Ini ialah slogin arahan yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
ssh — Klien OpenSSH SSH (program log masuk jauh)
SINOPSIS
ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec] [-D [bind_address:]pelabuhan]
[-E fail log] [-e escape_char] [-F fail konfigurasi] [-I pkcs11] [-i fail_identiti]
[-L alamat] [-l nama log masuk] [-m mac_spec] [-O ctl_cmd] [-o pilihan] [-p pelabuhan]
[-Q pilihan_pertanyaan] [-R alamat] [-S ctl_path] [-W tuan rumah:pelabuhan] [-w local_tun[:remote_tun]]
[pengguna@]nama hos [arahan]
DESCRIPTION
ssh (Pelanggan SSH) ialah program untuk log masuk ke mesin jauh dan untuk melaksanakan arahan
pada mesin jauh. Ia bertujuan untuk menyediakan komunikasi yang disulitkan selamat antara dua
hos yang tidak dipercayai melalui rangkaian yang tidak selamat. Sambungan X11, port TCP sewenang-wenangnya dan
Soket domain UNIX juga boleh dimajukan melalui saluran selamat.
ssh menyambung dan log masuk ke yang ditentukan nama hos (dengan pilihan pengguna nama). Pengguna mesti
buktikan identitinya kepada mesin jauh menggunakan salah satu daripada beberapa kaedah (lihat di bawah).
If arahan ditentukan, ia dilaksanakan pada hos jauh dan bukannya shell log masuk.
Pilihannya adalah seperti berikut:
-1 Angkatan ssh untuk mencuba protokol versi 1 sahaja.
-2 Angkatan ssh untuk mencuba protokol versi 2 sahaja.
-4 Angkatan ssh untuk menggunakan alamat IPv4 sahaja.
-6 Angkatan ssh untuk menggunakan alamat IPv6 sahaja.
-A Membolehkan pemajuan sambungan ejen pengesahan. Ini pun boleh
ditentukan berdasarkan setiap hos dalam fail konfigurasi.
Pemajuan ejen harus didayakan dengan berhati-hati. Pengguna dengan keupayaan untuk memintas
kebenaran fail pada hos jauh (untuk soket domain UNIX ejen) boleh mengakses
ejen tempatan melalui sambungan yang dimajukan. Penyerang tidak boleh mendapatkan kunci
bahan daripada ejen, namun mereka boleh melakukan operasi pada kunci yang membolehkan
mereka untuk mengesahkan menggunakan identiti yang dimuatkan ke dalam ejen.
-a Melumpuhkan pemajuan sambungan ejen pengesahan.
-b bind_address
Penggunaan bind_address pada mesin tempatan sebagai alamat sumber sambungan. Sahaja
berguna pada sistem dengan lebih daripada satu alamat.
-C Meminta pemampatan semua data (termasuk stdin, stdout, stderr dan data untuk
memajukan sambungan X11, TCP dan domain UNIX). Algoritma mampatan ialah
sama digunakan oleh gzip(1), dan "tahap" boleh dikawal oleh Tahap Mampatan
pilihan untuk versi protokol 1. Pemampatan adalah wajar pada talian modem dan lain-lain
sambungan perlahan, tetapi hanya akan memperlahankan perkara pada rangkaian pantas. lalai
nilai boleh ditetapkan berdasarkan hos demi hos dalam fail konfigurasi; lihat
Mampatan pilihan.
-c cipher_spec
Memilih spesifikasi sifir untuk menyulitkan sesi.
Protokol versi 1 membenarkan spesifikasi satu sifir. Nilai yang disokong
ialah "3des", "blowfish", dan "des". Untuk protokol versi 2, cipher_spec ialah koma-
senarai berasingan sifir disenaraikan mengikut keutamaan. Lihat Ciphers kata kunci dalam
ssh_config(5) untuk maklumat lanjut.
-D [bind_address:]pelabuhan
Menentukan pemajuan port peringkat aplikasi "dinamik" setempat. Ini berfungsi oleh
memperuntukkan soket untuk mendengar pelabuhan di sebelah tempatan, secara pilihan terikat kepada
dinyatakan bind_address. Setiap kali sambungan dibuat ke port ini, sambungan
dimajukan melalui saluran selamat, dan protokol aplikasi kemudiannya digunakan untuk
tentukan tempat untuk menyambung dari mesin jauh. Pada masa ini SOCKS4 dan
Protokol SOCKS5 disokong, dan ssh akan bertindak sebagai pelayan SOCKS. Hanya akar boleh
pelabuhan istimewa ke hadapan. Pemajuan port dinamik juga boleh ditentukan dalam
fail konfigurasi.
Alamat IPv6 boleh ditentukan dengan melampirkan alamat dalam kurungan segi empat sama. Sahaja
pengguna super boleh memajukan port istimewa. Secara lalai, pelabuhan tempatan terikat masuk
sesuai dengan GatewayPorts tetapan. Walau bagaimanapun, secara eksplisit bind_address mungkin
digunakan untuk mengikat sambungan ke alamat tertentu. The bind_address daripada “localhost”
menunjukkan bahawa port mendengar terikat untuk kegunaan tempatan sahaja, manakala kosong
alamat atau '*' menunjukkan bahawa port harus tersedia dari semua antara muka.
-E fail log
Tambahkan log nyahpepijat ke fail log bukannya ralat piawai.
