ssh
ນີ້ແມ່ນຄໍາສັ່ງ ssh ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍໆບ່ອນເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
ssh - ລູກຄ້າ OpenSSH SSH (ໂຄງການເຂົ້າສູ່ລະບົບທາງໄກ)
ສະຫຼຸບສັງລວມ
ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec] [-D [bind_address:]port]
[-E log_file] [-e escape_char] [-F configfile] [-I pkcs11] [-i Identity_file]
[-L ທີ່ຢູ່] [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o ທາງເລືອກ] [-p port]
[-Q query_option] [-R ທີ່ຢູ່] [-S ctl_path] [-W ເຈົ້າພາບ:port] [-w local_tun[:remote_tun]]
[ຜູ້ໃຊ້@]hostname [ຄໍາສັ່ງ]
ລາຍລະອຽດ
ssh (SSH client) ແມ່ນໂຄງການສໍາລັບການເຂົ້າສູ່ລະບົບເຄື່ອງຫ່າງໄກສອກຫຼີກແລະສໍາລັບການປະຕິບັດຄໍາສັ່ງ
ຢູ່ໃນເຄື່ອງຫ່າງໄກສອກຫຼີກ. ມັນມີຈຸດປະສົງເພື່ອສະຫນອງການສື່ສານເຂົ້າລະຫັດທີ່ປອດໄພລະຫວ່າງສອງຄົນ
ໂຮສທີ່ບໍ່ເຊື່ອຖືຜ່ານເຄືອຂ່າຍທີ່ບໍ່ປອດໄພ. ການເຊື່ອມຕໍ່ X11, ພອດ TCP ທີ່ມັກແລະ
ເຕົ້າຮັບໂດເມນ UNIX ຍັງສາມາດສົ່ງຕໍ່ຜ່ານຊ່ອງທີ່ປອດໄພໄດ້.
ssh ເຊື່ອມຕໍ່ແລະເຂົ້າສູ່ລະບົບທີ່ລະບຸໄວ້ hostname (ມີທາງເລືອກ ຜູ້ໃຊ້ ຊື່). ຜູ້ໃຊ້ຕ້ອງ
ພິສູດຕົວຕົນຂອງລາວກັບເຄື່ອງຫ່າງໄກສອກຫຼີກໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍວິທີການ (ເບິ່ງຂ້າງລຸ່ມນີ້).
If ຄໍາສັ່ງ ຖືກລະບຸໄວ້, ມັນຖືກປະຕິບັດຢູ່ໃນໂຮດຫ່າງໄກສອກຫຼີກແທນທີ່ຈະເປັນແກະເຂົ້າສູ່ລະບົບ.
ຕົວເລືອກມີດັ່ງນີ້:
-1 ບັງຄັບ ssh ເພື່ອລອງໃຊ້ໂປຣໂຕຄໍເວີຊັ່ນ 1 ເທົ່ານັ້ນ.
-2 ບັງຄັບ ssh ເພື່ອລອງໃຊ້ໂປຣໂຕຄໍເວີຊັ່ນ 2 ເທົ່ານັ້ນ.
-4 ບັງຄັບ ssh ເພື່ອໃຊ້ທີ່ຢູ່ IPv4 ເທົ່ານັ້ນ.
-6 ບັງຄັບ ssh ເພື່ອໃຊ້ທີ່ຢູ່ IPv6 ເທົ່ານັ້ນ.
-A ເປີດໃຊ້ການສົ່ງຕໍ່ການເຊື່ອມຕໍ່ຕົວແທນການພິສູດຢືນຢັນ. ນີ້ຍັງສາມາດເປັນ
ລະບຸໄວ້ບົນພື້ນຖານຕໍ່ໂຮສຢູ່ໃນໄຟລ໌ການຕັ້ງຄ່າ.
ການສົ່ງຕໍ່ຕົວແທນຄວນໄດ້ຮັບການເປີດໃຊ້ດ້ວຍຄວາມລະມັດລະວັງ. ຜູ້ໃຊ້ທີ່ມີຄວາມສາມາດໃນການ bypass
ການອະນຸຍາດໄຟລ໌ໃນແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ (ສໍາລັບ socket UNIX ໂດເມນຂອງຕົວແທນ) ສາມາດເຂົ້າເຖິງໄດ້
ຕົວແທນທ້ອງຖິ່ນໂດຍຜ່ານການເຊື່ອມຕໍ່ສົ່ງຕໍ່. ຜູ້ໂຈມຕີບໍ່ສາມາດຂໍກະແຈໄດ້
ວັດສະດຸຈາກຕົວແທນ, ແນວໃດກໍ່ຕາມພວກເຂົາສາມາດດໍາເນີນການກ່ຽວກັບກະແຈທີ່ເປີດໃຊ້
ພວກມັນເພື່ອພິສູດຕົວຕົນໂດຍໃຊ້ຕົວຕົນທີ່ໂຫລດເຂົ້າໄປໃນຕົວແທນ.
-a ປິດການສົ່ງຕໍ່ການເຊື່ອມຕໍ່ຕົວແທນການພິສູດຢືນຢັນ.
-b bind_address
ການນໍາໃຊ້ bind_address ໃນເຄື່ອງທ້ອງຖິ່ນເປັນທີ່ຢູ່ແຫຼ່ງຂອງການເຊື່ອມຕໍ່. ເທົ່ານັ້ນ
ເປັນປະໂຫຍດໃນລະບົບທີ່ມີຫຼາຍກວ່າຫນຶ່ງທີ່ຢູ່.
-C ຮ້ອງຂໍການບີບອັດຂໍ້ມູນທັງໝົດ (ລວມທັງ stdin, stdout, stderr, ແລະຂໍ້ມູນສຳລັບ
ສົ່ງຕໍ່ການເຊື່ອມຕໍ່ X11, TCP ແລະ UNIX-domain). ຂັ້ນຕອນການບີບອັດແມ່ນ
ອັນດຽວກັນໃຊ້ໂດຍ gzip(1), ແລະ "ລະດັບ" ສາມາດຄວບຄຸມໄດ້ ລະດັບການບີບອັດ
ທາງເລືອກສໍາລັບການສະບັບໂປໂຕຄອນ 1. ການບີບອັດແມ່ນຕ້ອງການກ່ຽວກັບສາຍໂມເດັມແລະອື່ນໆ
ການເຊື່ອມຕໍ່ຊ້າ, ແຕ່ຈະຊ້າລົງພຽງແຕ່ສິ່ງທີ່ຢູ່ໃນເຄືອຂ່າຍໄວ. ຄ່າເລີ່ມຕົ້ນ
ຄ່າສາມາດຖືກຕັ້ງບົນພື້ນຖານໂຮດໂດຍໂຮດໃນໄຟລ໌ການຕັ້ງຄ່າ; ເບິ່ງ
ການບີບອັດ ທາງເລືອກ.
-c cipher_spec
ເລືອກສະເພາະລະຫັດລັບສຳລັບການເຂົ້າລະຫັດເຊດຊັນ.
ໂປໂຕຄອນເວີຊັ່ນ 1 ອະນຸຍາດໃຫ້ສະເພາະຂອງລະຫັດລັບດຽວ. ຄຸນຄ່າສະຫນັບສະຫນູນ
ແມ່ນ “3des”, “blowfish”, ແລະ “des”. ສຳລັບໂປຣໂຕຄໍເວີຊັ່ນ 2, cipher_spec ເປັນເຄື່ອງໝາຍຈຸດ-
ລາຍຊື່ຕົວເລກທີ່ແຍກອອກຈາກລະບຸໄວ້ຕາມລໍາດັບຄວາມຕ້ອງການ. ເບິ່ງ ລະຫັດລັບ ຄໍາສໍາຄັນໃນ
ssh_config(5) ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ.
-D [bind_address:]port
ລະບຸການສົ່ງຕໍ່ພອດລະດັບແອັບພລິເຄຊັນ "dynamic" ທ້ອງຖິ່ນ. ນີ້ເຮັດວຽກໂດຍ
ການຈັດສັນເຕົ້າຮັບເພື່ອຟັງ port ໃນເບື້ອງທ້ອງຖິ່ນ, ທາງເລືອກທີ່ຜູກພັນກັບ
ລະບຸ bind_address. ທຸກຄັ້ງທີ່ມີການເຊື່ອມຕໍ່ກັບພອດນີ້, ການເຊື່ອມຕໍ່
ຖືກສົ່ງຕໍ່ຜ່ານຊ່ອງທາງທີ່ປອດໄພ, ແລະໂປໂຕຄອນແອັບພລິເຄຊັນຖືກໃຊ້ເພື່ອ
ກໍານົດບ່ອນທີ່ຈະເຊື່ອມຕໍ່ຈາກເຄື່ອງຫ່າງໄກສອກຫຼີກ. ໃນປັດຈຸບັນ SOCKS4 ແລະ
ໂປໂຕຄອນ SOCKS5 ໄດ້ຮັບການສະຫນັບສະຫນູນ, ແລະ ssh ຈະເຮັດໜ້າທີ່ເປັນເຊີບເວີ SOCKS. ພຽງແຕ່ຮາກສາມາດ
ສົ່ງຕໍ່ພອດສິດທິພິເສດ. ການສົ່ງຕໍ່ພອດແບບໄດນາມິກຍັງສາມາດຖືກກໍານົດໄວ້ໃນ
ແຟ້ມການຕັ້ງຄ່າ.
ທີ່ຢູ່ IPv6 ສາມາດຖືກກໍານົດໂດຍການປິດທີ່ຢູ່ໃນວົງເລັບສີ່ຫຼ່ຽມ. ເທົ່ານັ້ນ
superuser ສາມາດສົ່ງຕໍ່ພອດສິດທິພິເສດ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ພອດທ້ອງຖິ່ນຖືກຜູກມັດໃນ
ອີງຕາມການ GatewayPorts ການຕັ້ງຄ່າ. ຢ່າງໃດກໍຕາມ, ຈະແຈ້ງ bind_address ອາດຈະເປັນ
ໃຊ້ເພື່ອຜູກມັດການເຊື່ອມຕໍ່ກັບທີ່ຢູ່ສະເພາະ. ໄດ້ bind_address ຂອງ "ເຈົ້າຂອງທ້ອງຖິ່ນ"
ຊີ້ໃຫ້ເຫັນວ່າພອດຟັງໄດ້ຖືກຜູກມັດສໍາລັບການນໍາໃຊ້ໃນທ້ອງຖິ່ນເທົ່ານັ້ນ, ໃນຂະນະທີ່ຫວ່າງເປົ່າ
ທີ່ຢູ່ ຫຼື '*' ຊີ້ໃຫ້ເຫັນວ່າພອດຄວນຈະມີຢູ່ໃນທຸກສ່ວນຕິດຕໍ່.
-E log_file
ຕື່ມຂໍ້ມູນບັນທຶກການດີບັກໃສ່ log_file ແທນທີ່ຈະເປັນຄວາມຜິດພາດມາດຕະຖານ.
