Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen ssh komutudur.
Program:
ADI
ssh — OpenSSH SSH istemcisi (uzaktan oturum açma programı)
SİNOPSİS
ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bağlama_adresi] [-c cipher_spec] [-D [bağlama_adresi:]Liman]
[-E log dosyası] [-e kaçış_char] [-F yapılandırma dosyası] [-I pkcs11] [-i kimlik_dosyası]
[-L adres] [-l Kullanıcı adı] [-m mac_spec] [-O ctl_cmd] [-o seçenek] [-p Liman]
[-Q sorgu_seçeneği] [-R adres] [-S ctl_path] [-W ev sahibi:Liman] [-w yerel_tun[:uzak_tun]]
[kullanıcı@]hostname [komuta]
AÇIKLAMA
ssh (SSH istemcisi), uzak bir makinede oturum açmak ve komutları yürütmek için bir programdır.
uzak bir makinede. İki kişi arasında güvenli şifreli iletişim sağlamak için tasarlanmıştır.
güvenli olmayan bir ağ üzerinden güvenilmeyen ana bilgisayarlar. X11 bağlantıları, isteğe bağlı TCP bağlantı noktaları ve
UNIX etki alanı yuvaları da güvenli kanal üzerinden iletilebilir.
ssh belirtilene bağlanır ve oturum açar hostname (isteğe bağlı olarak kullanıcı isim). kullanıcı gerekir
birkaç yöntemden birini kullanarak kimliğini uzak makineye kanıtlayın (aşağıya bakın).
If komuta belirtilirse, oturum açma kabuğu yerine uzak ana bilgisayarda yürütülür.
Seçenekler şunlardır:
-1 Güçler ssh yalnızca protokol sürüm 1'i denemek için.
-2 Güçler ssh yalnızca protokol sürüm 2'i denemek için.
-4 Güçler ssh yalnızca IPv4 adreslerini kullanmak için.
-6 Güçler ssh yalnızca IPv6 adreslerini kullanmak için.
-A Kimlik doğrulama aracısı bağlantısının iletilmesini sağlar. Bu da olabilir
bir yapılandırma dosyasında ana bilgisayar bazında belirtilir.
Aracı yönlendirme dikkatli bir şekilde etkinleştirilmelidir. Bypass yeteneği olan kullanıcılar
uzak ana bilgisayardaki dosya izinleri (aracının UNIX etki alanı soketi için) erişebilir
yerel aracı, iletilen bağlantı aracılığıyla. Saldırgan anahtarı alamıyor
aracıdan materyal, ancak etkinleştiren anahtarlar üzerinde işlemler gerçekleştirebilirler.
aracıya yüklenen kimlikleri kullanarak kimliklerini doğrulamak için.
-a Kimlik doğrulama aracısı bağlantısının iletilmesini devre dışı bırakır.
-b bağlama_adresi
Kullanım bağlama_adresi yerel makinede bağlantının kaynak adresi olarak. Bir tek
birden fazla adresi olan sistemlerde kullanışlıdır.
-C Tüm verilerin (stdin, stdout, stderr ve
iletilen X11, TCP ve UNIX etki alanı bağlantıları). Sıkıştırma algoritması,
tarafından kullanılan aynı gzip(1) ve “seviye” kontrol edilebilir. Sıkıştırma Seviyesi
protokol sürümü 1 için seçenek. Modem hatlarında ve diğer hatlarda sıkıştırma arzu edilir.
bağlantıları yavaşlatır, ancak yalnızca hızlı ağlarda işleri yavaşlatır. Varsayılan
değer, yapılandırma dosyalarında ana bilgisayar bazında ayarlanabilir; görmek
Sıkıştırma seçeneği.
-c cipher_spec
Oturumu şifrelemek için şifre belirtimini seçer.
Protokol sürüm 1, tek bir şifrenin belirtilmesine izin verir. desteklenen değerler
"3des", "blowfish" ve "des" dir. Protokol sürüm 2 için, cipher_spec bir virgül-
tercih sırasına göre listelenen ayrılmış şifreler listesi. Bkz. Şifrelemeleri anahtar kelime
ssh_config(5) daha fazla bilgi için.
-D [bağlama_adresi:]Liman
Yerel bir "dinamik" uygulama düzeyinde bağlantı noktası iletmeyi belirtir. Bu çalışır
dinlemek için bir soket ayırma Liman yerel tarafta, isteğe bağlı olarak bağlı
Belirtilen bağlama_adresi. Bu porta her bağlantı yapıldığında, bağlantı
güvenli kanal üzerinden iletilir ve uygulama protokolü daha sonra
uzak makineden nereye bağlanılacağını belirleyin. Şu anda SOCKS4 ve
SOCKS5 protokolleri desteklenir ve ssh SOCKS sunucusu olarak görev yapacak. Sadece kök olabilir
ayrıcalıklı bağlantı noktaları iletin. Dinamik bağlantı noktası yönlendirmeleri de belirtilebilir.
yapılandırma dosyası
IPv6 adresleri, adresi köşeli parantez içine alarak belirtilebilir. Bir tek
süper kullanıcı ayrıcalıklı bağlantı noktalarını iletebilir. Varsayılan olarak, yerel bağlantı noktası
uyarınca Ağ GeçidiPortlar ayar. Ancak açık bir bağlama_adresi olabilir
bağlantıyı belirli bir adrese bağlamak için kullanılır. NS bağlama_adresi "yerel ana bilgisayar"
dinleme bağlantı noktasının yalnızca yerel kullanım için bağlanacağını, boş bir
adres veya '*', bağlantı noktasının tüm arabirimlerden erişilebilir olması gerektiğini belirtir.
-E log dosyası
Hata ayıklama günlüklerini şuraya ekle: log dosyası standart hata yerine
-e kaçış_char
Bir pty (varsayılan: '~') olan oturumlar için kaçış karakterini ayarlar. Kaçış
karakter yalnızca bir satırın başında tanınır. kaçış karakteri
ardından bir nokta ('.') gelir, bağlantıyı kapatır; ardından kontrol-Z askıya alır
bağlantı; ve ardından kendi başına kaçış karakterini bir kez gönderir. ayarlamak
"none" karakteri, kaçışları devre dışı bırakır ve oturumu tamamen şeffaf hale getirir.
-F yapılandırma dosyası
Kullanıcı başına alternatif bir yapılandırma dosyası belirtir. Bir yapılandırma dosyası ise
komut satırında verilen sistem genelindeki yapılandırma dosyası (/ Etc / SSH / ssh_config)
göz ardı edilecektir. Kullanıcı başına yapılandırma dosyası için varsayılan ~ / .Ssh / yapılandırma.
-f istekleri ssh komut yürütmeden hemen önce arka plana gitmek için. