هذا هو الأمر ssh الذي يمكن تشغيله في مزود الاستضافة المجانية OnWorks باستخدام إحدى محطات العمل المجانية المتعددة على الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
سه - عميل OpenSSH SSH (برنامج تسجيل الدخول عن بُعد)
موجز
سه [-1246AaCfGgKkMNnqsTtVvXxYy] [-b ربط_العنوان] [-c cipher_spec] [-D [ربط_العنوان:]ميناء]
[-E ملف تسجيل] [-e escape_char] [-F ملف التكوين] [-I pkcs11] [-i هوية_ملف]
[-L العنوان] [-l اسم الدخول] [-m mac_spec] [-O ctl_cmd] [-o خيار] [-p ميناء]
[-Q خيار الاستعلام] [-R العنوان] [-S ctl_path] [-W مضيف:ميناء] [-w local_tun[:Remote_tun]]
[المستخدم@]اسم المضيف [أمر]
الوصف
سه (عميل SSH) هو برنامج لتسجيل الدخول إلى جهاز بعيد ولتنفيذ الأوامر
على جهاز بعيد. الغرض منه هو توفير اتصالات مشفرة آمنة بين اثنين
مضيفين غير موثوق بهم عبر شبكة غير آمنة. اتصالات X11 ومنافذ TCP التعسفية ومنافذ
يمكن أيضًا إعادة توجيه مآخذ مجال UNIX عبر القناة الآمنة.
سه يربط ويسجل الدخول إلى المحدد اسم المضيف (مع اختياري المستخدم اسم). يجب على المستخدم
إثبات هويته / هويتها للآلة البعيدة باستخدام إحدى الطرق المتعددة (انظر أدناه).
If أمر تم تحديده ، يتم تنفيذه على المضيف البعيد بدلاً من قذيفة تسجيل الدخول.
الخيارات كالتالي:
-1 القوات سه لتجربة الإصدار الأول من البروتوكول فقط.
-2 القوات سه لتجربة الإصدار الأول من البروتوكول فقط.
-4 القوات سه لاستخدام عناوين IPv4 فقط.
-6 القوات سه لاستخدام عناوين IPv6 فقط.
-A تمكن من إعادة توجيه اتصال وكيل المصادقة. يمكن أن يكون هذا أيضًا
على أساس كل مضيف في ملف التكوين.
يجب تمكين إعادة توجيه الوكيل بحذر. المستخدمون الذين لديهم القدرة على تجاوز
يمكن الوصول إلى أذونات الملف على المضيف البعيد (لمقبس مجال UNIX الخاص بالوكيل)
الوكيل المحلي من خلال الاتصال المعاد توجيهه. لا يمكن للمهاجم الحصول على المفتاح
المواد من الوكيل ، ومع ذلك يمكنهم إجراء عمليات على المفاتيح التي تمكن
منهم للمصادقة باستخدام الهويات المحملة في الوكيل.
-a تعطيل إعادة توجيه اتصال وكيل المصادقة.
-b ربط_العنوان
استعمل ربط_العنوان على الجهاز المحلي كعنوان مصدر الاتصال. فقط
مفيد على الأنظمة التي تحتوي على أكثر من عنوان.
-C يطلب ضغط جميع البيانات (بما في ذلك stdin و stdout و stderr وبيانات لـ
X11 و TCP و UNIX المحولة اتصالات المجال). خوارزمية الضغط هي
نفس المستخدمة من قبل GZIP(1) ، ويمكن التحكم في "المستوى" بواسطة مستوى الضغط
خيار إصدار البروتوكول 1. الضغط مرغوب فيه على خطوط المودم وغيرها
الاتصالات بطيئة ، ولكنها ستؤدي فقط إلى إبطاء الأشياء على الشبكات السريعة. الافتراضي
يمكن تعيين القيمة على أساس مضيف من مضيف في ملفات التكوين ؛ انظر
ضغط الخيار.
-c cipher_spec
يحدد مواصفات التشفير لتشفير الجلسة.
يسمح إصدار البروتوكول 1 بتحديد شفرة واحدة. القيم المدعومة
هي "3des" و "السمكة المنتفخة" و "des". بالنسبة للإصدار 2 من البروتوكول ، cipher_spec هي فاصلة-
قائمة منفصلة من الأصفار المدرجة بترتيب الأفضلية. انظر الأصفار الكلمة الرئيسية في
ssh_config(5) لمزيد من المعلومات.
-D [ربط_العنوان:]ميناء
يحدد إعادة توجيه منفذ "ديناميكي" محلي على مستوى التطبيق. هذا يعمل من خلال
تخصيص مأخذ للاستماع إليه ميناء على الجانب المحلي ، مرتبط اختياريًا بـ
محدد ربط_العنوان. كلما تم إجراء اتصال بهذا المنفذ ، يكون الاتصال
يتم إعادة توجيهها عبر القناة الآمنة ، ثم يتم استخدام بروتوكول التطبيق
تحديد مكان الاتصال من الجهاز البعيد. حاليا SOCKS4 و
يتم دعم بروتوكولات SOCKS5 و سه سيعمل كخادم SOCKS. يمكن فقط الجذر
إعادة توجيه المنافذ المميزة. يمكن أيضًا تحديد عمليات توجيه المنفذ الديناميكي في ملف
ملف الضبط.
يمكن تحديد عناوين IPv6 من خلال إحاطة العنوان بأقواس مربعة. فقط
يمكن للمستخدم المتميز إعادة توجيه المنافذ المميزة. بشكل افتراضي ، يكون المنفذ المحلي منضمًا
وفقا ل بوابة الموانئ جلسة. ومع ذلك ، صريح ربط_العنوان قد يكون
تستخدم لربط الاتصال بعنوان محدد. ال ربط_العنوان من "المضيف المحلي"
يشير إلى أن منفذ الاستماع مرتبط للاستخدام المحلي فقط ، بينما يكون فارغًا
العنوان أو "*" يشير إلى أن المنفذ يجب أن يكون متاحًا من جميع الواجهات.
-E ملف تسجيل
إلحاق سجلات التصحيح بـ ملف تسجيل بدلا من الخطأ القياسي.