-e escape_char
ກໍານົດຕົວອັກສອນ escape ສໍາລັບ sessions ດ້ວຍ pty (ຄ່າເລີ່ມຕົ້ນ: '~'). ການຫລົບຫນີ
ຕົວອັກສອນຖືກຮັບຮູ້ພຽງແຕ່ໃນຕອນຕົ້ນຂອງແຖວ. ລັກສະນະການຫລົບຫນີ
ຕິດຕາມດ້ວຍຈຸດ ('.') ປິດການເຊື່ອມຕໍ່; ປະ ຕິ ບັດ ຕາມ ໂດຍ ການ ຄວບ ຄຸມ Z suspends ໄດ້
ການເຊື່ອມຕໍ່; ແລະຕິດຕາມດ້ວຍຕົວມັນເອງສົ່ງຕົວລະຄອນຫລົບຫນີຄັ້ງດຽວ. ການຕັ້ງຄ່າ
ລັກສະນະ "ບໍ່" ປິດການຫລົບຫນີໃດໆແລະເຮັດໃຫ້ກອງປະຊຸມມີຄວາມໂປ່ງໃສຢ່າງເຕັມທີ່.
-F configfile
ລະບຸໄຟລ໌ການຕັ້ງຄ່າທາງເລືອກຕໍ່ຜູ້ໃຊ້. ຖ້າໄຟລ໌ການຕັ້ງຄ່າແມ່ນ
ໃຫ້ຢູ່ໃນເສັ້ນຄໍາສັ່ງ, ໄຟລ໌ການຕັ້ງຄ່າທົ່ວລະບົບ (/ etc / ssh / ssh_config)
ຈະຖືກລະເລີຍ. ຄ່າເລີ່ມຕົ້ນຂອງໄຟລ໌ການຕັ້ງຄ່າຕໍ່ຜູ້ໃຊ້ແມ່ນ ~ / .ssh / config.
-f ການຮ້ອງຂໍ ssh ເພື່ອໄປທີ່ພື້ນຫຼັງກ່ອນການປະຕິບັດຄໍາສັ່ງ. ນີ້ແມ່ນເປັນປະໂຫຍດຖ້າຫາກວ່າ
ssh ຈະຮ້ອງຂໍໃຫ້ມີລະຫັດຜ່ານຫຼື passphrases, ແຕ່ຜູ້ໃຊ້ຕ້ອງການມັນຢູ່ໃນ
ພື້ນຫລັງ. ນີ້ຫມາຍຄວາມວ່າ -n. ວິທີການແນະນໍາເພື່ອເລີ່ມຕົ້ນໂຄງການ X11 ຢູ່ຫ່າງໄກສອກຫຼີກ
ເວັບໄຊທ໌ມີບາງສິ່ງບາງຢ່າງເຊັ່ນ: ssh -f ເຈົ້າພາບ x ໄລຍະ.
ຖ້າ ExitOnForwardFailure ຕົວເລືອກການຕັ້ງຄ່າຖືກຕັ້ງເປັນ "ແມ່ນ", ຫຼັງຈາກນັ້ນລູກຄ້າ
ເລີ່ມຕົ້ນດ້ວຍ -f ຈະລໍຖ້າການສົ່ງຕໍ່ຜອດທາງໄກທັງໝົດສຳເລັດ
ສ້າງຕັ້ງຂຶ້ນກ່ອນທີ່ຈະວາງຕົວຂອງມັນເອງຢູ່ໃນພື້ນຫລັງ.
-G ສາເຫດ ssh ເພື່ອພິມການຕັ້ງຄ່າຂອງມັນຫຼັງຈາກການປະເມີນ ເຈົ້າພາບ ແລະ ການແຂ່ງຂັນ ຕັນແລະ
ອອກຈາກ.
-g ອະນຸຍາດໃຫ້ແມ່ຂ່າຍທາງໄກເຊື່ອມຕໍ່ກັບຜອດສົ່ງຕໍ່ໃນທ້ອງຖິ່ນ. ຖ້າໃຊ້ໃນຕົວຄູນ
ການເຊື່ອມຕໍ່, ຫຼັງຈາກນັ້ນທາງເລືອກນີ້ຕ້ອງໄດ້ຮັບການລະບຸໄວ້ໃນຂະບວນການຕົ້ນສະບັບ.
-I pkcs11
ລະບຸຫ້ອງສະໝຸດທີ່ໃຊ້ຮ່ວມກັນ PKCS#11 ssh ຄວນໃຊ້ເພື່ອຕິດຕໍ່ສື່ສານກັບ PKCS#11
token ໃຫ້ລະຫັດ RSA ສ່ວນຕົວຂອງຜູ້ໃຊ້.
-i Identity_file
ເລືອກໄຟລ໌ທີ່ຕົວຕົນ (ກະແຈສ່ວນຕົວ) ສໍາລັບການກວດສອບລະຫັດສາທາລະນະ
ອ່ານແລ້ວ. ຄ່າເລີ່ມຕົ້ນແມ່ນ ~/.ssh/identity ສໍາລັບໂປໂຕຄອນເວີຊັ່ນ 1, ແລະ ~/.ssh/id_dsa,
~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 ແລະ ~/.ssh/id_rsa ສຳລັບໂປຣໂຕຄໍເວີຊັ່ນ 2.
ໄຟລ໌ລະບຸຕົວຕົນອາດຈະຖືກລະບຸບົນພື້ນຖານຕໍ່ host ໃນໄຟລ໌ການຕັ້ງຄ່າ.
ມັນເປັນໄປໄດ້ທີ່ຈະມີຫຼາຍ -i ທາງເລືອກ (ແລະຕົວຕົນຫຼາຍອັນທີ່ລະບຸໄວ້ໃນ
ໄຟລ໌ການຕັ້ງຄ່າ). ຖ້າຫາກວ່າບໍ່ມີໃບຢັ້ງຢືນການໄດ້ຮັບການລະບຸຢ່າງຊັດເຈນໂດຍ
ໄຟລ໌ໃບຢັ້ງຢືນ ທິດທາງ, ssh ຍັງຈະພະຍາຍາມໂຫລດຂໍ້ມູນໃບຢັ້ງຢືນຈາກ
ຊື່ໄຟລ໌ທີ່ໄດ້ຮັບໂດຍການຕໍ່ທ້າຍ -cert.pub ກັບຊື່ໄຟລ໌ຕົວຕົນ.
-K ເປີດໃຊ້ການພິສູດຢືນຢັນທີ່ອີງໃສ່ GSSAPI ແລະສົ່ງຕໍ່ (ການມອບໝາຍ) ຂອງ GSSAPI
ຂໍ້ມູນປະຈໍາຕົວກັບເຄື່ອງແມ່ຂ່າຍ.
-k ປິດການນຳໃຊ້ການສົ່ງຕໍ່ (ການມອບໝາຍ) ຂໍ້ມູນປະຈຳຕົວ GSSAPI ໄປຫາເຊີບເວີ.
-L [bind_address:]port:ເຈົ້າພາບ:ເຈົ້າພາບ
-L [bind_address:]port:remote_socket
-L local_socket:ເຈົ້າພາບ:ເຈົ້າພາບ
-L local_socket:remote_socket
ລະບຸວ່າການເຊື່ອມຕໍ່ກັບພອດ TCP ທີ່ໃຫ້ ຫຼືເຕົ້າຮັບ Unix ຢູ່ໃນເຄື່ອງ
(ລູກຄ້າ) ໂຮດຈະຖືກສົ່ງຕໍ່ໄປຫາໂຮດແລະພອດທີ່ໃຫ້, ຫຼືເຕົ້າຮັບ Unix, ຢູ່ໃນ
ດ້ານຫ່າງໄກສອກຫຼີກ. ນີ້ເຮັດວຽກໂດຍການຈັດສັນເຕົ້າສຽບເພື່ອຟັງ TCP port on
ດ້ານທ້ອງຖິ່ນ, ທາງເລືອກຜູກມັດກັບທີ່ລະບຸໄວ້ bind_address, ຫຼືໃສ່ເຕົ້າຮັບ Unix.
ທຸກຄັ້ງທີ່ມີການເຊື່ອມຕໍ່ກັບພອດທ້ອງຖິ່ນຫຼືເຕົ້າຮັບ, ການເຊື່ອມຕໍ່ແມ່ນ
ສົ່ງຕໍ່ຜ່ານຊ່ອງທີ່ປອດໄພ, ແລະການເຊື່ອມຕໍ່ແມ່ນເຮັດກັບທັງສອງ ເຈົ້າພາບ port
ເຈົ້າພາບ, ຫຼືເຕົ້າຮັບ Unix remote_socket, ຈາກເຄື່ອງຫ່າງໄກສອກຫຼີກ.
ການສົ່ງຕໍ່ພອດຍັງສາມາດຖືກລະບຸໄວ້ໃນໄຟລ໌ການຕັ້ງຄ່າ. ພຽງແຕ່
superuser ສາມາດສົ່ງຕໍ່ພອດສິດທິພິເສດ. ທີ່ຢູ່ IPv6 ສາມາດຖືກກໍານົດໂດຍ
ການປິດທີ່ຢູ່ໃນວົງເລັບສີ່ຫຼ່ຽມ.
ໂດຍຄ່າເລີ່ມຕົ້ນ, ພອດທ້ອງຖິ່ນຖືກຜູກມັດໂດຍສອດຄ່ອງກັບ GatewayPorts ຕັ້ງ.
ຢ່າງໃດກໍຕາມ, ຈະແຈ້ງ bind_address ອາດຈະຖືກນໍາໃຊ້ເພື່ອຜູກມັດການເຊື່ອມຕໍ່ກັບສະເພາະໃດຫນຶ່ງ
ທີ່ຢູ່. ໄດ້ bind_address ຂອງ "localhost" ຊີ້ໃຫ້ເຫັນວ່າພອດຟັງຖືກຜູກມັດ
ສໍາລັບການນໍາໃຊ້ໃນທ້ອງຖິ່ນເທົ່ານັ້ນ, ໃນຂະນະທີ່ທີ່ຢູ່ຫວ່າງເປົ່າຫຼື '*' ຊີ້ໃຫ້ເຫັນວ່າພອດຄວນຈະເປັນ
ສາມາດໃຊ້ໄດ້ຈາກທຸກການໂຕ້ຕອບ.
-l login_name
ລະບຸຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບຄືກັບເຄື່ອງທາງໄກ. ນີ້ອາດຈະຖືກລະບຸໄວ້ເຊັ່ນກັນ
ບົນພື້ນຖານຕໍ່ host ໃນໄຟລ໌ການຕັ້ງຄ່າ.
-M ສະຖານທີ່ ssh ລູກຄ້າເຂົ້າໄປໃນໂຫມດ "ຕົ້ນສະບັບ" ສໍາລັບການແບ່ງປັນການເຊື່ອມຕໍ່. ຫຼາຍ -M
ທາງເລືອກສະຖານທີ່ ssh ເຂົ້າໄປໃນໂຫມດ "ແມ່ບົດ" ດ້ວຍການຢືນຢັນທີ່ຕ້ອງການກ່ອນສໍາລອງ
ການເຊື່ອມຕໍ່ໄດ້ຖືກຍອມຮັບ. ອ້າງເຖິງຄໍາອະທິບາຍຂອງ ControlMaster in
ssh_config(5) ສໍາລັບລາຍລະອຽດ.
-m mac_spec
ບັນຊີລາຍຊື່ທີ່ຂັ້ນດ້ວຍເຄື່ອງໝາຍຈຸດຂອງ MAC (ລະຫັດການຢືນຢັນຂໍ້ຄວາມ) algorithms, ລະບຸໄວ້ໃນ
ລຳດັບຄວາມມັກ. ເບິ່ງ MACs ຄໍາສໍາຄັນສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ.