-e escape_char
Menetapkan aksara melarikan diri untuk sesi dengan pty (lalai: '~'). melarikan diri
aksara hanya dikenali pada permulaan baris. Watak melarikan diri
diikuti dengan titik ('.') menutup sambungan; diikuti dengan kawalan-Z menggantung
sambungan; dan diikuti dengan sendirinya menghantar watak melarikan diri sekali. Menetapkan
aksara kepada "tiada" melumpuhkan sebarang pelarian dan menjadikan sesi telus sepenuhnya.
-F fail konfigurasi
Menentukan fail konfigurasi setiap pengguna alternatif. Jika fail konfigurasi adalah
diberikan pada baris arahan, fail konfigurasi seluruh sistem (/ etc / ssh / ssh_config)
akan diabaikan. Lalai untuk fail konfigurasi setiap pengguna ialah ~ / .ssh / config.
-f permintaan ssh untuk pergi ke latar belakang sejurus sebelum pelaksanaan arahan. Ini berguna jika
ssh akan meminta kata laluan atau frasa laluan, tetapi pengguna mahukannya dalam
latar belakang. Ini bermakna -n. Cara yang disyorkan untuk memulakan program X11 pada alat kawalan jauh
tapak adalah dengan sesuatu seperti ssh -f tuan rumah xterm.
Jika ExitOnForwardFailure pilihan konfigurasi ditetapkan kepada "ya", kemudian pelanggan
bermula dengan -f akan menunggu semua port jauh ke hadapan berjaya
ditubuhkan sebelum meletakkan dirinya di latar belakang.
-G Punca ssh untuk mencetak konfigurasinya selepas menilai Tuan rumah and Sepadan dengan blok dan
keluar.
-g Membenarkan hos jauh menyambung ke port yang dimajukan tempatan. Jika digunakan pada pemultipleks
sambungan, maka pilihan ini mesti dinyatakan pada proses induk.
-I pkcs11
Nyatakan pustaka kongsi PKCS#11 ssh harus digunakan untuk berkomunikasi dengan PKCS#11
token yang menyediakan kunci RSA peribadi pengguna.
-i fail_identiti
Memilih fail dari mana identiti (kunci peribadi) untuk pengesahan kunci awam
dibaca. Lalainya ialah ~/.ssh/identiti untuk protokol versi 1, dan ~/.ssh/id_dsa,
~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 and ~/.ssh/id_rsa untuk protokol versi 2.
Fail identiti juga boleh ditentukan berdasarkan setiap hos dalam fail konfigurasi.
Ia adalah mungkin untuk mempunyai berbilang -i pilihan (dan berbilang identiti yang dinyatakan dalam
fail konfigurasi). Jika tiada sijil telah dinyatakan secara eksplisit oleh
Fail Sijil arahan, ssh juga akan cuba memuatkan maklumat sijil daripada
nama fail yang diperolehi dengan melampirkan -cert.pub kepada nama fail identiti.
-K Mendayakan pengesahan dan pemajuan berasaskan GSSAPI (delegasi) GSSAPI
kelayakan ke pelayan.
-k Melumpuhkan penghantaran semula (delegasi) bukti kelayakan GSSAPI ke pelayan.
-L [bind_address:]pelabuhan:tuan rumah:hosport
-L [bind_address:]pelabuhan:soket_jauh
-L local_socket:tuan rumah:hosport
-L local_socket:soket_jauh
Menentukan sambungan ke port TCP atau soket Unix yang diberikan pada tempatan
hos (klien) hendaklah dimajukan ke hos dan port yang diberikan, atau soket Unix, pada
sebelah jauh. Ini berfungsi dengan memperuntukkan soket untuk mendengar sama ada TCP pelabuhan on
sebelah tempatan, secara pilihan terikat kepada yang ditentukan bind_address, atau ke soket Unix.
Setiap kali sambungan dibuat ke port atau soket tempatan, sambungan adalah
dimajukan melalui saluran selamat, dan sambungan dibuat ke salah satu tuan rumah pelabuhan
hosport, atau soket Unix soket_jauh, daripada mesin jauh.
Pemajuan port juga boleh ditentukan dalam fail konfigurasi. Hanya yang
superuser boleh memajukan port istimewa. Alamat IPv6 boleh ditentukan oleh
melampirkan alamat dalam kurungan segi empat sama.
Secara lalai, pelabuhan tempatan terikat mengikut GatewayPorts penetapan.
Walau bagaimanapun, secara eksplisit bind_address boleh digunakan untuk mengikat sambungan kepada yang tertentu
alamat. The bind_address daripada "localhost" menunjukkan bahawa port mendengar terikat
untuk kegunaan tempatan sahaja, manakala alamat kosong atau '*' menunjukkan bahawa port itu sepatutnya
tersedia daripada semua antara muka.
-l nama log masuk
Menentukan pengguna untuk log masuk seperti pada mesin jauh. Ini juga boleh ditentukan
berdasarkan setiap hos dalam fail konfigurasi.
-M Tempat yang ssh klien ke dalam mod "master" untuk perkongsian sambungan. Pelbagai -M
tempat pilihan ssh ke dalam mod "tuan" dengan pengesahan diperlukan sebelum hamba
sambungan diterima. Rujuk penerangan tentang Guru Kawalan in
ssh_config(5) untuk butiran.
-m mac_spec
Senarai algoritma MAC (kod pengesahan mesej) yang dipisahkan koma, dinyatakan dalam
susunan keutamaan. Lihat MAC kata kunci untuk maklumat lanjut.
-N Jangan laksanakan arahan jauh. Ini berguna untuk hanya memajukan port.
