यह कमांड स्लोगन है जिसे हमारे कई मुफ्त ऑनलाइन वर्कस्टेशन जैसे कि उबंटू ऑनलाइन, फेडोरा ऑनलाइन, विंडोज ऑनलाइन एमुलेटर या मैक ओएस ऑनलाइन एमुलेटर का उपयोग करके ऑनवर्क्स फ्री होस्टिंग प्रदाता में चलाया जा सकता है।
कार्यक्रम:
नाम
एसएसएच - ओपनएसएसएच एसएसएच क्लाइंट (दूरस्थ लॉगिन प्रोग्राम)
SYNOPSIS
एसएसएच [-1246AaCfGgKkMNnqsTtVvXxYy] [-b बिंद_पता] [-c सिफर_स्पेक] [-D [बिंद_पता:]बंदरगाह]
[-E बोटा दस्तावेज] [-e एस्केप_चार] [-F कॉन्फिगफाइल] [-I PKCS11] [-i पहचान_फ़ाइल]
[-L पता] [-l लॉगिन नाम] [-m mac_spec] [-O ctl_cmd] [-o विकल्प] [-p बंदरगाह]
[-Q query_option] [-R पता] [-S ctl_path] [-W मेजबान:बंदरगाह] [-w लोकल_ट्यून[:रिमोट_ट्यून]]
[उपयोगकर्ता@]मेजबाननाम [आदेश]
वर्णन
एसएसएच (एसएसएच क्लाइंट) रिमोट मशीन में लॉग इन करने और कमांड निष्पादित करने के लिए एक प्रोग्राम है
रिमोट मशीन पर। इसका उद्देश्य दो के बीच सुरक्षित एन्क्रिप्टेड संचार प्रदान करना है
एक असुरक्षित नेटवर्क पर अविश्वसनीय मेजबान। X11 कनेक्शन, मनमाना टीसीपी पोर्ट और
UNIX- डोमेन सॉकेट को सुरक्षित चैनल पर भी अग्रेषित किया जा सकता है।
एसएसएच निर्दिष्ट में जोड़ता है और लॉग करता है मेजबाननाम (वैकल्पिक के साथ उपयोगकर्ता नाम)। उपयोगकर्ता चाहिए
कई विधियों में से एक का उपयोग करके रिमोट मशीन पर अपनी पहचान साबित करें (नीचे देखें)।
If आदेश निर्दिष्ट है, इसे लॉगिन शेल के बजाय दूरस्थ होस्ट पर निष्पादित किया जाता है।
विकल्प इस प्रकार हैं:
-1 ताकतों एसएसएच केवल प्रोटोकॉल संस्करण 1 का प्रयास करने के लिए।
-2 ताकतों एसएसएच केवल प्रोटोकॉल संस्करण 2 का प्रयास करने के लिए।
-4 ताकतों एसएसएच केवल IPv4 पतों का उपयोग करने के लिए।
-6 ताकतों एसएसएच केवल IPv6 पतों का उपयोग करने के लिए।
-A प्रमाणीकरण एजेंट कनेक्शन को अग्रेषित करने में सक्षम बनाता है। ये भी हो सकता है
कॉन्फ़िगरेशन फ़ाइल में प्रति-होस्ट आधार पर निर्दिष्ट किया गया है।
एजेंट अग्रेषण सावधानी के साथ सक्षम किया जाना चाहिए। बायपास करने की क्षमता वाले उपयोगकर्ता
दूरस्थ होस्ट पर फ़ाइल अनुमतियाँ (एजेंट के UNIX-डोमेन सॉकेट के लिए) एक्सेस कर सकती हैं
अग्रेषित कनेक्शन के माध्यम से स्थानीय एजेंट। एक हमलावर कुंजी प्राप्त नहीं कर सकता
एजेंट से सामग्री, हालांकि वे उन चाबियों पर संचालन कर सकते हैं जो सक्षम करती हैं
उन्हें एजेंट में लोड की गई पहचान का उपयोग करके प्रमाणित करने के लिए।
-a प्रमाणीकरण एजेंट कनेक्शन का अग्रेषण अक्षम करता है।
-b बिंद_पता
उपयोग बिंद_पता स्थानीय मशीन पर कनेक्शन के स्रोत पते के रूप में। केवल
एक से अधिक पते वाले सिस्टम पर उपयोगी।
-C सभी डेटा (stdin, stdout, stderr, और के लिए डेटा सहित) के संपीड़न का अनुरोध करता है
अग्रेषित X11, TCP और UNIX- डोमेन कनेक्शन)। संपीड़न एल्गोरिथ्म है
द्वारा उपयोग किया जाता है gzip(1), और "स्तर" को द्वारा नियंत्रित किया जा सकता है संपीड़न स्तर
प्रोटोकॉल संस्करण 1 के लिए विकल्प। मॉडम लाइनों और अन्य पर संपीड़न वांछनीय है
धीमी गति से कनेक्शन, लेकिन केवल तेज नेटवर्क पर चीजों को धीमा कर देगा। डिफ़ॉल्ट
मान को कॉन्फ़िगरेशन फ़ाइलों में होस्ट-दर-होस्ट आधार पर सेट किया जा सकता है; देखें
संपीड़न विकल्प.
-c सिफर_स्पेक
सत्र को एन्क्रिप्ट करने के लिए सिफर विनिर्देश का चयन करता है।
प्रोटोकॉल संस्करण 1 एकल सिफर के विनिर्देशन की अनुमति देता है। समर्थित मान
"3des", "ब्लोफिश" और "डेस" हैं। प्रोटोकॉल संस्करण 2 के लिए, सिफर_स्पेक अल्पविराम है-
वरीयता के क्रम में सूचीबद्ध सिफर की अलग सूची। देखें सिफर में कीवर्ड
ssh_config(5) अधिक जानकारी के लिए।
-D [बिंद_पता:]बंदरगाह
स्थानीय "डायनेमिक" एप्लिकेशन-स्तरीय पोर्ट फ़ॉरवर्डिंग निर्दिष्ट करता है। यह काम करता है
सुनने के लिए सॉकेट आवंटित करना बंदरगाह स्थानीय पक्ष पर, वैकल्पिक रूप से के लिए बाध्य
विनिर्दिष्ट बिंद_पता. जब भी इस पोर्ट से कोई कनेक्शन किया जाता है, तो कनेक्शन
सुरक्षित चैनल पर अग्रेषित किया जाता है, और फिर एप्लिकेशन प्रोटोकॉल का उपयोग किया जाता है
निर्धारित करें कि रिमोट मशीन से कहां से कनेक्ट करना है। वर्तमान में SOCKS4 और
SOCKS5 प्रोटोकॉल समर्थित हैं, और एसएसएच SOCKS सर्वर के रूप में कार्य करेगा। केवल रूट कैन
आगे विशेषाधिकार प्राप्त बंदरगाहों। डायनेमिक पोर्ट फ़ॉरवर्डिंग को इसमें भी निर्दिष्ट किया जा सकता है
विन्यास फाइल।
IPv6 पतों को वर्गाकार कोष्ठकों में पते को संलग्न करके निर्दिष्ट किया जा सकता है। केवल
सुपरयुसर विशेषाधिकार प्राप्त बंदरगाहों को अग्रेषित कर सकता है। डिफ़ॉल्ट रूप से, स्थानीय पोर्ट में बाउंड है
के अनुसार गेटवेपोर्ट्स स्थापना। हालांकि, एक स्पष्ट बिंद_पता हो सकता है
एक विशिष्ट पते से कनेक्शन को बांधने के लिए उपयोग किया जाता है। NS बिंद_पता "लोकलहोस्ट" के
इंगित करता है कि श्रवण बंदरगाह केवल स्थानीय उपयोग के लिए बाध्य है, जबकि एक खाली
पता या '*' इंगित करता है कि पोर्ट सभी इंटरफेस से उपलब्ध होना चाहिए।
-E बोटा दस्तावेज
डीबग लॉग को इसमें जोड़ें बोटा दस्तावेज मानक त्रुटि के बजाय।
-e एस्केप_चार
एक पीटी (डिफ़ॉल्ट: '~') के साथ सत्रों के लिए एस्केप कैरेक्टर सेट करता है। पलायन
चरित्र केवल एक पंक्ति की शुरुआत में पहचाना जाता है। भागने का पात्र
उसके बाद एक बिंदु ('.') कनेक्शन बंद कर देता है; इसके बाद नियंत्रण-जेड निलंबित करता है
कनेक्शन; और उसके बाद खुद ही एक बार एस्केप कैरेक्टर भेजता है। सेटिंग
चरित्र "कोई नहीं" किसी भी पलायन को अक्षम करता है और सत्र को पूरी तरह से पारदर्शी बनाता है।
-F कॉन्फिगफाइल
एक वैकल्पिक प्रति-उपयोगकर्ता कॉन्फ़िगरेशन फ़ाइल निर्दिष्ट करता है। यदि कॉन्फ़िगरेशन फ़ाइल है
कमांड लाइन पर दिया गया, सिस्टम-वाइड कॉन्फ़िगरेशन फ़ाइल (/ Etc / ssh / ssh_config)
नजरअंदाज कर दिया जाएगा। प्रति-उपयोगकर्ता कॉन्फ़िगरेशन फ़ाइल के लिए डिफ़ॉल्ट है ~ / .Ssh / config.