-e escape_char
يعيّن حرف الهروب للجلسات ذات الرمز pty (الافتراضي: "~"). الهروب
يتم التعرف على الحرف فقط في بداية السطر. شخصية الهروب
متبوعة بنقطة (".") تغلق الاتصال ؛ متبوعًا بعلامة التحكم- Z يعلق ملف
اتصال؛ ويتبعه نفسه يرسل حرف الهروب مرة واحدة. وضع
الحرف إلى "لا شيء" يعطل أي عمليات هروب ويجعل الجلسة شفافة بالكامل.
-F ملف التكوين
يحدد ملف تكوين بديل لكل مستخدم. إذا كان ملف التكوين هو
في سطر الأوامر ، ملف التكوين على مستوى النظام (/ الخ / سه / ssh_config)
سيتم تجاهله. الإعداد الافتراضي لملف التكوين لكل مستخدم هو ~ / .ssh / التكوين.
-f الطلبات سه للانتقال إلى الخلفية قبل تنفيذ الأمر مباشرة. هذا مفيد إذا كان
سه سيطلب كلمات المرور أو عبارات المرور ، لكن المستخدم يريدها في ملف
خلفية. هذا يعني -n. الطريقة الموصى بها لبدء تشغيل برامج X11 عن بعد
الموقع بشيء مثل سه -f مضيف إكس تيرم.
إذا كان ExitOnForwardFailure يتم تعيين خيار التكوين على "نعم" ، ثم عميل
بدأت مع -f سينتظر حتى يتم إعادة توجيه جميع المنافذ البعيدة بنجاح
تم إنشاؤها قبل وضعها في الخلفية.
-G الأسباب سه لطباعة التكوين الخاص به بعد التقييم مضيف و مباراة كتل و
ىخرج.
-g يسمح للمضيفين البعيدين بالاتصال بالمنافذ المحلية المعاد توجيهها. إذا استخدمت على مضاعفة
الاتصال ، ثم يجب تحديد هذا الخيار في العملية الرئيسية.
-I pkcs11
حدد مكتبة PKCS # 11 المشتركة سه يجب استخدامه للتواصل مع PKCS # 11
رمز مميز يوفر مفتاح RSA الخاص بالمستخدم.
-i هوية_ملف
يحدد ملفًا يتم من خلاله تحديد الهوية (المفتاح الخاص) لمصادقة المفتاح العام
يقرأ. الافتراضي هو ~ / .ssh / هوية لإصدار البروتوكول 1 ، و ~ / .ssh / id_dsa,
~ / .ssh / id_ecdsa, ~ / .ssh / id_ed25519 و ~ / .ssh / id_rsa لإصدار البروتوكول 2.
يمكن أيضًا تحديد ملفات الهوية على أساس كل مضيف في ملف التكوين.
من الممكن أن يكون لديك عدة -i خيارات (وهويات متعددة محددة في
ملفات التكوين). إذا لم يتم تحديد أي شهادات بشكل صريح بواسطة ملف
ملف الشهادة التوجيه، سه سيحاول أيضًا تحميل معلومات الشهادة من
اسم الملف الذي تم الحصول عليه بالإلحاق -cert.pub لأسماء ملفات الهوية.
-K يُمكّن المصادقة المستندة إلى GSSAPI وإعادة التوجيه (التفويض) لـ GSSAPI
أوراق اعتماد الخادم.
-k تعطيل إعادة توجيه (تفويض) بيانات اعتماد GSSAPI إلى الخادم.
-L [ربط_العنوان:]ميناء:مضيف:استضافة الميناء
-L [ربط_العنوان:]ميناء:بعيد_المقبس
-L local_socket:مضيف:استضافة الميناء
-L local_socket:بعيد_المقبس
يحدد تلك الاتصالات بمنفذ TCP المحدد أو مقبس Unix على المحلي
يجب إعادة توجيه المضيف (العميل) إلى المضيف والمنفذ المحددين ، أو مقبس Unix ، على ملف
الجانب البعيد. يعمل هذا من خلال تخصيص مأخذ للاستماع إلى TCP ميناء on
على الجانب المحلي ، مرتبطًا اختياريًا بالمحدد ربط_العنوان، أو إلى مقبس يونكس.
كلما تم إجراء اتصال بالمنفذ أو المقبس المحلي ، يكون الاتصال
يتم إعادة توجيهها عبر القناة الآمنة ، ويتم إجراء اتصال بأي منهما مضيف ميناء
استضافة الميناء، أو مقبس يونكس بعيد_المقبسمن الآلة البعيدة.
يمكن أيضًا تحديد عمليات توجيه المنفذ في ملف التكوين. فقط
يمكن للمستخدم المتميز إعادة توجيه المنافذ المميزة. يمكن تحديد عناوين IPv6 بواسطة
إحاطة العنوان بين قوسين مربعين.
بشكل افتراضي ، يكون المنفذ المحلي منضمًا وفقًا لـ بوابة الموانئ الإعداد.
ومع ذلك ، صريح ربط_العنوان يمكن استخدامها لربط الاتصال بملف
عنوان. ال ربط_العنوان يشير "localhost" إلى أن منفذ الاستماع مرتبط
للاستخدام المحلي فقط ، بينما يشير العنوان الفارغ أو "*" إلى أن المنفذ يجب أن يكون
متاح من جميع الواجهات.
-l اسم الدخول
يحدد المستخدم لتسجيل الدخول على أنه على الجهاز البعيد. هذا أيضا قد يكون محددا
على أساس كل مضيف في ملف التكوين.
-M يضع سه العميل في الوضع "الرئيسي" لمشاركة الاتصال. عديد -M
أماكن الخيارات سه في الوضع "الرئيسي" مع التأكيد المطلوب قبل الرقيق
الاتصالات مقبولة. الرجوع إلى وصف كونترولماستر in
ssh_config(5) لمزيد من التفاصيل.
-m mac_spec
قائمة مفصولة بفواصل لخوارزميات MAC (رمز مصادقة الرسالة) المحددة في
ترتيب التفضيل. انظر بالاعمال الكلمات الرئيسية لمزيد من المعلومات.