-n Ubah hala stdin daripada / dev / null (sebenarnya, menghalang bacaan daripada stdin). Ini mesti
digunakan apabila ssh dijalankan di latar belakang. Helah biasa ialah menggunakan ini untuk menjalankan X11
atur cara pada mesin jauh. Sebagai contoh, ssh -n shadows.cs.hut.fi emacs & akan
mulakan emacs pada shadows.cs.hut.fi, dan sambungan X11 akan secara automatik
dimajukan melalui saluran yang disulitkan. The ssh program akan diletakkan di latar belakang.
(Ini tidak berfungsi jika ssh perlu meminta kata laluan atau frasa laluan; lihat juga
-f pilihan.)
-O ctl_cmd
Kawal proses induk pemultipleksan sambungan aktif. Apabila -O pilihan adalah
dinyatakan, yang ctl_cmd hujah ditafsir dan diserahkan kepada proses induk.
Perintah yang sah ialah: "semak" (periksa sama ada proses induk sedang berjalan), "ke hadapan"
(minta kiriman semula tanpa pelaksanaan perintah), "batal" (batalkan penghantaran),
"keluar" (minta tuan untuk keluar), dan "berhenti" (minta tuan untuk berhenti
menerima permintaan pemultipleksan selanjutnya).
-o pilihan
Boleh digunakan untuk memberi pilihan dalam format yang digunakan dalam fail konfigurasi. Ini adalah
berguna untuk menentukan pilihan yang tiada bendera baris perintah yang berasingan. Untuk
butiran penuh pilihan yang disenaraikan di bawah, dan kemungkinan nilainya, lihat
ssh_config(5).
AddKeysToAgent
AlamatKeluarga
Mod Kumpulan
BindAddress
CanonicalDomains
CanonicalizeFallbackLocal
CanonicalizeHostname
CanonicalizeMaxDots
CanonicalizePermittedCNAMEs
Fail Sijil
Autentikasi CabaranResponse
CheckHostIP
Cipher
Ciphers
ClearAllForwardings
Mampatan
Tahap Mampatan
Percubaan Sambungan
ConnectTimeout
Guru Kawalan
ControlPath
ControlPersist
DynamicForward
EscapeChar
ExitOnForwardFailure
Cap jariHash
ForwardAgent
HadapanX11
ForwardX11Tamat masa
MajuX11Depercayai
GatewayPorts
GlobalKnownHostsFile
Pengesahan GSSAPIA
GSSAPIDelegateCredentials
HashKnownHosts
Tuan rumah
Pengesahan berasaskan hos
HostbasedKeyTypes
Algoritma HostKey
HostKeyAlias
Nama Hos
Fail Identiti
Identiti Sahaja
IPQoS
KbdInteractiveAuthentication
KbdInteractiveDevices
Algoritma Kex
LocalCommand
LocalForward
LogLevel
MAC
Sepadan dengan
NoHostAuthenticationForLocalhost
NumberOfPasswordPrompts
Pengesahan Kata Laluan
PermitLocalCommand
PKCS11Pembekal
Port
PreferredAuthentications
Protokol
ProxyCommand
ProxyUseFdpass
PubkeyAcceptedKeyTypes
Pengesahan Pubkey
RekeyLimit
JauhMaju
PermintaanTTY
Pengesahan RhostsRSAA
Pengesahan RSAA
SendEnv
ServerAliveInterval
ServerAliveCountMax
StreamLocalBindMask
StreamLocalBindUnlink
StrictHostKeyChecking
TCPKeepAlive
Terowong
Peranti Terowong
UpdateHostKeys
GunakanPrivilegedPort
pengguna
UserKnownHostsFile
VerifyHostKeyDNS
VisualHostKey
XAuthLocation
-p pelabuhan
Port untuk disambungkan pada hos jauh. Ini boleh ditentukan berdasarkan setiap hos dalam
fail konfigurasi.
-Q pilihan_pertanyaan
Queries ssh untuk algoritma yang disokong untuk versi 2 yang ditentukan. Yang tersedia
ciri-ciri adalah: cipher (sifir simetri yang disokong), cipher-auth (simetri yang disokong
sifir yang menyokong penyulitan yang disahkan), mac (integriti mesej yang disokong
kod), KEX (algoritma pertukaran kunci), utama (jenis utama), sijil kunci (kunci sijil
jenis), kunci-plain (jenis kunci bukan sijil), dan versi protokol (disokong SSH
versi protokol).
-q Mod senyap. Menyebabkan kebanyakan mesej amaran dan diagnostik dihalang.
-R [bind_address:]pelabuhan:tuan rumah:hosport
-R [bind_address:]pelabuhan:local_socket
-R soket_jauh:tuan rumah:hosport
-R soket_jauh:local_socket
Menentukan sambungan ke port TCP atau soket Unix yang diberikan pada alat kawalan jauh
hos (pelayan) hendaklah dimajukan ke hos dan port yang diberikan, atau soket Unix, pada
sebelah tempatan. Ini berfungsi dengan memperuntukkan soket untuk mendengar sama ada TCP pelabuhan atau
soket Unix di bahagian jauh. Setiap kali sambungan dibuat ke port ini atau
Soket Unix, sambungan dimajukan melalui saluran selamat, dan sambungan
dibuat kepada sama ada tuan rumah pelabuhan hosport, Atau local_socket, daripada mesin tempatan.
Pemajuan port juga boleh ditentukan dalam fail konfigurasi. Pelabuhan istimewa
boleh dimajukan hanya apabila log masuk sebagai akar pada mesin jauh. alamat IPv6
boleh ditentukan dengan melampirkan alamat dalam kurungan segi empat sama.