-f अनुरोधों एसएसएच कमांड निष्पादन से ठीक पहले पृष्ठभूमि में जाने के लिए। यह उपयोगी है अगर
एसएसएच पासवर्ड या पासफ़्रेज़ के लिए पूछने जा रहा है, लेकिन उपयोगकर्ता इसे चाहता है
पृष्ठभूमि। यह संकेत करता है -n. रिमोट पर X11 प्रोग्राम शुरू करने का अनुशंसित तरीका
साइट कुछ इस तरह के साथ है एसएसएच -f मेजबान टर्म.
अगर एक्ज़िटऑनफ़ॉरवर्डविफलता कॉन्फ़िगरेशन विकल्प "हां" पर सेट है, फिर क्लाइंट
के साथ शुरू किया -f सभी दूरस्थ पोर्ट फ़ॉरवर्ड के सफलतापूर्वक होने की प्रतीक्षा करेंगे
खुद को पृष्ठभूमि में रखने से पहले स्थापित।
-G कारणों एसएसएच मूल्यांकन के बाद इसके विन्यास को मुद्रित करने के लिए मेजबान और मैच ब्लॉक और
बाहर जाएं।
-g दूरस्थ होस्ट को स्थानीय अग्रेषित पोर्ट से कनेक्ट करने की अनुमति देता है। यदि एक बहुसंकेतन पर प्रयोग किया जाता है
कनेक्शन, तो यह विकल्प मास्टर प्रक्रिया पर निर्दिष्ट किया जाना चाहिए।
-I PKCS11
PKCS#11 साझा लाइब्रेरी निर्दिष्ट करें एसएसएच PKCS#11 . के साथ संचार करने के लिए उपयोग करना चाहिए
उपयोगकर्ता की निजी आरएसए कुंजी प्रदान करने वाला टोकन।
-i पहचान_फ़ाइल
एक फ़ाइल का चयन करता है जिससे सार्वजनिक कुंजी प्रमाणीकरण के लिए पहचान (निजी कुंजी) होती है
पढ़ा जाता है। डिफ़ॉल्ट है ~/.ssh/पहचान प्रोटोकॉल संस्करण 1 के लिए, और ~/.ssh/id_dsa,
~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 और ~/.ssh/id_rsa प्रोटोकॉल संस्करण 2 के लिए।
कॉन्फ़िगरेशन फ़ाइल में प्रति-होस्ट आधार पर पहचान फ़ाइलें भी निर्दिष्ट की जा सकती हैं।
एकाधिक होना संभव है -i विकल्प (और में निर्दिष्ट कई पहचान)
कॉन्फ़िगरेशन फ़ाइलें)। यदि कोई प्रमाण पत्र स्पष्ट रूप से निर्दिष्ट नहीं किया गया है
प्रमाणपत्रफ़ाइल निर्देश एसएसएच से प्रमाणपत्र जानकारी लोड करने का भी प्रयास करेंगे
फ़ाइल नाम संलग्न करके प्राप्त किया गया -सर्ट.पब फ़ाइल नामों की पहचान करने के लिए।
-K जीएसएसएपीआई-आधारित प्रमाणीकरण और जीएसएसएपीआई के अग्रेषण (प्रतिनिधिमंडल) को सक्षम करता है
सर्वर के लिए क्रेडेंशियल।
-k सर्वर पर GSSAPI क्रेडेंशियल्स को अग्रेषित करना (प्रतिनिधिमंडल) अक्षम करता है।
-L [बिंद_पता:]बंदरगाह:मेजबान:होस्ट पोर्ट
-L [बिंद_पता:]बंदरगाह:रिमोट_सॉकेट
-L लोकल_सॉकेट:मेजबान:होस्ट पोर्ट
-L लोकल_सॉकेट:रिमोट_सॉकेट
निर्दिष्ट करता है कि स्थानीय पर दिए गए टीसीपी पोर्ट या यूनिक्स सॉकेट से कनेक्शन
(क्लाइंट) होस्ट को दिए गए होस्ट और पोर्ट, या यूनिक्स सॉकेट पर अग्रेषित किया जाना है
दूरस्थ पक्ष। यह किसी टीसीपी को सुनने के लिए सॉकेट आवंटित करके काम करता है बंदरगाह on
स्थानीय पक्ष, वैकल्पिक रूप से निर्दिष्ट के लिए बाध्य बिंद_पता, या यूनिक्स सॉकेट के लिए।
जब भी स्थानीय पोर्ट या सॉकेट से कोई कनेक्शन किया जाता है, तो कनेक्शन होता है
सुरक्षित चैनल पर अग्रेषित किया जाता है, और एक कनेक्शन बनाया जाता है मेजबान बंदरगाह
होस्ट पोर्ट, या यूनिक्स सॉकेट रिमोट_सॉकेट, रिमोट मशीन से।
पोर्ट फ़ॉरवर्डिंग को कॉन्फ़िगरेशन फ़ाइल में भी निर्दिष्ट किया जा सकता है। केवल
सुपरयुसर विशेषाधिकार प्राप्त बंदरगाहों को अग्रेषित कर सकता है। IPv6 पतों को निर्दिष्ट किया जा सकता है
पते को वर्गाकार कोष्ठकों में संलग्न करना।
डिफ़ॉल्ट रूप से, स्थानीय बंदरगाह के अनुसार बाध्य है गेटवेपोर्ट्स सेटिंग.
