje, zda zkoušet autentizaci založenou na souborech rhosts. Pamatujte, že tato deklarace ovlivní pouze stranu klienta a nemá žádný efekt na bezpečnost. Zákaz rhosts autentizace může snížit dobu autentizace při pomalém spojení, když rhosts autentizace není použita. Většina serverů nedovoluje RhostsAuthentication, protože není bezpečná (viz RhostsRSAAuthentication). Argument této volby musí být "yes" nebo "no".
- RhostsRSAAuthentication
- Určuje, zda zkoušet autentizaci založenou na souborech rhosts s RSA autentizací počítačů, což bývá na většině uzlů primární autentizační metoda. Argument musí být "yes" nebo "no".
- RSAAuthentication
- Určuje, zda zkoušet RSA autentizaci. Argument musí být "yes" nebo "no". RSA autentizace může být použita, pokud existuje soubor identity, nebo běží autentizační agent.
- StrictHostKeyChecking
- Jestliže je tento příznak nastaven na
"yes", ssh nebude automaticky přidávat
klíče počítačů do souboru
$HOME/.ssh/known_hosts, a odmítne požadavek na
připojení k počítači, jehož
klíč byl změněn. Toto nastavení
poskytuje maximální ochranu proti útokům typu
trojského koně. Nicméně pokud není
nainstalován aktuální soubor
/etc/ssh/ssh_known_hosts obsahující
klíče všech počítačů, na
něž se často připojujete, je tato volba
nepříjemná, protože nutí
uživatele, aby všechny nové
počítače přidával ručně.
Kompromisem je nastavení na "ask", kdy budou nové
klíče počítačů
přidávány automaticky poté, co uživatel
potvrdí že to opravdu chce. Jestliže je tato volba
nastavena na "no", potom budou nové klíče
počítačů přidávány do
souboru $HOME/.ssh/known_hosts automaticky bez
potvrzování. Klíče známých
počítačů budou ověřovány
automaticky ve všech případech.
Argument musí být "yes", "no" nebo "ask".
- TISAuthentication
- Určuje, zda zkoušet TIS autentizaci. Argument této volby musí být "yes" nebo "no".
- UsePrivilegedPort
- Určuje, zda při připojování na vzdálený počítač použít privilegovaný port. Jestliže je povolena autentizace založená na rhosts nebo rsarhosts, je implicitní hodnota je "yes".
- User
- Definuje uživatelské jméno na vzdáleném stroji. Lze použít, pokud má uživatel na různých strojích různá uživatelská jména. Odstraňuje problémy s nutností zadávání uživatelského jména na příkazovém řádku.
- UserKnownHostsFile
- Určuje, který soubor použít místo $HOME/.ssh/known_hosts.
- UseRsh
- Určuje, že pro přihlašování na tento počítač musí být použit nebezpečný protokol rlogin/rsh. Je možné, že počítač vůbec nepodporuje ssh protocol. Způsobí, že ssh okamžitě vyvolá rsh. Je-li zadána tato volba, budou všechny ostatní volby (kromě HostName) ignorovány. Argument musí být "yes" nebo "no".
- XAuthLocation
- Určuje cestu k programu xauth.
PROMĚNNÉ PROSTŘEDͶ
Program ssh normálně nastavuje následující proměnné prostředí:
- DISPLAY
- Proměnná prostředí DISPLAY označuje umístění X11 serveru. Je automaticky nastavena programem ssh, tak že obsahuje hodnotu ve tvaru "hostname:n", kde hostname označuje počítač, kde běží shell, a n je celé číslo >= 1. Ssh používá tuto speciální hodnotu pro forwardování X11 spojení přes bezpečný kanál. Uživatel normálně nesmí ručně nastavovat proměnnou DISPLAY, protože pak by X11 spojení bylo nebezpečný (a bude vyžadovat, aby uživatel ručně kopíroval jakékoli požadované autorizační cookies).
- HOME
- Bude nastavena na cestu do uživatelova domovského adresáře.
- LOGNAME
- Synonymum pro USER; nastavuje se pro kompatibilitu se systémy, které používají tuto proměnnou.
- Bude nastavena na jméno uživatelova mailboxu.
- PATH
- Bude nastavena na implicitní PATH zadanou při překladu programu ssh, nebo na některých systémech definovanou v /etc/environment nebo /etc/default/login.
- SSH_AUTH_SOCK
- Jestliže existuje, bude nastavena na jméno (včetně cesty) unix-domain soketu použitého pro komunikaci s autentizačním agentem (nebo jeho lokálním zástupcem).