Secara lalai, soket mendengar TCP pada pelayan akan terikat pada gelung balik
antara muka sahaja. Ini boleh ditindih dengan menyatakan a bind_address. Satu kosong
bind_address, atau alamat '*', menunjukkan bahawa soket jauh harus mendengar
semua antara muka. Menentukan alat kawalan jauh bind_address hanya akan berjaya jika pelayan
GatewayPorts pilihan didayakan (lihat sshd_config(5)).
Jika pelabuhan hujah ialah '0', port dengar akan diperuntukkan secara dinamik pada
pelayan dan dilaporkan kepada klien pada masa dijalankan. Apabila digunakan bersama-sama dengan -O ke hadapan
port yang diperuntukkan akan dicetak ke output standard.
-S ctl_path
Menentukan lokasi soket kawalan untuk perkongsian sambungan, atau rentetan
"tiada" untuk melumpuhkan perkongsian sambungan. Rujuk penerangan tentang ControlPath and
Guru Kawalan in ssh_config(5) untuk butiran.
-s Boleh digunakan untuk meminta permohonan subsistem pada sistem jauh. Subsistem
memudahkan penggunaan SSH sebagai pengangkutan selamat untuk aplikasi lain (cth
sftp(1)). Subsistem ditentukan sebagai arahan jauh.
-T Lumpuhkan peruntukan pseudo-terminal.
-t Paksa peruntukan pseudo-terminal. Ini boleh digunakan untuk melaksanakan skrin sewenang-wenangnya-
program berasaskan pada mesin jauh, yang boleh menjadi sangat berguna, contohnya apabila melaksanakan
perkhidmatan menu. Pelbagai -t pilihan memaksa tty peruntukan, walaupun jika ssh tidak mempunyai tempatan
tty.
-V Paparkan nombor versi dan keluar.
-v Mod bertele-tele. punca ssh untuk mencetak mesej penyahpepijatan tentang kemajuannya. Ini adalah
membantu dalam menyahpepijat masalah sambungan, pengesahan dan konfigurasi.
Pelbagai -v pilihan meningkatkan verbositi. Maksimum ialah 3.
-W tuan rumah:pelabuhan
Meminta input dan output standard pada klien dimajukan kepada tuan rumah on pelabuhan
melalui saluran selamat. menyiratkan -N, -T, ExitOnForwardFailure and
ClearAllForwardings.
-w local_tun[:remote_tun]
Meminta pemajuan peranti terowong dengan yang ditentukan Tun(4) peranti antara
pelanggan (local_tun) dan pelayan (remote_tun).
Peranti mungkin ditentukan oleh ID berangka atau kata kunci "mana-mana", yang menggunakan
peranti terowong seterusnya yang tersedia. Jika remote_tun tidak dinyatakan, ia lalai kepada "mana-mana".
Lihat juga Terowong and Peranti Terowong arahan dalam ssh_config(5). Sekiranya Terowong
arahan tidak ditetapkan, ia ditetapkan kepada mod terowong lalai, iaitu "titik-ke-titik".
-X Mendayakan pemajuan X11. Ini juga boleh ditentukan berdasarkan setiap hos dalam a
fail konfigurasi.
Pemajuan X11 harus didayakan dengan berhati-hati. Pengguna dengan keupayaan untuk memintas
kebenaran fail pada hos jauh (untuk pangkalan data kebenaran X pengguna) boleh
akses paparan X11 tempatan melalui sambungan yang dimajukan. Seorang penyerang boleh
dapat melakukan aktiviti seperti pemantauan ketukan kekunci.
Atas sebab ini, pemajuan X11 tertakluk pada sekatan sambungan X11 SECURITY
secara lalai. Sila rujuk kepada ssh -Y pilihan dan MajuX11Depercayai arahan
in ssh_config(5) untuk maklumat lanjut.
(Khusus Debian: Pemajuan X11 tidak tertakluk kepada sambungan X11 SECURITY
sekatan secara lalai, kerana terlalu banyak program ranap pada masa ini dalam mod ini.
Menetapkan MajuX11Depercayai pilihan kepada "tidak" untuk memulihkan tingkah laku huluan. ini
mungkin berubah pada masa hadapan bergantung pada penambahbaikan pihak pelanggan.)
-x Melumpuhkan pemajuan X11.
-Y Mendayakan pemajuan X11 yang dipercayai. Pemajuan X11 yang dipercayai tidak tertakluk kepada
Kawalan sambungan X11 SECURITY.
(Khusus Debian: Pilihan ini tidak melakukan apa-apa dalam konfigurasi lalai: ia adalah
bersamaan dengan "MajuX11Depercayai ya”, yang merupakan lalai seperti yang diterangkan di atas. Set
yang MajuX11Depercayai pilihan kepada "tidak" untuk memulihkan tingkah laku huluan. Ini mungkin
perubahan pada masa hadapan bergantung pada penambahbaikan pihak pelanggan.)
-y Hantar maklumat log menggunakan syslog(3) modul sistem. Secara lalai maklumat ini
dihantar ke stderr.
ssh tambahan boleh mendapatkan data konfigurasi daripada fail konfigurasi setiap pengguna dan a
fail konfigurasi seluruh sistem. Format fail dan pilihan konfigurasi diterangkan dalam
ssh_config(5).
PEMULIHAN
Klien OpenSSH SSH menyokong protokol SSH 1 dan 2. Lalai adalah menggunakan protokol 2
sahaja, walaupun ini boleh diubah melalui Protokol pilihan dalam ssh_config(5) atau -1 and -2
pilihan (lihat di atas). Protokol 1 tidak boleh digunakan dan hanya ditawarkan untuk menyokong warisan
peranti. Ia mengalami beberapa kelemahan kriptografi dan tidak menyokong kebanyakannya
ciri lanjutan yang tersedia untuk protokol 2.
