ssh
זוהי הפקודה ssh שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
ssh - לקוח OpenSSH SSH (תוכנית התחברות מרחוק)
תַקצִיר
ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec] [-D [bind_address:]נמל]
[-E קובץ לוג] [-e escape_char] [-F configfile] [-I 11] [-i קובץ זהות]
[-L כתובת] [-l שם כניסה] [-m mac_spec] [-O ctl_cmd] [-o אוֹפְּצִיָה] [-p נמל]
[-Q query_option] [-R כתובת] [-S ctl_path] [-W המארח:נמל] [-w local_tun[:מרחוק_tun]]
[המשתמש@]המארח [הפקודה]
תיאור
ssh (לקוח SSH) היא תוכנה לכניסה למחשב מרוחק ולביצוע פקודות
במכונה מרוחקת. זה נועד לספק תקשורת מוצפנת מאובטחת בין שניים
מארחים לא מהימנים ברשת לא מאובטחת. חיבורי X11, יציאות TCP שרירותיות ו
ניתן להעביר שקעי תחום UNIX גם דרך הערוץ המאובטח.
ssh מתחבר ומתחבר לצוין המארח (עם אופציונלי המשתמש שֵׁם). המשתמש חייב
להוכיח את זהותו למכשיר המרוחק באמצעות אחת מכמה שיטות (ראה להלן).
If הפקודה מצוין, הוא מבוצע על המארח המרוחק במקום מעטפת כניסה.
האפשרויות הן כדלקמן:
-1 כוחות ssh לנסות פרוטוקול גרסה 1 בלבד.
-2 כוחות ssh לנסות פרוטוקול גרסה 2 בלבד.
-4 כוחות ssh להשתמש בכתובות IPv4 בלבד.
-6 כוחות ssh להשתמש בכתובות IPv6 בלבד.
-A מאפשר העברה של חיבור סוכן האימות. זה גם יכול להיות
מצוין על בסיס מארח בקובץ תצורה.
יש לאפשר העברת סוכן בזהירות. משתמשים עם יכולת לעקוף
ניתן לגשת להרשאות קובץ במארח המרוחק (עבור שקע UNIX-דומיין של הסוכן).
הסוכן המקומי דרך החיבור המועבר. תוקף לא יכול להשיג מפתח
חומר מהסוכן, אולם הם יכולים לבצע פעולות על המקשים המאפשרים
אותם כדי לאמת באמצעות הזהויות שנטענו בסוכן.
-a משבית העברה של חיבור סוכן האימות.
-b bind_address
השתמש bind_address במחשב המקומי ככתובת המקור של החיבור. רק
שימושי במערכות עם יותר מכתובת אחת.
-C מבקש דחיסה של כל הנתונים (כולל stdin, stdout, stderr ונתונים עבור
העבירו חיבורי תחום X11, TCP ו-UNIX). אלגוריתם הדחיסה הוא ה
אותו משתמש על ידי מופעלת דחיסת(1), וה"רמה" יכולה להיות נשלטת על ידי רמת דחיסה
אפשרות לגירסת פרוטוקול 1. רצוי דחיסה בקווי מודם ואחרים
חיבורים איטיים, אבל רק יאט דברים ברשתות מהירות. ברירת המחדל
ניתן להגדיר ערך על בסיס מארח מארח בקבצי התצורה; לראות את
דְחִיסָה אוֹפְּצִיָה.
-c cipher_spec
בוחר את מפרט הצופן להצפנת ההפעלה.
גרסת פרוטוקול 1 מאפשרת מפרט של צופן בודד. הערכים הנתמכים
הם "3des", "Blowfish" ו-"des". עבור פרוטוקול גרסה 2, cipher_spec הוא פסיק-
רשימה מופרדת של צפנים הרשומים לפי סדר העדפה. ראה את צופן מילת מפתח ב
ssh_config(5) למידע נוסף.
-D [bind_address:]נמל
מציין העברת יציאות מקומית "דינמית" ברמת האפליקציה. זה עובד לפי
הקצאת שקע להאזנה נמל בצד המקומי, אופציונלי קשור ל-
מפורט bind_address. בכל פעם שמתבצע חיבור ליציאה זו, החיבור
מועבר דרך הערוץ המאובטח, ולאחר מכן נעשה שימוש בפרוטוקול היישום
לקבוע לאן להתחבר מהמחשב המרוחק. כרגע ה- SOCKS4 ו
פרוטוקולי SOCKS5 נתמכים, ו ssh יפעל כשרת SOCKS. רק שורש יכול
להעביר יציאות מיוחסות. ניתן גם לציין העברת יציאות דינמית ב-
קובץ תצורה.
ניתן לציין כתובות IPv6 על ידי הוספת הכתובת בסוגריים מרובעים. רק
משתמש העל יכול להעביר יציאות מורשות. כברירת מחדל, היציאה המקומית קשורה
בהתאם ל יציאות שער הגדרה. עם זאת, מפורש bind_address יכול להיות
משמש לקשירת החיבור לכתובת ספציפית. ה bind_address של "מארח מקומי"
מציין שיציאת ההאזנה מיועדת לשימוש מקומי בלבד, בעודה ריקה
כתובת או '*' מציינת שהיציאה צריכה להיות זמינה מכל הממשקים.
-E קובץ לוג
הוסף יומני ניפוי באגים ל קובץ לוג במקום שגיאה רגילה.
-e escape_char
מגדיר את תו הבריחה עבור הפעלות עם pty (ברירת מחדל: '~'). הבריחה
תו מזוהה רק בתחילת שורה. דמות הבריחה
ואחריה נקודה ('.') סוגרת את החיבור; ואחריו control-Z משעה את
חיבור; ואחריו עצמו שולח את דמות הבריחה פעם אחת. הגדרת ה
תו ל-"אין" משבית את כל ה-escapes והופך את ההפעלה לשקופה לחלוטין.