-N لا تقم بتنفيذ أمر بعيد. هذا مفيد فقط لإعادة توجيه المنافذ.
-n يعيد توجيه stdin من / ديف / لاغية (في الواقع ، يمنع القراءة من stdin). هذا يجب
تستخدم عندما سه يعمل في الخلفية. الحيلة الشائعة هي استخدام هذا لتشغيل X11
برامج على جهاز بعيد. على سبيل المثال، سه -n Shadows.cs.hut.fi ايماكس & سوف
ابدأ emacs على shadow.cs.hut.fi ، وسيصبح اتصال X11 تلقائيًا
إعادة توجيهها عبر قناة مشفرة. ال سه سيتم وضع البرنامج في الخلفية.
(هذا لا يعمل إذا سه يحتاج إلى طلب كلمة مرور أو عبارة مرور ؛ انظر أيضا
-f اختيار.)
-O ctl_cmd
التحكم في عملية رئيسية نشطة لتعدد إرسال الاتصال. عندما -O الخيار
المحدد ، و ctl_cmd يتم تفسير الحجة وتمريرها إلى العملية الرئيسية.
الأوامر الصالحة هي: "check" (تحقق من تشغيل العملية الرئيسية) ، "forward"
(طلب إعادة التوجيه بدون تنفيذ الأمر) ، "إلغاء" (إلغاء إعادة التوجيه) ،
“exit” (اطلب من السيد الخروج) ، و “stop” (اطلب من السيد التوقف
قبول طلبات مضاعفة أخرى).
-o خيار
يمكن استخدامه لإعطاء خيارات بالتنسيق المستخدم في ملف التكوين. هذا هو
مفيد في تحديد الخيارات التي لا يوجد لها علامة سطر أوامر منفصلة. ل
التفاصيل الكاملة للخيارات المدرجة أدناه ، وقيمها المحتملة ، راجع
ssh_config(5).
AddKeysToAgent
العنوان
دفعة واسطة
BindAddress
النطاقات المتعارف عليها
CanonicalizeFallbackLocal
CanonicalizeHostname
CanonicalizeMaxDots
CanonicalizePermitCNAMEs
ملف الشهادة
مصادقة التحدي والاستجابة
CheckHostIP
صفر
الأصفار
مسح الكل
ضغط
مستوى الضغط
محاولات الاتصال
ConnectTimeout
كونترولماستر
كونترولباث
التحكم
ديناميك فوروارد
إسكيبشار
ExitOnForwardFailure
بصمة
وكيل فورورد
إلى الأمام
إلى الأمام X11
إلى الأمام X11
بوابة الموانئ
ملف المضيفين العالميين
مصادقة GSSAPIA
GSSAPIDelegateCredentials
HashKnownHosts
مضيف
مصادقة المضيف
أنواع المفاتيح المضيفة
خوارزميات مفتاح المضيف
HostKeyAlias
اسم المضيف
ملف الهوية
الهويات فقط
IPQoS
KbdInteractiveAuthentication
KbdInteractiveDevices
خوارزميات Kex
أمر محلي
لوكال فوروارد
تسجيل مستوى
بالاعمال
مباراة
NoHostAuthenticationForLocalhost
NumberOfPasswordPrompts
المصادقة على كلمة المرور
PermitLocalCommand
PKCS11Provider
ميناء
التوثيق المفضل
بروتوكول
أمر ProxyCommand
ProxyUseFdpass
PubkeyAcceptedKeyTypes
مصادقة PubkeyAuthentication
RekeyLimit
ريموتفوروارد
طلب
مصادقة RhostsRSA
مصادقة RSA
إرسال
ServerAliveInterval
ServerAliveCountMax
StreamLocalBindMask
StreamLocalBindUnlink
StrictHostKeyChecking
TCPKeepAlive
نفق
جهاز النفق
تحديث مفاتيح المضيف
استخدامالمنفذ المميز
اسم المستخدم
ملف UserKnownHostsFile
التحقق من HostKeyDNS
VisualHostKey
XAuthLocation
-p ميناء
منفذ للاتصال به على المضيف البعيد. يمكن تحديد ذلك على أساس كل مضيف في
ملف التكوين.
-Q خيار الاستعلام
الاستعلامات سه للخوارزميات المدعومة للإصدار المحدد 2. المتوفر
الميزات: صفر (الأصفار المتناظرة المدعومة) ، مصادقة التشفير (دعم متماثل
الأصفار التي تدعم التشفير المصدق) ، لجنة الهدنة العسكرية (دعم سلامة الرسالة
رموز) ، kex (خوارزميات تبادل المفاتيح) ، مفتاح (أنواع المفاتيح) ، الرئيسية سيرت (مفتاح الشهادة
أنواع) ، مفتاح عادي (أنواع المفاتيح غير المعتمدة) ، و إصدار البروتوكول (يدعم SSH
إصدارات البروتوكول).
-q الوضع الصامت. يتسبب في قمع معظم رسائل التحذير والتشخيص.
-R [ربط_العنوان:]ميناء:مضيف:استضافة الميناء
-R [ربط_العنوان:]ميناء:local_socket
-R بعيد_المقبس:مضيف:استضافة الميناء
-R بعيد_المقبس:local_socket
يحدد تلك الاتصالات بمنفذ TCP المحدد أو مقبس Unix على جهاز التحكم عن بعد
(الخادم) يجب إعادة توجيهه إلى المضيف والمنفذ المحددين ، أو مقبس Unix ، على ملف
الجانب المحلي. يعمل هذا من خلال تخصيص مأخذ للاستماع إلى TCP ميناء أو
مقبس يونكس على الجانب البعيد. كلما تم إجراء اتصال بهذا المنفذ أو
مقبس يونكس ، يتم إعادة توجيه الاتصال عبر القناة الآمنة والاتصال
مصنوع لأي منهما مضيف ميناء استضافة الميناء أو local_socket، من الجهاز المحلي.
يمكن أيضًا تحديد عمليات توجيه المنفذ في ملف التكوين. الموانئ المميزة
يمكن إعادة توجيهها فقط عند تسجيل الدخول كجذر على الجهاز البعيد. عناوين IPv6
يمكن تحديد العنوان بين قوسين مربعين.