Kaedah yang tersedia untuk pengesahan ialah: Pengesahan berasaskan GSSAPI, berasaskan hos
pengesahan, pengesahan kunci awam, pengesahan respons cabaran dan kata laluan
pengesahan. Kaedah pengesahan dicuba mengikut susunan yang dinyatakan di atas, walaupun
PreferredAuthentications boleh digunakan untuk menukar susunan lalai.
Pengesahan berasaskan hos berfungsi seperti berikut: Jika mesin yang digunakan untuk log masuk pengguna disenaraikan
in /etc/hosts.equiv or /etc/ssh/shosts.equiv pada mesin jauh, dan nama pengguna adalah
sama pada kedua-dua belah, atau jika fail ~/.rhosts or ~/.shosts wujud di rumah pengguna
direktori pada mesin jauh dan mengandungi baris yang mengandungi nama mesin klien
dan nama pengguna pada mesin itu, pengguna dianggap untuk log masuk. Selain itu,
pelayan kemestian dapat mengesahkan kunci hos pelanggan (lihat penerangan tentang
/etc/ssh/ssh_known_hosts and ~/.ssh/known_hosts, di bawah) untuk log masuk dibenarkan. ini
kaedah pengesahan menutup lubang keselamatan disebabkan oleh penipuan IP, penipuan DNS dan penghalaan
spoofing. [Nota kepada pentadbir: /etc/hosts.equiv, ~/.rhosts, dan rlogin/rsh
protokol secara amnya, sememangnya tidak selamat dan harus dilumpuhkan jika keselamatan dikehendaki.]
Pengesahan kunci awam berfungsi seperti berikut: Skim ini berdasarkan kriptografi kunci awam,
menggunakan sistem kripto di mana penyulitan dan penyahsulitan dilakukan menggunakan kekunci berasingan, dan begitulah
tidak mungkin untuk mendapatkan kunci penyahsulitan daripada kunci penyulitan. Ideanya ialah setiap pengguna
mencipta pasangan kunci awam/peribadi untuk tujuan pengesahan. Pelayan mengenali orang ramai
kunci, dan hanya pengguna yang mengetahui kunci persendirian. ssh melaksanakan pengesahan kunci awam
protokol secara automatik, menggunakan salah satu algoritma DSA, ECDSA, Ed25519 atau RSA. Sejarah
seksyen ssl(8) (pada sistem bukan OpenBSD, lihat
http://www.openbsd.org/cgi-bin/man.cgi?query=ssl&sektion=8#HISTORY) mengandungi ringkasan
perbincangan tentang algoritma DSA dan RSA.
Fail ~/.ssh/authorized_keys menyenaraikan kunci awam yang dibenarkan untuk log masuk.
Apabila pengguna log masuk, ssh program memberitahu pelayan pasangan kunci yang ingin digunakan
untuk pengesahan. Pelanggan membuktikan bahawa ia mempunyai akses kepada kunci peribadi dan pelayan
menyemak bahawa kunci awam yang sepadan dibenarkan untuk menerima akaun.
Pengguna mencipta pasangan kuncinya dengan menjalankan ssh-keygen(1). Ini menyimpan kunci peribadi
~/.ssh/identiti (protokol 1), ~/.ssh/id_dsa (DSA), ~/.ssh/id_ecdsa (ECDSA),
~/.ssh/id_ed25519 (Ed25519), atau ~/.ssh/id_rsa (RSA) dan menyimpan kunci awam
~/.ssh/identity.pub (protokol 1), ~/.ssh/id_dsa.pub (DSA), ~/.ssh/id_ecdsa.pub (ECDSA),
~/.ssh/id_ed25519.pub (Ed25519), atau ~ / .ssh / id_rsa.pub (RSA) dalam direktori rumah pengguna.
Pengguna kemudiannya harus menyalin kunci awam ke ~/.ssh/authorized_keys dalam direktori rumahnya
pada mesin jauh. The kunci_benar fail sepadan dengan konvensional ~/.rhosts
fail, dan mempunyai satu kunci setiap baris, walaupun barisnya boleh menjadi sangat panjang. Selepas ini, pengguna boleh
log masuk tanpa memberikan kata laluan.
Variasi pada pengesahan kunci awam tersedia dalam bentuk sijil
pengesahan: bukannya satu set kunci awam/peribadi, sijil yang ditandatangani digunakan. ini
mempunyai kelebihan bahawa satu pihak berkuasa pensijilan yang dipercayai boleh digunakan untuk menggantikan banyak pihak
kunci awam/peribadi. Lihat bahagian SIJIL bagi ssh-keygen(1) untuk maklumat lanjut.
Cara paling mudah untuk menggunakan kunci awam atau pengesahan sijil mungkin dengan
ejen pengesahan. Lihat ssh-agent(1) dan (pilihan) yang AddKeysToAgent arahan dalam
ssh_config(5) untuk maklumat lanjut.
Pengesahan respons-cabaran berfungsi seperti berikut: Pelayan menghantar sewenang-wenangnya
teks "cabaran", dan gesaan untuk jawapan. Contoh pengesahan cabaran-tindak balas
sertakan Pengesahan BSD (lihat login.conf(5)) dan PAM (beberapa sistem bukan OpenBSD).
