Ini adalah perintah ssh yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
ssh — Klien SSH OpenSSH (program login jarak jauh)
RINGKASAN
ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec] [-D [bind_address:]pelabuhan]
[-E file_log] [-e escape_char] [-F file konfigurasi] [-I pkcs11] [-i identitas_file]
[-L alamat] [-l nama login] [-m mac_spec] [-O ctl_cmd] [-o Option] [-p pelabuhan]
[-Q permintaan_pilihan] [-R alamat] [-S ctl_path] [-W tuan rumah:pelabuhan] [-w lokal_tun[:remote_tun]]
[pemakai@]hostname [Command]
DESKRIPSI
ssh (Klien SSH) adalah program untuk masuk ke mesin jarak jauh dan untuk menjalankan perintah
pada mesin jarak jauh. Hal ini dimaksudkan untuk menyediakan komunikasi terenkripsi yang aman antara dua
host yang tidak tepercaya melalui jaringan yang tidak aman. Koneksi X11, port TCP arbitrer, dan
Soket domain UNIX juga dapat diteruskan melalui saluran aman.
ssh menghubungkan dan masuk ke yang ditentukan hostname (dengan opsional pemakai nama). Pengguna harus
buktikan identitasnya ke mesin jarak jauh menggunakan salah satu dari beberapa metode (lihat di bawah).
If Command ditentukan, itu dijalankan pada host jarak jauh alih-alih shell login.
Pilihannya adalah sebagai berikut:
-1 pasukan ssh untuk mencoba protokol versi 1 saja.
-2 pasukan ssh untuk mencoba protokol versi 2 saja.
-4 pasukan ssh untuk menggunakan alamat IPv4 saja.
-6 pasukan ssh untuk menggunakan alamat IPv6 saja.
-A Mengaktifkan penerusan koneksi agen otentikasi. Ini juga bisa
ditentukan pada basis per-host dalam file konfigurasi.
Penerusan agen harus diaktifkan dengan hati-hati. Pengguna dengan kemampuan untuk melewati
izin file pada host jarak jauh (untuk soket domain UNIX agen) dapat mengakses
agen lokal melalui koneksi yang diteruskan. Seorang penyerang tidak dapat memperoleh kunci
materi dari agen, namun mereka dapat melakukan operasi pada tombol yang memungkinkan
mereka untuk mengautentikasi menggunakan identitas yang dimuat ke dalam agen.
-a Menonaktifkan penerusan koneksi agen otentikasi.
-b bind_address
penggunaan bind_address pada mesin lokal sebagai alamat sumber koneksi. Hanya
berguna pada sistem dengan lebih dari satu alamat.
-C Meminta kompresi semua data (termasuk stdin, stdout, stderr, dan data untuk
meneruskan koneksi domain X11, TCP dan UNIX). Algoritma kompresi adalah
sama digunakan oleh gzip(1), dan "level" dapat dikendalikan oleh Tingkat Kompresi
opsi untuk versi protokol 1. Kompresi diinginkan pada jalur modem dan lainnya
koneksi lambat, tetapi hanya akan memperlambat hal-hal di jaringan cepat. Standarnya
nilai dapat diatur berdasarkan host-by-host dalam file konfigurasi; lihat
Kompresi .
-c cipher_spec
Memilih spesifikasi sandi untuk mengenkripsi sesi.
Protokol versi 1 memungkinkan spesifikasi cipher tunggal. Nilai yang didukung
adalah "3des", "blowfish", dan "des". Untuk protokol versi 2, cipher_spec adalah koma-
daftar cipher yang terdaftar dalam urutan preferensi. Lihat Cipher kata kunci dalam
ssh_config(5) untuk informasi lebih lanjut.
-D [bind_address:]pelabuhan
Menentukan penerusan port tingkat aplikasi "dinamis" lokal. Ini bekerja dengan
mengalokasikan soket untuk mendengarkan pelabuhan di sisi lokal, secara opsional terikat ke
ditentukan bind_address. Setiap kali koneksi dibuat ke port ini, koneksi
diteruskan melalui saluran aman, dan protokol aplikasi kemudian digunakan untuk
menentukan ke mana harus terhubung dari mesin jarak jauh. Saat ini SOCKS4 dan
Protokol SOCKS5 didukung, dan ssh akan bertindak sebagai server SOCKS. Hanya root yang bisa
meneruskan port istimewa. Penerusan port dinamis juga dapat ditentukan di:
file konfigurasi.
Alamat IPv6 dapat ditentukan dengan melampirkan alamat dalam tanda kurung siku. Hanya
superuser dapat meneruskan port yang diistimewakan. Secara default, port lokal terikat di
sesuai dengan Pelabuhan Gerbang pengaturan. Namun, eksplisit bind_address mungkin
digunakan untuk mengikat koneksi ke alamat tertentu. NS bind_address dari "localhost"
menunjukkan bahwa port mendengarkan terikat untuk penggunaan lokal saja, sementara yang kosong
address atau '*' menunjukkan bahwa port harus tersedia dari semua antarmuka.
-E file_log
Tambahkan log debug ke file_log bukannya kesalahan standar.