-N ຢ່າປະຕິບັດຄໍາສັ່ງຫ່າງໄກສອກຫຼີກ. ນີ້ແມ່ນເປັນປະໂຫຍດສໍາລັບການສົ່ງຕໍ່ພອດ.
-n ປ່ຽນເສັ້ນທາງ stdin ຈາກ / dev / null (ຕົວຈິງແລ້ວ, ປ້ອງກັນການອ່ານຈາກ stdin). ອັນນີ້ຕ້ອງ
ຖືກນໍາໃຊ້ໃນເວລາທີ່ ssh ຖືກດໍາເນີນການຢູ່ໃນພື້ນຫລັງ. ເຄັດລັບທົ່ວໄປຄືການໃຊ້ອັນນີ້ເພື່ອແລ່ນ X11
ໂປລແກລມຢູ່ໃນເຄື່ອງຫ່າງໄກສອກຫຼີກ. ຍົກຕົວຢ່າງ, ssh -n shadows.cs.hut.fi emacs & ຈະ
ເລີ່ມ emacs ໃນ shadows.cs.hut.fi, ແລະການເຊື່ອມຕໍ່ X11 ຈະອັດຕະໂນມັດ
ສົ່ງຕໍ່ຜ່ານຊ່ອງທີ່ເຂົ້າລະຫັດໄວ້. ໄດ້ ssh ໂປຣແກມຈະຖືກໃສ່ໃນພື້ນຫຼັງ.
(ອັນນີ້ບໍ່ໄດ້ຜົນຖ້າ ssh ຈໍາເປັນຕ້ອງຮ້ອງຂໍໃຫ້ມີລະຫັດຜ່ານຫຼື passphrase; ເບິ່ງຍັງ
-f ທາງເລືອກ.)
-O ctl_cmd
ຄວບຄຸມຂະບວນການແມ່ບົດ multiplexing ການເຊື່ອມຕໍ່ທີ່ຫ້າວຫັນ. ໃນເວລາທີ່ -O ທາງເລືອກແມ່ນ
ລະບຸ, ໄດ້ ctl_cmd ການໂຕ້ຖຽງຖືກຕີຄວາມແລະສົ່ງຜ່ານຂະບວນການຕົ້ນສະບັບ.
ຄໍາສັ່ງທີ່ຖືກຕ້ອງແມ່ນ: "ກວດເບິ່ງ" (ກວດເບິ່ງວ່າຂະບວນການຕົ້ນສະບັບກໍາລັງແລ່ນ), "ສົ່ງຕໍ່"
(ຮ້ອງຂໍການສົ່ງຕໍ່ໂດຍບໍ່ມີການປະຕິບັດຄໍາສັ່ງ), "ຍົກເລີກ" (ຍົກເລີກການສົ່ງຕໍ່),
"ອອກ" (ຮ້ອງຂໍໃຫ້ເຈົ້າຂອງອອກ), ແລະ "ຢຸດ" (ຮ້ອງຂໍໃຫ້ແມ່ບົດຢຸດ
ຮັບເອົາຄໍາຮ້ອງສະຫມັກ multiplexing ເພີ່ມເຕີມ).
-o ທາງເລືອກ
ສາມາດຖືກນໍາໃຊ້ເພື່ອໃຫ້ທາງເລືອກໃນຮູບແບບທີ່ໃຊ້ໃນໄຟລ໌ການຕັ້ງຄ່າ. ນີ້ແມ່ນ
ເປັນປະໂຫຍດສໍາລັບການກໍານົດທາງເລືອກທີ່ບໍ່ມີທຸງເສັ້ນຄໍາສັ່ງແຍກຕ່າງຫາກ. ສໍາລັບ
ລາຍລະອຽດເຕັມທີ່ຂອງທາງເລືອກທີ່ລະບຸໄວ້ຂ້າງລຸ່ມນີ້, ແລະຄຸນຄ່າທີ່ເປັນໄປໄດ້ຂອງເຂົາເຈົ້າ, ເບິ່ງ
ssh_config(5).
AddKeysToAgent
ທີ່ຢູ່ ຄອບຄົວ
BatchMode
BindAddress
CanonicalDomains
CanonicalizeFallbackLocal
CanonicalizeHostname
CanonicalizeMaxDots
CanonicalizePermittedCNAMEs
ໄຟລ໌ໃບຢັ້ງຢືນ
ທ້າທາຍການຕອບສະຫນອງການກວດສອບ
CheckHostIP
Cipher
ລະຫັດລັບ
ClearAllForwardings
ການບີບອັດ
ລະດັບການບີບອັດ
ການເຊື່ອມຕໍ່ຄວາມພະຍາຍາມ
ConnectTimeout
ControlMaster
ເສັ້ນທາງຄວບຄຸມ
ການຄວບຄຸມຄົງຢູ່
DynamicForward
EscapeChar
ExitOnForwardFailure
FingerprintHash
ຕົວແທນສົ່ງຕໍ່
ForwardX11
ForwardX11 ໝົດເວລາ
ໄວ້ໃຈໄດ້ X11
GatewayPorts
GlobalKnownHostsFile
GSSAPIA Authentication
GSSAPIDelegateCredentials
HashKnownHosts
ເຈົ້າພາບ
HostbasedAuthentication
Host basedKeyTypes
HostKeyAlgorithms
HostKeyAlias
ຊື່ເຈົ້າພາບ
IdentityFile
ຕົວຕົນເທົ່ານັ້ນ
IPQoS
KbdInteractiveAuthentication
KbdInteractiveDevices
KexAlgorithms
LocalCommand
LocalForward
ລະດັບບັນທຶກ
MACs
ການແຂ່ງຂັນ
NoHostAuthenticationForLocalhost
NumberOfPasswordPrompts
ການຢືນຢັນລະຫັດຜ່ານ
ຄໍາສັ່ງອະນຸຍາດທ້ອງຖິ່ນ
ຜູ້ໃຫ້ບໍລິການ PKCS11
Port
PreferredAuthentications
ອະນຸສັນຍາ
ProxyCommand
ProxyUseFdpass
PubkeyAcceptedKeyTypes
PubkeyAuthentication
RekeyLimit
RemoteForward
ຮ້ອງຂໍTTY
ການຢືນຢັນ RhostsRSAA
ການກວດສອບຄວາມຖືກຕ້ອງ RSAA
SendEnv
ServerAliveInterval
ServerAliveCountMax
StreamLocalBindMask
StreamLocalBindUnlink
StrictHostKeyChecking
TCPKeepAlive
Tunnel
ອຸປະກອນ Tunnel
UpdateHostKeys
UsePrivilegedPort
ຜູ້ໃຊ້
UserKnownHostsFile
VerifyHostKeyDNS
VisualHostKey
ສະຖານທີ່ XAuth
-p port
ພອດເພື່ອເຊື່ອມຕໍ່ກັບແມ່ຂ່າຍທາງໄກ. ນີ້ສາມາດຖືກກໍານົດບົນພື້ນຖານຕໍ່ເຈົ້າພາບໃນ
ໄຟລ໌ການຕັ້ງຄ່າ.
-Q query_option
ທ່ານຕ້ອງການ ssh ສໍາລັບວິທີການສະຫນັບສະຫນູນສໍາລັບການສະບັບທີ່ກໍານົດໄວ້ 2. ທີ່ມີຢູ່
ຄຸນນະສົມບັດແມ່ນ: ລະຫັດລັບ (ສະຫນັບສະຫນູນ ciphers symmetric), cipher-auth (ສະຫນັບສະຫນູນ symmetric
ລະຫັດລັບທີ່ຮອງຮັບການເຂົ້າລະຫັດລັບ), mac (ຄວາມສົມບູນຂອງຂໍ້ຄວາມທີ່ສະຫນັບສະຫນູນ
ລະຫັດ), ເຄັກ (ສູດການແລກປ່ຽນທີ່ສໍາຄັນ), ທີ່ສໍາຄັນ (ປະເພດທີ່ສໍາຄັນ), key-cert (ກະແຈໃບຮັບຮອງ
ປະເພດ), ຄີ-ທຳມະດາ (ປະເພດຄີທີ່ບໍ່ແມ່ນໃບຢັ້ງຢືນ), ແລະ ສະບັບ protocol (ສະຫນັບສະຫນູນ SSH
ສະບັບອະນຸສັນຍາ).
-q ໂໝດງຽບ. ເຮັດໃຫ້ຂໍ້ຄວາມເຕືອນ ແລະວິນິໄສສ່ວນໃຫຍ່ຖືກສະກັດກັ້ນ.
-R [bind_address:]port:ເຈົ້າພາບ:ເຈົ້າພາບ
-R [bind_address:]port:local_socket
-R remote_socket:ເຈົ້າພາບ:ເຈົ້າພາບ
-R remote_socket:local_socket
ລະບຸວ່າການເຊື່ອມຕໍ່ກັບພອດ TCP ຫຼືເຕົ້າຮັບ Unix ທີ່ໃຫ້ຢູ່ໃນຣີໂໝດ
(ເຊີບເວີ) ໂຮດຈະຖືກສົ່ງຕໍ່ໄປຍັງໂຮດແລະພອດທີ່ໃຫ້, ຫຼືເຕົ້າຮັບ Unix, ຢູ່ໃນ
ຝ່າຍທ້ອງຖິ່ນ. ນີ້ເຮັດວຽກໂດຍການຈັດສັນເຕົ້າສຽບເພື່ອຟັງ TCP port ຫຼື
ເຕົ້າສຽບ Unix ຢູ່ດ້ານໄກ. ທຸກຄັ້ງທີ່ມີການເຊື່ອມຕໍ່ກັບພອດນີ້ຫຼື
ເຕົ້າຮັບ Unix, ການເຊື່ອມຕໍ່ຖືກສົ່ງຕໍ່ຜ່ານຊ່ອງທີ່ປອດໄພ, ແລະການເຊື່ອມຕໍ່
ແມ່ນ ເຮັດ ໃຫ້ ບໍ່ ວ່າ ຈະ ເຈົ້າພາບ port ເຈົ້າພາບ, ຫຼື local_socket, ຈາກເຄື່ອງທ້ອງຖິ່ນ.
ການສົ່ງຕໍ່ພອດຍັງສາມາດຖືກລະບຸໄວ້ໃນໄຟລ໌ການຕັ້ງຄ່າ. ພອດທີ່ໄດ້ຮັບສິດທິພິເສດ
ສາມາດສົ່ງຕໍ່ໄດ້ພຽງແຕ່ເມື່ອເຂົ້າສູ່ລະບົບເປັນ root ໃນເຄື່ອງຫ່າງໄກສອກຫຼີກ. ທີ່ຢູ່ IPv6
ສາມາດລະບຸໄດ້ໂດຍການປິດທີ່ຢູ່ໃນວົງເລັບສີ່ຫຼ່ຽມ.
ໂດຍຄ່າເລີ່ມຕົ້ນ, ເຕົ້າຮັບຟັງ TCP ໃນເຄື່ອງແມ່ຂ່າຍຈະຖືກຜູກມັດກັບ loopback
ການໂຕ້ຕອບເທົ່ານັ້ນ. ອັນນີ້ອາດຈະຖືກລົບລ້າງໂດຍການລະບຸ a bind_address. ຫວ່າງເປົ່າ
bind_address, ຫຼືທີ່ຢູ່ '*', ຊີ້ໃຫ້ເຫັນວ່າເຕົ້າສຽບຫ່າງໄກສອກຫຼີກຄວນຟັງ
ການໂຕ້ຕອບທັງຫມົດ. ກໍານົດໄລຍະໄກ bind_address ຈະປະສົບຜົນສໍາເລັດພຽງແຕ່ຖ້າເຄື່ອງແມ່ຂ່າຍຂອງ
GatewayPorts ທາງເລືອກແມ່ນເປີດໃຊ້ງານ (ເບິ່ງ sshd_config(5)).