- SSH_CLIENT
- Identifikuje klientský konec spojení. Tato proměnná obsahuje tři hodnoty oddělené mezerou: IP adresu klienta, číslo portu klienta, a číslo portu serveru.
- SSH_ORIGINAL_COMMAND
- Bude obsahovat původní příkazový řádek, jestliže je spuštěn zadaný příkaz. Může být použita pro získání argumentů apod. z opačného konce.
- SSH_TTY
- Bude nastavena na jméno tty (včetně cesty) spojeného s aktuálním shellem nebo příkazem. Jestliže aktuální session nemá žádné tty, proměnná nebude nastavena.
- TZ
- Proměnná timezone bude nastavena, aby označovala aktuální časovou zónu, pokud byla nastavena při spuštění démona (tj., démon předává hodnota na nové spojení).
- USER
- Bude nastavena na jméno přihlášeného uživatele.
Navíc příkaz ssh čte soubor /etc/environment a $HOME/.ssh/environment, a přidává řádky tvaru PROMĚNNÁ=hodnota do prostředí. Některé systémy mohou mít další mechanismy pro nastavování prostředí, jako soubor /etc/default/login na systému Solaris.
SOUBORY¶
- $HOME/.ssh/known_hosts
- Obsahuje klíče všech počítačů, na které se uživatel přihlásil (a které nejsou v /etc/ssh/ssh_known_hosts). Viz manuálová stránka k sshd.
- $HOME/.ssh/random_seed
- Použit jako hnízdo pro generátor náhodných čísel. Soubor obsahuje senzitivní data a proto musí mít práva read/write pro uživatele a žádná práva pro ostatní. Tento soubor je vytvořen při prvním spuštění programu a je automaticky aktualizován. Uživatel nikdy nemusí číst nebo modifikovat tento soubor ručně.
- $HOME/.ssh/identity
- Obsahuje RSA autentizační identitu uživatele. Tento soubor obsahuje senzitivní data a musí být čitelný uživatelem, ale nedostupný pro ostatní. Při generování klíče je možné specifikovat přístupové heslo. Přístupové heslo bude použito na zašifrování senzitivní části tohoto souboru použitím šifry IDEA.
- $HOME/.ssh/identity.pub
- Obsahuje veřejný klíč pro autentizaci (veřejnou část souboru identity v podobě čitelné člověkem). Obsah tohoto souboru musí být přidán do $HOME/.ssh/authorized_keys na všech strojích, na které se chcete přihlašovat s použitím RSA autentizace. Soubor neobsahuje citlivá data a může (ale nemusí) být čitelný pro kohokoli. Tento soubor není nikdy použit automaticky a není nezbytný; je použit pouze pro snazší práci uživatele.
- $HOME/.ssh/config
- Konfigurační soubor pro jednotlivé uživatele. Jeho formát je popsán výše. Soubor je používán ssh klientem. Obvykle neobsahuje jakákoli citlivé informace, ale doporučená práva jsou read/write pro uživatele, a žádná pro ostatní.
- $HOME/.ssh/authorized_keys
- Obsahuje seznam RSA klíčů, které mohou být použity pro přihlašování tohoto uživatele. Jeho formát je popsán v manuálové stránce programu sshd. V nejjednodušším případě je formát stejný jako formát .pub identity souboru (to jest každý řádek obsahuje počet bitů v modulu veřejný exponent, modulus, a komentářové pole, oddělené mezerami). Tento soubor neobsahuje zvláště citlivé informace, ale doporučená práva jsou read/write pro uživatele, a žádná práva pro ostatní.
- /etc/ssh/ssh_known_hosts
- Seznam známých klíčů počítačů pro celý systém. Tento soubor musí být připraven správcem systému tak, aby obsahoval veřejné klíče všech počítačů v organizaci. Soubor musí být čitelný pro všechny. Soubor obsahuje veřejné klíče, jeden na řádku, v následujícím formátu (pole jsou oddělena mezerami): jméno počítače, počet bitů v modulu, veřejný exponent, modulus, a nepovinný komentář. Používají-li se různá jména pro týž stroj, musí být v souboru uvedena všechna jeho jména oddělená čárkami. Formát je popsán na sshd manuálové stránce.
- Program sshd používá kanonické jméno počítače (vrácené domain name servery) pro verifikaci klientských počítačů při přihlašování; ostatní jména jsou potřeba protože ssh nekonvertuje uživatelem zadané jméno na kanonické jméno před kontrolou klíče, aby osoba, která má přístup k domain name serveru, nemohla mást autentizaci počítačů.