हालांकि, एक स्पष्ट बिंद_पता किसी विशिष्ट से कनेक्शन को बांधने के लिए इस्तेमाल किया जा सकता है
पता। बिंद_पता "लोकलहोस्ट" इंगित करता है कि सुनने वाला बंदरगाह बाध्य है
केवल स्थानीय उपयोग के लिए, जबकि एक खाली पता या '*' इंगित करता है कि बंदरगाह होना चाहिए
सभी इंटरफेस से उपलब्ध है।
-l लॉगिन नाम
उपयोगकर्ता को दूरस्थ मशीन की तरह लॉग इन करने के लिए निर्दिष्ट करता है। यह भी निर्दिष्ट किया जा सकता है
कॉन्फ़िगरेशन फ़ाइल में प्रति-होस्ट आधार पर।
-M स्थानों एसएसएच कनेक्शन साझा करने के लिए क्लाइंट "मास्टर" मोड में। विभिन्न -M
विकल्प स्थान एसएसएच दास से पहले आवश्यक पुष्टि के साथ "मास्टर" मोड में
कनेक्शन स्वीकार किए जाते हैं। के विवरण का संदर्भ लें कंट्रोलमास्टर in
ssh_config(२९) विवरण के लिए।
-m mac_spec
मैक (संदेश प्रमाणीकरण कोड) एल्गोरिदम की अल्पविराम से अलग की गई सूची, में निर्दिष्ट है
वरीयता क्रम। देखें एमएसीएस अधिक जानकारी के लिए कीवर्ड।
-N रिमोट कमांड निष्पादित न करें। यह सिर्फ अग्रेषण बंदरगाहों के लिए उपयोगी है।
-n स्टडिन को . से पुनर्निर्देशित करता है / Dev / बातिल (वास्तव में, स्टड से पढ़ने को रोकता है)। यह अवश्य
जब इस्तेमाल किया जाए एसएसएच पृष्ठभूमि में चलाया जाता है। X11 को चलाने के लिए इसका उपयोग करने के लिए एक सामान्य चाल है
रिमोट मशीन पर प्रोग्राम। उदाहरण के लिए, एसएसएच -n छाया.cs.hut.fi Emacs & मर्जी
छाया.cs.hut.fi पर एक emacs प्रारंभ करें, और X11 कनेक्शन स्वचालित रूप से हो जाएगा
एक एन्क्रिप्टेड चैनल पर अग्रेषित। NS एसएसएच कार्यक्रम पृष्ठभूमि में रखा जाएगा।
(यह काम नहीं करता है अगर एसएसएच पासवर्ड या पासफ़्रेज़ के लिए पूछने की आवश्यकता है; यह भी देखें
-f विकल्प।)
-O ctl_cmd
एक सक्रिय कनेक्शन मल्टीप्लेक्सिंग मास्टर प्रक्रिया को नियंत्रित करें। जब -O विकल्प है
निर्दिष्ट, ctl_cmd तर्क की व्याख्या की जाती है और मास्टर प्रक्रिया को पास किया जाता है।
मान्य आदेश हैं: "चेक" (जांचें कि मास्टर प्रक्रिया चल रही है), "आगे"
(आदेश निष्पादन के बिना अनुरोध अग्रेषण), "रद्द करें" (अग्रेषण रद्द करें),
"बाहर निकलें" (मास्टर से बाहर निकलने का अनुरोध करें), और "रोकें" (मास्टर से रुकने का अनुरोध करें
आगे बहुसंकेतन अनुरोध स्वीकार करना)।
-o विकल्प
कॉन्फ़िगरेशन फ़ाइल में प्रयुक्त प्रारूप में विकल्प देने के लिए उपयोग किया जा सकता है। यह है
उन विकल्पों को निर्दिष्ट करने के लिए उपयोगी है जिनके लिए कोई अलग कमांड-लाइन ध्वज नहीं है। के लिये
नीचे सूचीबद्ध विकल्पों और उनके संभावित मूल्यों का पूरा विवरण देखें
ssh_config(5).
AddKeysToAgent
पता परिवार
बैच मोड
बाइंडएड्रेस
कैननिकल डोमेन
CanonicalizeFallbackLocal
Canonicalizeहोस्टनाम
कैनोनिकलाइज़मैक्सडॉट्स
CanonicalizePermittedCNAMEs
प्रमाणपत्रफ़ाइल
चुनौती प्रतिक्रिया प्रमाणीकरण
चेकहोस्टआईपी
बीजलेख
सिफर
सभी अग्रेषण साफ़ करें
संपीड़न
संपीड़न स्तर
कनेक्शन प्रयास
कनेक्ट टाइमआउट
कंट्रोलमास्टर
नियंत्रणपथ
नियंत्रण जारी रखें
डायनामिक फॉरवर्ड
एस्केपचार
एक्ज़िटऑनफ़ॉरवर्डविफलता
फ़िंगरप्रिंटहैश
फॉरवर्ड एजेंट
फॉरवर्डX11
फॉरवर्डX11टाइमआउट
फॉरवर्डX11विश्वसनीय
गेटवेपोर्ट्स
GlobalKnownHostsफ़ाइल
जीएसएसएपीआई प्रमाणीकरण
GSSAPIDप्रतिनिधि क्रेडेंशियल्स
हैश ज्ञात होस्ट
मेजबान
होस्ट आधारित प्रमाणीकरण
होस्ट आधारितकुंजी प्रकार
होस्टकीएल्गोरिदम
होस्टकेअलियास
होस्ट नाम
पहचान फ़ाइल
केवल पहचान
आईपीक्यूओएस
केबीडी इंटरएक्टिव प्रमाणीकरण
केबीडी इंटरएक्टिव डिवाइस
केएक्सएल्गोरिदम
स्थानीय कमांड
लोकल फॉरवर्ड
छांटने का स्तर
एमएसीएस
मैच
नोहोस्टऑथेंटिकेशनफॉरलोकलहोस्ट
NumberOfPassword Prompts
पासवर्ड प्रमाणीकरण
परमिटलोकलकमांड
PKCS11प्रदाता
बंदरगाह
पसंदीदा प्रमाणीकरण
प्रोटोकॉल
प्रॉक्सी कमांड
प्रॉक्सीयूजएफडीपास
पबकीस्वीकृतकुंजी प्रकार
पबकी प्रमाणीकरण
रेकीलिमिट
रिमोट फॉरवर्ड
अनुरोधटीटीवाई
RhostsRSAप्रमाणीकरण
आरएसए प्रमाणीकरण
भेजेंEnv
सर्वरअलाइवइंटरवल
सर्वरअलाइवकाउंटमैक्स
स्ट्रीमलोकलबाइंडमास्क
स्ट्रीमलोकलबाइंडअनलिंक
स्ट्रिक्टहोस्टकीचेकिंग
टीसीपीकीपअलाइव
सुरंग
टनलडिवाइस
अद्यतनहोस्टकुंजी
विशेषाधिकार पोर्ट का उपयोग करें
उपयोगकर्ता
उपयोगकर्ता ज्ञात होस्टफ़ाइल
सत्यापित करेंHostKeyDNS
विजुअलहोस्टकी
XAuthस्थान
-p बंदरगाह
दूरस्थ होस्ट पर कनेक्ट करने के लिए पोर्ट। इसे प्रति-होस्ट आधार पर निर्दिष्ट किया जा सकता है
कॉन्फ़िगरेशन फ़ाइल।
-Q query_option
प्रश्न एसएसएच निर्दिष्ट संस्करण 2 के लिए समर्थित एल्गोरिदम के लिए। उपलब्ध
विशेषताएं हैं: बीजलेख (समर्थित सममित सिफर), सिफर-प्रमाण (समर्थित सममित
सिफर जो प्रमाणीकृत एन्क्रिप्शन का समर्थन करते हैं), मैक (समर्थित संदेश अखंडता
कोड), kex (कुंजी विनिमय एल्गोरिदम), कुंजी (मुख्य प्रकार), कुंजी-प्रमाणपत्र (प्रमाणपत्र कुंजी
प्रकार), की-सादा (गैर-प्रमाणपत्र कुंजी प्रकार), और प्रोटोकॉल-संस्करण (समर्थित एसएसएच
प्रोटोकॉल संस्करण)।
-q शांत मोड। अधिकांश चेतावनी और नैदानिक संदेशों को दबाने का कारण बनता है।
-R [बिंद_पता:]बंदरगाह:मेजबान:होस्ट पोर्ट
-R [बिंद_पता:]बंदरगाह:लोकल_सॉकेट
-R रिमोट_सॉकेट:मेजबान:होस्ट पोर्ट
-R रिमोट_सॉकेट:लोकल_सॉकेट
निर्दिष्ट करता है कि रिमोट पर दिए गए टीसीपी पोर्ट या यूनिक्स सॉकेट से कनेक्शन
(सर्वर) होस्ट को दिए गए होस्ट और पोर्ट, या यूनिक्स सॉकेट पर अग्रेषित किया जाना है