بشكل افتراضي ، ستكون مآخذ توصيل TCP على الخادم مرتبطة بالاسترجاع
الواجهة فقط. يمكن تجاوز هذا بتحديد ملف ربط_العنوان. فارغ
ربط_العنوان، أو العنوان "*" ، يشير إلى أن المقبس البعيد يجب أن يستمع
كل الواجهات. تحديد جهاز التحكم عن بعد ربط_العنوان ستنجح فقط إذا كان الخادم
بوابة الموانئ تم تمكين الخيار (انظر sshd_config(5)).
إذا كان ميناء الوسيطة هي '0' ، سيتم تخصيص منفذ الاستماع ديناميكيًا على
الخادم وإبلاغ العميل في وقت التشغيل. عند استخدامها مع ملفات -O إلى الأمام
ستتم طباعة المنفذ المخصص على الإخراج القياسي.
-S ctl_path
يحدد موقع مقبس التحكم لمشاركة الاتصال أو السلسلة
"لا شيء" لتعطيل مشاركة الاتصال. الرجوع إلى وصف كونترولباث و
كونترولماستر in ssh_config(5) لمزيد من التفاصيل.
-s يمكن استخدامه لطلب استدعاء نظام فرعي على النظام البعيد. الأنظمة الفرعية
تسهيل استخدام SSH كوسيلة نقل آمنة للتطبيقات الأخرى (على سبيل المثال
بالنشر(1)). تم تحديد النظام الفرعي كأمر بعيد.
-T تعطيل تخصيص المحطة الزائفة.
-t فرض تخصيص المحطة الزائفة. يمكن استخدام هذا لتنفيذ شاشة تعسفية-
برامج تعتمد على جهاز بعيد ، والتي يمكن أن تكون مفيدة للغاية ، على سبيل المثال عند التنفيذ
خدمات القائمة. عديد -t خيارات فرض tty التخصيص ، حتى لو سه ليس له محلية
tty.
-V عرض رقم الإصدار والخروج.
-v وضع مفصل. الأسباب سه لطباعة رسائل تصحيح الأخطاء حول تقدمه. هذا هو
مفيدة في تصحيح مشاكل الاتصال والمصادقة والتكوين.
متعدد -v الخيارات تزيد من الإسهاب. الحد الأقصى هو 3.
-W مضيف:ميناء
يطلب إعادة توجيه المدخلات والمخرجات القياسية على العميل إلى مضيف on ميناء
عبر القناة الآمنة. يدل -N, -T, ExitOnForwardFailure و
مسح الكل.
-w local_tun[:Remote_tun]
يطلب جهاز النفق إعادة توجيه مع المحدد فعل(4) أجهزة بين
عميل (local_tun) والخادم (Remote_tun).
يمكن تحديد الأجهزة عن طريق المعرف الرقمي أو الكلمة الأساسية "أي" التي تستخدم
جهاز النفق التالي المتاح. لو Remote_tun لم يتم تحديده ، يتم تعيينه افتراضيًا على "أي".
انظر أيضا نفق و جهاز النفق التوجيهات في ssh_config(5). إذا كان نفق
التوجيه غير مضبوط ، تم ضبطه على وضع النفق الافتراضي ، وهو "نقطة إلى نقطة".
-X تمكن إعادة توجيه X11. يمكن أيضًا تحديد ذلك على أساس كل مضيف في ملف
ملف الضبط.
يجب تمكين إعادة توجيه X11 بحذر. المستخدمون الذين لديهم القدرة على تجاوز
أذونات الملف على المضيف البعيد (لقاعدة بيانات ترخيص X للمستخدم) يمكن
الوصول إلى شاشة X11 المحلية من خلال الاتصال المعاد توجيهه. يمكن للمهاجم بعد ذلك
تكون قادرة على أداء أنشطة مثل مراقبة ضغطات المفاتيح.
لهذا السبب ، يخضع إعادة توجيه X11 لقيود تمديد أمان X11
بشكل افتراضي. يرجى الرجوع إلى سه -Y الخيار و إلى الأمام X11 توجيهات
in ssh_config(5) لمزيد من المعلومات.
(خاص بدبيان: لا تخضع إعادة توجيه X11 إلى امتداد أمان X11
القيود بشكل افتراضي ، لأن العديد من البرامج تتعطل حاليًا في هذا الوضع.
تعيين إلى الأمام X11 خيار "لا" لاستعادة سلوك المنبع. هذا
قد يتغير في المستقبل اعتمادًا على التحسينات من جانب العميل.)
-x تعطيل إعادة توجيه X11.
-Y تمكن إعادة توجيه X11 الموثوق به. لا تخضع عمليات توجيه X11 الموثوقة لـ
X11 ضوابط تمديد الأمان.
(خاص بدبيان: هذا الخيار لا يفعل شيئًا في التكوين الافتراضي: إنه كذلك
أي ما يعادل "إلى الأمام X11 نعم "، وهو الإعداد الافتراضي كما هو موضح أعلاه. تعيين
القادم إلى الأمام X11 خيار "لا" لاستعادة سلوك المنبع. هذا ممكن
التغيير في المستقبل اعتمادًا على التحسينات من جانب العميل.)
-y أرسل معلومات السجل باستخدام سيسلوغ(3) وحدة النظام. افتراضيا هذه المعلومات
يتم إرساله إلى stderr.
سه قد يحصل بالإضافة إلى ذلك على بيانات التكوين من ملف التكوين لكل مستخدم وملف
ملف التكوين على مستوى النظام. يتم وصف تنسيق الملف وخيارات التكوين بتنسيق
ssh_config(5).
المصادقة
يدعم عميل OpenSSH SSH بروتوكولي SSH 1 و 2. الافتراضي هو استخدام البروتوكول 2
فقط ، على الرغم من أنه يمكن تغيير ذلك عبر بروتوكول الخيار في ssh_config(5) أو -1 و -2
خيارات (انظر أعلاه). لا ينبغي استخدام البروتوكول 1 ويتم تقديمه فقط لدعم الإرث
الأجهزة. إنه يعاني من عدد من نقاط الضعف في التشفير ولا يدعم الكثير من
الميزات المتقدمة المتاحة للبروتوكول 2.