-F configfile
מציין קובץ תצורה חלופי לכל משתמש. אם קובץ תצורה הוא
ניתן בשורת הפקודה, קובץ התצורה כלל המערכת (/ etc / ssh / ssh_config)
יתעלם. ברירת המחדל עבור קובץ התצורה לכל משתמש היא ~ / .ssh / config.
-f בקשות ssh כדי לעבור לרקע ממש לפני ביצוע הפקודה. זה שימושי אם
ssh הולך לבקש סיסמאות או ביטויי סיסמה, אבל המשתמש רוצה את זה ב-
רקע כללי. זה מרמז -n. הדרך המומלצת להפעיל תוכניות X11 מרחוק
האתר הוא עם משהו כמו ssh -f המארח x מונח.
אם ExitOnForwardFailure אפשרות התצורה מוגדרת ל"כן", ולאחר מכן לקוח
התחיל עם -f ימתין עד שכל העברות היציאות המרוחקות יועברו בהצלחה
הוקמה לפני שהציבה את עצמה ברקע.
-G סיבות ssh כדי להדפיס את התצורה שלו לאחר הערכה מארח ו להתאים בלוקים ו
יציאה.
-g מאפשר למארחים מרוחקים להתחבר ליציאות מועברות מקומיות. אם משתמשים בו על מרובה
חיבור, יש לציין אפשרות זו בתהליך המאסטר.
-I 11
ציין את הספרייה המשותפת PKCS#11 ssh צריך להשתמש כדי לתקשר עם PKCS#11
אסימון המספק את מפתח ה-RSA הפרטי של המשתמש.
-i קובץ זהות
בוחר קובץ שממנו זהות (מפתח פרטי) לאימות מפתח ציבורי
נקרא. ברירת המחדל היא ~/.ssh/identity עבור פרוטוקול גרסה 1, ו ~/.ssh/id_dsa,
~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 ו ~/.ssh/id_rsa עבור פרוטוקול גרסה 2.
ניתן גם לציין קובצי זהות על בסיס מארח בקובץ התצורה.
אפשר להיות מרובים -i אפשרויות (ומספר זהויות שצוינו ב
קבצי תצורה). אם לא צוינו במפורש אישורים על ידי
CertificateFile הוראה, ssh ינסה גם לטעון מידע אישור מ
שם הקובץ שהתקבל על ידי הוספה -cert.pub לשמות קבצי זהות.
-K מאפשר אימות והעברה מבוססי GSSAPI (האצלה) של GSSAPI
אישורים לשרת.
-k משבית העברה (האצלה) של אישורי GSSAPI לשרת.
-L [bind_address:]נמל:המארח:נמל מארח
-L [bind_address:]נמל:שקע_מרוחק
-L local_socket:המארח:נמל מארח
-L local_socket:שקע_מרוחק
מציין שהחיבורים ליציאת ה-TCP הנתונה או לשקע ה-Unix במקומון
המארח (לקוח) יש להעביר למארח וליציאה הנתונים, או לשקע יוניקס, ב-
צד מרוחק. זה עובד על ידי הקצאת שקע להאזנה ל-TCP נמל on
הצד המקומי, אופציונלי קשור למצוין bind_address, או לשקע יוניקס.
בכל פעם שמתבצע חיבור ליציאה או לשקע המקומי, החיבור הוא
מועבר דרך הערוץ המאובטח, ומתבצע חיבור לכל אחד מהם המארח נמל
נמל מארח, או שקע יוניקס שקע_מרוחק, מהמכונה המרוחקת.
ניתן לציין העברת יציאות גם בקובץ התצורה. רק ה
משתמש-על יכול להעביר יציאות מורשות. ניתן לציין כתובות IPv6 על ידי
צירוף הכתובת בסוגריים מרובעים.
כברירת מחדל, היציאה המקומית מאוגדת בהתאם ל- יציאות שער הגדרה.
עם זאת, מפורש bind_address ניתן להשתמש כדי לקשור את החיבור לספציפי
כתובת. ה bind_address של "localhost" מציין שיציאת ההאזנה תהיה קשורה
לשימוש מקומי בלבד, בעוד שכתובת ריקה או '*' מציינת שהיציאה צריכה להיות
זמין מכל הממשקים.
-l שם כניסה
מציין את המשתמש להתחבר כמו במחשב המרוחק. גם זה עשוי להיות מוגדר
על בסיס מארח בקובץ התצורה.
-M מציב את ssh הלקוח למצב "מאסטר" לשיתוף חיבורים. מרובות -M
אפשרויות מקומות ssh למצב "מאסטר" עם אישור נדרש לפני עבד
חיבורים מתקבלים. עיין בתיאור של ControlMaster in
ssh_config(5) לפרטים.
-m mac_spec
רשימה מופרדת בפסיקים של אלגוריתמים של MAC (קוד אימות הודעה), המצוינת ב-
סדר העדפה. ראה את מחשבי MAC מילת מפתח למידע נוסף.
-N אל תבצע פקודה מרחוק. זה שימושי רק להעברת יציאות.
-n מפנה סטדין מ / dev / null (למעשה, מונע קריאה מ-stdin). זה חייב
לשמש מתי ssh מופעל ברקע. טריק נפוץ הוא להשתמש בזה כדי להפעיל את X11
תוכניות במחשב מרוחק. לדוגמה, ssh -n shadows.cs.hut.fi Emacs & יצטרך
התחל emacs ב-shadows.cs.hut.fi, והחיבור X11 יהיה אוטומטי
מועבר בערוץ מוצפן. ה ssh התוכנית תוצב ברקע.