ຖ້າ port argument ແມ່ນ '0', ພອດຟັງຈະໄດ້ຮັບການຈັດສັນແບບເຄື່ອນໄຫວຢູ່ໃນ
server ແລະລາຍງານໃຫ້ລູກຄ້າໃນເວລາແລ່ນ. ເມື່ອໃຊ້ຮ່ວມກັນກັບ -O ໄປຂ້າງຫນ້າ
ພອດທີ່ຈັດສັນຈະຖືກພິມອອກເປັນຜົນຜະລິດມາດຕະຖານ.
-S ctl_path
ລະບຸສະຖານທີ່ຂອງເຕົ້າຮັບການຄວບຄຸມສໍາລັບການແບ່ງປັນການເຊື່ອມຕໍ່, ຫຼືສາຍ
"ບໍ່ມີ" ເພື່ອປິດການແບ່ງປັນການເຊື່ອມຕໍ່. ອ້າງເຖິງຄໍາອະທິບາຍຂອງ ເສັ້ນທາງຄວບຄຸມ ແລະ
ControlMaster in ssh_config(5) ສໍາລັບລາຍລະອຽດ.
-s ອາດຈະຖືກນໍາໃຊ້ເພື່ອຮ້ອງຂໍການເອີ້ນຂອງລະບົບຍ່ອຍໃນລະບົບຫ່າງໄກສອກຫຼີກ. ລະບົບຍ່ອຍ
ອໍານວຍຄວາມສະດວກໃນການນໍາໃຊ້ SSH ເປັນການຂົນສົ່ງທີ່ປອດໄພສໍາລັບຄໍາຮ້ອງສະຫມັກອື່ນໆ (ຕົວຢ່າງ
sftp(1)). ລະບົບຍ່ອຍໄດ້ຖືກລະບຸໄວ້ເປັນຄໍາສັ່ງຫ່າງໄກສອກຫຼີກ.
-T ປິດການຈັດສັນ pseudo-terminal.
-t ບັງຄັບການຈັດສັນ pseudo-terminal. ນີ້ສາມາດຖືກນໍາໃຊ້ເພື່ອປະຕິບັດຫນ້າຈໍໂດຍຕົນເອງ.
ໂຄງການທີ່ອີງໃສ່ເຄື່ອງຫ່າງໄກສອກຫຼີກ, ທີ່ສາມາດເປັນປະໂຫຍດຫຼາຍ, ເຊັ່ນ: ໃນເວລາທີ່ປະຕິບັດ
ບໍລິການເມນູ. ຫຼາຍ -t ທາງເລືອກບັງຄັບການຈັດສັນ tty, ເຖິງແມ່ນວ່າ ssh ບໍ່ມີທ້ອງຖິ່ນ
tty.
-V ສະແດງເລກເວີຊັ່ນ ແລະອອກ.
-v ໂຫມດ verbose. ສາເຫດ ssh ເພື່ອພິມຂໍ້ຄວາມແກ້ໄຂບັນຫາກ່ຽວກັບຄວາມຄືບຫນ້າຂອງມັນ. ນີ້ແມ່ນ
ເປັນປະໂຫຍດໃນການເຊື່ອມຕໍ່ debugging, authentication, ແລະ configuration ບັນຫາ.
ຫຼາຍ -v ທາງເລືອກເພີ່ມທະວີການ verbosity ໄດ້. ສູງສຸດແມ່ນ 3.
-W ເຈົ້າພາບ:port
ຮຽກຮ້ອງໃຫ້ການປ້ອນຂໍ້ມູນມາດຕະຖານ ແລະຜົນຜະລິດໃນລູກຄ້າຖືກສົ່ງຕໍ່ໄປຫາ ເຈົ້າພາບ on port
ຜ່ານຊ່ອງທີ່ປອດໄພ. ຫມາຍເຖິງ -N, -T, ExitOnForwardFailure ແລະ
ClearAllForwardings.
-w local_tun[:remote_tun]
ຮ້ອງຂໍການສົ່ງຕໍ່ອຸປະກອນ tunnel ກັບທີ່ກໍານົດໄວ້ tun(4) ອຸປະກອນລະຫວ່າງ
ລູກຄ້າ (local_tun) ແລະເຄື່ອງແມ່ຂ່າຍ (remote_tun).
ອຸປະກອນອາດຈະຖືກກໍານົດໂດຍ ID ຕົວເລກຫຼືຄໍາສໍາຄັນ "ໃດກໍ່ຕາມ", ເຊິ່ງໃຊ້
ອຸປະກອນອຸໂມງທີ່ມີຢູ່ຕໍ່ໄປ. ຖ້າ remote_tun ບໍ່ໄດ້ລະບຸໄວ້, ມັນເປັນຄ່າເລີ່ມຕົ້ນທີ່ "ໃດໆ".
ເບິ່ງອີກ Tunnel ແລະ ອຸປະກອນ Tunnel ຄໍາແນະນໍາໃນ ssh_config(5). ຖ້າ Tunnel
ຄໍາສັ່ງບໍ່ໄດ້ຖືກຕັ້ງ, ມັນຖືກກໍານົດເປັນຮູບແບບອຸໂມງເລີ່ມຕົ້ນ, ເຊິ່ງແມ່ນ "ຈຸດຕໍ່ຈຸດ".
-X ເປີດໃຊ້ການສົ່ງຕໍ່ X11. ນີ້ຍັງສາມາດຖືກລະບຸບົນພື້ນຖານຕໍ່ເຈົ້າພາບໃນ a
ແຟ້ມການຕັ້ງຄ່າ.
ການສົ່ງຕໍ່ X11 ຄວນຖືກເປີດໃຊ້ດ້ວຍຄວາມລະມັດລະວັງ. ຜູ້ໃຊ້ທີ່ມີຄວາມສາມາດໃນການ bypass
ການອະນຸຍາດໄຟລ໌ກ່ຽວກັບເຈົ້າພາບຫ່າງໄກສອກຫຼີກ (ສໍາລັບຖານຂໍ້ມູນການອະນຸຍາດ X ຂອງຜູ້ໃຊ້) ສາມາດເຮັດໄດ້
ເຂົ້າເຖິງຈໍສະແດງຜົນ X11 ທ້ອງຖິ່ນໂດຍຜ່ານການເຊື່ອມຕໍ່ສົ່ງຕໍ່. ຜູ້ໂຈມຕີອາດຈະໃນເວລານັ້ນ
ສາມາດປະຕິບັດກິດຈະກໍາເຊັ່ນ: ການຕິດຕາມການກົດແປ້ນພິມ.
ສໍາລັບເຫດຜົນນີ້, ການສົ່ງຕໍ່ X11 ແມ່ນຂຶ້ນກັບຂໍ້ຈໍາກັດການຂະຫຍາຍ X11 SECURITY
ໂດຍຄ່າເລີ່ມຕົ້ນ. ກະລຸນາອ້າງອີງເຖິງ ssh -Y ທາງເລືອກແລະ ໄວ້ໃຈໄດ້ X11 directive
in ssh_config(5) ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ.
(ສະເພາະ Debian: ການສົ່ງຕໍ່ X11 ບໍ່ໄດ້ຂຶ້ນກັບສ່ວນຂະຫຍາຍ X11 SECURITY
ຂໍ້ຈໍາກັດໂດຍຄ່າເລີ່ມຕົ້ນ, ເພາະວ່າມີໂປລແກລມຫຼາຍເກີນໄປໃນປັດຈຸບັນຂັດໃນໂຫມດນີ້.
ຕັ້ງຄ່າ ໄວ້ໃຈໄດ້ X11 ທາງເລືອກທີ່ຈະ "ບໍ່" ເພື່ອຟື້ນຟູພຶດຕິກໍາຂອງນ້ໍາ. ນີ້
ອາດຈະມີການປ່ຽນແປງໃນອະນາຄົດໂດຍອີງໃສ່ການປັບປຸງຂ້າງລູກຄ້າ.)
-x ປິດການສົ່ງຕໍ່ X11.
-Y ເປີດໃຊ້ການສົ່ງຕໍ່ X11 ທີ່ເຊື່ອຖືໄດ້. ການສົ່ງຕໍ່ X11 ທີ່ເຊື່ອຖືໄດ້ແມ່ນບໍ່ຂຶ້ນກັບ
ການຄວບຄຸມການຂະຫຍາຍ X11 SECURITY.
(Debian-specific: ທາງເລືອກນີ້ບໍ່ມີຫຍັງຢູ່ໃນການຕັ້ງຄ່າເລີ່ມຕົ້ນ: ມັນແມ່ນ
ເທົ່າກັບ "ໄວ້ໃຈໄດ້ X11 ແມ່ນແລ້ວ”, ເຊິ່ງເປັນຄ່າເລີ່ມຕົ້ນທີ່ອະທິບາຍໄວ້ຂ້າງເທິງ. ຕັ້ງ
ໄດ້ ໄວ້ໃຈໄດ້ X11 ທາງເລືອກທີ່ຈະ "ບໍ່" ເພື່ອຟື້ນຟູພຶດຕິກໍາຂອງນ້ໍາ. ນີ້ອາດຈະ
ການປ່ຽນແປງໃນອະນາຄົດຂຶ້ນຢູ່ກັບການປັບປຸງດ້ານລູກຄ້າ.)
-y ສົ່ງຂໍ້ມູນບັນທຶກໂດຍໃຊ້ syslog(3) ໂມດູນລະບົບ. ໂດຍຄ່າເລີ່ມຕົ້ນຂອງຂໍ້ມູນນີ້
ຖືກສົ່ງໄປຫາ stderr.
ssh ນອກຈາກນັ້ນອາດຈະໄດ້ຮັບຂໍ້ມູນການຕັ້ງຄ່າຈາກໄຟລ໌ການຕັ້ງຄ່າຕໍ່ຜູ້ໃຊ້ ແລະ a
ໄຟລ໌ການຕັ້ງຄ່າທົ່ວລະບົບ. ຮູບແບບໄຟລ໌ ແລະຕົວເລືອກການຕັ້ງຄ່າແມ່ນໄດ້ອະທິບາຍໄວ້ໃນ
ssh_config(5).
ສິດ ອຳ ນາດ
ລູກຄ້າ OpenSSH SSH ຮອງຮັບ SSH protocols 1 ແລະ 2. ຄ່າເລີ່ມຕົ້ນແມ່ນໃຊ້ protocol 2.
ພຽງແຕ່, ເຖິງແມ່ນວ່ານີ້ສາມາດປ່ຽນແປງໄດ້ໂດຍຜ່ານ ອະນຸສັນຍາ option in ssh_config(5) ຫລືພ -1 ແລະ -2
ທາງເລືອກ (ເບິ່ງຂ້າງເທິງ). ໂປຣໂຕຄໍ 1 ບໍ່ຄວນຖືກໃຊ້ ແລະຖືກສະເໜີໃຫ້ຮອງຮັບການສືບທອດເທົ່ານັ້ນ
ອຸປະກອນ. ມັນທົນທຸກຈາກຄວາມອ່ອນແອຂອງລະຫັດລັບຈໍານວນຫນຶ່ງແລະບໍ່ສະຫນັບສະຫນູນຈໍານວນຫຼາຍຂອງ
ຄຸນນະສົມບັດຂັ້ນສູງທີ່ມີຢູ່ສໍາລັບ protocol 2.