الطرق المتاحة للمصادقة هي: المصادقة المستندة إلى GSSAPI ، المستندة إلى المضيف
المصادقة ، مصادقة المفتاح العام ، مصادقة استجابة التحدي ، وكلمة المرور
المصادقة. بالرغم من ذلك ، تتم تجربة طرق المصادقة بالترتيب المحدد أعلاه
التوثيق المفضل يمكن استخدامها لتغيير الترتيب الافتراضي.
تعمل المصادقة المستندة إلى المضيف على النحو التالي: إذا تم سرد الجهاز الذي يسجل المستخدم الدخول منه
in /etc/hosts.equiv or /etc/ssh/shosts.equiv على الجهاز البعيد ، وأسماء المستخدمين
نفس الشيء على كلا الجانبين ، أو إذا كانت الملفات ~ / .rhosts or ~ / موجودة في منزل المستخدم
دليل على الجهاز البعيد ويحتوي على سطر يحتوي على اسم جهاز العميل
واسم المستخدم على هذا الجهاز ، يعتبر المستخدم لتسجيل الدخول. بالإضافة إلى ذلك،
الخادم يجب أن تكون قادرًا على التحقق من مفتاح مضيف العميل (انظر وصف
/ etc / ssh / ssh_known_hosts و ~ / .ssh / known_hosts، أدناه) لتسجيل الدخول. هذا
تعمل طريقة المصادقة على إغلاق الثغرات الأمنية بسبب انتحال عنوان IP وانتحال DNS والتوجيه
انتحال. [ملاحظة للمسؤول: /etc/hosts.equiv, ~ / .rhostsو rlogin / rsh
البروتوكول بشكل عام غير آمن بطبيعته ويجب تعطيله إذا كان الأمان مطلوبًا.]
تعمل مصادقة المفتاح العام على النحو التالي: يعتمد النظام على تشفير المفتاح العام ،
باستخدام أنظمة التشفير حيث يتم التشفير وفك التشفير باستخدام مفاتيح منفصلة ، وهو كذلك
لا يمكن اشتقاق مفتاح فك التشفير من مفتاح التشفير. الفكرة هي أن كل مستخدم
يقوم بإنشاء زوج مفاتيح عام / خاص لأغراض المصادقة. الخادم يعرف الجمهور
key ، والمستخدم وحده هو الذي يعرف المفتاح الخاص. سه تنفذ مصادقة المفتاح العام
البروتوكول تلقائيًا ، باستخدام أحد خوارزميات DSA أو ECDSA أو Ed25519 أو RSA. التاريخ
قسم من SSL(8) (على أنظمة غير OpenBSD ، انظر
http://www.openbsd.org/cgi-bin/man.cgi؟ query = ssl & sektion = 8 # HISTORY) يحتوي على موجز
مناقشة خوارزميات DSA و RSA.
الملف ~ / .ssh / author_keys يسرد المفاتيح العامة المسموح بها لتسجيل الدخول.
عندما يقوم المستخدم بتسجيل الدخول ، فإن ملف سه يخبر البرنامج الخادم بزوج المفاتيح الذي يرغب في استخدامه
للمصادقة. يثبت العميل أن لديه حق الوصول إلى المفتاح الخاص والخادم
يتحقق من أن المفتاح العام المقابل مصرح له بقبول الحساب.
يقوم المستخدم بإنشاء زوج المفاتيح الخاص به عن طريق التشغيل سه-كجن(1). هذا يخزن المفتاح الخاص في
~ / .ssh / هوية (البروتوكول 1) ، ~ / .ssh / id_dsa (DSA) ، ~ / .ssh / id_ecdsa (ECDSA) ،
~ / .ssh / id_ed25519 (Ed25519) ، أو ~ / .ssh / id_rsa (RSA) ويخزن المفتاح العام بتنسيق
~ / .ssh / Identity.pub (البروتوكول 1) ، ~ / .ssh / id_dsa.pub (DSA) ، ~ / .ssh / id_ecdsa.pub (ECDSA) ،
~ / .ssh / id_ed25519.pub (Ed25519) ، أو ~ / .ssh / id_rsa.pub (RSA) في الدليل الرئيسي للمستخدم.
يجب على المستخدم بعد ذلك نسخ المفتاح العام إلى ~ / .ssh / author_keys في دليل منزله
على الجهاز البعيد. ال المفوضين الملف يتوافق مع التقليدية ~ / .rhosts
ملف ، ويحتوي على مفتاح واحد في كل سطر ، على الرغم من أن السطور يمكن أن تكون طويلة جدًا. بعد ذلك ، يمكن للمستخدم
تسجيل الدخول دون إعطاء كلمة المرور.
يتوفر تباين في مصادقة المفتاح العام في شكل شهادة
المصادقة: بدلاً من مجموعة من المفاتيح العامة / الخاصة ، يتم استخدام الشهادات الموقعة. هذا
لديه ميزة أنه يمكن استخدام مرجع مصدق واحد موثوق به بدلاً من العديد
مفاتيح عامة / خاصة. راجع قسم الشهادات من سه-كجن(1) لمزيد من المعلومات.
قد تكون الطريقة الأكثر ملاءمة لاستخدام المفتاح العام أو مصادقة الشهادة هي باستخدام ملف
وكيل المصادقة. يرى سه وكيل(1) و (اختياريًا) ملف AddKeysToAgent التوجيه في
ssh_config(5) لمزيد من المعلومات.
تعمل مصادقة الاستجابة-الارتياب على النحو التالي: يرسل الخادم أمرًا عشوائيًا
نص "التحدي" ، والمطالبة بالرد. أمثلة على مصادقة التحدي والاستجابة
تشمل مصادقة BSD (انظر تسجيل الدخول(5)) و PAM (بعض الأنظمة غير OpenBSD).
أخيرًا ، إذا فشلت طرق المصادقة الأخرى ، سه يطالب المستخدم بكلمة مرور. ال
يتم إرسال كلمة المرور إلى المضيف البعيد للتحقق ؛ ومع ذلك ، لأن جميع الاتصالات
مشفرة ، لا يمكن لأي شخص يستمع على الشبكة رؤية كلمة المرور.