-e escape_char
Menyetel karakter escape untuk sesi dengan pty (default: '~'). Pelarian
karakter hanya dikenali di awal baris. Karakter pelarian
diikuti oleh titik ('.') menutup koneksi; diikuti oleh control-Z menangguhkan
koneksi; dan diikuti dengan sendirinya mengirimkan karakter pelarian sekali. Mengatur
karakter ke "tidak ada" menonaktifkan pelarian apa pun dan membuat sesi sepenuhnya transparan.
-F file konfigurasi
Menentukan file konfigurasi alternatif per pengguna. Jika file konfigurasi adalah
diberikan pada baris perintah, file konfigurasi seluruh sistem (/ etc / ssh / ssh_config)
akan diabaikan. Default untuk file konfigurasi per pengguna adalah ~ / .ssh / config.
-f Permintaan ssh untuk pergi ke latar belakang sebelum eksekusi perintah. Ini berguna jika
ssh akan meminta kata sandi atau frasa sandi, tetapi pengguna menginginkannya di
Latar Belakang. Ini menyiratkan -n. Cara yang disarankan untuk memulai program X11 dari jarak jauh
situs dengan sesuatu seperti ssh -f tuan rumah xterm.
Jika ExitOnForwardFailure opsi konfigurasi diatur ke "ya", lalu klien
dimulai dengan -f akan menunggu semua port jarak jauh ke depan berhasil
didirikan sebelum menempatkan dirinya di latar belakang.
-G Global ssh untuk mencetak konfigurasinya setelah mengevaluasi tuan rumah dan Cocok blok dan
keluar.
-g Memungkinkan host jarak jauh untuk terhubung ke port lokal yang diteruskan. Jika digunakan pada multipleks
koneksi, maka opsi ini harus ditentukan pada proses master.
-I pkcs11
Tentukan perpustakaan bersama PKCS#11 ssh harus digunakan untuk berkomunikasi dengan PKCS#11
token yang menyediakan kunci RSA pribadi pengguna.
-i identitas_file
Memilih file dari mana identitas (kunci pribadi) untuk otentikasi kunci publik
adalah membaca. Standarnya adalah ~/.ssh/identitas untuk protokol versi 1, dan ~/.ssh/id_dsa,
~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 dan ~/.ssh/id_rsa untuk protokol versi 2.
File identitas juga dapat ditentukan berdasarkan per-host dalam file konfigurasi.
Dimungkinkan untuk memiliki banyak -i pilihan (dan beberapa identitas yang ditentukan dalam
file konfigurasi). Jika tidak ada sertifikat yang secara eksplisit ditentukan oleh
File Sertifikat direktif, ssh juga akan mencoba memuat informasi sertifikat dari
nama file yang diperoleh dengan menambahkan -cert.pub untuk identitas nama file.
-K Mengaktifkan autentikasi dan penerusan (delegasi) GSSAPI berbasis GSSAPI
kredensial ke server.
-k Menonaktifkan penerusan (delegasi) kredensial GSSAPI ke server.
-L [bind_address:]pelabuhan:tuan rumah:pelabuhan tuan rumah
-L [bind_address:]pelabuhan:remote_socket
-L soket_lokal:tuan rumah:pelabuhan tuan rumah
-L soket_lokal:remote_socket
Menentukan bahwa koneksi ke port TCP atau soket Unix yang diberikan di lokal
(klien) host harus diteruskan ke host dan port tertentu, atau soket Unix, di
sisi terpencil. Ini bekerja dengan mengalokasikan soket untuk mendengarkan baik TCP pelabuhan on
sisi lokal, secara opsional terikat ke yang ditentukan bind_address, atau ke soket Unix.
Setiap kali koneksi dibuat ke port atau soket lokal, koneksinya adalah
diteruskan melalui saluran aman, dan koneksi dibuat ke salah satu tuan rumah pelabuhan
pelabuhan tuan rumah, atau soket Unix remote_socket, dari mesin jarak jauh.
Penerusan port juga dapat ditentukan dalam file konfigurasi. Hanya
superuser dapat meneruskan port istimewa. Alamat IPv6 dapat ditentukan dengan:
melampirkan alamat dalam tanda kurung siku.
Secara default, port lokal terikat sesuai dengan Pelabuhan Gerbang pengaturan.
Namun, eksplisit bind_address dapat digunakan untuk mengikat koneksi ke spesifik
alamat. NS bind_address dari "localhost" menunjukkan bahwa port mendengarkan terikat
hanya untuk penggunaan lokal, sedangkan alamat kosong atau '*' menunjukkan bahwa port harus
tersedia dari semua antarmuka.
-l nama login
Menentukan pengguna untuk masuk seperti pada mesin jarak jauh. Ini juga dapat ditentukan
pada basis per-host dalam file konfigurasi.
-M Tempatkan ssh klien ke mode "master" untuk berbagi koneksi. beberapa -M
tempat pilihan ssh ke mode "master" dengan konfirmasi diperlukan sebelum budak
koneksi diterima. Lihat deskripsi KontrolMaster in
ssh_config(5) untuk rincian.
-m mac_spec
Daftar algoritma MAC (kode otentikasi pesan) yang dipisahkan koma, ditentukan dalam
urutan preferensi. Lihat Mac kata kunci untuk informasi lebih lanjut.
-N Jangan menjalankan perintah jarak jauh. Ini berguna untuk hanya meneruskan port.