ວິທີການທີ່ມີຢູ່ສໍາລັບການກວດສອບແມ່ນ: ການກວດສອບທີ່ອີງໃສ່ GSSAPI, ເປັນເຈົ້າພາບ
ການກວດສອບຄວາມຖືກຕ້ອງ, ການກວດສອບລະຫັດສາທາລະນະ, ການກວດສອບການຕອບໂຕ້ສິ່ງທ້າທາຍ ແລະລະຫັດຜ່ານ
ການຢືນຢັນ. ວິທີການກວດສອບຄວາມຖືກຕ້ອງແມ່ນພະຍາຍາມໃນຄໍາສັ່ງທີ່ລະບຸໄວ້ຂ້າງເທິງ, ເຖິງແມ່ນວ່າ
PreferredAuthentications ສາມາດໃຊ້ເພື່ອປ່ຽນຄໍາສັ່ງເລີ່ມຕົ້ນ.
ການພິສູດຢືນຢັນທີ່ອີງໃສ່ໂຮດເຮັດວຽກດັ່ງຕໍ່ໄປນີ້: ຖ້າເຄື່ອງຈັກທີ່ຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບຈາກຖືກລະບຸໄວ້
in /etc/hosts.equiv or /etc/ssh/shosts.equiv ໃນເຄື່ອງຫ່າງໄກສອກຫຼີກ, ແລະຊື່ຜູ້ໃຊ້ແມ່ນ
ດຽວກັນທັງສອງດ້ານ, ຫຼືຖ້າໄຟລ໌ ~/.rhosts or ~/.shosts ມີຢູ່ໃນເຮືອນຂອງຜູ້ໃຊ້
ໄດເລກະທໍລີຢູ່ໃນເຄື່ອງຫ່າງໄກສອກຫຼີກແລະມີເສັ້ນທີ່ມີຊື່ຂອງເຄື່ອງລູກຄ້າ
ແລະຊື່ຂອງຜູ້ໃຊ້ໃນເຄື່ອງນັ້ນ, ຜູ້ໃຊ້ຖືກພິຈາລະນາເຂົ້າສູ່ລະບົບ. ນອກຈາກນັ້ນ,
server ຕ້ອງ ສາມາດກວດສອບລະຫັດໂຮດຂອງລູກຄ້າ (ເບິ່ງລາຍລະອຽດຂອງ
/etc/ssh/ssh_known_hosts ແລະ ~/.ssh/known_hosts, ຂ້າງລຸ່ມນີ້) ສໍາລັບການເຂົ້າສູ່ລະບົບໄດ້ຮັບການອະນຸຍາດ. ນີ້
ວິທີການກວດສອບຄວາມຖືກຕ້ອງປິດຂຸມຄວາມປອດໄພເນື່ອງຈາກການປອມແປງ IP, DNS spoofing, ແລະກໍານົດເສັ້ນທາງ
ການຫຼອກລວງ. [ຫມາຍເຫດກັບຜູ້ບໍລິຫານ: /etc/hosts.equiv, ~/.rhosts, ແລະ rlogin/rsh
ໂດຍທົ່ວໄປແລ້ວ, ໂດຍທົ່ວໄປແລ້ວ ແມ່ນບໍ່ປອດໄພ ແລະຄວນຈະຖືກປິດໃຊ້ງານ ຖ້າຕ້ອງການຄວາມປອດໄພ.]
ການກວດສອບລະຫັດສາທາລະນະເຮັດວຽກດັ່ງຕໍ່ໄປນີ້: ໂຄງການແມ່ນອີງໃສ່ການເຂົ້າລະຫັດລັບສາທາລະນະ,
ການນໍາໃຊ້ລະບົບ crypto ບ່ອນທີ່ການເຂົ້າລະຫັດແລະການຖອດລະຫັດແມ່ນເຮັດໄດ້ໂດຍໃຊ້ລະຫັດແຍກຕ່າງຫາກ, ແລະມັນແມ່ນ
ເປັນໄປບໍ່ໄດ້ທີ່ຈະເອົາລະຫັດຖອດລະຫັດຈາກລະຫັດການເຂົ້າລະຫັດ. ແນວຄວາມຄິດແມ່ນວ່າຜູ້ໃຊ້ແຕ່ລະຄົນ
ສ້າງຄູ່ຄີສາທາລະນະ / ເອກະຊົນເພື່ອຈຸດປະສົງການກວດສອບ. ເຄື່ອງແມ່ຂ່າຍຮູ້ສາທາລະນະ
ຄີ, ແລະຜູ້ໃຊ້ພຽງແຕ່ຮູ້ລະຫັດສ່ວນຕົວ. ssh ປະຕິບັດການກວດສອບລະຫັດສາທາລະນະ
ໂປຣໂຕຄໍອັດຕະໂນມັດ, ໂດຍໃຊ້ໜຶ່ງໃນ DSA, ECDSA, Ed25519 ຫຼື RSA algorithms. ປະຫວັດສາດ
ພາກສ່ວນຂອງ ssl(8) (ໃນລະບົບທີ່ບໍ່ແມ່ນ OpenBSD, ເບິ່ງ
http://www.openbsd.org/cgi-bin/man.cgi?query=ssl&sektion=8#HISTORY) ປະກອບມີຫຍໍ້
ການສົນທະນາຂອງ DSA ແລະ RSA algorithms.
ໄຟລ໌ ~/.ssh/authorized_keys ລາຍຊື່ກະແຈສາທາລະນະທີ່ໄດ້ຮັບອະນຸຍາດໃຫ້ເຂົ້າສູ່ລະບົບ.
ເມື່ອຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບ, the ssh ໂປຣແກຣມບອກເຊີບເວີວ່າຄູ່ຄີທີ່ມັນຢາກໃຊ້
ສໍາລັບການຢັ້ງຢືນ. ລູກຄ້າພິສູດວ່າມັນສາມາດເຂົ້າເຖິງລະຫັດສ່ວນຕົວແລະເຄື່ອງແມ່ຂ່າຍ
ກວດເບິ່ງວ່າກະແຈສາທາລະນະທີ່ສອດຄ້ອງກັນໄດ້ຖືກອະນຸຍາດໃຫ້ຍອມຮັບບັນຊີ.
ຜູ້ໃຊ້ສ້າງຄູ່ຄີຂອງລາວໂດຍການແລ່ນ ssh-keygen(1). ນີ້ເກັບຮັກສາກະແຈສ່ວນຕົວຢູ່ໃນ
~/.ssh/identity (ພິທີການ 1), ~/.ssh/id_dsa (DSA), ~/.ssh/id_ecdsa (ECDSA),
~/.ssh/id_ed25519 (Ed25519), ຫຼື ~/.ssh/id_rsa (RSA) ແລະເກັບຮັກສາລະຫັດສາທາລະນະໃນ
~/.ssh/identity.pub (ພິທີການ 1), ~/.ssh/id_dsa.pub (DSA), ~/.ssh/id_ecdsa.pub (ECDSA),
~/.ssh/id_ed25519.pub (Ed25519), ຫຼື ~ / .ssh / id_rsa.pub (RSA) ໃນໄດເລກະທໍລີເຮືອນຂອງຜູ້ໃຊ້.
ຜູ້ໃຊ້ຄວນຄັດລອກລະຫັດສາທາລະນະໃສ່ ~/.ssh/authorized_keys ໃນບັນຊີລາຍການເຮືອນຂອງຕົນ
ຢູ່ໃນເຄື່ອງຫ່າງໄກສອກຫຼີກ. ໄດ້ ອະນຸຍາດ ໄຟລ໌ທີ່ສອດຄ້ອງກັນກັບແບບດັ້ງເດີມ ~/.rhosts
ໄຟລ໌, ແລະມີລະຫັດຫນຶ່ງຕໍ່ແຖວ, ເຖິງແມ່ນວ່າສາຍສາມາດຍາວຫຼາຍ. ຫຼັງຈາກນີ້, ຜູ້ໃຊ້ສາມາດ
ເຂົ້າສູ່ລະບົບໂດຍບໍ່ມີການໃຫ້ລະຫັດຜ່ານ.
ການປ່ຽນແປງໃນການກວດສອບລະຫັດສາທາລະນະແມ່ນມີຢູ່ໃນຮູບແບບຂອງໃບຢັ້ງຢືນ
ການກວດສອບຄວາມຖືກຕ້ອງ: ແທນທີ່ຈະເປັນຊຸດຂອງກະແຈສາທາລະນະ/ສ່ວນຕົວ, ໃບຮັບຮອງທີ່ຖືກເຊັນຖືກໃຊ້. ນີ້
ມີປະໂຍດທີ່ອໍານາດການຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້ດຽວສາມາດຖືກນໍາໃຊ້ແທນຈໍານວນຫຼາຍ
ກະແຈສາທາລະນະ/ສ່ວນຕົວ. ເບິ່ງພາກສ່ວນໃບຢັ້ງຢືນຂອງ ssh-keygen(1) ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ.
ວິທີທີ່ສະດວກທີ່ສຸດທີ່ຈະໃຊ້ລະຫັດສາທາລະນະຫຼືການກວດສອບໃບຢັ້ງຢືນອາດຈະເປັນດ້ວຍ
ຕົວແທນການຢັ້ງຢືນ. ເບິ່ງ ssh- ຕົວແທນ(1) ແລະ (ທາງເລືອກ) ໄດ້ AddKeysToAgent ຄໍາສັ່ງໃນ
ssh_config(5) ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ.
Challenge-response authentication ເຮັດວຽກດັ່ງນີ້: ເຊີບເວີສົ່ງ arbitrary
ຂໍ້ຄວາມ "ທ້າທາຍ", ແລະການກະຕຸ້ນເຕືອນສໍາລັບການຕອບສະຫນອງ. ຕົວຢ່າງຂອງການກວດສອບການຕອບໂຕ້ສິ່ງທ້າທາຍ
ປະກອບມີການກວດສອບຄວາມຖືກຕ້ອງ BSD (ເບິ່ງ login.conf(5)) ແລະ PAM (ບາງລະບົບທີ່ບໍ່ແມ່ນ OpenBSD).