سه تحتفظ وتتحقق تلقائيًا من قاعدة بيانات تحتوي على تعريف لجميع مضيفيها
تم استخدامه مع. يتم تخزين مفاتيح المضيف بتنسيق ~ / .ssh / known_hosts في منزل المستخدم
الدليل. بالإضافة إلى ذلك ، الملف / etc / ssh / ssh_known_hosts يتم فحصه تلقائيًا بحثًا عن
مضيفين معروفين. تتم إضافة أي مضيفين جدد تلقائيًا إلى ملف المستخدم. إذا كان المضيف
يتغير تحديد الهوية من أي وقت مضى ، سه يحذر من هذا ويعطل مصادقة كلمة المرور إلى
منع انتحال الخادم أو هجمات man-in-the-middle ، والتي يمكن استخدامها لولا ذلك
التحايل على التشفير. ال StrictHostKeyChecking يمكن استخدام الخيار للتحكم في عمليات تسجيل الدخول
للأجهزة التي يكون مفتاح مضيفها غير معروف أو تم تغييره.
عندما يتم قبول هوية المستخدم من قبل الخادم ، يقوم الخادم إما بتنفيذ
أمر معين في جلسة غير تفاعلية أو ، إذا لم يتم تحديد أمر ، فسيسجل الدخول
الجهاز ويمنح المستخدم غلافًا عاديًا كجلسة تفاعلية. كل الاتصالات
باستخدام الأمر البعيد أو القشرة سيتم تشفيرها تلقائيًا.
إذا تم طلب جلسة تفاعلية سه بشكل افتراضي سوف يطلب فقط محطة زائفة
(pty) للجلسات التفاعلية عندما يكون لدى العميل واحدة. الأعلام -T و -t يمكن استخدامها ل
تجاوز هذا السلوك.
إذا تم تخصيص محطة زائفة ، فيمكن للمستخدم استخدام أحرف الهروب المذكورة أدناه.
إذا لم يتم تخصيص محطة زائفة ، تكون الجلسة شفافة ويمكن استخدامها
نقل البيانات الثنائية بشكل موثوق. في معظم الأنظمة ، تعيين حرف الإلغاء على "لا شيء"
اجعل الجلسة شفافة أيضًا حتى لو تم استخدام tty.
تنتهي الجلسة عندما يخرج الأمر أو الغلاف الموجود على الجهاز البعيد وجميع X11 و
تم إغلاق اتصالات TCP.
يفرون الشخصيات
عندما يتم طلب محطة زائفة ، سه يدعم عددًا من الوظائف من خلال
استخدام حرف الهروب.
يمكن إرسال حرف تلدة واحد على هيئة ~~ أو باتباع التلدة بحرف آخر
من تلك الموضحة أدناه. يجب أن يتبع حرف الهروب دائمًا سطرًا جديدًا
تفسر على أنها خاصة. يمكن تغيير حرف الهروب في ملفات التكوين باستخدام
القادم إسكيبشار توجيه التكوين أو على سطر الأوامر بواسطة -e الخيار.
عمليات الهروب المدعومة (بافتراض "~" الافتراضية) هي:
~. قطع الاتصال.
~ ^ ض خلفيّة سه.
~# قائمة الاتصالات المعاد توجيهها.
~& خلفيّة سه عند تسجيل الخروج عند انتظار الاتصال المُعاد توجيهه / جلسات X11 إلى
إنهاء.
~? اعرض قائمة بأحرف الهروب.
~B أرسل BREAK إلى النظام البعيد (مفيد فقط إذا كان الأقران يدعمه).
~C افتح سطر الأوامر. يسمح هذا حاليًا بإضافة عمليات توجيه المنفذ باستخدام ملف
-L, -R و -D خيارات (انظر أعلاه). كما يسمح بإلغاء القائمة
ميناء الشحن مع -كال[ربط_العنوان:]ميناء للمحليين ، -KR[ربط_العنوان:]ميناء لـ
عن بعد و د[ربط_العنوان:]ميناء لشحن المنفذ الديناميكي. !أمر يسمح لل
المستخدم لتنفيذ أمر محلي إذا كان PermitLocalCommand يتم تمكين الخيار في
ssh_config(5). المساعدة الأساسية متاحة ، باستخدام ملف -h الخيار.
~R طلب إعادة الاتصال (مفيد فقط إذا كان النظير يدعمه).
~V تقليل الإسهاب (تسجيل مستوى) عندما يتم كتابة أخطاء إلى stderr.
~v زيادة الإسهاب (تسجيل مستوى) عندما يتم كتابة أخطاء إلى stderr.
TCP إعادة توجيه
يمكن تحديد إعادة توجيه توصيلات TCP التعسفية عبر القناة الآمنة إما على
سطر الأوامر أو في ملف التكوين. أحد التطبيقات الممكنة لإعادة توجيه TCP هو
اتصال آمن بخادم البريد ؛ آخر يمر بجدران الحماية.
في المثال أدناه ، ننظر إلى تشفير الاتصال بين عميل وخادم IRC ،
على الرغم من أن خادم IRC لا يدعم الاتصالات المشفرة بشكل مباشر. هذا يعمل
على النحو التالي: يتصل المستخدم بالمضيف البعيد باستخدام سه، مع تحديد منفذ لاستخدامه
توجيه الاتصالات إلى الخادم البعيد. بعد ذلك يمكن بدء الخدمة
والذي سيتم تشفيره على جهاز العميل ، والاتصال بنفس المنفذ المحلي ، و سه
سيقوم بتشفير الاتصال وإعادة توجيهه.
المثال التالي ينقل جلسة IRC من جهاز العميل "127.0.0.1" (المضيف المحلي) إلى
الخادم البعيد "server.example.com":
$ ssh -f -L 1234: المضيف المحلي: 6667 server.example.com السكون 10
$ irc -c '# المستخدمين' -p 1234 Pinky 127.0.0.1
هذا ينفق اتصالاً بخادم IRC "server.example.com" ، وينضم إلى القناة "#users" ،
لقب "الخنصر" ، باستخدام المنفذ 1234. لا يهم أي منفذ يتم استخدامه ، طالما أنه
أكبر من 1023 (تذكر ، الجذر فقط يمكنه فتح مآخذ على المنافذ المميزة) ولا يفعل ذلك
تتعارض مع أي منافذ قيد الاستخدام بالفعل. يتم إعادة توجيه الاتصال إلى المنفذ 6667 على
الخادم البعيد ، لأن هذا هو المنفذ القياسي لخدمات IRC.