-n Pengalihan stdin dari / dev / null (sebenarnya, mencegah membaca dari stdin). Ini harus
digunakan saat ssh dijalankan di latar belakang. Trik umum adalah menggunakan ini untuk menjalankan X11
program pada mesin jarak jauh. Sebagai contoh, ssh -n bayangan.cs.hut.fi emacs & akan
mulai emacs di shadows.cs.hut.fi, dan koneksi X11 akan otomatis
diteruskan melalui saluran terenkripsi. NS ssh program akan diletakkan di latar belakang.
(Ini tidak berfungsi jika ssh perlu meminta kata sandi atau frasa sandi; lihat juga
-f pilihan.)
-O ctl_cmd
Kontrol proses master multiplexing koneksi aktif. Ketika -O pilihannya adalah
ditentukan, ctl_cmd argumen ditafsirkan dan diteruskan ke proses master.
Perintah yang valid adalah: “check” (periksa apakah proses master sedang berjalan), “forward”
(meminta penerusan tanpa eksekusi perintah), "batal" (membatalkan penerusan),
“exit” (meminta master untuk keluar), dan “stop” (meminta master untuk berhenti)
menerima permintaan multiplexing lebih lanjut).
-o Option
Dapat digunakan untuk memberikan opsi dalam format yang digunakan dalam file konfigurasi. Ini adalah
berguna untuk menentukan opsi yang tidak memiliki flag baris perintah terpisah. Untuk
perincian lengkap dari opsi yang tercantum di bawah ini, dan kemungkinan nilainya, lihat
ssh_config(5).
TambahkanKeysToAgent
AlamatKeluarga
Mode Batch
BindAlamat
Domain Kanonik
CanonicalizeFallbackLocal
Kanonikalisasi Nama Host
KanonikalisasiMaxDots
KanonikalisasikanCNAME yang Diizinkan
File Sertifikat
ChallengeResponseAuthentication
PeriksaHostIP
Sandi
Cipher
Hapus Semua Penerusan
Kompresi
Tingkat Kompresi
Upaya Koneksi
Hubungkan Waktu Habis
KontrolMaster
Jalur Kontrol
KontrolBertahan
Maju Dinamis
melarikan diri
ExitOnForwardFailure
Sidik JariHash
MajuAgen
MajuX11
MajuX11Waktu Habis
MajuX11Terpercaya
Pelabuhan Gerbang
File GlobalKnownHosts
Otentikasi GSSAPI
Kredensial Delegasi GSSAPI
HashKnownHosts
tuan rumah
Otentikasi berbasis host
TipeKeyBerbasis Host
Algoritma HostKey
HostKeyAlias
Nama Host
File Identitas
Hanya Identitas
IPQoS
Otentikasi Interaktif Kbd
Perangkat Interaktif Kbd
Algoritma Kex
Perintah Lokal
Maju Lokal
Tingkat Log
Mac
Cocok
NoHostAuthenticationForLocalhost
JumlahPermintaan Kata Sandi
Otentikasi Kata Sandi
IzinPerintah Lokal
PKCS11Penyedia
pelabuhan
Otentikasi Pilihan
Protokol
Perintah Proksi
ProxyGunakanFdpass
Jenis Kunci yang Diterima Kunci Pub
Otentikasi Pubkey
Batas Kunci Ulang
JauhMaju
PermintaanTTY
Otentikasi RhostsRSAA
Otentikasi RSAA
KirimEnv
ServerAliveInterval
ServerAliveCountMax
AliranLokalBindMask
StreamingLocalBindUnlink
Pengecekan Kunci Host Ketat
TCPKeepAlive
Terowongan
TerowonganPerangkat
PerbaruiHostKeys
GunakanPrivilegedPort
Pengguna
File Host Dikenal Pengguna
VerifikasiHostKeyDNS
VisualHostKey
XAuthLokasi
-p pelabuhan
Port untuk terhubung ke host jarak jauh. Ini dapat ditentukan berdasarkan per-host di
file konfigurasi.
-Q permintaan_pilihan
Pertanyaan ssh untuk algoritme yang didukung untuk versi tertentu 2. Tersedia
fitur adalah: sandi (cipher simetris yang didukung), cipher-auth (didukung simetris
sandi yang mendukung enkripsi yang diautentikasi), mac (Integritas pesan yang didukung
kode), kex (algoritma pertukaran kunci), kunci (tipe kunci), kunci-sertifikat (kunci sertifikat
jenis), kunci-polos (jenis kunci non-sertifikat), dan versi protokol (SSH yang didukung
versi protokol).
-q Modus diam. Menyebabkan sebagian besar pesan peringatan dan diagnostik ditekan.
-R [bind_address:]pelabuhan:tuan rumah:pelabuhan tuan rumah
-R [bind_address:]pelabuhan:soket_lokal
-R remote_socket:tuan rumah:pelabuhan tuan rumah
-R remote_socket:soket_lokal
Menentukan bahwa koneksi ke port TCP atau soket Unix yang diberikan pada remote
(server) host harus diteruskan ke host dan port yang diberikan, atau soket Unix, di
sisi lokal. Ini bekerja dengan mengalokasikan soket untuk mendengarkan baik TCP pelabuhan atau
soket Unix di sisi remote. Kapan pun koneksi dibuat ke port ini atau
Soket Unix, koneksi diteruskan melalui saluran aman, dan koneksi
dibuat baik tuan rumah pelabuhan pelabuhan tuan rumah, atau soket_lokal, dari mesin lokal.