(זה לא עובד אם ssh צריך לבקש סיסמה או ביטוי סיסמה; ראה גם את
-f אוֹפְּצִיָה.)
-O ctl_cmd
שליטה בתהליך מאסטר של ריבוי חיבורים פעיל. כאשר -O האפשרות היא
שצוין, ה ctl_cmd הטיעון מתפרש ומועבר לתהליך המאסטר.
פקודות חוקיות הן: "בדוק" (בדוק שתהליך המאסטר פועל), "העבר"
(בקש העברות ללא ביצוע פקודה), "בטל" (בטל העברות),
"יציאה" (בקש מהמאסטר לצאת), ו"עצור" (בקש מהמאסטר לעצור
קבלת בקשות ריבוי נוספות).
-o אוֹפְּצִיָה
ניתן להשתמש כדי לתת אפשרויות בפורמט המשמש בקובץ התצורה. זה
שימושי לציון אפשרויות שעבורן אין דגל שורת פקודה נפרד. ל
פרטים מלאים של האפשרויות המפורטות להלן, והערכים האפשריים שלהן, ראה
ssh_config(5).
AddKeysToAgent
כתובת משפחה
BatchMode
BindAddress
CanonicalDomains
CanonicalizeFallbackLocal
CanonicalizeHostname
CanonicalizeMaxDots
CanonicalizePermittedCNAMEs
CertificateFile
ChallengeResponseAuthication
CheckHostIP
צופן
צופן
ClearAllForwardings
דְחִיסָה
רמת דחיסה
חיבור ניסיונות
ConnectTimeout
ControlMaster
ControlPath
ControlPersist
DynamicForward
EscapeChar
ExitOnForwardFailure
FingerprintHash
Forward Agent
ForwardX11
ForwardX11Timeout
קדימה X11 אמון
יציאות שער
GlobalKnownHostsFile
GSSAPIAאימות
GSSAPIDelegateCredentials
HashKnownHosts
מארח
Hostbased Authentication
HostbasedKeyTypes
HostKeyAlgorithms
HostKeyAlias
שם מארח
IdentityFile
זהויות בלבד
IPQoS
KbdInteractiveAuthentication
KbdInteractiveDevices
אלגוריתמים של קקס
LocalCommand
LocalForward
LogLevel
מחשבי MAC
להתאים
NoHostAuthenticationForLocalhost
NumberOfPasswordPrompts
אימות סיסמה
PermitLocalCommand
ספק PKCS11
נָמָל
אימותים מועדפים
פרוטוקול
ProxyCommand
ProxyUseFdpass
PubkeyAcceptedKeyTypes
PubkeyAuthentication
RekeyLimit
RemoteForward
RequestTTY
RhostsRSAAאימות
RSAAאימות
SendEnv
ServerAliveInterval
ServerAliveCountMax
StreamLocalBindMask
StreamLocalBindUnlink
בדיקת StrictHostKeyChecking
TCPKeepAlive
מנהרה
TunnelDevice
UpdateHostKeys
השתמש ב-PrivilegedPort
משתמש
UserKnownHostsFile
VerifyHostKeyDNS
VisualHostKey
XAuthLocation
-p נמל
יציאה לחיבור אליה במארח המרוחק. ניתן לציין זאת על בסיס מארח ב
קובץ התצורה.
-Q query_option
שאילתות ssh עבור האלגוריתמים הנתמכים עבור גרסה 2 שצוינה. הזמין
תכונות הן: צופן (צפנים סימטריים נתמכים), צופן-אישור (נתמך סימטרי
צפנים התומכים בהצפנה מאומתת), מק (שלמות ההודעה נתמכת
קודים), kex (אלגוריתמים להחלפת מפתחות), מפתח (סוגי מפתח), אישור מפתח (מפתח תעודה
סוגים), מפתח-פשוט (סוגי מפתחות ללא אישור), ו גרסת פרוטוקול (נתמך ב-SSH
גרסאות פרוטוקול).
-q מצב שקט. גורם לדיכוי רוב הודעות האזהרה והאבחון.
-R [bind_address:]נמל:המארח:נמל מארח
-R [bind_address:]נמל:local_socket
-R שקע_מרוחק:המארח:נמל מארח
-R שקע_מרוחק:local_socket
מציין את החיבורים ליציאת ה-TCP הנתונה או לשקע ה-Unix בשלט
מארח (שרת) יש להעביר למארח וליציאה הנתונים, או לשקע יוניקס, ב-
צד מקומי. זה עובד על ידי הקצאת שקע להאזנה ל-TCP נמל או ל
שקע יוניקס בצד המרוחק. בכל פעם שמתבצע חיבור ליציאה זו או
שקע יוניקס, החיבור מועבר דרך הערוץ המאובטח, וחיבור
עשוי לשניהם המארח נמל נמל מארח, או local_socket, מהמכונה המקומית.
ניתן לציין העברת יציאות גם בקובץ התצורה. יציאות מיוחסות
ניתן להעביר רק בעת כניסה כשורש במחשב המרוחק. כתובות IPv6
ניתן לציין על ידי צירוף הכתובת בסוגריים מרובעים.
כברירת מחדל, שקעי האזנה של TCP בשרת יהיו קשורים ל-loopback
ממשק בלבד. ניתן לעקוף זאת על ידי ציון א bind_address. ריק
bind_address, או הכתובת '*', מציינת שהשקע השלט רחוק צריך להאזין
כל הממשקים. ציון שלט רחוק bind_address יצליח רק אם השרת
יציאות שער האפשרות מופעלת (ראה sshd_config(5)).