Akhirnya, jika kaedah pengesahan lain gagal, ssh menggesa pengguna untuk kata laluan. The
kata laluan dihantar ke hos jauh untuk diperiksa; bagaimanapun, kerana semua komunikasi adalah
disulitkan, kata laluan tidak dapat dilihat oleh seseorang yang mendengar di rangkaian.
ssh secara automatik mengekalkan dan menyemak pangkalan data yang mengandungi pengenalan untuk semua hosnya
pernah digunakan dengan. Kunci hos disimpan dalam ~/.ssh/known_hosts di rumah pengguna
direktori. Selain itu, fail /etc/ssh/ssh_known_hosts disemak secara automatik
hos yang dikenali. Mana-mana hos baharu ditambahkan secara automatik pada fail pengguna. Jika tuan rumah
pengenalan sentiasa berubah, ssh memberi amaran tentang perkara ini dan melumpuhkan pengesahan kata laluan untuk
mencegah spoofing pelayan atau serangan man-in-the-middle, yang sebaliknya boleh digunakan untuk
memintas penyulitan. The StrictHostKeyChecking pilihan boleh digunakan untuk mengawal log masuk
kepada mesin yang kunci hosnya tidak diketahui atau telah berubah.
Apabila identiti pengguna telah diterima oleh pelayan, pelayan sama ada melaksanakan
arahan yang diberikan dalam sesi bukan interaktif atau, jika tiada arahan telah ditentukan, log masuk
mesin dan memberikan pengguna shell biasa sebagai sesi interaktif. Semua komunikasi
dengan arahan jauh atau shell akan disulitkan secara automatik.
Jika sesi interaktif diminta ssh secara lalai hanya akan meminta pseudo-terminal
(pty) untuk sesi interaktif apabila pelanggan mempunyai satu. Bendera -T and -t boleh digunakan untuk
mengatasi kelakuan ini.
Jika pseudo-terminal telah diperuntukkan, pengguna boleh menggunakan aksara melarikan diri yang dinyatakan di bawah.
Jika tiada pseudo-terminal telah diperuntukkan, sesi itu telus dan boleh digunakan untuk
memindahkan data binari dengan pasti. Pada kebanyakan sistem, menetapkan aksara melarikan diri kepada "tiada" akan
juga membuat sesi telus walaupun tty digunakan.
Sesi ditamatkan apabila arahan atau shell pada mesin jauh keluar dan semua X11 dan
Sambungan TCP telah ditutup.
MELARIKAN DIRI WATAK
Apabila pseudo-terminal telah diminta, ssh menyokong beberapa fungsi melalui
penggunaan watak melarikan diri.
Satu aksara tilde boleh dihantar sebagai ~~ atau dengan mengikuti tilde oleh watak lain
daripada yang diterangkan di bawah. Watak melarikan diri mesti sentiasa mengikut baris baharu
ditafsirkan sebagai istimewa. Watak melarikan diri boleh ditukar dalam fail konfigurasi menggunakan
yang EscapeChar arahan konfigurasi atau pada baris arahan oleh -e pilihan.
Melarikan diri yang disokong (dengan mengandaikan '~' lalai) ialah:
~. Putuskan sambungan.
~^Z Latar Belakang ssh.
~# Senaraikan sambungan yang dimajukan.
~& Latar Belakang ssh semasa log keluar semasa menunggu sambungan dimajukan / sesi X11 ke
menamatkan.
~? Paparkan senarai aksara melarikan diri.
~B Hantar BREAK ke sistem jauh (hanya berguna jika rakan setara menyokongnya).
~C Buka baris arahan. Pada masa ini ini membenarkan penambahan penghantaran port menggunakan
-L, -R and -D pilihan (lihat di atas). Ia juga membenarkan pembatalan yang sedia ada
pemajuan pelabuhan dengan -KL[bind_address:]pelabuhan untuk tempatan, -KR[bind_address:]pelabuhan khususnya
jauh dan -KD[bind_address:]pelabuhan untuk pemajuan port dinamik. !arahan membolehkan
pengguna untuk melaksanakan arahan tempatan jika PermitLocalCommand pilihan didayakan dalam
ssh_config(5). Bantuan asas tersedia, menggunakan -h pilihan.
~R Minta penguncian semula sambungan (hanya berguna jika rakan sebaya menyokongnya).
~V Kurangkan verbositas (LogLevel) apabila ralat sedang ditulis ke stderr.
~v Tingkatkan verbositi (LogLevel) apabila ralat sedang ditulis ke stderr.
TCP HADAPAN
Pemajuan sambungan TCP sewenang-wenangnya melalui saluran selamat boleh ditentukan sama ada pada
baris arahan atau dalam fail konfigurasi. Satu aplikasi pemajuan TCP yang mungkin adalah
sambungan selamat ke pelayan mel; satu lagi sedang melalui tembok api.
Dalam contoh di bawah, kami melihat komunikasi penyulitan antara pelanggan dan pelayan IRC,
walaupun pelayan IRC tidak menyokong komunikasi yang disulitkan secara langsung. Ini berfungsi
seperti berikut: pengguna menyambung ke hos jauh menggunakan ssh, menyatakan port yang akan digunakan
sambungan ke hadapan ke pelayan jauh. Selepas itu adalah mungkin untuk memulakan perkhidmatan
yang akan disulitkan pada mesin klien, menyambung ke port tempatan yang sama, dan ssh
akan menyulitkan dan memajukan sambungan.