إنّ كافة أنواع عهود الـ -f خلفيات الخيار سه ويتم تحديد الأمر البعيد "sleep 10" للسماح بامتداد
مقدار الوقت (10 ثوانٍ ، في المثال) لبدء الخدمة التي سيتم نفقها.
إذا لم يتم إجراء اتصالات خلال الوقت المحدد ، سه سيخرج.
X11 إعادة توجيه
إذا كان إلى الأمام متغير معين إلى "نعم" (أو انظر وصف -X, -xو -Y
الخيارات أعلاه) ويستخدم المستخدم X11 (تم تعيين متغير بيئة العرض) ، و
يتم توجيه الاتصال بشاشة X11 تلقائيًا إلى الجانب البعيد بهذه الطريقة
أن أي برنامج X11 يبدأ من shell (أو الأمر) سوف يمر عبر ملف
القناة ، وسيتم الاتصال بخادم X الحقيقي من الجهاز المحلي. ال
يجب ألا يقوم المستخدم بتعيين DISPLAY يدويًا. يمكن تكوين إعادة توجيه اتصالات X11 على
سطر الأوامر أو في ملفات التكوين.
تم تعيين قيمة العرض بواسطة سه سيشير إلى جهاز الخادم ، ولكن برقم عرض
أكبر من الصفر. هذا أمر طبيعي ، ويحدث بسبب سه ينشئ خادم X "وكيل" على
جهاز الخادم لإعادة توجيه الاتصالات عبر القناة المشفرة.
سه سيقوم أيضًا تلقائيًا بإعداد بيانات Xauthority على جهاز الخادم. لهذا الغرض،
سيقوم بإنشاء ملف تعريف ارتباط ترخيص عشوائي ، وتخزينه في Xauthority على الخادم ، و
تحقق من أن أي اتصالات معاد توجيهها تحمل ملف تعريف الارتباط هذا واستبدله بملف تعريف الارتباط الحقيقي
عند فتح الاتصال. لا يتم إرسال ملف تعريف الارتباط الحقيقي للمصادقة أبدًا إلى الخادم
الجهاز (ولا يتم إرسال ملفات تعريف الارتباط في الوضع العادي).
إذا كان وكيل فورورد متغير معين إلى "نعم" (أو انظر وصف -A و -a
الخيارات أعلاه) ويستخدم المستخدم وكيل مصادقة ، يكون الاتصال بالوكيل
يتم إعادة توجيهها تلقائيًا إلى الجانب البعيد.
جارٍ التحقق HOST KEYS
عند الاتصال بخادم لأول مرة ، تكون بصمة المفتاح العام للخادم
المقدمة للمستخدم (ما لم يكن الخيار StrictHostKeyChecking تم تعطيل).
يمكن تحديد بصمات الأصابع باستخدام سه-كجن(1):
$ ssh-keygen -l -f / etc / ssh / ssh_host_rsa_key
إذا كانت بصمة الإصبع معروفة بالفعل ، فيمكن مطابقتها ويمكن قبول المفتاح أو
مرفوض. في حالة توفر بصمات الأصابع القديمة (MD5) للخادم ، فإن ملف سه-كجن(1)
-E يمكن استخدام الخيار لتقليل خوارزمية بصمات الأصابع للمطابقة.
نظرًا لصعوبة مقارنة مفاتيح المضيف بمجرد النظر إلى سلاسل بصمات الأصابع ،
هناك أيضًا دعم لمقارنة مفاتيح المضيف بصريًا ، باستخدام عشوائية فن. عن طريق تحديد
VisualHostKey خيار "نعم" ، يتم عرض رسم ASCII صغير عند كل تسجيل دخول إلى ملف
الخادم ، بغض النظر عما إذا كانت الجلسة نفسها تفاعلية أم لا. من خلال تعلم النمط أ
ينتج خادم معروف ، يمكن للمستخدم أن يكتشف بسهولة أن مفتاح المضيف قد تغير عندما أ
يتم عرض نمط مختلف تمامًا. لأن هذه الأنماط لا لبس فيها
ومع ذلك ، فإن النمط الذي يبدو مشابهًا للنمط الذي يتم تذكره يعطي فقط فائدة
احتمال أن يكون مفتاح المضيف هو نفسه ، وليس دليلًا مضمونًا.
للحصول على قائمة ببصمات الأصابع جنبًا إلى جنب مع فنهم العشوائي لجميع المضيفين المعروفين ، فإن
يمكن استخدام سطر الأوامر التالي:
$ ssh-keygen -lv -f ~ / .ssh / known_hosts
إذا كانت بصمة الإصبع غير معروفة ، تتوفر طريقة بديلة للتحقق: SSH
تم التحقق من بصمات الأصابع بواسطة DNS. تتم إضافة سجل موارد إضافي (RR) ، SSHFP ، إلى ملف
zonefile والعميل المتصل قادر على مطابقة بصمة الإصبع مع تلك الخاصة بالمفتاح
قدم.
في هذا المثال ، نقوم بتوصيل عميل بخادم "host.example.com". SSHFP
يجب أولاً إضافة سجلات الموارد إلى ملف المنطقة لـ host.example.com:
$ ssh-keygen -r host.example.com.
يجب إضافة خطوط الإخراج إلى ملف المنطقة. للتأكد من أن المنطقة تجيب
استفسارات بصمات الأصابع:
$ dig -t SSHFP host.example.com
أخيرًا ، يتصل العميل:
$ ssh -o "اسأل VerifyHostKeyDNS" host.example.com
[...]
تم العثور على بصمة مفتاح المضيف المتطابقة في DNS.
هل أنت متأكد من أنك تريد متابعة الاتصال (نعم / لا)؟
شاهد التحقق من HostKeyDNS الخيار في ssh_config(5) لمزيد من المعلومات.