אם נמל הארגומנט הוא '0', יציאת ההאזנה תוקצה באופן דינמי ב-
שרת ודווח ללקוח בזמן הריצה. בשימוש יחד עם -O קָדִימָה
היציאה שהוקצתה תודפס לפלט הסטנדרטי.
-S ctl_path
מציין את המיקום של שקע בקרה לשיתוף חיבור, או את המחרוזת
"ללא" כדי להשבית את שיתוף החיבורים. עיין בתיאור של ControlPath ו
ControlMaster in ssh_config(5) לפרטים.
-s עשוי לשמש לבקשת הפעלת תת-מערכת במערכת המרוחקת. תת-מערכות
להקל על השימוש ב-SSH כתחבורה מאובטחת עבור יישומים אחרים (למשל
sftp(1)). תת-המערכת מוגדרת כפקודה מרחוק.
-T השבת הקצאה פסאודו-טרמינלית.
-t כפה הקצאה פסאודו-טרמינלית. זה יכול לשמש לביצוע מסך שרירותי-
תוכניות מבוססות על מכונה מרוחקת, שיכולות להיות שימושיות מאוד, למשל בעת יישום
שירותי תפריט. מרובות -t אפשרויות כופה הקצאת tty, גם אם ssh אין לו מקומי
tty.
-V הצג את מספר הגרסה וצא.
-v מצב מילולי. גורם ל ssh כדי להדפיס הודעות איתור באגים על התקדמותה. זה
מועיל באיתור באגים בחיבור, אימות ובעיות תצורה.
מְרוּבֶּה -v אפשרויות מגדילות את מידת המלל. המקסימום הוא 3.
-W המארח:נמל
מבקש להעביר קלט ופלט סטנדרטיים על הלקוח המארח on נמל
דרך הערוץ המאובטח. מרמז -N, -T, ExitOnForwardFailure ו
ClearAllForwardings.
-w local_tun[:מרחוק_tun]
מבקש העברת מכשיר המנהרה עם המצוין חָבִית גְדוֹלָה(4) מכשירים בין
לקוח (local_tun) והשרת (מרחוק_tun).
ניתן לציין את המכשירים באמצעות מזהה מספרי או מילת המפתח "כל", המשתמשת ב-
מכשיר המנהרה הזמין הבא. אם מרחוק_tun לא צוין, ברירת המחדל היא "כל".
ראה גם מנהרה ו TunnelDevice הנחיות ב ssh_config(5). אם ה מנהרה
ההנחיה לא מוגדרת, היא מוגדרת למצב ברירת המחדל של המנהרה, שהוא "נקודה לנקודה".
-X מאפשר העברה של X11. ניתן לציין זאת גם על בסיס מארח ב-a
קובץ תצורה.
יש להפעיל העברת X11 בזהירות. משתמשים עם יכולת לעקוף
הרשאות קובץ במארח המרוחק (עבור מסד הנתונים של הרשאות X של המשתמש).
גש לתצוגה המקומית X11 דרך החיבור המועבר. תוקף עלול אז
להיות מסוגל לבצע פעילויות כגון ניטור הקשות.
מסיבה זו, העברת X11 כפופה להגבלות של הרחבת X11 SECURITY
כברירת מחדל. אנא עיין ב ssh -Y אפשרות וה קדימה X11 אמון הוראה
in ssh_config(5) למידע נוסף.
(ספציפי לדביאן: העברה של X11 אינה כפופה להרחבת X11 SECURITY
הגבלות כברירת מחדל, כי יותר מדי תוכניות כרגע קורסות במצב זה.
הגדר את קדימה X11 אמון אפשרות "לא" כדי לשחזר את ההתנהגות במעלה הזרם. זֶה
עשוי להשתנות בעתיד בהתאם לשיפורים בצד הלקוח.)
-x משבית העברת X11.
-Y מאפשר העברה מהימנה של X11. שילוח X11 מהימן אינו כפוף ל-
בקרי הרחבת X11 SECURITY.
(ספציפי לדביאן: אפשרות זו אינה עושה דבר בתצורת ברירת המחדל: היא כן
שווה ערך ל "קדימה X11 אמון כן", שהיא ברירת המחדל כמתואר לעיל. מַעֲרֶכֶת
מה היא קדימה X11 אמון אפשרות "לא" כדי לשחזר את ההתנהגות במעלה הזרם. זה אולי
שינוי בעתיד בהתאם לשיפורים בצד הלקוח.)
-y שלח מידע יומן באמצעות syslog(3) מודול מערכת. כברירת מחדל מידע זה
נשלח אל stderr.
ssh עשוי לקבל בנוסף נתוני תצורה מקובץ תצורה לכל משתמש ו-a
קובץ תצורה כלל המערכת. פורמט הקובץ ואפשרויות התצורה מתוארות ב
ssh_config(5).
אישור
לקוח OpenSSH SSH תומך בפרוטוקולי SSH 1 ו-2. ברירת המחדל היא להשתמש בפרוטוקול 2
רק, אם כי ניתן לשנות זאת באמצעות פרוטוקול אפשרות ב ssh_config(5) או ה -1 ו -2
אפשרויות (ראה למעלה). אין להשתמש בפרוטוקול 1 והוא מוצע רק כדי לתמוך בדור הקודם
מכשירים. הוא סובל ממספר חולשות קריפטוגרפיות ואינו תומך ברבות מהן
התכונות המתקדמות הזמינות עבור פרוטוקול 2.
השיטות הזמינות לאימות הן: אימות מבוסס GSSAPI, מבוסס מארח
אימות, אימות מפתח ציבורי, אימות תגובת אתגר וסיסמה
אימות. עם זאת, מנסים שיטות אימות בסדר שצוין לעיל
אימותים מועדפים ניתן להשתמש כדי לשנות את סדר ברירת המחדל.