Penerusan port juga dapat ditentukan dalam file konfigurasi. Port yang diistimewakan
dapat diteruskan hanya saat masuk sebagai root pada mesin jarak jauh. alamat IPv6
dapat ditentukan dengan melampirkan alamat dalam tanda kurung siku.
Secara default, soket pendengar TCP di server akan terikat ke loopback
antarmuka saja. Ini dapat ditimpa dengan menentukan a bind_address. Sebuah kosong
bind_address, atau alamat '*', menunjukkan bahwa soket jarak jauh harus mendengarkan
semua antarmuka. Menentukan remote bind_address hanya akan berhasil jika server
Pelabuhan Gerbang opsi diaktifkan (lihat sshd_config(5)).
Jika pelabuhan argumen adalah '0', port mendengarkan akan dialokasikan secara dinamis pada
server dan dilaporkan ke klien pada saat dijalankan. Ketika digunakan bersama dengan -O meneruskan
port yang dialokasikan akan dicetak ke output standar.
-S ctl_path
Menentukan lokasi soket kontrol untuk berbagi koneksi, atau string
"none" untuk menonaktifkan berbagi koneksi. Lihat deskripsi Jalur Kontrol dan
KontrolMaster in ssh_config(5) untuk rincian.
-s Dapat digunakan untuk meminta pemanggilan subsistem pada sistem jarak jauh. Subsistem
memfasilitasi penggunaan SSH sebagai transportasi aman untuk aplikasi lain (mis
sftp(1)). Subsistem ditentukan sebagai perintah jarak jauh.
-T Nonaktifkan alokasi terminal semu.
-t Paksa alokasi terminal semu. Ini dapat digunakan untuk mengeksekusi layar sewenang-wenang-
program berbasis pada mesin jarak jauh, yang bisa sangat berguna, misalnya saat mengimplementasikan
layanan menu. beberapa -t opsi memaksa alokasi tty, bahkan jika ssh tidak memiliki lokal
tty.
-V Tampilkan nomor versi dan keluar.
-v Modus verbose. Penyebab ssh untuk mencetak pesan debug tentang kemajuannya. Ini adalah
membantu dalam debugging koneksi, otentikasi, dan masalah konfigurasi.
kelipatan -v pilihan meningkatkan verbositas. Maksimal adalah 3.
-W tuan rumah:pelabuhan
Meminta agar input dan output standar pada klien diteruskan ke tuan rumah on pelabuhan
melalui saluran aman. menyiratkan -N, -T, ExitOnForwardFailure dan
Hapus Semua Penerusan.
-w lokal_tun[:remote_tun]
Meminta penerusan perangkat terowongan dengan yang ditentukan tong besar(4) perangkat antara
klien (lokal_tun) dan pelayan (remote_tun).
Perangkat dapat ditentukan dengan ID numerik atau kata kunci "apa saja", yang menggunakan
perangkat terowongan berikutnya yang tersedia. Jika remote_tun tidak ditentukan, defaultnya adalah "setiap".
Lihat juga Terowongan dan TerowonganPerangkat arahan dalam ssh_config(5). jika Terowongan
direktif tidak disetel, disetel ke mode terowongan default, yaitu "titik-ke-titik".
-X Mengaktifkan penerusan X11. Ini juga dapat ditentukan berdasarkan per-host di a
file konfigurasi.
Penerusan X11 harus diaktifkan dengan hati-hati. Pengguna dengan kemampuan untuk melewati
izin file pada host jarak jauh (untuk basis data otorisasi X pengguna) dapat
mengakses tampilan X11 lokal melalui koneksi yang diteruskan. Seorang penyerang kemudian dapat
dapat melakukan aktivitas seperti pemantauan keystroke.
Karena alasan ini, penerusan X11 dikenai pembatasan ekstensi X11 SECURITY
secara default. Silakan merujuk ke ssh -Y opsi dan MajuX11Terpercaya Direktif
in ssh_config(5) untuk informasi lebih lanjut.
(Khusus Debian: Penerusan X11 tidak dikenai ekstensi X11 SECURITY
pembatasan secara default, karena terlalu banyak program saat ini macet dalam mode ini.
Mengatur MajuX11Terpercaya opsi ke "tidak" untuk mengembalikan perilaku hulu. Ini
dapat berubah di masa mendatang tergantung pada peningkatan sisi klien.)
-x Menonaktifkan penerusan X11.
-Y Mengaktifkan penerusan X11 tepercaya. Penerusan X11 tepercaya tidak tunduk pada
Kontrol ekstensi X11 SECURITY.
(Khusus Debian: Opsi ini tidak melakukan apa pun dalam konfigurasi default: ini adalah
setara dengan "MajuX11Terpercaya ya”, yang merupakan default seperti dijelaskan di atas. Mengatur
itu MajuX11Terpercaya opsi ke "tidak" untuk mengembalikan perilaku hulu. Ini mungkin
berubah di masa depan tergantung pada peningkatan sisi klien.)
-y Kirim informasi log menggunakan syslog(3) modul sistem. Secara default informasi ini
dikirim ke stderr.
ssh tambahan dapat memperoleh data konfigurasi dari file konfigurasi per pengguna dan
file konfigurasi seluruh sistem. Format file dan opsi konfigurasi dijelaskan di
ssh_config(5).