يعتمد على SSH افتراضية خاص NETWORKS
سه يحتوي على دعم لأنفاق الشبكة الافتراضية الخاصة (VPN) باستخدام امتداد فعل(4) شبكة
جهاز زائف ، مما يسمح بربط شبكتين بشكل آمن. ال sshd_config(5)
خيار التكوين تصريح نفق يتحكم في ما إذا كان الخادم يدعم هذا أم لا
المستوى (طبقة 2 أو 3 حركة مرور).
يقوم المثال التالي بتوصيل شبكة العميل 10.0.50.0/24 بالشبكة البعيدة
10.0.99.0/24 باستخدام اتصال من نقطة إلى نقطة من 10.1.1.1 إلى 10.1.1.2 ، بشرط أن يكون
خادم SSH الذي يعمل على بوابة الشبكة البعيدة ، 192.168.1.15 ، يسمح بذلك.
على العميل:
# ssh -f -w 0: 1 192.168.1.15 صحيح
# ifconfig tun0 10.1.1.1 10.1.1.2 قناع الشبكة 255.255.255.252
# مسار إضافة 10.0.99.0/24 10.1.1.2
على الخادم:
# ifconfig tun1 10.1.1.2 10.1.1.1 قناع الشبكة 255.255.255.252
# مسار إضافة 10.0.50.0/24 10.1.1.1
قد يتم ضبط وصول العميل بشكل أكثر دقة عبر /root/.ssh/authorized_keys ملف (انظر أدناه)
و مبادئ السلوك PermitRootLogin خيار الخادم. سيسمح الإدخال التالي بتشغيل الاتصالات
فعل(4) الجهاز 1 من المستخدم "jane" وعلى الجهاز tun 2 من المستخدم "john" ، إذا PermitRootLogin is
ضبط على "فرض الأوامر فقط":
نفق = "1" ، الأمر = "sh / etc / netstart tun1" ssh-rsa ... جين
نفق = "2" ، الأمر = "sh / etc / netstart tun2" ssh-rsa ... john
نظرًا لأن الإعداد المستند إلى SSH يستلزم قدرًا لا بأس به من النفقات العامة ، فقد يكون أكثر ملاءمة له
الإعدادات المؤقتة ، مثل الشبكات الافتراضية الخاصة اللاسلكية. يتم توفير المزيد من شبكات VPN الدائمة بشكل أفضل بواسطة
أدوات مثل ipsecctl(8) و com.isakmpd(8).
البيئة
سه سيحدد عادة متغيرات البيئة التالية:
DISPLAY يشير متغير DISPLAY إلى موقع خادم X11. إنها
تم تعيينه تلقائيًا بواسطة سه للإشارة إلى قيمة على شكل "hostname: n" ،
حيث يشير “hostname” إلى المضيف حيث يتم تشغيل shell ، و “n” هو
عدد صحيح ≥ 1. سه يستخدم هذه القيمة الخاصة لإعادة توجيه X11
اتصالات عبر القناة الآمنة. يجب على المستخدم عادة عدم تعيين
DISPLAY بشكل صريح ، لأن ذلك سيجعل اتصال X11 غير آمن
(وسيتطلب من المستخدم نسخ أي إذن مطلوب يدويًا
بسكويت).
HOME اضبط على مسار الدليل الرئيسي للمستخدم.
مرادف LOGNAME لـ USER ؛ مجموعة للتوافق مع الأنظمة التي تستخدم هذا
المتغير.
MAIL تعيين إلى مسار صندوق بريد المستخدم.
PATH اضبط على المسار الافتراضي ، كما هو محدد عند التحويل البرمجي سه.
SSH_ASKPASS إذا سه يحتاج إلى عبارة مرور ، سيقرأ عبارة المرور من ملف
المحطة الحالية إذا تم تشغيلها من محطة. لو سه لا يوجد
محطة طرفية مرتبطة به ولكن تم تعيين DISPLAY و SSH_ASKPASS ، ذلك
سينفذ البرنامج المحدد بواسطة SSH_ASKPASS ويفتح X11
نافذة لقراءة عبارة المرور. هذا مفيد بشكل خاص عندما
دعوة سه من .xsession أو نص ذي صلة. (لاحظ ذلك في بعض ملفات
آلات قد يكون من الضروري إعادة توجيه المدخلات من / ديف / لاغية إلى
اجعل هذا العمل.)
SSH_AUTH_SOCK يحدد مسار مقبس مجال UNIX المستخدم للتواصل معه
العميل.
SSH_CONNECTION يحدد العميل والخادم طرفي الاتصال. المتغير
يحتوي على أربع قيم مفصولة بمسافات: عنوان IP للعميل ، ومنفذ العميل
الرقم وعنوان IP للخادم ورقم منفذ الخادم.
SSH_ORIGINAL_COMMAND يحتوي هذا المتغير على سطر الأوامر الأصلي إذا كان الأمر مفروضاً
يتم تنفيذ. يمكن استخدامه لاستخراج الحجج الأصلية.
SSH_TTY يتم تعيين هذا على اسم tty (المسار إلى الجهاز) المرتبط
مع الغلاف أو الأمر الحالي. إذا كانت الجلسة الحالية لا تحتوي على tty ،
لم يتم تعيين هذا المتغير.
TZ يتم تعيين هذا المتغير للإشارة إلى المنطقة الزمنية الحالية إذا تم تعيينها
عندما بدأ البرنامج الخفي (على سبيل المثال ، يمرر البرنامج الخفي القيمة إلى
اتصالات جديدة).
USER اضبط على اسم المستخدم الذي يقوم بتسجيل الدخول.
بالإضافة إلى ذلك، سه يقرأ ~ / .ssh / البيئة، ويضيف سطورًا بالتنسيق "VARNAME = value" إلى
البيئة إذا كان الملف موجودًا ويسمح للمستخدمين بتغيير بيئتهم. ل
مزيد من المعلومات ، راجع تصريح المستخدم البيئة الخيار في sshd_config(5).
استخدم ssh عبر الإنترنت باستخدام خدمات onworks.net