אימות מבוסס מארח פועל באופן הבא: אם המכשיר שממנו המשתמש מתחבר מופיע ברשימה
in /etc/hosts.equiv or /etc/ssh/shosts.equiv במחשב המרוחק, ושמות המשתמש הם
זהה משני הצדדים, או אם הקבצים ~/.rhosts or ~/.shosts קיימים בבית המשתמש
ספרייה במחשב המרוחק ומכילה שורה המכילה את שם מחשב הלקוח
ואת שם המשתמש באותו מחשב, המשתמש נחשב לכניסה. בנוסף,
השרת צריך להיות מסוגל לאמת את מפתח המארח של הלקוח (ראה את התיאור של
/etc/ssh/ssh_known_hosts ו ~/.ssh/known_hosts, למטה) כדי לאפשר כניסה. זֶה
שיטת אימות סוגרת חורי אבטחה עקב זיוף IP, זיוף DNS וניתוב
זיוף. [הערה למנהל: /etc/hosts.equiv, ~/.rhosts, וה-rlogin/rsh
פרוטוקול באופן כללי, אינם מאובטחים מטבעם ויש להשבית אותם אם רוצים אבטחה.]
אימות מפתח ציבורי פועל באופן הבא: הסכימה מבוססת על קריפטוגרפיה של מפתח ציבורי,
באמצעות מערכות קריפטו שבהן ההצפנה והפענוח נעשות באמצעות מפתחות נפרדים, וזהו
בלתי אפשרי לגזור את מפתח הפענוח ממפתח ההצפנה. הרעיון הוא שכל משתמש
יוצר זוג מפתחות ציבורי/פרטי למטרות אימות. השרת מכיר את הציבור
מפתח, ורק המשתמש יודע את המפתח הפרטי. ssh מיישמת אימות מפתח ציבורי
פרוטוקול באופן אוטומטי, באמצעות אחד מאלגוריתמים DSA, ECDSA, Ed25519 או RSA. ההיסטוריה
קטע של SSL(8) (במערכות שאינן OpenBSD, ראה
http://www.openbsd.org/cgi-bin/man.cgi?query=ssl&sektion=8#HISTORY) מכיל בריף
דיון באלגוריתמים של DSA ו-RSA.
הקובץ ~/.ssh/authorized_keys מפרט את המפתחות הציבוריים המותרים לכניסה.
כאשר המשתמש מתחבר, ה- ssh התוכנית אומרת לשרת באיזה זוג מפתחות הוא ירצה להשתמש
לצורך אימות. הלקוח מוכיח שיש לו גישה למפתח הפרטי ולשרת
בודק שהמפתח הציבורי המתאים מורשה לקבל את החשבון.
המשתמש יוצר את צמד המפתחות שלו על ידי ריצה ssh-keygen(1). זה מאחסן את המפתח הפרטי
~/.ssh/identity (פרוטוקול 1), ~/.ssh/id_dsa (DSA), ~/.ssh/id_ecdsa (ECDSA),
~/.ssh/id_ed25519 (Ed25519), או ~/.ssh/id_rsa (RSA) ומאחסן את המפתח הציבורי ב
~/.ssh/identity.pub (פרוטוקול 1), ~/.ssh/id_dsa.pub (DSA), ~/.ssh/id_ecdsa.pub (ECDSA),
~/.ssh/id_ed25519.pub (Ed25519), או ~ / .ssh / id_rsa.pub (RSA) בספריית הבית של המשתמש.
לאחר מכן המשתמש צריך להעתיק את המפתח הציבורי אל ~/.ssh/authorized_keys בספריית הבית שלו
במכשיר המרוחק. ה מפתחות_מורשים הקובץ תואם את הקובץ המקובל ~/.rhosts
קובץ, ויש לו מפתח אחד בכל שורה, אם כי השורות יכולות להיות ארוכות מאוד. לאחר מכן, המשתמש יכול
להיכנס מבלי לתת את הסיסמה.
גרסה של אימות מפתח ציבורי זמינה בצורה של אישור
אימות: במקום קבוצה של מפתחות ציבוריים/פרטיים, נעשה שימוש באישורים חתומים. זֶה
יש את היתרון שניתן להשתמש ברשות אישורים מהימנה אחת במקום רבות
מפתחות ציבוריים/פרטיים. עיין בסעיף אישורים של ssh-keygen(1) למידע נוסף.
הדרך הנוחה ביותר להשתמש במפתח ציבורי או אימות אישור עשויה להיות באמצעות
סוכן אימות. לִרְאוֹת ssh- סוכן(1) ו (אופציונלי) את AddKeysToAgent הנחיה ב
ssh_config(5) למידע נוסף.
אימות תגובת אתגר פועל באופן הבא: השרת שולח הודעה שרירותית
טקסט "אתגר", ומבקש תגובה. דוגמאות לאימות אתגר-תגובה
כולל אימות BSD (ראה login.conf(5)) ו-PAM (כמה מערכות שאינן OpenBSD).