ສຸດທ້າຍ, ຖ້າວິທີການຢັ້ງຢືນອື່ນໆລົ້ມເຫລວ, ssh ເຕືອນຜູ້ໃຊ້ສໍາລັບລະຫັດຜ່ານ. ໄດ້
ລະຫັດຜ່ານຖືກສົ່ງໄປຫາເຈົ້າພາບຫ່າງໄກສອກຫຼີກສໍາລັບການກວດສອບ; ຢ່າງໃດກໍຕາມ, ນັບຕັ້ງແຕ່ການສື່ສານທັງຫມົດແມ່ນ
ຖືກເຂົ້າລະຫັດໄວ້, ຄົນທີ່ຟັງຢູ່ໃນເຄືອຂ່າຍບໍ່ສາມາດເຫັນລະຫັດຜ່ານໄດ້.
ssh ອັດຕະໂນມັດຮັກສາແລະກວດສອບຖານຂໍ້ມູນທີ່ມີການລະບຸຕົວຕົນສໍາລັບເຈົ້າພາບທັງຫມົດ
ເຄີຍໃຊ້ກັບ. ກະແຈແມ່ຂ່າຍຖືກເກັບໄວ້ໃນ ~/.ssh/known_hosts ຢູ່ໃນເຮືອນຂອງຜູ້ໃຊ້
ໄດເລກະທໍລີ. ນອກຈາກນັ້ນ, ໄຟລ໌ /etc/ssh/ssh_known_hosts ຖືກກວດສອບໂດຍອັດຕະໂນມັດ
ເຈົ້າພາບທີ່ຮູ້ຈັກ. ໂຮສໃໝ່ໃດໆກໍຕາມຈະຖືກເພີ່ມໃສ່ໄຟລ໌ຂອງຜູ້ໃຊ້ໂດຍອັດຕະໂນມັດ. ຖ້າເປັນເຈົ້າພາບ
ການລະບຸຕົວຕົນທີ່ມີການປ່ຽນແປງ, ssh ເຕືອນກ່ຽວກັບການນີ້ແລະປິດການທໍາງານການກວດສອບລະຫັດຜ່ານເພື່ອ
ປ້ອງກັນການຫຼອກລວງຂອງເຊີບເວີ ຫຼືການໂຈມຕີແບບຜູ້ຊາຍໃນກາງ, ເຊິ່ງອາດຈະຖືກໃຊ້ເພື່ອເຮັດຢ່າງອື່ນ
ຫລີກລ້ຽງການເຂົ້າລະຫັດ. ໄດ້ StrictHostKeyChecking ທາງເລືອກສາມາດຖືກນໍາໃຊ້ເພື່ອຄວບຄຸມການເຂົ້າສູ່ລະບົບ
ກັບເຄື່ອງທີ່ລະຫັດໂຮສບໍ່ຮູ້ຈັກ ຫຼືມີການປ່ຽນແປງ.
ເມື່ອຕົວຕົນຂອງຜູ້ໃຊ້ໄດ້ຮັບການຍອມຮັບໂດຍເຊີບເວີ, ເຊີບເວີຈະດໍາເນີນການ
ຄໍາສັ່ງທີ່ໄດ້ຮັບໃນເຊດຊັນທີ່ບໍ່ມີການໂຕ້ຕອບຫຼື, ຖ້າບໍ່ມີຄໍາສັ່ງໃດຖືກລະບຸ, ເຂົ້າສູ່ລະບົບ
ເຄື່ອງຈັກແລະໃຫ້ຜູ້ໃຊ້ມີແກະປົກກະຕິເປັນກອງປະຊຸມແບບໂຕ້ຕອບ. ການສື່ສານທັງຫມົດ
ດ້ວຍຄໍາສັ່ງຫ່າງໄກສອກຫຼີກຫຼື shell ຈະຖືກເຂົ້າລະຫັດອັດຕະໂນມັດ.
ຖ້າມີການຮ້ອງຂໍໃຫ້ມີກອງປະຊຸມໂຕ້ຕອບ ssh ໂດຍຄ່າເລີ່ມຕົ້ນພຽງແຕ່ຈະຮ້ອງຂໍ pseudo-terminal
(pty) ສໍາລັບກອງປະຊຸມແບບໂຕ້ຕອບເມື່ອລູກຄ້າມີຫນຶ່ງ. ທຸງ -T ແລະ -t ສາມາດຖືກນໍາໃຊ້ເພື່ອ
ລົບລ້າງພຶດຕິກໍານີ້.
ຖ້າ pseudo-terminal ໄດ້ຖືກຈັດສັນ, ຜູ້ໃຊ້ອາດຈະໃຊ້ຕົວອັກສອນ escape ທີ່ບັນທຶກໄວ້ຂ້າງລຸ່ມນີ້.
ຖ້າບໍ່ມີການຈັດສັນ pseudo-terminal, session ແມ່ນໂປ່ງໃສແລະສາມາດນໍາໃຊ້ໄດ້
ໂອນຂໍ້ມູນຖານສອງຢ່າງເຊື່ອຖືໄດ້. ໃນລະບົບສ່ວນໃຫຍ່, ການຕັ້ງຄ່າຕົວຫນີເປັນ "ບໍ່ມີ" ຈະ
ຍັງເຮັດໃຫ້ກອງປະຊຸມມີຄວາມໂປ່ງໃສເຖິງແມ່ນວ່າຈະໃຊ້ tty.
ເຊດຊັນຈະສິ້ນສຸດເມື່ອຄໍາສັ່ງຫຼື shell ໃນເຄື່ອງຫ່າງໄກສອກຫຼີກອອກແລະ X11 ທັງຫມົດແລະ
ການເຊື່ອມຕໍ່ TCP ໄດ້ຖືກປິດ.
ESCAPE ສະຖານທີ່ ມາດຕາ
ໃນເວລາທີ່ pseudo-terminal ໄດ້ຖືກຮ້ອງຂໍ, ssh ສະຫນັບສະຫນູນຈໍານວນຂອງຫນ້າທີ່ໂດຍຜ່ານການ
ການນໍາໃຊ້ຕົວອັກສອນ escape ໄດ້.
ຕົວອັກສອນ tilde ດຽວສາມາດຖືກສົ່ງເປັນ ~~ ຫຼືໂດຍການປະຕິບັດຕາມ tilde ໂດຍຕົວລະຄອນອື່ນ
ຫຼາຍກ່ວາທີ່ອະທິບາຍຂ້າງລຸ່ມນີ້. ລັກສະນະການຫລົບຫນີຈະຕ້ອງປະຕິບັດຕາມເສັ້ນໃຫມ່ສະເຫມີ
ຕີລາຄາເປັນພິເສດ. ລັກສະນະການຫລົບຫນີສາມາດປ່ຽນແປງໄດ້ໃນໄຟລ໌ການຕັ້ງຄ່າໂດຍໃຊ້
ໄດ້ EscapeChar ຄໍາສັ່ງການຕັ້ງຄ່າຫຼືຢູ່ໃນເສັ້ນຄໍາສັ່ງໂດຍ -e ທາງເລືອກ.
ການຫລົບຫນີທີ່ສະຫນັບສະຫນູນ (ສົມມຸດວ່າຄ່າເລີ່ມຕົ້ນ '~') ແມ່ນ:
~. ຕັດຂາດ.
~^Z ຄວາມເປັນມາ ssh.
~# ລາຍຊື່ການເຊື່ອມຕໍ່ທີ່ສົ່ງຕໍ່.
~& ຄວາມເປັນມາ ssh ທີ່ອອກຈາກລະບົບໃນເວລາທີ່ລໍຖ້າການເຊື່ອມຕໍ່ທີ່ສົ່ງຕໍ່ / X11 sessions to
ຢຸດຕິ.
~? ສະແດງບັນຊີລາຍຊື່ຂອງຕົວອັກສອນ escape ໄດ້.
~B ສົ່ງ BREAK ໄປຫາລະບົບທາງໄກ (ປະໂຫຍດພຽງແຕ່ຖ້າຫາກວ່າຫມູ່ເພື່ອນສະຫນັບສະຫນູນມັນ).
~C ເປີດບັນທັດຄໍາສັ່ງ. ໃນປັດຈຸບັນນີ້ອະນຸຍາດໃຫ້ເພີ່ມການສົ່ງຕໍ່ພອດໂດຍໃຊ້
-L, -R ແລະ -D ທາງເລືອກ (ເບິ່ງຂ້າງເທິງ). ມັນຍັງອະນຸຍາດໃຫ້ຍົກເລີກການທີ່ມີຢູ່ແລ້ວ
port-forwardings ກັບ -KL[bind_address:]port ສໍາລັບທ້ອງຖິ່ນ, -KR[bind_address:]port ສໍາລັບການ
ຫ່າງໄກສອກຫຼີກແລະ -KD[bind_address:]port ສໍາລັບການສົ່ງຕໍ່ພອດແບບເຄື່ອນໄຫວ. !ຄໍາສັ່ງ ອະນຸຍາດໃຫ້
ຜູ້ໃຊ້ເພື່ອປະຕິບັດຄໍາສັ່ງທ້ອງຖິ່ນຖ້າຫາກວ່າ ຄໍາສັ່ງອະນຸຍາດທ້ອງຖິ່ນ ທາງເລືອກແມ່ນເປີດໃຊ້ງານໃນ
ssh_config(5). ການຊ່ວຍເຫຼືອພື້ນຖານສາມາດໃຊ້ໄດ້, ໂດຍໃຊ້ -h ທາງເລືອກ.
~R ຮ້ອງຂໍໃຫ້ rekeying ຂອງການເຊື່ອມຕໍ່ (ພຽງແຕ່ເປັນປະໂຫຍດຖ້າຫາກວ່າ peer ສະຫນັບສະຫນູນມັນ).
~V ຫຼຸດຜ່ອນຄວາມເວົ້າ (ລະດັບບັນທຶກ) ເມື່ອຂໍ້ຜິດພາດຖືກຂຽນໃສ່ stderr.
~v ເພີ່ມທະວີການ verbosity (ລະດັບບັນທຶກ) ເມື່ອຂໍ້ຜິດພາດຖືກຂຽນໃສ່ stderr.
TCP ການໃຫ້ອະໄພ
ການສົ່ງຕໍ່ການເຊື່ອມຕໍ່ TCP ທີ່ບໍ່ຄາດຄິດຜ່ານຊ່ອງທີ່ປອດໄພສາມາດຖືກລະບຸໄວ້ບໍ່ວ່າຈະຢູ່ໃນ
ເສັ້ນຄໍາສັ່ງຫຼືໃນໄຟລ໌ການຕັ້ງຄ່າ. ຄໍາຮ້ອງສະຫມັກຫນຶ່ງທີ່ເປັນໄປໄດ້ຂອງການສົ່ງຕໍ່ TCP ແມ່ນ
ການເຊື່ອມຕໍ່ທີ່ປອດໄພກັບເຄື່ອງແມ່ຂ່າຍເມລ; ອີກອັນຫນຶ່ງແມ່ນຜ່ານ firewalls.
ໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້, ພວກເຮົາເບິ່ງການເຂົ້າລະຫັດການສື່ສານລະຫວ່າງລູກຄ້າ IRC ແລະເຄື່ອງແມ່ຂ່າຍ,
ເຖິງແມ່ນວ່າເຊີບເວີ IRC ບໍ່ຮອງຮັບການສື່ສານທີ່ຖືກເຂົ້າລະຫັດໂດຍກົງ. ນີ້ເຮັດວຽກ
ດັ່ງນີ້: ຜູ້ໃຊ້ເຊື່ອມຕໍ່ກັບໂຮດຫ່າງໄກສອກຫຼີກໂດຍໃຊ້ ssh, ການລະບຸພອດທີ່ຈະໃຊ້
ສົ່ງຕໍ່ການເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ. ຫຼັງຈາກນັ້ນ, ມັນເປັນໄປໄດ້ທີ່ຈະເລີ່ມຕົ້ນການບໍລິການ
ເຊິ່ງຈະຖືກເຂົ້າລະຫັດຢູ່ໃນເຄື່ອງລູກຄ້າ, ເຊື່ອມຕໍ່ກັບພອດທ້ອງຖິ່ນດຽວກັນ, ແລະ ssh
ຈະເຂົ້າລະຫັດ ແລະສົ່ງຕໍ່ການເຊື່ອມຕໍ່.