Contoh berikut menyalurkan sesi IRC daripada mesin pelanggan “127.0.0.1” (localhost) ke
pelayan jauh "server.example.com":
$ ssh -f -L 1234:localhost:6667 server.example.com tidur 10
$ irc -c '#users' -p 1234 pinky 127.0.0.1
Ini menyalurkan sambungan ke pelayan IRC "server.example.com", menyertai saluran "#users",
nama panggilan “pinky”, menggunakan port 1234. Tidak kira port mana yang digunakan, asalkan ia
lebih besar daripada 1023 (ingat, hanya root boleh membuka soket pada port istimewa) dan tidak
bercanggah dengan mana-mana port yang sudah digunakan. Sambungan dimajukan ke port 6667 pada
pelayan jauh, kerana itulah port standard untuk perkhidmatan IRC.
. -f latar belakang pilihan ssh dan arahan jauh "sleep 10" ditentukan untuk membenarkan a
jumlah masa (10 saat, dalam contoh) untuk memulakan perkhidmatan yang akan dibuat terowong.
Jika tiada sambungan dibuat dalam masa yang ditetapkan, ssh akan keluar.
X11 HADAPAN
Jika HadapanX11 pembolehubah ditetapkan kepada "ya" (atau lihat perihalan -X, -x, dan -Y
pilihan di atas) dan pengguna menggunakan X11 (pembolehubah persekitaran DISPLAY ditetapkan), the
sambungan ke paparan X11 dimajukan secara automatik ke bahagian jauh dengan cara sedemikian
bahawa mana-mana program X11 yang bermula dari shell (atau arahan) akan melalui yang disulitkan
saluran, dan sambungan ke pelayan X sebenar akan dibuat daripada mesin tempatan. The
pengguna tidak seharusnya menetapkan DISPLAY secara manual. Pemajuan sambungan X11 boleh dikonfigurasikan pada
baris arahan atau dalam fail konfigurasi.
Nilai DISPLAY yang ditetapkan oleh ssh akan menunjuk ke mesin pelayan, tetapi dengan nombor paparan
lebih besar daripada sifar. Ini adalah perkara biasa, dan berlaku kerana ssh mencipta pelayan X "proksi" dihidupkan
mesin pelayan untuk memajukan sambungan melalui saluran yang disulitkan.
ssh juga akan menyediakan data Xauthority secara automatik pada mesin pelayan. Untuk tujuan ini,
ia akan menjana kuki kebenaran rawak, menyimpannya dalam Xauthority pada pelayan, dan
sahkan bahawa sebarang sambungan yang dimajukan membawa kuki ini dan gantikannya dengan kuki sebenar
apabila sambungan dibuka. Kuki pengesahan sebenar tidak pernah dihantar ke pelayan
mesin (dan tiada kuki dihantar di dataran).
Jika ForwardAgent pembolehubah ditetapkan kepada "ya" (atau lihat perihalan -A and -a
pilihan di atas) dan pengguna menggunakan ejen pengesahan, sambungan kepada ejen ialah
dimajukan secara automatik ke bahagian jauh.
MENGESAHKAN HOST KUNCI
Apabila menyambung ke pelayan buat kali pertama, cap jari kunci awam pelayan adalah
dibentangkan kepada pengguna (melainkan pilihan StrictHostKeyChecking telah dilumpuhkan).
Cap jari boleh ditentukan menggunakan ssh-keygen(1):
$ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
Jika cap jari sudah diketahui, ia boleh dipadankan dan kunci boleh diterima atau
ditolak. Jika hanya cap jari warisan (MD5) untuk pelayan tersedia, ssh-keygen(1)
-E pilihan boleh digunakan untuk menurunkan taraf algoritma cap jari untuk dipadankan.
Kerana kesukaran membandingkan kunci hos hanya dengan melihat rentetan cap jari,
terdapat juga sokongan untuk membandingkan kunci hos secara visual, menggunakan rawak Perkara. Dengan menetapkan
VisualHostKey pilihan untuk "ya", grafik ASCII kecil akan dipaparkan pada setiap log masuk ke a
pelayan, tidak kira sama ada sesi itu sendiri interaktif atau tidak. Dengan mempelajari pola a
pelayan yang diketahui menghasilkan, pengguna boleh mengetahui dengan mudah bahawa kunci hos telah berubah apabila a
corak yang sama sekali berbeza dipaparkan. Kerana corak ini tidak jelas
namun, corak yang kelihatan serupa dengan corak yang diingati hanya memberikan kebaikan
kebarangkalian bahawa kunci hos adalah sama, bukan bukti terjamin.
Untuk mendapatkan penyenaraian cap jari bersama-sama dengan seni rawak mereka untuk semua hos yang dikenali, the
baris arahan berikut boleh digunakan:
$ ssh-keygen -lv -f ~/.ssh/known_hosts
Jika cap jari tidak diketahui, kaedah pengesahan alternatif tersedia: SSH
cap jari disahkan oleh DNS. Rekod sumber tambahan (RR), SSHFP, ditambahkan pada a
zonefile dan klien penyambung dapat memadankan cap jari dengan kekunci
dibentangkan.
Dalam contoh ini, kami menyambungkan klien ke pelayan, "host.example.com". SSHFP
rekod sumber hendaklah terlebih dahulu ditambahkan pada zonefile untuk host.example.com:
$ ssh-keygen -r host.example.com.
Baris keluaran perlu ditambah pada fail zon. Untuk memastikan bahawa zon menjawab
pertanyaan cap jari:
$ dig -t SSHFP host.example.com
Akhirnya pelanggan menyambung:
$ ssh -o "VerifyHostKeyDNS tanya" host.example.com
[...]
Cap jari kunci hos yang sepadan ditemui dalam DNS.
Adakah anda pasti mahu terus menyambung (ya / tidak)?