לבסוף, אם שיטות אימות אחרות נכשלות, ssh מבקש מהמשתמש להזין סיסמה. ה
הסיסמה נשלחת למארח המרוחק לבדיקה; עם זאת, מכיוון שכל התקשורת היא
מוצפן, לא ניתן לראות את הסיסמה על ידי מישהו שמאזין ברשת.
ssh מתחזק ובודק באופן אוטומטי מסד נתונים המכיל זיהוי עבור כל המארחים אותו
שימש אי פעם עם. מפתחות מארח מאוחסנים ב ~/.ssh/known_hosts בבית המשתמש
מַדרִיך. בנוסף, הקובץ /etc/ssh/ssh_known_hosts נבדק אוטומטית עבור
מארחים ידועים. כל מארחים חדשים מתווספים אוטומטית לקובץ של המשתמש. אם של מארח
זיהוי אי פעם משתנה, ssh מזהיר על כך ומשבית את אימות הסיסמה ל
למנוע זיוף שרתים או התקפות "אדם באמצע", שאחרת יכול היה להתרגל אליהם
לעקוף את ההצפנה. ה בדיקת StrictHostKeyChecking ניתן להשתמש באפשרות כדי לשלוט בכניסות
למכונות שמפתח המארח שלהן אינו ידוע או השתנה.
כאשר זהות המשתמש התקבלה על ידי השרת, השרת מפעיל את
ניתנה פקודה בהפעלה לא אינטראקטיבית או, אם לא צוינה פקודה, מתחבר
המכונה ונותנת למשתמש מעטפת רגילה כהפעלה אינטראקטיבית. כל תקשורת
עם הפקודה מרחוק או המעטפת יוצפנו אוטומטית.
אם מתבקשת הפעלה אינטראקטיבית ssh כברירת מחדל יבקש רק פסאודו-טרמינל
(pty) עבור הפעלות אינטראקטיביות כאשר ללקוח יש אחד. הדגלים -T ו -t ניתן להשתמש בו כדי
לעקוף את ההתנהגות הזו.
אם הוקצה פסאודו-טרמינל, המשתמש רשאי להשתמש בתווי הבריחה המצוינים להלן.
אם לא הוקצה פסאודו-טרמינל, ההפעלה היא שקופה וניתן להשתמש בה
להעביר נתונים בינאריים בצורה מהימנה. ברוב המערכות, הגדרת תו הבריחה ל"אין" תעשה זאת
גם להפוך את ההפעלה לשקופה גם אם נעשה שימוש ב-tty.
ההפעלה מסתיימת כאשר הפקודה או המעטפת במכונה המרוחק יוצאת וכל X11 ו
חיבורי TCP נסגרו.
בריחה תווים
כאשר התבקש פסאודו-טרמינל, ssh תומך במספר פונקציות דרך
שימוש בדמות בריחה.
ניתן לשלוח תו טילדה בודד בתור ~~ או על ידי מעקב אחר הטילדה על ידי דמות אחרת
מאלה המתוארים להלן. דמות הבריחה חייבת תמיד לעקוב אחרי קו חדש כדי להיות
מתפרש כמיוחד. ניתן לשנות את תו הבריחה בקובצי תצורה באמצעות
מה היא EscapeChar הוראת תצורה או בשורת הפקודה על ידי ה -e אוֹפְּצִיָה.
ה-escapes הנתמכים (בהנחה שברירת המחדל '~') הם:
~. לְנַתֵק.
~^Z רקע ssh.
~# רשימת חיבורים שהועברו.
~& רקע ssh ביציאה כאשר ממתינים לחיבור המועבר / הפעלות X11 אל
לבטל, לסיים.
~? הצג רשימה של תווי בריחה.
~B שלח BREAK למערכת המרוחקת (שימושי רק אם השותף תומך בה).
~C פתח את שורת הפקודה. נכון לעכשיו זה מאפשר הוספת העברת יציאות באמצעות ה
-L, -R ו -D אפשרויות (ראה למעלה). זה גם מאפשר ביטול של קיים
שילוח נמלים עם -קל[bind_address:]נמל עבור מקומיים, -KR[bind_address:]נמל ל
מרחוק ו -KD[bind_address:]נמל עבור העברת יציאות דינמית. !הפקודה מאפשר
משתמש לבצע פקודה מקומית אם PermitLocalCommand האפשרות מופעלת ב
ssh_config(5). עזרה בסיסית זמינה, באמצעות -h אוֹפְּצִיָה.
~R בקש מפתח מחדש של החיבור (שימושי רק אם העמית תומך בו).
~V הפחת את מידת המלל (LogLevel) כאשר שגיאות נכתבות ל-stderr.
~v הגדל את מידת המלל (LogLevel) כאשר שגיאות נכתבות ל-stderr.
TCP העברה
העברה של חיבורי TCP שרירותיים דרך הערוץ המאובטח יכול להיות מוגדר גם ב-
שורת הפקודה או בקובץ תצורה. יישום אפשרי אחד של העברת TCP הוא
חיבור מאובטח לשרת דואר; אחר עובר דרך חומות אש.
בדוגמה שלהלן, אנו מסתכלים על הצפנת תקשורת בין לקוח IRC לשרת,
למרות ששרת ה-IRC אינו תומך ישירות בתקשורת מוצפנת. זה עובד
כדלקמן: המשתמש מתחבר למארח המרוחק באמצעות ssh, ציון יציאה שיש להשתמש אליה
להעביר חיבורים לשרת המרוחק. לאחר מכן ניתן להתחיל את השירות
אשר אמור להיות מוצפן במחשב הלקוח, חיבור לאותה יציאה מקומית, ו ssh
יצפין ויעביר את החיבור.
הדוגמה הבאה מעבירה הפעלת IRC ממחשב הלקוח "127.0.0.1" (localhost) ל-
שרת מרוחק "server.example.com":
$ ssh -f -L 1234:localhost:6667 server.example.com שינה 10
$ irc -c '#users' -p 1234 pinky 127.0.0.1
זה מעביר חיבור לשרת IRC "server.example.com", ומצטרף לערוץ "#משתמשים",
כינוי "פינקי", באמצעות יציאה 1234. זה לא משנה באיזו יציאה משתמשים, כל עוד זה
גדול מ-1023 (זכור, רק root יכול לפתוח שקעים ביציאות מורשות) ואינו
מתנגש עם יציאות שכבר נמצאות בשימוש. החיבור מועבר ליציאה 6667 ב-
שרת מרוחק, מכיוון שזו היציאה הסטנדרטית לשירותי IRC.