ຕົວຢ່າງຕໍ່ໄປນີ້ເຈາະລະບົບ IRC ຈາກເຄື່ອງລູກຄ້າ “127.0.0.1” (localhost) ໄປຫາ.
ເຊີບເວີໄລຍະໄກ “server.example.com”:
$ssh -f -L 1234:localhost:6667 server.example.com ນອນ 10
$ irc -c '#users' -p 1234 pinky 127.0.0.1
ອຸໂມງນີ້ເຊື່ອມຕໍ່ກັບເຊີບເວີ IRC “server.example.com”, ການເຂົ້າຮ່ວມຊ່ອງ “#users”,
ຊື່ຫຼິ້ນ “pinky”, ໂດຍໃຊ້ພອດ 1234. ມັນບໍ່ສຳຄັນວ່າພອດໃດຈະໃຊ້, ຕາບໃດທີ່ມັນໃຊ້.
ຫຼາຍກວ່າ 1023 (ຈື່ໄວ້ວ່າພຽງແຕ່ຮາກສາມາດເປີດຊັອກເກັດຢູ່ໃນພອດທີ່ມີສິດທິພິເສດ) ແລະບໍ່ໄດ້.
ຂັດກັບພອດໃດນຶ່ງທີ່ໃຊ້ແລ້ວ. ການເຊື່ອມຕໍ່ຖືກສົ່ງຕໍ່ໄປຫາພອດ 6667 ຢູ່ເທິງ
ເຊີບເວີທາງໄກ, ເພາະວ່ານັ້ນແມ່ນພອດມາດຕະຖານສໍາລັບການບໍລິການ IRC.
ໄດ້ -f ພື້ນຖານທາງເລືອກ ssh ແລະຄໍາສັ່ງຫ່າງໄກສອກຫຼີກ "sleep 10" ຖືກກໍານົດເພື່ອອະນຸຍາດໃຫ້
ຈໍານວນເວລາ (10 ວິນາທີ, ໃນຕົວຢ່າງ) ເພື່ອເລີ່ມຕົ້ນການບໍລິການທີ່ຈະເຂົ້າໄປໃນອຸໂມງ.
ຖ້າບໍ່ມີການເຊື່ອມຕໍ່ພາຍໃນເວລາທີ່ກໍານົດໄວ້, ssh ຈະອອກ.
X11 ການໃຫ້ອະໄພ
ຖ້າ ForwardX11 ຕົວແປຖືກຕັ້ງເປັນ "ແມ່ນ" (ຫຼືເບິ່ງຄໍາອະທິບາຍຂອງ -X, -x, ແລະ -Y
ທາງເລືອກຂ້າງເທິງ) ແລະຜູ້ໃຊ້ກໍາລັງໃຊ້ X11 (ຕົວແປສະພາບແວດລ້ອມ DISPLAY ຖືກກໍານົດ), the
ການເຊື່ອມຕໍ່ກັບຈໍສະແດງຜົນ X11 ຈະຖືກສົ່ງຕໍ່ອັດຕະໂນມັດໄປຫາທາງໄກໃນທາງດັ່ງກ່າວ
ວ່າບັນດາໂຄງການ X11 ເລີ່ມຕົ້ນຈາກແກະ (ຫຼືຄໍາສັ່ງ) ຈະໄປໂດຍຜ່ານການເຂົ້າລະຫັດ
channel, ແລະການເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍ X ທີ່ແທ້ຈິງຈະເຮັດຈາກເຄື່ອງທ້ອງຖິ່ນ. ໄດ້
ຜູ້ໃຊ້ບໍ່ຄວນຕັ້ງ DISPLAY ດ້ວຍຕົນເອງ. ການສົ່ງຕໍ່ຂອງການເຊື່ອມຕໍ່ X11 ສາມາດຖືກຕັ້ງຄ່າໄດ້
ເສັ້ນຄໍາສັ່ງຫຼືໃນໄຟລ໌ການຕັ້ງຄ່າ.
ຄ່າ DISPLAY ກໍານົດໂດຍ ssh ຈະຊີ້ໄປຫາເຄື່ອງເຊີບເວີ, ແຕ່ມີຕົວເລກສະແດງ
ໃຫຍ່ກວ່າສູນ. ນີ້ແມ່ນເລື່ອງປົກກະຕິ, ແລະເກີດຂຶ້ນຍ້ອນ ssh ສ້າງ “ພຣັອກຊີ” ເຊີບເວີ X ເທິງ
ເຄື່ອງເຊີບເວີສໍາລັບການສົ່ງຕໍ່ການເຊື່ອມຕໍ່ຜ່ານຊ່ອງທາງທີ່ຖືກເຂົ້າລະຫັດ.
ssh ຍັງຈະຕັ້ງຂໍ້ມູນ Xauthority ໂດຍອັດຕະໂນມັດໃນເຄື່ອງເຊີບເວີ. ສໍາລັບຈຸດປະສົງນີ້,
ມັນຈະສ້າງຄຸກກີການອະນຸຍາດແບບສຸ່ມ, ເກັບໄວ້ໃນ Xauthority ໃນເຄື່ອງແມ່ຂ່າຍ, ແລະ
ກວດສອບວ່າການເຊື່ອມຕໍ່ທີ່ສົ່ງຕໍ່ມີການນໍາໃຊ້ cookie ນີ້ແລະທົດແທນການມັນໂດຍ cookie ແທ້ຈິງ
ເມື່ອການເຊື່ອມຕໍ່ຖືກເປີດ. ຄຸກກີ້ການຢືນຢັນທີ່ແທ້ຈິງບໍ່ເຄີຍຖືກສົ່ງໄປຫາເຄື່ອງແມ່ຂ່າຍ
ເຄື່ອງ (ແລະບໍ່ມີ cookies ຖືກສົ່ງຢູ່ໃນທົ່ງພຽງ).
ຖ້າ ຕົວແທນສົ່ງຕໍ່ ຕົວແປຖືກຕັ້ງເປັນ "ແມ່ນ" (ຫຼືເບິ່ງຄໍາອະທິບາຍຂອງ -A ແລະ -a
ທາງເລືອກຂ້າງເທິງ) ແລະຜູ້ໃຊ້ກໍາລັງໃຊ້ຕົວແທນການຢືນຢັນ, ການເຊື່ອມຕໍ່ກັບຕົວແທນແມ່ນ
ສົ່ງຕໍ່ອັດຕະໂນມັດໄປຫາທາງໄກ.
ກຳລັງຢັ້ງຢືນ ທີ່ສຸດ ຄີ
ເມື່ອເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍເປັນຄັ້ງທໍາອິດ, ນິ້ວມືສາທາລະນະຂອງເຄື່ອງແມ່ຂ່າຍແມ່ນ
ນໍາສະເຫນີໃຫ້ຜູ້ໃຊ້ (ເວັ້ນເສຍແຕ່ທາງເລືອກ StrictHostKeyChecking ຖືກປິດ).
ລາຍນິ້ວມືສາມາດຖືກກໍານົດໂດຍໃຊ້ ssh-keygen(1):
$ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
ຖ້າຫາກວ່າລາຍນິ້ວມືແມ່ນເປັນທີ່ຮູ້ຈັກແລ້ວ, ມັນສາມາດຖືກຈັບຄູ່ແລະລະຫັດສາມາດຍອມຮັບໄດ້ຫຼື
ປະຕິເສດ. ຖ້າມີພຽງລາຍນິ້ວມືທີ່ເປັນມໍລະດົກ (MD5) ສໍາລັບເຊີບເວີ, ssh-keygen(1)
-E ທາງເລືອກອາດຈະຖືກນໍາໃຊ້ເພື່ອຫຼຸດລະດັບວິທີການລາຍນີ້ວມືໃຫ້ກົງກັນ.
ເນື່ອງຈາກຄວາມຫຍຸ້ງຍາກໃນການປຽບທຽບກະແຈເຈົ້າພາບພຽງແຕ່ເບິ່ງສາຍນິ້ວມື,
ນອກຈາກນີ້ຍັງມີການສະຫນັບສະຫນູນເພື່ອປຽບທຽບລະຫັດເຈົ້າພາບໃນສາຍຕາ, ການນໍາໃຊ້ random ສິນລະປະ. ໂດຍການຕັ້ງຄ່າ
VisualHostKey ທາງເລືອກທີ່ຈະ "ແມ່ນ", ກຣາບຟິກ ASCII ຂະຫນາດນ້ອຍຈະຖືກສະແດງຢູ່ໃນທຸກໆການເຂົ້າສູ່ລະບົບ a
ເຊີບເວີ, ບໍ່ວ່າເຊດຊັນຕົວມັນເອງຈະໂຕ້ຕອບຫຼືບໍ່. ໂດຍການຮຽນຮູ້ຮູບແບບ ກ
ເຄື່ອງແມ່ຂ່າຍທີ່ຮູ້ຈັກຜະລິດ, ຜູ້ໃຊ້ສາມາດຊອກຫາໄດ້ງ່າຍວ່າ host key ມີການປ່ຽນແປງເມື່ອ a
ຮູບແບບທີ່ແຕກຕ່າງກັນຫມົດແມ່ນສະແດງ. ເນື່ອງຈາກວ່າຮູບແບບເຫຼົ່ານີ້ແມ່ນບໍ່ unambiguous
ແນວໃດກໍ່ຕາມ, ຮູບແບບທີ່ມີລັກສະນະຄ້າຍຄືກັນກັບຮູບແບບທີ່ຈື່ໄວ້ພຽງແຕ່ເຮັດໃຫ້ດີ
ຄວາມເປັນໄປໄດ້ທີ່ລະຫັດໂຮດແມ່ນຄືກັນ, ບໍ່ແມ່ນຫຼັກຖານທີ່ຮັບປະກັນ.
ເພື່ອໃຫ້ໄດ້ຮັບລາຍຊື່ຂອງລາຍນິ້ວມືພ້ອມກັບສິນລະປະແບບສຸ່ມຂອງເຂົາເຈົ້າສໍາລັບເຈົ້າພາບທີ່ຮູ້ຈັກທັງຫມົດ, ໄດ້
ເສັ້ນຄໍາສັ່ງຕໍ່ໄປນີ້ສາມາດໃຊ້ໄດ້:
$ ssh-keygen -lv -f ~/.ssh/known_hosts
ຖ້າລາຍນິ້ວມືບໍ່ຮູ້ຈັກ, ມີວິທີການຢັ້ງຢືນທາງເລືອກອື່ນ: SSH
ລາຍນິ້ວມືຢັ້ງຢືນໂດຍ DNS. ບັນທຶກຊັບພະຍາກອນເພີ່ມເຕີມ (RR), SSHFP, ຖືກເພີ່ມເຂົ້າໃນ a
zonefile ແລະລູກຄ້າເຊື່ອມຕໍ່ແມ່ນສາມາດຈັບຄູ່ລາຍນິ້ວມືກັບທີ່ຂອງກະແຈ
ນຳ ສະ ເໜີ.
ໃນຕົວຢ່າງນີ້, ພວກເຮົາກໍາລັງເຊື່ອມຕໍ່ລູກຄ້າກັບເຄື່ອງແມ່ຂ່າຍ, "host.example.com". SSHFP
ບັນທຶກຊັບພະຍາກອນຄວນຖືກເພີ່ມໃສ່ zonefile ສໍາລັບ host.example.com:
$ ssh-keygen -r host.example.com.