AUTENTIKASI
Klien OpenSSH SSH mendukung protokol SSH 1 dan 2. Standarnya adalah menggunakan protokol 2
saja, meskipun ini dapat diubah melalui Protokol pilihan dalam ssh_config(5) atau -1 dan -2
pilihan (lihat di atas). Protokol 1 tidak boleh digunakan dan hanya ditawarkan untuk mendukung warisan
perangkat. Itu menderita sejumlah kelemahan kriptografi dan tidak mendukung banyak dari
fitur-fitur canggih yang tersedia untuk protokol 2.
Metode yang tersedia untuk otentikasi adalah: otentikasi berbasis GSSAPI, berbasis host
otentikasi, otentikasi kunci publik, otentikasi tantangan-tanggapan, dan kata sandi
autentikasi. Metode otentikasi dicoba dalam urutan yang ditentukan di atas, meskipun
Otentikasi Pilihan dapat digunakan untuk mengubah urutan default.
Otentikasi berbasis host berfungsi sebagai berikut: Jika mesin tempat pengguna masuk terdaftar
in /etc/hosts.equiv or /etc/ssh/shosts.equiv pada mesin jarak jauh, dan nama pengguna adalah
sama di kedua sisi, atau jika file ~/.rhosts or ~/.hosts ada di rumah pengguna
direktori pada mesin jarak jauh dan berisi baris yang berisi nama mesin klien
dan nama pengguna di mesin itu, pengguna dianggap untuk login. Selain itu,
server harus dapat memverifikasi kunci host klien (lihat deskripsi
/etc/ssh/ssh_known_hosts dan ~/.ssh/known_hosts, di bawah) agar login diizinkan. Ini
metode otentikasi menutup lubang keamanan karena spoofing IP, spoofing DNS, dan perutean
pemalsuan. [Catatan untuk administrator: /etc/hosts.equiv, ~/.rhosts, dan rlogin/rsh
protokol secara umum, secara inheren tidak aman dan harus dinonaktifkan jika keamanan diinginkan.]
Otentikasi kunci publik bekerja sebagai berikut: Skema ini didasarkan pada kriptografi kunci publik,
menggunakan kriptosistem di mana enkripsi dan dekripsi dilakukan menggunakan kunci terpisah, dan itu adalah
tidak layak untuk mendapatkan kunci dekripsi dari kunci enkripsi. Idenya adalah bahwa setiap pengguna
membuat pasangan kunci publik/pribadi untuk tujuan otentikasi. Server tahu publik
kunci, dan hanya pengguna yang mengetahui kunci pribadi. ssh mengimplementasikan otentikasi kunci publik
protokol secara otomatis, menggunakan salah satu algoritma DSA, ECDSA, Ed25519 atau RSA. Sejarah
bagian ssl(8) (pada sistem non-OpenBSD, lihat
http://www.openbsd.org/cgi-bin/man.cgi?query=ssl&sektion=8#HISTORY) berisi ringkasan
pembahasan algoritma DSA dan RSA.
File ~/.ssh/authorized_keys daftar kunci publik yang diizinkan untuk masuk.
Saat pengguna masuk, tombol ssh program memberi tahu server pasangan kunci mana yang ingin digunakan
untuk otentikasi. Klien membuktikan bahwa ia memiliki akses ke kunci pribadi dan server
memeriksa bahwa kunci publik yang sesuai diotorisasi untuk menerima akun.
Pengguna membuat pasangan kuncinya dengan menjalankan ssh-keygen(1). Ini menyimpan kunci pribadi di
~/.ssh/identitas (protokol 1), ~/.ssh/id_dsa (DSA), ~/.ssh/id_ecdsa (ECDSA),
~/.ssh/id_ed25519 (Ed25519), atau ~/.ssh/id_rsa (RSA) dan menyimpan kunci publik di
~/.ssh/identitas.pub (protokol 1), ~/.ssh/id_dsa.pub (DSA), ~/.ssh/id_ecdsa.pub (ECDSA),
~/.ssh/id_ed25519.pub (Ed25519), atau ~ / .ssh / id_rsa.pub (RSA) di direktori home pengguna.
Pengguna kemudian harus menyalin kunci publik ke ~/.ssh/authorized_keys di direktori rumahnya
pada mesin jarak jauh. NS otorisasi_keys file sesuai dengan konvensional ~/.rhosts
file, dan memiliki satu kunci per baris, meskipun barisnya bisa sangat panjang. Setelah ini, pengguna dapat
masuk tanpa memberikan kata sandi.
Variasi otentikasi kunci publik tersedia dalam bentuk sertifikat
otentikasi: alih-alih satu set kunci publik/pribadi, sertifikat yang ditandatangani digunakan. Ini
memiliki keuntungan bahwa satu otoritas sertifikasi tepercaya dapat digunakan sebagai pengganti banyak
kunci publik/pribadi. Lihat bagian SERTIFIKAT dari ssh-keygen(1) untuk informasi lebih lanjut.
Cara paling nyaman untuk menggunakan kunci publik atau otentikasi sertifikat mungkin dengan
agen otentikasi. Lihat ssh-agent(1) dan (opsional) the TambahkanKeysToAgent arahan dalam
ssh_config(5) untuk informasi lebih lanjut.
Otentikasi tantangan-respons berfungsi sebagai berikut: Server mengirimkan arbitrer
teks "tantangan", dan meminta tanggapan. Contoh otentikasi tantangan-tanggapan
termasuk Otentikasi BSD (lihat masuk.conf(5)) dan PAM (beberapa sistem non-OpenBSD).