- /etc/ssh/ssh_config
- Konfigurační soubor pro celý systém (pro všechny uživatele). Tento soubor poskytuje implicitní hodnoty, pro parametry, které nejsou zadány v uživatelově konfiguračním souboru, a pro uživatele, kteří nemají konfigurační soubor. Tento soubor musí být čitelný pro všechny.
- $HOME/.rhosts
- Tento soubor je použit pro .rhosts autentizaci. Obsahuje seznam dvojic počítač/uživatel, pro které je povoleno přihlášení. (Pamatujte, že tento soubor je také používán programy rlogin a rsh, díky kterým je použití tohoto souboru nebezpečné.) Každý řádek v tomto souboru obsahuje jméno počítače (v kanonické formě vrácené domain name serverem) a jméno uživatele na tomto počítači, oddělené mezerou. Tento soubor musí být vlastněný uživatelem, a nesmí mít právo zápisu pro nikoho jiného. Doporučená práva jsou read/write pro uživatele a žádná pro ostatní.
- Pamatujte, že implicitně má být sshd instalován tak, že požaduje úspěšnou RSA autentizaci počítače před .rhosts autentizací. Jestliže server nemá klíč klientského počítače v souboru /etc/ssh/ssh_known_hosts, může uživatel uložit klíč do souboru $HOME/.ssh/known_hosts. Nejsnazší způsob, jak toho dosáhnout, je spojit se zpět ze serveru na klienta pomocí ssh; tím se klíč počítače automaticky přidá do souboru $HOME/.ssh/known_hosts.
- $HOME/.shosts
- Tento soubor se používá přesně stejným způsobem jako .rhosts. Jeho účelem je umožnit rhosts autentizaci pro ssh, aniž by bylo povoleno přihlášení pomocí rlogin nebo rsh.
- /etc/hosts.equiv
- Tento soubor se používá při autentizaci pomocí souboru .rhosts. Obsahuje kanonická jména počítačů, na každém řádku jeden (formát je detailně popsán na manuálové stránce programu sshd).Jestližejeklientskýpočítačnalezenvtomto souboru, je automaticky povolené přihlášení, pokud je jméno uživatele na serveru i klientu stejné. Navíc je normálně nutná úspěšná RSA autentizace počítače. Tento soubor musí zapisovatelný pouze uživatelem root.
- /etc/ssh/shosts.equiv
- Tento soubor je zpracováván přesně jako /etc/hosts.equiv. Může být užitečný na povolení přihlášení pomocí ssh, ale nikoli pro rsh/rlogin.
- /etc/ssh/sshrc
- Příkazy v tomto souboru budou provedeny programem ssh po přihlášení uživatele, ale před provedením uživatelova shellu (nebo příkaz). Viz manuálová stránka sshd pro další informace.
- $HOME/.ssh/rc
- Příkazy v tomto souboru budou provedeny programem ssh po přihlášení uživatele, ale před provedením uživatelova shellu (nebo příkaz). Viz manuálová stránka sshd pro další informace.
INSTALACE¶
Program ssh je normálně instalován jako setuid root. Práva uživatele root potřebuje pouze pro autentizaci pomocí souboru rhosts (vyžaduje, aby spojení přicházelo z privilegovaného portu, a alokování takového portu vyžaduje práva uživatele root). Také musí být schopen číst soubor /etc/ssh/ssh_host_key pro RSA autentizaci počítačů. Program ssh lze použít bez oprávnění uživatele root, ale autentizace pomocí souboru rhosts bude zakázána. Program ssh se vzdá jakýchkoli zvláštních práv bezprostředně po navázání spojení se vzdáleným počítačem.
Byla vynaložena značná práce, aby byl program ssh bezpečný. Nicméně pokud objevíte bezpečnostní problém, oznamte to prosím ihned na <ssh-bugs@cs.hut.fi>.
AUTOR¶
Tatu Ylonen <ylo@ssh.fi>
Informace o nových verzích, mailing listech, a podobně můžete nalézt na domovské WWW stránce programu ssh na http://www.cs.hut.fi/ssh.
VIZ TAKɶ
sshd(8), ssh-keygen(1), ssh-agent(1), ssh-add(1), scp(1), make-ssh-known-hosts(1), rlogin(1), rsh(1), telnet(1)
VAROVÁNͶ
Překlad je pravděpodobně zastaralý. Pokud chcete pomoci s jeho aktualizací, zamiřte na http://man-pages-cs-wiki.homelinux.net/
8. listopadu 1995 | SSH |