Melihat VerifyHostKeyDNS pilihan dalam ssh_config(5) untuk maklumat lanjut.
BERASASKAN SSH VIRTUAL PRIVATE RANGKAIAN
ssh mengandungi sokongan untuk terowong Rangkaian Peribadi Maya (VPN) menggunakan Tun(4) rangkaian
peranti pseudo, membenarkan dua rangkaian disambungkan dengan selamat. The sshd_config(5)
pilihan konfigurasi PermitTunnel mengawal sama ada pelayan menyokong ini, dan pada apa
tahap (lapisan 2 atau 3 lalu lintas).
Contoh berikut akan menyambungkan rangkaian klien 10.0.50.0/24 dengan rangkaian jauh
10.0.99.0/24 menggunakan sambungan titik ke titik dari 10.1.1.1 hingga 10.1.1.2, dengan syarat bahawa
Pelayan SSH yang berjalan pada pintu masuk ke rangkaian jauh, pada 192.168.1.15, membenarkannya.
Pada pelanggan:
# ssh -f -w 0:1 192.168.1.15 benar
# ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
# laluan tambah 10.0.99.0/24 10.1.1.2
Pada pelayan:
# ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252
# laluan tambah 10.0.50.0/24 10.1.1.1
Akses pelanggan mungkin ditala lebih halus melalui /root/.ssh/authorized_keys fail (lihat di bawah)
dan juga PermitRootLogin pilihan pelayan. Entri berikut akan membenarkan sambungan dihidupkan
Tun(4) peranti 1 daripada pengguna “jane” dan pada peranti tun 2 daripada pengguna “john”, jika PermitRootLogin is
ditetapkan kepada "perintah-paksa-sahaja":
terowong="1",command="sh /etc/netstart tun1" ssh-rsa ... jane
terowong="2",command="sh /etc/netstart tun2" ssh-rsa ... john
Memandangkan persediaan berasaskan SSH memerlukan jumlah overhed yang berpatutan, ia mungkin lebih sesuai untuknya
tetapan sementara, seperti untuk VPN tanpa wayar. Lebih banyak VPN kekal lebih baik disediakan oleh
alat seperti ipsecctl(8) dan isakmpd(8).
PERSEKITARAN
ssh biasanya akan menetapkan pembolehubah persekitaran berikut:
DISPLAY Pembolehubah DISPLAY menunjukkan lokasi pelayan X11. Ia adalah
ditetapkan secara automatik oleh ssh untuk menunjuk kepada nilai bentuk "nama hos:n",
di mana "nama hos" menunjukkan hos tempat shell dijalankan, dan 'n' adalah
integer ≥ 1. ssh menggunakan nilai khas ini untuk memajukan X11
sambungan melalui saluran selamat. Pengguna biasanya tidak menetapkan
DISPLAY secara eksplisit, kerana itu akan menyebabkan sambungan X11 tidak selamat
(dan akan memerlukan pengguna untuk menyalin mana-mana kebenaran yang diperlukan secara manual
kuki).
HOME Tetapkan kepada laluan direktori rumah pengguna.
LOGNAME Sinonim untuk PENGGUNA; ditetapkan untuk keserasian dengan sistem yang menggunakan ini
berubah-ubah.
MAIL Ditetapkan kepada laluan peti mel pengguna.
PATH Tetapkan kepada PATH lalai, seperti yang dinyatakan semasa menyusun ssh.
SSH_ASKPASS Jika ssh memerlukan frasa laluan, ia akan membaca frasa laluan daripada
terminal semasa jika ia dijalankan dari terminal. Jika ssh tidak mempunyai
terminal yang dikaitkan dengannya tetapi DISPLAY dan SSH_ASKPASS ditetapkan, ia
akan melaksanakan program yang ditentukan oleh SSH_ASKPASS dan membuka X11
tetingkap untuk membaca frasa laluan. Ini amat berguna apabila
memanggil ssh daripada .xsession atau skrip yang berkaitan. (Perhatikan bahawa pada beberapa
mesin yang mungkin diperlukan untuk mengubah hala input daripadanya / dev / null kepada
buat kerja ini.)
SSH_AUTH_SOCK Mengenal pasti laluan soket domain UNIX yang digunakan untuk berkomunikasi
ejen tersebut.
SSH_CONNECTION Mengenal pasti klien dan pelayan hujung sambungan. Pembolehubah
mengandungi empat nilai yang diasingkan ruang: alamat IP klien, port klien
nombor, alamat IP pelayan dan nombor port pelayan.
SSH_ORIGINAL_COMMAND Pembolehubah ini mengandungi baris arahan asal jika arahan paksa
dilaksanakan. Ia boleh digunakan untuk mengekstrak hujah asal.
SSH_TTY Ini ditetapkan kepada nama tty (laluan ke peranti) yang berkaitan
dengan shell atau arahan semasa. Jika sesi semasa tiada tty,
pembolehubah ini tidak ditetapkan.
TZ Pembolehubah ini ditetapkan untuk menunjukkan zon waktu semasa jika ia ditetapkan
apabila daemon dimulakan (iaitu daemon memberikan nilai kepada
sambungan baharu).
USER Tetapkan kepada nama pengguna yang log masuk.
Selain itu, ssh dibaca ~/.ssh/environment, dan menambah baris format "VARNAME=value" ke
persekitaran jika fail wujud dan pengguna dibenarkan menukar persekitaran mereka. Untuk
maklumat lanjut, lihat di PermitUserEnvironment pilihan dalam sshd_config(5).
Gunakan slogin dalam talian menggunakan perkhidmatan onworks.net