स्थानीय पक्ष। यह किसी टीसीपी को सुनने के लिए सॉकेट आवंटित करके काम करता है बंदरगाह या करने के लिए
रिमोट साइड पर एक यूनिक्स सॉकेट। जब भी इस पोर्ट से कोई कनेक्शन किया जाता है या
यूनिक्स सॉकेट, कनेक्शन को सुरक्षित चैनल पर अग्रेषित किया जाता है, और एक कनेक्शन
या तो बना है मेजबान बंदरगाह होस्ट पोर्टया, लोकल_सॉकेट, स्थानीय मशीन से।
पोर्ट फ़ॉरवर्डिंग को कॉन्फ़िगरेशन फ़ाइल में भी निर्दिष्ट किया जा सकता है। विशेषाधिकार प्राप्त बंदरगाह
रिमोट मशीन पर रूट के रूप में लॉग इन करने पर ही अग्रेषित किया जा सकता है। आईपीवी6 पते
पता वर्गाकार कोष्ठकों में संलग्न करके निर्दिष्ट किया जा सकता है।
डिफ़ॉल्ट रूप से, सर्वर पर टीसीपी सुनने वाले सॉकेट लूपबैक के लिए बाध्य होंगे
केवल इंटरफ़ेस। इसे निर्दिष्ट करके ओवरराइड किया जा सकता है a बिंद_पता. एक खाली
बिंद_पता, या पता '*', इंगित करता है कि रिमोट सॉकेट को सुनना चाहिए
सभी इंटरफेस। रिमोट निर्दिष्ट करना बिंद_पता केवल तभी सफल होगा जब सर्वर का
गेटवेपोर्ट्स विकल्प सक्षम है (देखें sshd_config(5))।
अगर बंदरगाह तर्क '0' है, सुनने के बंदरगाह को गतिशील रूप से आवंटित किया जाएगा
सर्वर और रन टाइम पर क्लाइंट को सूचना दी। जब के साथ प्रयोग किया जाता है -O आगे
आवंटित पोर्ट को मानक आउटपुट पर प्रिंट किया जाएगा।
-S ctl_path
कनेक्शन साझा करने या स्ट्रिंग के लिए नियंत्रण सॉकेट का स्थान निर्दिष्ट करता है
कनेक्शन साझाकरण को अक्षम करने के लिए "कोई नहीं"। के विवरण का संदर्भ लें नियंत्रणपथ और
कंट्रोलमास्टर in ssh_config(२९) विवरण के लिए।
-s रिमोट सिस्टम पर सबसिस्टम के आह्वान का अनुरोध करने के लिए इस्तेमाल किया जा सकता है। उपप्रणालियाँ
अन्य अनुप्रयोगों के लिए एक सुरक्षित परिवहन के रूप में SSH के उपयोग की सुविधा प्रदान करना (जैसे
SFTP(1))। सबसिस्टम को रिमोट कमांड के रूप में निर्दिष्ट किया गया है।
-T छद्म टर्मिनल आवंटन अक्षम करें।
-t बल छद्म टर्मिनल आवंटन। इसका उपयोग मनमाना स्क्रीन निष्पादित करने के लिए किया जा सकता है-
रिमोट मशीन पर आधारित प्रोग्राम, जो बहुत उपयोगी हो सकते हैं, उदाहरण के लिए जब कार्यान्वित करना
मेनू सेवाएं। विभिन्न -t विकल्प टीटी आवंटन को बाध्य करते हैं, भले ही एसएसएच कोई स्थानीय नहीं है
ट्टी
-V संस्करण संख्या प्रदर्शित करें और बाहर निकलें।
-v वाचाल प्रकार। कारण एसएसएच इसकी प्रगति के बारे में डिबगिंग संदेशों को मुद्रित करने के लिए। यह है
डिबगिंग कनेक्शन, प्रमाणीकरण और कॉन्फ़िगरेशन समस्याओं में सहायक।
विभिन्न -v विकल्प शब्दाडंबर को बढ़ाते हैं। अधिकतम 3 है।
-W मेजबान:बंदरगाह
अनुरोध है कि क्लाइंट पर मानक इनपुट और आउटपुट को अग्रेषित किया जाए मेजबान on बंदरगाह
सुरक्षित चैनल पर। तात्पर्य -N, -T, एक्ज़िटऑनफ़ॉरवर्डविफलता और
सभी अग्रेषण साफ़ करें.
-w लोकल_ट्यून[:रिमोट_ट्यून]
निर्दिष्ट के साथ सुरंग उपकरण अग्रेषण का अनुरोध करता है tun(4) उपकरणों के बीच
ग्राहक (लोकल_ट्यून) और सर्वर (रिमोट_ट्यून).
उपकरणों को संख्यात्मक आईडी या कीवर्ड "कोई भी" द्वारा निर्दिष्ट किया जा सकता है, जो का उपयोग करता है
अगला उपलब्ध सुरंग उपकरण। अगर रिमोट_ट्यून निर्दिष्ट नहीं है, यह डिफ़ॉल्ट रूप से "कोई भी" है।
यह भी देखें सुरंग और टनलडिवाइस में निर्देश ssh_config(5). अगर सुरंग
निर्देश सेट नहीं है, यह डिफ़ॉल्ट टनल मोड पर सेट है, जो "पॉइंट-टू-पॉइंट" है।
-X X11 अग्रेषण सक्षम करता है। इसे प्रति-होस्ट के आधार पर a . में भी निर्दिष्ट किया जा सकता है
विन्यास फाइल।
X11 अग्रेषण सावधानी के साथ सक्षम किया जाना चाहिए। बायपास करने की क्षमता वाले उपयोगकर्ता
दूरस्थ होस्ट पर फ़ाइल अनुमतियाँ (उपयोगकर्ता के X प्राधिकरण डेटाबेस के लिए) कर सकते हैं
अग्रेषित कनेक्शन के माध्यम से स्थानीय X11 डिस्प्ले तक पहुंचें। एक हमलावर तो हो सकता है
कीस्ट्रोक मॉनिटरिंग जैसी गतिविधियों को करने में सक्षम हो।
इस कारण से, X11 अग्रेषण X11 सुरक्षा विस्तार प्रतिबंधों के अधीन है
डिफ़ॉल्ट रूप से। कृपया देखें एसएसएच -Y विकल्प और फॉरवर्डX11विश्वसनीय निदेश
in ssh_config(5) अधिक जानकारी के लिए।
(डेबियन-विशिष्ट: X11 अग्रेषण X11 सुरक्षा एक्सटेंशन के अधीन नहीं है
डिफ़ॉल्ट रूप से प्रतिबंध, क्योंकि वर्तमान में बहुत सारे प्रोग्राम इस मोड में क्रैश हो जाते हैं।
ठीक फॉरवर्डX11विश्वसनीय अपस्ट्रीम व्यवहार को पुनर्स्थापित करने के लिए "नहीं" का विकल्प। इस
क्लाइंट-साइड सुधारों के आधार पर भविष्य में बदल सकता है।)
-x X11 अग्रेषण अक्षम करता है।
-Y विश्वसनीय X11 अग्रेषण सक्षम करता है। विश्वसनीय X11 अग्रेषण इसके अधीन नहीं हैं
X11 सुरक्षा विस्तार नियंत्रण।
(डेबियन-विशिष्ट: यह विकल्प डिफ़ॉल्ट कॉन्फ़िगरेशन में कुछ नहीं करता है: यह है
के बराबर "फॉरवर्डX11विश्वसनीय हाँ", जो ऊपर वर्णित के अनुसार डिफ़ॉल्ट है। सेट
la फॉरवर्डX11विश्वसनीय अपस्ट्रीम व्यवहार को पुनर्स्थापित करने के लिए "नहीं" का विकल्प। शायद यह
क्लाइंट-साइड सुधारों के आधार पर भविष्य में परिवर्तन।)
-y का उपयोग करके लॉग जानकारी भेजें syslog(3) सिस्टम मॉड्यूल। डिफ़ॉल्ट रूप से यह जानकारी
स्टेडर को भेजा जाता है।
एसएसएच प्रति-उपयोगकर्ता कॉन्फ़िगरेशन फ़ाइल से अतिरिक्त रूप से कॉन्फ़िगरेशन डेटा प्राप्त कर सकता है और a
सिस्टम-वाइड कॉन्फ़िगरेशन फ़ाइल। फ़ाइल स्वरूप और कॉन्फ़िगरेशन विकल्प में वर्णित हैं
ssh_config(5).