ສາຍຜົນຜະລິດຈະຕ້ອງຖືກເພີ່ມໃສ່ zonefile. ເພື່ອກວດເບິ່ງວ່າເຂດແມ່ນຕອບ
ການສອບຖາມລາຍນິ້ວມື:
$ dig -t SSHFP host.example.com
ໃນທີ່ສຸດລູກຄ້າເຊື່ອມຕໍ່:
$ ssh -o "VerifyHostKeyDNS ຖາມ" host.example.com
[ ... ]
ຈັບຄູ່ລາຍນິ້ວມືຂອງເຈົ້າຂອງລະຫັດທີ່ພົບໃນ DNS.
ທ່ານແນ່ໃຈວ່າທ່ານຕ້ອງການເຊື່ອມຕໍ່ຕໍ່ (yes / no)?
ເບິ່ງ VerifyHostKeyDNS option in ssh_config(5) ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ.
SSH-ອີງ VIRTUAL PRIVATE ເນັດ
ssh ມີການສະຫນັບສະຫນູນສໍາລັບການ Virtual Private Network (VPN) tunneling ການນໍາໃຊ້ tun(4) ເຄືອຂ່າຍ
pseudo-device, ໃຫ້ສອງເຄືອຂ່າຍເຂົ້າຮ່ວມຢ່າງປອດໄພ. ໄດ້ sshd_config(5)
ທາງເລືອກການຕັ້ງຄ່າ ອະນຸຍາດອຸໂມງ ຄວບຄຸມວ່າເຄື່ອງແມ່ຂ່າຍສະຫນັບສະຫນູນນີ້, ແລະແມ່ນຫຍັງ
ລະດັບ (ຊັ້ນ 2 ຫຼື 3 ການຈະລາຈອນ).
ຕົວຢ່າງຕໍ່ໄປນີ້ຈະເຊື່ອມຕໍ່ເຄືອຂ່າຍລູກຄ້າ 10.0.50.0/24 ກັບເຄືອຂ່າຍທາງໄກ
10.0.99.0/24 ໂດຍໃຊ້ການເຊື່ອມຕໍ່ຈຸດຫາຈຸດຈາກ 10.1.1.1 ຫາ 10.1.1.2, ສະຫນອງໃຫ້
ເຊີບເວີ SSH ທີ່ແລ່ນຢູ່ໃນປະຕູສູ່ເຄືອຂ່າຍທາງໄກ, ທີ່ 192.168.1.15, ອະນຸຍາດໃຫ້ມັນ.
ກ່ຽວກັບລູກຄ້າ:
# ssh -f -w 0:1 192.168.1.15 ຄວາມຈິງ
# ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
# ເສັ້ນທາງເພີ່ມ 10.0.99.0/24 10.1.1.2
ໃນເຊີບເວີ:
# ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252
# ເສັ້ນທາງເພີ່ມ 10.0.50.0/24 10.1.1.1
ການເຂົ້າເຖິງລູກຄ້າອາດຈະໄດ້ຮັບການປັບລະອຽດເພີ່ມເຕີມໂດຍຜ່ານ /root/.ssh/authorized_keys ໄຟລ໌ (ເບິ່ງຂ້າງລຸ່ມນີ້)
ແລະ PermitRootLogin ທາງເລືອກເຊີບເວີ. ການເຂົ້າຕໍ່ໄປນີ້ຈະອະນຸຍາດໃຫ້ເຊື່ອມຕໍ່
tun(4) ອຸປະກອນ 1 ຈາກຜູ້ໃຊ້ "jane" ແລະອຸປະກອນ tun 2 ຈາກຜູ້ໃຊ້ "john", ຖ້າ PermitRootLogin is
ຕັ້ງຄ່າເປັນ "ບັງຄັບບັນຊາເທົ່ານັ້ນ":
tunnel="1",command="sh /etc/netstart tun1" ssh-rsa ... jane
tunnel="2", ຄໍາສັ່ງ = "sh /etc/netstart tun2" ssh-rsa ... john
ນັບຕັ້ງແຕ່ການຕັ້ງຄ່າ SSH ປະກອບມີຈໍານວນຄ່າໃຊ້ຈ່າຍທີ່ຍຸດຕິທໍາ, ມັນອາດຈະເຫມາະສົມກັບຫຼາຍ
ການຕິດຕັ້ງຊົ່ວຄາວ, ເຊັ່ນ: ສໍາລັບ VPNs ໄຮ້ສາຍ. VPNs ຖາວອນຫຼາຍແມ່ນສະຫນອງໃຫ້ດີກວ່າໂດຍ
ເຄື່ອງມືເຊັ່ນ ipsecctl(8) ແລະ isakmpd(8).
ENVIRONMENT
ssh ໂດຍປົກກະຕິຈະກໍານົດຕົວແປສະພາບແວດລ້ອມຕໍ່ໄປນີ້:
DISPLAY ຕົວແປ DISPLAY ຊີ້ບອກສະຖານທີ່ຂອງເຊີບເວີ X11. ມັນແມ່ນ
ກໍານົດອັດຕະໂນມັດໂດຍ ssh ເພື່ອຊີ້ໃຫ້ເຫັນມູນຄ່າຂອງແບບຟອມ "ຊື່ເຈົ້າພາບ: n",
ບ່ອນທີ່ “hostname” ຊີ້ບອກ host ບ່ອນທີ່ shell ແລ່ນ, ແລະ 'n' ແມ່ນ
ຈຳນວນເຕັມ ≥ 1. ssh ໃຊ້ຄ່າພິເສດນີ້ເພື່ອສົ່ງຕໍ່ X11
ການເຊື່ອມຕໍ່ຜ່ານຊ່ອງທີ່ປອດໄພ. ປົກກະຕິຜູ້ໃຊ້ບໍ່ຄວນຕັ້ງ
DISPLAY ຢ່າງຊັດເຈນ, ຍ້ອນວ່າມັນຈະເຮັດໃຫ້ການເຊື່ອມຕໍ່ X11 ບໍ່ປອດໄພ
(ແລະຈະຮຽກຮ້ອງໃຫ້ຜູ້ໃຊ້ຄັດລອກການອະນຸຍາດທີ່ຕ້ອງການດ້ວຍຕົນເອງ
cookies).
HOME ຕັ້ງເປັນເສັ້ນທາງຂອງໄດເລກະທໍລີເຮືອນຂອງຜູ້ໃຊ້.
LOGNAME ຄໍາສັບຄ້າຍຄືສໍາລັບ USER; ກໍານົດສໍາລັບຄວາມເຂົ້າກັນໄດ້ກັບລະບົບທີ່ນໍາໃຊ້ນີ້
ຕົວແປ.
MAIL ກໍານົດເປັນເສັ້ນທາງຂອງກ່ອງຈົດຫມາຍຂອງຜູ້ໃຊ້.
PATH ຕັ້ງເປັນ PATH ເລີ່ມຕົ້ນ, ຕາມທີ່ລະບຸໄວ້ໃນເວລາລວບລວມ ssh.
SSH_ASKPASS ຖ້າ ssh ຕ້ອງການ passphrase, ມັນຈະອ່ານ passphrase ຈາກ
terminal ປະຈຸບັນຖ້າຫາກວ່າມັນຖືກດໍາເນີນການຈາກ terminal. ຖ້າ ssh ບໍ່ມີ
terminal ທີ່ກ່ຽວຂ້ອງກັບມັນແຕ່ DISPLAY ແລະ SSH_ASKPASS ຖືກຕັ້ງ, ມັນ
ຈະດໍາເນີນການໂຄງການທີ່ລະບຸໄວ້ໂດຍ SSH_ASKPASS ແລະເປີດ X11
ປ່ອງຢ້ຽມເພື່ອອ່ານລະຫັດຜ່ານ. ນີ້ແມ່ນເປັນປະໂຫຍດໂດຍສະເພາະໃນເວລາທີ່
ໂທຫາ ssh ຈາກ .xsession ຫຼື script ທີ່ກ່ຽວຂ້ອງ. (ໃຫ້ສັງເກດວ່າບາງ
ເຄື່ອງຈັກມັນອາດຈະມີຄວາມຈໍາເປັນທີ່ຈະປ່ຽນເສັ້ນທາງການປ້ອນຂໍ້ມູນຈາກ / dev / null to
ເຮັດວຽກນີ້.)
SSH_AUTH_SOCK ລະບຸເສັ້ນທາງຂອງຊັອກເກັດໂດເມນ UNIX ທີ່ໃຊ້ເພື່ອຕິດຕໍ່ສື່ສານກັບ
ຕົວແທນ.
SSH_CONNECTION ກໍານົດລູກຄ້າແລະເຄື່ອງແມ່ຂ່າຍທີ່ສິ້ນສຸດການເຊື່ອມຕໍ່. ຕົວແປ
ປະກອບມີສີ່ຄ່າທີ່ແຍກອອກຈາກພື້ນທີ່: ທີ່ຢູ່ IP ຂອງລູກຂ່າຍ, ພອດລູກຄ້າ
ໝາຍເລກ, ທີ່ຢູ່ IP ຂອງເຊີບເວີ, ແລະໝາຍເລກຜອດເຊີບເວີ.
SSH_ORIGINAL_COMMAND ຕົວແປນີ້ມີບັນທັດຄໍາສັ່ງຕົ້ນສະບັບຖ້າຄໍາສັ່ງບັງຄັບ
ຖືກປະຕິບັດ. ມັນສາມາດຖືກນໍາໃຊ້ເພື່ອສະກັດການໂຕ້ຖຽງຕົ້ນສະບັບ.
SSH_TTY ອັນນີ້ຖືກຕັ້ງເປັນຊື່ຂອງ tty (ເສັ້ນທາງໄປຫາອຸປະກອນ) ທີ່ກ່ຽວຂ້ອງ
ກັບ shell ຫຼືຄໍາສັ່ງໃນປະຈຸບັນ. ຖ້າກອງປະຊຸມປະຈຸບັນບໍ່ມີ tty,
ຕົວແປນີ້ບໍ່ໄດ້ຕັ້ງ.
TZ ຕົວແປນີ້ຖືກກໍານົດເພື່ອຊີ້ບອກເຂດເວລາໃນປະຈຸບັນຖ້າມັນຖືກຕັ້ງ
ໃນເວລາທີ່ daemon ໄດ້ຖືກເລີ່ມຕົ້ນ (ie daemon passes ມູນຄ່າກ່ຽວກັບການ
ການເຊື່ອມຕໍ່ໃຫມ່).
USER ຕັ້ງເປັນຊື່ຂອງຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບ.
ນອກຈາກນັ້ນ, ssh reads ~/.ssh/ສະພາບແວດລ້ອມ, ແລະເພີ່ມເສັ້ນຂອງຮູບແບບ “VARNAME=value” ໃສ່
ສະພາບແວດລ້ອມຖ້າໄຟລ໌ມີຢູ່ແລະຜູ້ໃຊ້ໄດ້ຖືກອະນຸຍາດໃຫ້ປ່ຽນສະພາບແວດລ້ອມຂອງພວກເຂົາ. ສໍາລັບ
ຂໍ້ມູນເພີ່ມເຕີມ, ເບິ່ງໄດ້ PermitUserEnvironment option in sshd_config(5).
ໃຊ້ ssh ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net