Akhirnya, jika metode otentikasi lainnya gagal, ssh meminta pengguna untuk memasukkan kata sandi. NS
kata sandi dikirim ke host jarak jauh untuk diperiksa; namun, karena semua komunikasi adalah
terenkripsi, kata sandi tidak dapat dilihat oleh seseorang yang mendengarkan di jaringan.
ssh secara otomatis memelihara dan memeriksa database yang berisi identifikasi untuk semua host itu
pernah digunakan dengan. Kunci host disimpan di ~/.ssh/known_hosts di rumah pengguna
direktori. Selain itu, file /etc/ssh/ssh_known_hosts secara otomatis diperiksa untuk
host yang dikenal. Setiap host baru secara otomatis ditambahkan ke file pengguna. Jika seorang tuan rumah
identifikasi selalu berubah, ssh memperingatkan tentang ini dan menonaktifkan otentikasi kata sandi untuk
mencegah spoofing server atau serangan man-in-the-middle, yang dapat digunakan untuk
menghindari enkripsi. NS Pengecekan Kunci Host Ketat opsi dapat digunakan untuk mengontrol login
ke mesin yang kunci hostnya tidak diketahui atau telah diubah.
Ketika identitas pengguna telah diterima oleh server, server akan mengeksekusi
perintah yang diberikan dalam sesi non-interaktif atau, jika tidak ada perintah yang ditentukan, masuk ke
mesin dan memberikan pengguna shell normal sebagai sesi interaktif. Semua komunikasi
dengan perintah jarak jauh atau shell akan dienkripsi secara otomatis.
Jika sesi interaktif diminta ssh secara default hanya akan meminta terminal semu
(pty) untuk sesi interaktif ketika klien memilikinya. Bendera -T dan -t dapat digunakan untuk
mengesampingkan perilaku ini.
Jika terminal semu telah dialokasikan, pengguna dapat menggunakan karakter escape yang disebutkan di bawah ini.
Jika tidak ada terminal semu yang dialokasikan, sesi tersebut transparan dan dapat digunakan untuk
mentransfer data biner dengan andal. Pada sebagian besar sistem, menyetel karakter pelarian ke "tidak ada" akan
juga membuat sesi transparan bahkan jika tty digunakan.
Sesi berakhir ketika perintah atau shell pada mesin jarak jauh keluar dan semua X11 dan
Koneksi TCP telah ditutup.
ESCAPE KARAKTER
Ketika terminal semu telah diminta, ssh mendukung sejumlah fungsi melalui
penggunaan karakter pelarian.
Satu karakter tilde dapat dikirim sebagai ~~ atau dengan mengikuti tilde dengan karakter lain
daripada yang dijelaskan di bawah ini. Karakter pelarian harus selalu mengikuti baris baru untuk menjadi
diartikan khusus. Karakter escape dapat diubah dalam file konfigurasi menggunakan
itu melarikan diri arahan konfigurasi atau pada baris perintah oleh -e .
Escape yang didukung (dengan asumsi default '~') adalah:
~. Memutuskan.
~^Z Latar Belakang ssh.
~# Daftar koneksi yang diteruskan.
~& Latar Belakang ssh saat logout saat menunggu koneksi yang diteruskan / sesi X11 ke
mengakhiri.
~? Menampilkan daftar karakter pelarian.
~B Kirim BREAK ke sistem jarak jauh (hanya berguna jika rekan mendukungnya).
~C Buka baris perintah. Saat ini memungkinkan penambahan penerusan port menggunakan
-L, -R dan -D pilihan (lihat di atas). Ini juga memungkinkan pembatalan yang ada
penerusan port dengan -KL[bind_address:]pelabuhan untuk lokal, -KR[bind_address:]pelabuhan untuk
jauh dan -KD[bind_address:]pelabuhan untuk penerusan port dinamis. !Command memungkinkan
pengguna untuk menjalankan perintah lokal jika IzinPerintah Lokal opsi diaktifkan di
ssh_config(5). Bantuan dasar tersedia, menggunakan -h .
~R Minta rekeying koneksi (hanya berguna jika rekan mendukungnya).
~V Mengurangi verbositas (Tingkat Log) ketika kesalahan sedang ditulis ke stderr.
~v Meningkatkan verbositas (Tingkat Log) ketika kesalahan sedang ditulis ke stderr.
TCP KE DEPAN
Penerusan koneksi TCP sewenang-wenang melalui saluran aman dapat ditentukan baik di
baris perintah atau dalam file konfigurasi. Salah satu kemungkinan penerapan penerusan TCP adalah
koneksi aman ke server email; lain akan melalui firewall.
Pada contoh di bawah ini, kita melihat komunikasi enkripsi antara klien IRC dan server,
meskipun server IRC tidak secara langsung mendukung komunikasi terenkripsi. Ini bekerja
sebagai berikut: pengguna terhubung ke host jarak jauh menggunakan ssh, menentukan port yang akan digunakan untuk
meneruskan koneksi ke server jauh. Setelah itu dimungkinkan untuk memulai layanan
yang akan dienkripsi pada mesin klien, menghubungkan ke port lokal yang sama, dan ssh
akan mengenkripsi dan meneruskan koneksi.