प्रमाणीकरण
ओपनएसएसएच एसएसएच क्लाइंट एसएसएच प्रोटोकॉल 1 और 2 का समर्थन करता है। डिफ़ॉल्ट प्रोटोकॉल 2 का उपयोग करना है
केवल, हालांकि इसे के माध्यम से बदला जा सकता है प्रोटोकॉल में विकल्प ssh_config(5) या -1 और -2
विकल्प (ऊपर देखें)। प्रोटोकॉल 1 का उपयोग नहीं किया जाना चाहिए और केवल विरासत का समर्थन करने के लिए पेश किया जाता है
उपकरण। यह कई क्रिप्टोग्राफिक कमजोरियों से ग्रस्त है और कई का समर्थन नहीं करता है
प्रोटोकॉल 2 के लिए उपलब्ध उन्नत सुविधाएँ।
प्रमाणीकरण के लिए उपलब्ध विधियाँ हैं: GSSAPI- आधारित प्रमाणीकरण, होस्ट-आधारित
प्रमाणीकरण, सार्वजनिक कुंजी प्रमाणीकरण, चुनौती-प्रतिक्रिया प्रमाणीकरण और पासवर्ड
प्रमाणीकरण। प्रमाणीकरण विधियों को ऊपर निर्दिष्ट क्रम में आजमाया जाता है, हालांकि
पसंदीदा प्रमाणीकरण डिफ़ॉल्ट क्रम को बदलने के लिए इस्तेमाल किया जा सकता है।
होस्ट-आधारित प्रमाणीकरण निम्नानुसार काम करता है: यदि उपयोगकर्ता जिस मशीन से लॉग इन करता है वह सूचीबद्ध है
in /etc/hosts.equiv or /etc/ssh/shosts.equiv रिमोट मशीन पर, और उपयोगकर्ता नाम हैं
दोनों तरफ समान, या यदि फ़ाइलें ~/.होस्ट्स or ~/.शॉट्स उपयोगकर्ता के घर में मौजूद है
दूरस्थ मशीन पर निर्देशिका और क्लाइंट मशीन के नाम वाली एक पंक्ति होती है
और उस मशीन पर उपयोगकर्ता का नाम, उपयोगकर्ता को लॉगिन के लिए माना जाता है। इसके अतिरिक्त,
सर्वर चाहिए क्लाइंट की होस्ट कुंजी को सत्यापित करने में सक्षम हो (विवरण देखें .)
/आदि/ssh/ssh_ज्ञात_होस्ट्स और ~/.ssh/ज्ञात_होस्ट्स, नीचे) लॉगिन की अनुमति के लिए। इस
प्रमाणीकरण विधि आईपी स्पूफिंग, डीएनएस स्पूफिंग और रूटिंग के कारण सुरक्षा छेद बंद कर देती है
स्पूफिंग [व्यवस्थापक को ध्यान दें: /etc/hosts.equiv, ~/.होस्ट्स, और rlogin/rsh
सामान्य तौर पर प्रोटोकॉल, स्वाभाविक रूप से असुरक्षित होते हैं और यदि सुरक्षा वांछित है तो उन्हें अक्षम कर दिया जाना चाहिए।]
सार्वजनिक कुंजी प्रमाणीकरण निम्नानुसार काम करता है: योजना सार्वजनिक कुंजी क्रिप्टोग्राफी पर आधारित है,
क्रिप्टो सिस्टम का उपयोग करना जहां एन्क्रिप्शन और डिक्रिप्शन अलग-अलग कुंजियों का उपयोग करके किया जाता है, और यह है
एन्क्रिप्शन कुंजी से डिक्रिप्शन कुंजी प्राप्त करना अक्षम्य है। विचार यह है कि प्रत्येक उपयोगकर्ता
प्रमाणीकरण उद्देश्यों के लिए एक सार्वजनिक/निजी कुंजी जोड़ी बनाता है। सर्वर जनता को जानता है
कुंजी, और केवल उपयोगकर्ता ही निजी कुंजी जानता है। एसएसएच सार्वजनिक कुंजी प्रमाणीकरण लागू करता है
DSA, ECDSA, Ed25519 या RSA एल्गोरिदम में से किसी एक का उपयोग करके स्वचालित रूप से प्रोटोकॉल। इतिहास
की धारा ssl(8) (गैर-ओपनबीएसडी सिस्टम पर, देखें
http://www.openbsd.org/cgi-bin/man.cgi?query=ssl&sektion=8#HISTORY) में एक संक्षिप्त है
डीएसए और आरएसए एल्गोरिदम की चर्चा।
फ़ाइल ~/.ssh/authorized_keys उन सार्वजनिक कुंजियों को सूचीबद्ध करता है जिन्हें लॉग इन करने की अनुमति है।
जब उपयोगकर्ता लॉग इन करता है, एसएसएच प्रोग्राम सर्वर को बताता है कि वह किस कुंजी जोड़ी का उपयोग करना चाहता है
प्रमाणीकरण के लिए। क्लाइंट साबित करता है कि उसके पास निजी कुंजी और सर्वर तक पहुंच है
जाँचता है कि संबंधित सार्वजनिक कुंजी खाते को स्वीकार करने के लिए अधिकृत है।
उपयोगकर्ता दौड़कर अपनी कुंजी जोड़ी बनाता है ssh-keygen(1). यह निजी कुंजी को स्टोर करता है
~/.ssh/पहचान (प्रोटोकॉल 1), ~/.ssh/id_dsa (डीएसए), ~/.ssh/id_ecdsa (ईसीडीएसए),
~/.ssh/id_ed25519 (Ed25519), या ~/.ssh/id_rsa (RSA) और सार्वजनिक कुंजी को स्टोर करता है
~/.ssh/identity.pub (प्रोटोकॉल 1), ~/.ssh/id_dsa.pub (डीएसए), ~/.ssh/id_ecdsa.pub (ईसीडीएसए),
~/.ssh/id_ed25519.pub (Ed25519), या ~ / .Ssh / id_rsa.pub (RSA) उपयोगकर्ता के होम डायरेक्टरी में।
उपयोगकर्ता को तब सार्वजनिक कुंजी की प्रतिलिपि बनानी चाहिए ~/.ssh/authorized_keys उसकी / उसकी होम निर्देशिका में
रिमोट मशीन पर। NS authorized_keys फ़ाइल पारंपरिक से मेल खाती है ~/.होस्ट्स
फ़ाइल, और प्रति पंक्ति एक कुंजी है, हालांकि लाइनें बहुत लंबी हो सकती हैं। इसके बाद, उपयोगकर्ता कर सकते हैं
पासवर्ड दिए बिना लॉग इन करें।
सार्वजनिक कुंजी प्रमाणीकरण पर भिन्नता प्रमाणपत्र के रूप में उपलब्ध है
प्रमाणीकरण: सार्वजनिक/निजी कुंजी के सेट के बजाय, हस्ताक्षरित प्रमाणपत्रों का उपयोग किया जाता है। इस
इसका यह लाभ है कि अनेकों के स्थान पर एकल विश्वसनीय प्रमाणन प्राधिकरण का उपयोग किया जा सकता है
सार्वजनिक/निजी कुंजी। का प्रमाणपत्र अनुभाग देखें ssh-keygen(1) अधिक जानकारी के लिए।