השמיים -f רקע אפשרויות ssh והפקודה מרחוק "שינה 10" צוינה כדי לאפשר
משך הזמן (10 שניות, בדוגמה) להפעלת השירות שאותו יש לבצע מנהור.
אם לא נוצרו חיבורים בזמן שצוין, ssh ייצא.
X11 העברה
אם ForwardX11 המשתנה מוגדר ל"כן" (או ראה את התיאור של -X, -x, ו -Y
אפשרויות למעלה) והמשתמש משתמש ב-X11 (משתנה הסביבה DISPLAY מוגדר), ה
החיבור לתצוגה X11 מועבר אוטומטית לצד המרוחק בצורה כזו
שכל תוכנת X11 שהתחילה מהקליפה (או הפקודה) תעבור דרך המוצפנת
ערוץ, והחיבור לשרת X האמיתי יתבצע מהמחשב המקומי. ה
למשתמש אסור להגדיר ידנית את התצוגה. ניתן להגדיר העברה של חיבורי X11
שורת הפקודה או בקבצי תצורה.
ערך ה-DISPLAY שנקבע על ידי ssh יצביע על מכונת השרת, אבל עם מספר תצוגה
גדול מאפס. זה נורמלי, וקורה בגלל ssh יוצר שרת "פרוקסי" X על
מכונת השרת להעברת החיבורים דרך הערוץ המוצפן.
ssh גם יגדיר באופן אוטומטי נתוני Xauthority במחשב השרת. למטרה זו,
הוא יפיק קובץ cookie של הרשאה אקראית, יאחסן אותו ב-Xauthority בשרת, וכן
ודא שכל החיבורים המועברים נושאים את ה-cookie הזה ומחליפים אותו ב-cookie האמיתי
כאשר החיבור נפתח. קובץ Cookie האימות האמיתי לעולם לא נשלח לשרת
מכונה (ולא נשלחות עוגיות במישור).
אם Forward Agent המשתנה מוגדר ל"כן" (או ראה את התיאור של -A ו -a
אפשרויות למעלה) והמשתמש משתמש בסוכן אימות, החיבור לסוכן הוא
מועבר אוטומטית לצד המרוחק.
אימות HOST מפתחות
בעת התחברות לשרת בפעם הראשונה, טביעת אצבע של המפתח הציבורי של השרת היא
מוצג למשתמש (אלא אם כן האפשרות בדיקת StrictHostKeyChecking בוטל).
ניתן לקבוע טביעות אצבע באמצעות ssh-keygen(1):
$ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
אם טביעת האצבע כבר ידועה, ניתן להתאים אותה ולקבל את המפתח או
נִדחֶה. אם זמינות רק טביעות אצבע מדור קודם (MD5) עבור השרת, ה ssh-keygen(1)
-E ניתן להשתמש באפשרות כדי לשדרג לאחור את אלגוריתם טביעות האצבע כך שיתאים.
בגלל הקושי להשוות מפתחות מארח רק על ידי הסתכלות על מחרוזות טביעות אצבע,
יש גם תמיכה להשוואת מפתחות מארח חזותית, באמצעות אקראי אמנות. על ידי הגדרת ה
VisualHostKey אפשרות "כן", גרפיקת ASCII קטנה מוצגת בכל כניסה ל-a
שרת, לא משנה אם ההפעלה עצמה היא אינטראקטיבית או לא. על ידי לימוד התבנית א
שרת ידוע מייצר, משתמש יכול בקלות לגלות שמפתח המארח השתנה כאשר א
מוצג דפוס שונה לחלוטין. כי הדפוסים הללו אינם חד משמעיים
עם זאת, דפוס שנראה דומה לדפוס הזכור נותן רק טוב
הסתברות שמפתח המארח זהה, לא הוכחה מובטחת.
כדי לקבל רשימה של טביעות האצבע יחד עם האמנות האקראית שלהם עבור כל המארחים הידועים, ה
ניתן להשתמש בשורת הפקודה הבאה:
$ ssh-keygen -lv -f ~/.ssh/known_hosts
אם טביעת האצבע אינה ידועה, קיימת שיטת אימות חלופית: SSH
טביעות אצבע מאומתות על ידי DNS. רשומת משאבים נוספת (RR), SSHFP, מתווספת ל-a
zonefile והלקוח המחבר מסוגלים להתאים את טביעת האצבע לזו של המפתח
הציג.
בדוגמה זו, אנו מחברים לקוח לשרת, "host.example.com". ה-SSHFP
יש להוסיף תחילה רשומות משאבים ל-zonefile עבור host.example.com:
$ ssh-keygen -r host.example.com.
את קווי הפלט יהיה צורך להוסיף ל-zonefile. כדי לבדוק שהאזור עונה
שאילתות טביעת אצבע:
$ dig -t SSHFP host.example.com
לבסוף הלקוח מתחבר:
$ ssh -o "VerifyHostKeyDNS ask" host.example.com
[...]
נמצאה טביעת אצבע תואמת של מפתח המארח ב-DNS.
האם אתה בטוח שברצונך להמשיך להתחבר (כן / לא)?
ראה VerifyHostKeyDNS אפשרות ב ssh_config(5) למידע נוסף.