Contoh berikut melakukan tunnel sesi IRC dari mesin klien “127.0.0.1” (localhost) ke
server jarak jauh "server.example.com":
$ssh -f -L 1234:localhost:6667 server.example.com tidur 10
$ irc -c '#users' -p 1234 pinky 127.0.0.1
Ini menghubungkan koneksi ke server IRC "server.example.com", bergabung dengan saluran "#users",
julukan "pinky", menggunakan port 1234. Tidak masalah port mana yang digunakan, asalkan itu
lebih besar dari 1023 (ingat, hanya root yang dapat membuka soket pada port yang diistimewakan) dan tidak
konflik dengan port yang sudah digunakan. Koneksi diteruskan ke port 6667 di
server jauh, karena itulah port standar untuk layanan IRC.
The -f latar belakang pilihan ssh dan perintah jarak jauh "sleep 10" ditentukan untuk memungkinkan
jumlah waktu (10 detik, dalam contoh) untuk memulai layanan yang akan di-tunnel.
Jika tidak ada koneksi yang dibuat dalam waktu yang ditentukan, ssh akan keluar.
X11 KE DEPAN
Jika MajuX11 variabel diatur ke "ya" (atau lihat deskripsi dari -X, -x, dan -Y
opsi di atas) dan pengguna menggunakan X11 (variabel lingkungan DISPLAY diatur), the
koneksi ke layar X11 secara otomatis diteruskan ke sisi jarak jauh sedemikian rupa
bahwa setiap program X11 yang dimulai dari shell (atau perintah) akan melalui enkripsi
saluran, dan koneksi ke server X asli akan dibuat dari mesin lokal. NS
pengguna tidak boleh mengatur DISPLAY secara manual. Penerusan koneksi X11 dapat dikonfigurasi di
baris perintah atau dalam file konfigurasi.
Nilai DISPLAY ditetapkan oleh ssh akan menunjuk ke mesin server, tetapi dengan nomor tampilan
lebih besar dari nol. Ini normal, dan terjadi karena ssh membuat server X "proxy" aktif
mesin server untuk meneruskan koneksi melalui saluran terenkripsi.
ssh juga akan secara otomatis mengatur data Xauthority di mesin server. Untuk tujuan ini,
itu akan menghasilkan cookie otorisasi acak, menyimpannya di Xauthority di server, dan
verifikasi bahwa koneksi yang diteruskan membawa cookie ini dan menggantinya dengan cookie asli
saat koneksi dibuka. Cookie otentikasi asli tidak pernah dikirim ke server
mesin (dan tidak ada cookie yang dikirim di dataran).
Jika MajuAgen variabel diatur ke "ya" (atau lihat deskripsi dari -A dan -a
opsi di atas) dan pengguna menggunakan agen otentikasi, koneksi ke agen adalah
otomatis diteruskan ke sisi remote.
MEMVERIFIKASI HOST KUNCI
Saat menghubungkan ke server untuk pertama kalinya, sidik jari dari kunci publik server adalah
disajikan kepada pengguna (kecuali opsi Pengecekan Kunci Host Ketat telah dinonaktifkan).
Sidik jari dapat ditentukan dengan menggunakan ssh-keygen(1):
$ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
Kalau sudah diketahui sidik jarinya bisa dicocokkan dan kuncinya bisa diterima atau
ditolak. Jika hanya sidik jari lama (MD5) untuk server yang tersedia, ssh-keygen(1)
-E opsi dapat digunakan untuk menurunkan versi algoritma sidik jari agar sesuai.
Karena sulitnya membandingkan kunci host hanya dengan melihat string sidik jari,
ada juga dukungan untuk membandingkan kunci host secara visual, menggunakan acak artikel. Dengan mengatur
VisualHostKey pilihan untuk "ya", grafik ASCII kecil akan ditampilkan pada setiap login ke a
server, tidak peduli apakah sesi itu sendiri interaktif atau tidak. Dengan mempelajari pola a
server yang dikenal menghasilkan, pengguna dapat dengan mudah mengetahui bahwa kunci host telah berubah ketika a
pola yang sama sekali berbeda ditampilkan. Karena pola ini tidak ambigu
Namun, pola yang terlihat mirip dengan pola yang diingat hanya memberikan yang baik
probabilitas bahwa kunci host adalah sama, tidak dijamin buktinya.
Untuk mendapatkan daftar sidik jari bersama dengan seni acak mereka untuk semua host yang dikenal, the
baris perintah berikut dapat digunakan:
$ssh-keygen -lv -f ~/.ssh/known_hosts
Jika sidik jari tidak diketahui, metode verifikasi alternatif tersedia: SSH
sidik jari diverifikasi oleh DNS. Catatan sumber daya tambahan (RR), SSHFP, ditambahkan ke a
zonefile dan klien penghubung dapat mencocokkan sidik jari dengan kunci
disajikan.
Dalam contoh ini, kami menghubungkan klien ke server, "host.example.com". SSHFP
catatan sumber daya pertama-tama harus ditambahkan ke file zona untuk host.example.com:
$ ssh-keygen -r host.contoh.com.
Jalur keluaran harus ditambahkan ke file zona. Untuk memeriksa apakah zona menjawab
pertanyaan sidik jari:
$ dig -t SSHFP host.contoh.com
Akhirnya klien terhubung:
$ ssh -o "VerifyHostKeyDNS tanyakan" host.example.com
[...]