सार्वजनिक कुंजी या प्रमाणपत्र प्रमाणीकरण का उपयोग करने का सबसे सुविधाजनक तरीका हो सकता है a
प्रमाणीकरण एजेंट। देखो ssh-एजेंट(1) और (वैकल्पिक रूप से) AddKeysToAgent में निर्देश
ssh_config(5) अधिक जानकारी के लिए।
चुनौती-प्रतिक्रिया प्रमाणीकरण निम्नानुसार काम करता है: सर्वर एक मनमाना भेजता है
"चुनौती" पाठ, और प्रतिक्रिया के लिए संकेत देता है। चुनौती-प्रतिक्रिया प्रमाणीकरण के उदाहरण
बीएसडी प्रमाणीकरण शामिल करें (देखें लॉगिन.conf(5) और पीएएम (कुछ गैर-ओपनबीएसडी सिस्टम)।
अंत में, यदि अन्य प्रमाणीकरण विधियाँ विफल हो जाती हैं, एसएसएच उपयोगकर्ता को पासवर्ड के लिए संकेत देता है। NS
पासवर्ड को दूरस्थ होस्ट को जाँच के लिए भेजा जाता है; हालांकि, चूंकि सभी संचार हैं
एन्क्रिप्टेड, पासवर्ड नेटवर्क पर सुनने वाले किसी व्यक्ति द्वारा नहीं देखा जा सकता है।
एसएसएच सभी मेजबानों के लिए पहचान वाले डेटाबेस को स्वचालित रूप से बनाए रखता है और जांचता है
कभी के साथ प्रयोग किया गया है। होस्ट कुंजियाँ कहाँ संग्रहीत की जाती हैं? ~/.ssh/ज्ञात_होस्ट्स उपयोगकर्ता के घर में
निर्देशिका। इसके अतिरिक्त, फ़ाइल /आदि/ssh/ssh_ज्ञात_होस्ट्स के लिए स्वचालित रूप से जाँच की जाती है
ज्ञात मेजबान। कोई भी नया होस्ट स्वचालित रूप से उपयोगकर्ता की फ़ाइल में जुड़ जाता है। यदि किसी मेज़बान का
पहचान कभी बदलती है, एसएसएच इसके बारे में चेतावनी देता है और पासवर्ड प्रमाणीकरण को अक्षम करता है
सर्वर स्पूफिंग या मैन-इन-द-मिडिल हमलों को रोकें, जिनका अन्यथा उपयोग किया जा सकता है
एन्क्रिप्शन को दरकिनार करें। NS स्ट्रिक्टहोस्टकीचेकिंग लॉगिन को नियंत्रित करने के लिए विकल्प का उपयोग किया जा सकता है
उन मशीनों के लिए जिनकी होस्ट कुंजी ज्ञात नहीं है या बदल गई है।
जब उपयोगकर्ता की पहचान सर्वर द्वारा स्वीकार कर ली जाती है, तो सर्वर या तो निष्पादित करता है
एक गैर-संवादात्मक सत्र में दिया गया आदेश या, यदि कोई आदेश निर्दिष्ट नहीं किया गया है, तो लॉग इन करें
मशीन और उपयोगकर्ता को एक इंटरैक्टिव सत्र के रूप में एक सामान्य शेल देता है। सभी संचार
रिमोट कमांड या शेल के साथ स्वचालित रूप से एन्क्रिप्ट किया जाएगा।
यदि एक इंटरैक्टिव सत्र का अनुरोध किया जाता है एसएसएच डिफ़ॉल्ट रूप से केवल एक छद्म टर्मिनल का अनुरोध करेगा
(पीटीआई) इंटरैक्टिव सत्रों के लिए जब क्लाइंट के पास एक हो। झंडे -T और -t करने के लिए इस्तेमाल किया जा सकता है
इस व्यवहार को ओवरराइड करें।
यदि एक छद्म टर्मिनल आवंटित किया गया है तो उपयोगकर्ता नीचे उल्लिखित एस्केप वर्णों का उपयोग कर सकता है।
यदि कोई छद्म टर्मिनल आवंटित नहीं किया गया है, तो सत्र पारदर्शी है और इसका उपयोग किया जा सकता है
बाइनरी डेटा को मज़बूती से स्थानांतरित करें। अधिकांश सिस्टम पर, एस्केप कैरेक्टर को "कोई नहीं" पर सेट करना होगा
एक ट्टी का उपयोग होने पर भी सत्र को पारदर्शी बनाएं।
सत्र समाप्त हो जाता है जब रिमोट मशीन पर कमांड या शेल बाहर निकलता है और सभी X11 और
टीसीपी कनेक्शन बंद कर दिया गया है।
भागने वर्ण
जब एक छद्म टर्मिनल का अनुरोध किया गया है, एसएसएच के माध्यम से कई कार्यों का समर्थन करता है
एक भागने के चरित्र का उपयोग।
सिंगल टिल्ड कैरेक्टर के रूप में भेजा जा सकता है ~~ या किसी अन्य चरित्र द्वारा टिल्ड का अनुसरण करके
नीचे वर्णित लोगों की तुलना में। एस्केप कैरेक्टर को हमेशा होने के लिए एक नई लाइन का पालन करना चाहिए
विशेष के रूप में व्याख्या की। एस्केप कैरेक्टर का उपयोग करके कॉन्फ़िगरेशन फ़ाइलों में बदला जा सकता है
la एस्केपचार कॉन्फ़िगरेशन निर्देश या कमांड लाइन पर -e विकल्प.
समर्थित एस्केप (डिफ़ॉल्ट '~' मानकर) हैं:
~. डिस्कनेक्ट।
~ ^ जेड पृष्ठभूमि एसएसएच.
~# अग्रेषित कनेक्शनों की सूची बनाएं।
~& पृष्ठभूमि एसएसएच अग्रेषित कनेक्शन / X11 सत्र के लिए प्रतीक्षा करते समय लॉगआउट पर
समाप्त।
~? भागने वाले पात्रों की एक सूची प्रदर्शित करें।
~B रिमोट सिस्टम को एक BREAK भेजें (केवल तभी उपयोगी है जब सहकर्मी इसका समर्थन करता है)।
~C कमांड लाइन खोलें। वर्तमान में यह का उपयोग करके पोर्ट अग्रेषण को जोड़ने की अनुमति देता है
-L, -R और -D विकल्प (ऊपर देखें)। यह मौजूदा को रद्द करने की भी अनुमति देता है
पोर्ट-अग्रेषण के साथ -केएल[बिंद_पता:]बंदरगाह स्थानीय के लिए, -केआर[बिंद_पता:]बंदरगाह एसटी
रिमोट और -केडी[बिंद_पता:]बंदरगाह गतिशील पोर्ट-अग्रेषण के लिए। !आदेश की अनुमति देता है
उपयोगकर्ता स्थानीय कमांड निष्पादित करने के लिए यदि परमिटलोकलकमांड विकल्प सक्षम है
ssh_config(5). का उपयोग करके बुनियादी सहायता उपलब्ध है -h विकल्प.