מבוסס SSH וירטואלי פְּרָטִי רשתות
ssh מכיל תמיכה עבור מנהור רשת וירטואלית פרטית (VPN) באמצעות חָבִית גְדוֹלָה(4) רשת
פסאודו-מכשיר, המאפשר חיבור מאובטח לשתי רשתות. ה sshd_config(5)
אפשרות תצורה PermitTunnel שולט אם השרת תומך בכך, ובמה
רמה (תנועה בשכבה 2 או 3).
הדוגמה הבאה תחבר את רשת הלקוח 10.0.50.0/24 לרשת מרוחקת
10.0.99.0/24 באמצעות חיבור נקודה לנקודה מ-10.1.1.1 עד 10.1.1.2, בתנאי שה-
שרת SSH הפועל על השער לרשת המרוחקת, בכתובת 192.168.1.15, מאפשר זאת.
על הלקוח:
# ssh -f -w 0:1 192.168.1.15 נכון
# ifconfig tun0 10.1.1.1 10.1.1.2 מסיכת רשת 255.255.255.252
# הוספת מסלול 10.0.99.0/24 10.1.1.2
בשרת:
# ifconfig tun1 10.1.1.2 10.1.1.1 מסיכת רשת 255.255.255.252
# הוספת מסלול 10.0.50.0/24 10.1.1.1
גישת לקוח עשויה להיות מכווננת בצורה עדינה יותר באמצעות /root/.ssh/authorized_keys קובץ (ראה למטה)
ו PermitRootLogin אפשרות שרת. הערך הבא יאפשר חיבורים
חָבִית גְדוֹלָה(4) מכשיר 1 מהמשתמש "ג'יין" ובמכשיר tun 2 מהמשתמש "ג'ון", אם PermitRootLogin is
מוגדר ל-"כפויות-פקודות בלבד":
tunnel="1",command="sh /etc/netstart tun1" ssh-rsa ... jane
tunnel="2",command="sh /etc/netstart tun2" ssh-rsa ... john
מכיוון שהגדרה מבוססת SSH כרוכה בכמות נכבדת של תקורה, היא עשויה להתאים יותר
הגדרות זמניות, כגון עבור VPNs אלחוטיים. VPNs קבועים יותר מסופקים טוב יותר על ידי
כלים כגון ipsecctl(8) ו isakmpd(8).
הסביבה
ssh יגדיר בדרך כלל את משתני הסביבה הבאים:
DISPLAY המשתנה DISPLAY מציין את מיקומו של שרת X11. זה
מוגדר אוטומטית על ידי ssh להצביע על ערך של הצורה "שם מארח:n",
כאשר "שם מארח" מציין את המארח שבו המעטפת פועלת, ו-'n' הוא
מספר שלם ≥ 1. ssh משתמש בערך המיוחד הזה כדי להעביר את X11
חיבורים דרך הערוץ המאובטח. המשתמש בדרך כלל לא אמור להגדיר
הצג באופן מפורש, מכיוון שזה יהפוך את חיבור ה-X11 לא מאובטח
(וידרוש מהמשתמש להעתיק ידנית כל הרשאה נדרשת
עוגיות).
HOME הגדר לנתיב של ספריית הבית של המשתמש.
LOGNAME מילה נרדפת ל-USER; מוגדר לתאימות עם מערכות המשתמשות בזה
משתנה
MAIL הגדר לנתיב תיבת הדואר של המשתמש.
PATH הגדר ל-PATH ברירת המחדל, כפי שצוין בעת ההידור ssh.
SSH_ASKPASS אם ssh צריך ביטוי סיסמה, הוא יקרא את ביטוי הסיסמה מה-
מסוף נוכחי אם הוא הופעל ממסוף. אם ssh אין
מסוף המשויך אליו אבל DISPLAY ו-SSH_ASKPASS מוגדרים, זה
יבצע את התוכנית שצוינה על ידי SSH_ASKPASS ויפתח X11
חלון לקריאת ביטוי הסיסמה. זה שימושי במיוחד כאשר
קוראים ssh מ .xsession או תסריט קשור. (שים לב שבחלק מהן
מכונות שייתכן שיהיה צורך להפנות את הקלט מהן / dev / null ל
לגרום לזה לעבוד.)
SSH_AUTH_SOCK מזהה את הנתיב של שקע תחום UNIX המשמש לתקשורת עם
הסוכן.
SSH_CONNECTION מזהה את קצוות הלקוח והשרת של החיבור. המשתנה
מכיל ארבעה ערכים מופרדים ברווחים: כתובת IP של הלקוח, יציאת הלקוח
מספר, כתובת IP של שרת ומספר יציאת שרת.
SSH_ORIGINAL_COMMAND משתנה זה מכיל את שורת הפקודה המקורית אם פקודה מאולצת
מוצא להורג. ניתן להשתמש בו כדי לחלץ את הטיעונים המקוריים.
SSH_TTY זה מוגדר לשם ה-tty (הנתיב למכשיר) המשויך
עם הקליפה או הפקודה הנוכחית. אם להפעלה הנוכחית אין tty,
משתנה זה אינו מוגדר.
TZ משתנה זה מוגדר כדי לציין את אזור הזמן הנוכחי אם הוא הוגדר
כאשר הדמון הופעל (כלומר הדמון מעביר את הערך ל
קשרים חדשים).
USER הגדר לשם המשתמש המתחבר.
בנוסף, ssh קורא ~/.ssh/environment, ומוסיף שורות בפורמט "VARNAME=value" ל
הסביבה אם הקובץ קיים והמשתמשים רשאים לשנות את הסביבה שלהם. ל
מידע נוסף, ראה את PermitUserEnvironment אפשרות ב sshd_config(5).
השתמש ב-ssh באינטרנט באמצעות שירותי onworks.net