Sidik jari kunci host yang cocok ditemukan di DNS.
Anda yakin ingin terus terhubung (ya / tidak)?
Lihat VerifikasiHostKeyDNS pilihan dalam ssh_config(5) untuk informasi lebih lanjut.
BERBASIS SSH VIRTUAL PRIBADI JARINGAN
ssh berisi dukungan untuk tunneling Virtual Private Network (VPN) menggunakan tong besar(4) jaringan
pseudo-device, memungkinkan dua jaringan untuk digabungkan dengan aman. NS sshd_config(5)
opsi konfigurasi izinTerowongan mengontrol apakah server mendukung ini, dan pada apa
tingkat (lalu lintas lapisan 2 atau 3).
Contoh berikut akan menghubungkan jaringan klien 10.0.50.0/24 dengan jaringan jarak jauh
10.0.99.0/24 menggunakan koneksi point-to-point dari 10.1.1.1 sampai 10.1.1.2, asalkan
Server SSH yang berjalan di gateway ke jaringan jarak jauh, di 192.168.1.15, memungkinkannya.
Pada klien:
# ssh -f -w 0:1 192.168.1.15 benar
# ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
# rute tambahkan 10.0.99.0/24 10.1.1.2
Di server:
# ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252
# rute tambahkan 10.0.50.0/24 10.1.1.1
Akses klien dapat diatur dengan lebih baik melalui /root/.ssh/authorized_keys berkas (lihat di bawah)
dan IzinRootLogin pilihan server. Entri berikut akan mengizinkan koneksi pada
tong besar(4) perangkat 1 dari pengguna "jane" dan perangkat 2 dari pengguna "john", jika IzinRootLogin is
setel ke “forced-commands-only”:
tunnel="1",command="sh /etc/netstart tun1" ssh-rsa ... jane
tunnel="2",command="sh /etc/netstart tun2" ssh-rsa ... john
Karena pengaturan berbasis SSH memerlukan cukup banyak overhead, mungkin lebih cocok untuk
pengaturan sementara, seperti untuk VPN nirkabel. VPN yang lebih permanen lebih baik disediakan oleh
alat-alat seperti ipsectl(8) dan isakmpd(8).
LINGKUNGAN
ssh biasanya akan mengatur variabel lingkungan berikut:
DISPLAY Variabel DISPLAY menunjukkan lokasi server X11. Dia
diatur secara otomatis oleh ssh untuk menunjuk ke nilai bentuk "hostname:n",
di mana "nama host" menunjukkan host tempat shell berjalan, dan 'n' adalah
bilangan bulat 1. ssh menggunakan nilai khusus ini untuk meneruskan X11
koneksi melalui saluran aman. Pengguna biasanya tidak boleh menyetel
DISPLAY secara eksplisit, karena itu akan membuat koneksi X11 tidak aman
(dan akan meminta pengguna untuk menyalin otorisasi yang diperlukan secara manual
kue).
HOME Setel ke jalur direktori home pengguna.
LOGNAME Sinonim untuk PENGGUNA; diatur untuk kompatibilitas dengan sistem yang menggunakan ini
variabel.
MAIL Atur ke jalur kotak surat pengguna.
PATH Atur ke PATH default, seperti yang ditentukan saat kompilasi ssh.
SSH_ASKPASS Jika ssh membutuhkan frasa sandi, itu akan membaca frasa sandi dari
terminal saat ini jika dijalankan dari terminal. Jika ssh tidak memiliki
terminal yang terkait dengannya tetapi DISPLAY dan SSH_ASKPASS disetel, itu
akan menjalankan program yang ditentukan oleh SSH_ASKPASS dan membuka X11
jendela untuk membaca frasa sandi. Ini sangat berguna ketika
panggilan ssh dari .xsesi atau naskah terkait. (Perhatikan bahwa pada beberapa
mesin, mungkin perlu untuk mengarahkan ulang input dari / dev / null untuk
buat ini berhasil.)
SSH_AUTH_SOCK Mengidentifikasi jalur soket domain UNIX yang digunakan untuk berkomunikasi
agen.
SSH_CONNECTION Mengidentifikasi klien dan server ujung koneksi. variabel
berisi empat nilai yang dipisahkan oleh ruang: alamat IP klien, port klien
nomor, alamat IP server, dan nomor port server.
SSH_ORIGINAL_COMMAND Variabel ini berisi baris perintah asli jika perintah dipaksa
dieksekusi. Ini dapat digunakan untuk mengekstrak argumen asli.
SSH_TTY Ini diatur ke nama tty (jalur ke perangkat) yang terkait
dengan shell atau perintah saat ini. Jika sesi saat ini tidak memiliki tty,
variabel ini tidak disetel.
TZ Variabel ini diatur untuk menunjukkan zona waktu saat ini jika disetel
ketika daemon dimulai (yaitu daemon meneruskan nilai ke
koneksi baru).
USER Setel ke nama pengguna yang masuk.
Selain itu, ssh membaca ~/.ssh/lingkungan, dan menambahkan baris dengan format “VARNAME=value” ke
lingkungan jika file ada dan pengguna diizinkan untuk mengubah lingkungan mereka. Untuk
informasi lebih lanjut, lihat IzinPenggunaLingkungan pilihan dalam sshd_config(5).
Gunakan ssh online menggunakan layanan onworks.net