~R कनेक्शन को फिर से जोड़ने का अनुरोध करें (केवल तभी उपयोगी है जब सहकर्मी इसका समर्थन करता है)।
~V वर्बोसिटी घटाएं (छांटने का स्तर) जब त्रुटियों को stderr को लिखा जा रहा हो।
~v वाचालता बढ़ाएँ (छांटने का स्तर) जब त्रुटियों को stderr को लिखा जा रहा हो।
टीसीपी अग्रेषित करना
सुरक्षित चैनल पर मनमाने ढंग से टीसीपी कनेक्शन का अग्रेषण या तो निर्दिष्ट किया जा सकता है
कमांड लाइन या कॉन्फ़िगरेशन फ़ाइल में। टीसीपी अग्रेषण का एक संभावित अनुप्रयोग है
मेल सर्वर से सुरक्षित कनेक्शन; दूसरा फ़ायरवॉल के माध्यम से जा रहा है।
नीचे दिए गए उदाहरण में, हम एक आईआरसी क्लाइंट और सर्वर के बीच संचार को एन्क्रिप्ट करने को देखते हैं,
भले ही आईआरसी सर्वर सीधे एन्क्रिप्टेड संचार का समर्थन नहीं करता है। यह काम
निम्नानुसार है: उपयोगकर्ता दूरस्थ होस्ट से कनेक्ट करता है एसएसएच, उपयोग करने के लिए एक पोर्ट निर्दिष्ट करना
दूरस्थ सर्वर से कनेक्शन अग्रेषित करें। उसके बाद सेवा शुरू करना संभव है
जिसे क्लाइंट मशीन पर एन्क्रिप्ट किया जाना है, उसी स्थानीय पोर्ट से कनेक्ट करना, और एसएसएच
कनेक्शन को एन्क्रिप्ट और फॉरवर्ड करेगा।
निम्न उदाहरण क्लाइंट मशीन "127.0.0.1" (लोकलहोस्ट) से आईआरसी सत्र को सुरंग करता है
दूरस्थ सर्वर "server.example.com":
$ ssh -f -L 1234: localhost: 6667 server.example.com नींद 10
$ irc -c '#users' -p 1234 पिंकी 127.0.0.1
यह सुरंग IRC सर्वर "server.example.com" से जुड़ता है, चैनल "#users" से जुड़ता है,
पोर्ट 1234 का उपयोग करते हुए उपनाम "पिंकी"। इससे कोई फर्क नहीं पड़ता कि किस पोर्ट का उपयोग किया जाता है, जब तक कि यह है
1023 से अधिक (याद रखें, केवल रूट विशेषाधिकार प्राप्त बंदरगाहों पर सॉकेट खोल सकता है) और नहीं
पहले से उपयोग में आने वाले किसी भी पोर्ट के साथ संघर्ष। कनेक्शन को पोर्ट 6667 पर भेजा जाता है
रिमोट सर्वर, क्योंकि यह आईआरसी सेवाओं के लिए मानक बंदरगाह है।
RSI -f विकल्प पृष्ठभूमि एसएसएच और रिमोट कमांड "स्लीप 10" को अनुमति देने के लिए निर्दिष्ट किया गया है
टनल की जाने वाली सेवा शुरू करने के लिए समय की मात्रा (उदाहरण में 10 सेकंड)।
यदि निर्दिष्ट समय के भीतर कोई कनेक्शन नहीं किया जाता है, एसएसएच बाहर निकल जाएगा।
X11 अग्रेषित करना
अगर फॉरवर्डX11 चर "हां" पर सेट है (या इसका विवरण देखें) -X, -x, तथा -Y
ऊपर दिए गए विकल्प) और उपयोगकर्ता X11 (DISPLAY पर्यावरण चर सेट है) का उपयोग कर रहा है,
X11 डिस्प्ले से कनेक्शन स्वचालित रूप से रिमोट साइड पर इस तरह से अग्रेषित किया जाता है
कि शेल (या कमांड) से शुरू किया गया कोई भी X11 प्रोग्राम एन्क्रिप्टेड के माध्यम से जाएगा
चैनल, और वास्तविक एक्स सर्वर से कनेक्शन स्थानीय मशीन से किया जाएगा। NS
उपयोगकर्ता को मैन्युअल रूप से DISPLAY सेट नहीं करना चाहिए। X11 कनेक्शन के अग्रेषण को कॉन्फ़िगर किया जा सकता है
कमांड लाइन या कॉन्फ़िगरेशन फ़ाइलों में।
द्वारा निर्धारित DISPLAY मान एसएसएच सर्वर मशीन को इंगित करेगा, लेकिन एक प्रदर्शन संख्या के साथ
शून्य से बड़ा। यह सामान्य है, और ऐसा इसलिए होता है क्योंकि एसएसएच पर एक "प्रॉक्सी" X सर्वर बनाता है
एन्क्रिप्टेड चैनल पर कनेक्शन अग्रेषित करने के लिए सर्वर मशीन।
एसएसएच सर्वर मशीन पर स्वचालित रूप से Xauthority डेटा भी सेट करेगा। इस उद्देश्य के लिए,
यह एक यादृच्छिक प्राधिकरण कुकी उत्पन्न करेगा, इसे सर्वर पर Xauthority में संग्रहीत करेगा, और
सत्यापित करें कि कोई भी अग्रेषित कनेक्शन इस कुकी को ले जाता है और इसे वास्तविक कुकी से बदल देता है
जब कनेक्शन खोला जाता है। असली प्रमाणीकरण कुकी सर्वर पर कभी नहीं भेजी जाती है
मशीन (और कोई कुकीज़ मैदान में नहीं भेजी जाती हैं)।
अगर फॉरवर्ड एजेंट चर "हां" पर सेट है (या इसका विवरण देखें) -A और -a
उपरोक्त विकल्प) और उपयोगकर्ता प्रमाणीकरण एजेंट का उपयोग कर रहा है, एजेंट से कनेक्शन है
स्वचालित रूप से दूरस्थ पक्ष को अग्रेषित किया गया।
पुष्टि करने होस्ट KEYS
पहली बार सर्वर से कनेक्ट करते समय, सर्वर की सार्वजनिक कुंजी का एक फिंगरप्रिंट होता है
उपयोगकर्ता को प्रस्तुत किया गया (जब तक कि विकल्प स्ट्रिक्टहोस्टकीचेकिंग डिसेबल कर दिया गया है)।
उंगलियों के निशान का उपयोग करके निर्धारित किया जा सकता है ssh-keygen(1)
$ एसएसएच-कीजेन -एल -एफ /आदि/ssh/ssh_host_rsa_key
यदि फिंगरप्रिंट पहले से ही ज्ञात है, तो इसका मिलान किया जा सकता है और कुंजी को स्वीकार किया जा सकता है या
अस्वीकृत। यदि सर्वर के लिए केवल लीगेसी (MD5) फ़िंगरप्रिंट उपलब्ध हैं, तो ssh-keygen(1)
-E विकल्प का उपयोग फ़िंगरप्रिंट एल्गोरिथम को मिलान करने के लिए डाउनग्रेड करने के लिए किया जा सकता है।
केवल फ़िंगरप्रिंट स्ट्रिंग्स को देखकर होस्ट कुंजियों की तुलना करने में कठिनाई के कारण,
मेजबान कुंजी की तुलना नेत्रहीन रूप से करने के लिए भी समर्थन है बिना सोचे समझे कला. सेटिंग करके
विजुअलहोस्टकी "हां" का विकल्प, एक छोटा ASCII ग्राफिक प्रत्येक लॉगिन पर प्रदर्शित होता है a
सर्वर, कोई फर्क नहीं पड़ता कि सत्र स्वयं इंटरैक्टिव है या नहीं। पैटर्न सीखने से a
ज्ञात सर्वर उत्पन्न करता है, एक उपयोगकर्ता आसानी से पता लगा सकता है कि होस्ट कुंजी बदल गई है जब a
पूरी तरह से अलग पैटर्न प्रदर्शित होता है। क्योंकि ये पैटर्न स्पष्ट नहीं हैं
हालाँकि, एक पैटर्न जो याद किए गए पैटर्न के समान दिखता है, केवल एक अच्छा देता है
संभावना है कि मेजबान कुंजी समान है, गारंटीकृत प्रमाण नहीं है।
सभी ज्ञात मेज़बानों के लिए उनकी यादृच्छिक कला के साथ-साथ फ़िंगरप्रिंट की सूची प्राप्त करने के लिए,
निम्नलिखित कमांड लाइन का उपयोग किया जा सकता है:
$ एसएसएच-कीजेन -एलवी -एफ ~/.ssh/ज्ञात_होस्ट्स
यदि फ़िंगरप्रिंट अज्ञात है, तो सत्यापन का एक वैकल्पिक तरीका उपलब्ध है: SSH
डीएनएस द्वारा सत्यापित उंगलियों के निशान। एक अतिरिक्त संसाधन रिकॉर्ड (RR), SSHFP, को a . में जोड़ा जाता है
ज़ोनफ़ाइल और कनेक्टिंग क्लाइंट कुंजी के साथ फ़िंगरप्रिंट का मिलान करने में सक्षम है
प्रस्तुत किया।
इस उदाहरण में, हम क्लाइंट को सर्वर से कनेक्ट कर रहे हैं, "host.example.com"। एसएसएचएफपी
संसाधन रिकॉर्ड पहले host.example.com के लिए ज़ोनफाइल में जोड़े जाने चाहिए:
$ ssh-keygen -r host.example.com।
आउटपुट लाइनों को ज़ोनफाइल में जोड़ना होगा। यह जाँचने के लिए कि ज़ोन उत्तर दे रहा है
फिंगरप्रिंट प्रश्न:
$ डिग-टी SSHFP host.example.com
अंत में ग्राहक जुड़ता है:
$ ssh -o "VerifyHostKeyDNS पूछें" host.example.com
[...]
डीएनएस में मिलते-जुलते होस्ट की फ़िंगरप्रिंट मिला.
क्या आप वाकई कनेक्ट करना जारी रखना चाहते हैं (हां / नहीं)?
देखना सत्यापित करेंHostKeyDNS में विकल्प ssh_config(5) अधिक जानकारी के लिए।
एसएसएच-आधारित आभासी निजी नेटवर्क
एसएसएच वर्चुअल प्राइवेट नेटवर्क (वीपीएन) टनलिंग के लिए समर्थन शामिल है tun(4) नेटवर्क
स्यूडो-डिवाइस, दो नेटवर्कों को सुरक्षित रूप से जोड़ने की अनुमति देता है। NS sshd_config(5)
विन्यास विकल्प परमिट टनल नियंत्रित करता है कि क्या सर्वर इसका समर्थन करता है, और किस पर
स्तर (परत 2 या 3 यातायात)।
निम्न उदाहरण क्लाइंट नेटवर्क 10.0.50.0/24 को दूरस्थ नेटवर्क से कनेक्ट करेगा
10.0.99.0 से 24 तक पॉइंट-टू-पॉइंट कनेक्शन का उपयोग करते हुए 10.1.1.1/10.1.1.2, बशर्ते कि
192.168.1.15 पर रिमोट नेटवर्क के गेटवे पर चलने वाला SSH सर्वर इसकी अनुमति देता है।
ग्राहक पर:
# एसएसएच -एफ -डब्ल्यू 0:1 192.168.1.15 सच
# ifconfig tun0 10.1.1.1 10.1.1.2 नेटमास्क 255.255.255.252
# मार्ग जोड़ें 10.0.99.0/24 10.1.1.2
सर्वर पर:
# ifconfig tun1 10.1.1.2 10.1.1.1 नेटमास्क 255.255.255.252
# मार्ग जोड़ें 10.0.50.0/24 10.1.1.1
क्लाइंट एक्सेस को के माध्यम से अधिक बारीकी से ट्यून किया जा सकता है /root/.ssh/authorized_keys फ़ाइल (नीचे देखें)
और परमिटरूटलॉगिन सर्वर विकल्प। निम्नलिखित प्रविष्टि पर कनेक्शन की अनुमति होगी
tun(4) उपयोगकर्ता "जेन" से डिवाइस 1 और उपयोगकर्ता "जॉन" से ट्यून डिवाइस 2 पर, अगर परमिटरूटलॉगिन is
"मजबूर-आदेश-केवल" पर सेट करें:
सुरंग = "1", कमांड = "श / आदि / नेटस्टार्ट ट्यून 1" एसएसएच-आरएसए ... जेन
सुरंग = "2", कमांड = "श / आदि / नेटस्टार्ट ट्यून 2" एसएसएच-आरएसए ... जॉन
चूंकि एसएसएच-आधारित सेटअप में उचित मात्रा में ओवरहेड होता है, यह अधिक उपयुक्त हो सकता है
अस्थायी सेटअप, जैसे वायरलेस वीपीएन के लिए। अधिक स्थायी वीपीएन बेहतर प्रदान करते हैं
उपकरण जैसे ipsecctl(8) और isakmpd(8).
वातावरण
एसएसएच सामान्य रूप से निम्नलिखित पर्यावरण चर सेट करेगा:
DISPLAY DISPLAY चर X11 सर्वर के स्थान को इंगित करता है। यह है
द्वारा स्वचालित रूप से सेट किया गया एसएसएच "होस्टनाम: n" फ़ॉर्म के मान को इंगित करने के लिए,
जहाँ "होस्टनाम" उस होस्ट को इंगित करता है जहाँ शेल चलता है, और 'n' is
एक पूर्णांक 1. एसएसएच X11 को अग्रेषित करने के लिए इस विशेष मान का उपयोग करता है
सुरक्षित चैनल पर कनेक्शन। उपयोगकर्ता को सामान्य रूप से सेट नहीं करना चाहिए
स्पष्ट रूप से प्रदर्शित करें, क्योंकि इससे X11 कनेक्शन असुरक्षित हो जाएगा
(और उपयोगकर्ता को किसी भी आवश्यक प्राधिकरण को मैन्युअल रूप से कॉपी करने की आवश्यकता होगी
कुकीज़)।
होम उपयोगकर्ता की होम निर्देशिका के पथ पर सेट करें।
USER के लिए LOGNAME पर्यायवाची; इसका उपयोग करने वाले सिस्टम के साथ संगतता के लिए सेट करें
चर।
मेल उपयोगकर्ता के मेलबॉक्स के पथ पर सेट करें।
पाथ डिफ़ॉल्ट पथ पर सेट करें, जैसा कि संकलन करते समय निर्दिष्ट किया गया है एसएसएच.
SSH_ASKPASS अगर एसएसएच पासफ़्रेज़ की आवश्यकता है, यह से पासफ़्रेज़ पढ़ेगा
वर्तमान टर्मिनल अगर इसे टर्मिनल से चलाया गया था। अगर एसएसएच नहीं है
इसके साथ जुड़ा एक टर्मिनल लेकिन DISPLAY और SSH_ASKPASS सेट हैं, यह
SSH_ASKPASS द्वारा निर्दिष्ट प्रोग्राम को निष्पादित करेगा और एक X11 . खोलेगा
पासफ़्रेज़ पढ़ने के लिए विंडो। यह विशेष रूप से तब उपयोगी होता है जब
बुला एसएसएच एक से .xसत्र या संबंधित स्क्रिप्ट। (ध्यान दें कि कुछ पर
मशीनों से इनपुट को पुनर्निर्देशित करना आवश्यक हो सकता है / Dev / बातिल सेवा मेरे
यह काम करो।)
SSH_AUTH_SOCK UNIX- डोमेन सॉकेट के पथ की पहचान करता है जिसका उपयोग संचार के लिए किया जाता है
एजेंट।
SSH_CONNECTION कनेक्शन के क्लाइंट और सर्वर सिरों की पहचान करता है। चर
इसमें चार स्थान-पृथक मान शामिल हैं: क्लाइंट IP पता, क्लाइंट पोर्ट
नंबर, सर्वर आईपी एड्रेस और सर्वर पोर्ट नंबर।
SSH_ORIGINAL_COMMAND इस चर में मूल कमांड लाइन होती है यदि एक मजबूर कमांड
निष्पादित किया जाता है। इसका उपयोग मूल तर्कों को निकालने के लिए किया जा सकता है।
SSH_TTY यह संबद्ध ट्टी (डिवाइस का पथ) के नाम पर सेट है
वर्तमान शेल या कमांड के साथ। यदि वर्तमान सत्र में कोई tty नहीं है,
यह चर सेट नहीं है।
TZ यह चर वर्तमान समय क्षेत्र को इंगित करने के लिए सेट है यदि इसे सेट किया गया था
जब डेमॉन शुरू किया गया था (अर्थात डेमॉन मूल्य को पास करता है to
नए कनेक्शन)।
उपयोगकर्ता लॉग इन करने वाले उपयोगकर्ता के नाम पर सेट करें।
इसके अतिरिक्त, एसएसएच पढ़ता ~/.ssh/पर्यावरण, और “VARNAME=value” प्रारूप की पंक्तियों को . में जोड़ता है
पर्यावरण यदि फ़ाइल मौजूद है और उपयोगकर्ताओं को अपना वातावरण बदलने की अनुमति है। के लिये
अधिक जानकारी, देखें PermitUserEnvironment में विकल्प sshd_config(5).
onworks.net सेवाओं का उपयोग करके ऑनलाइन स्लोगन का उपयोग करें
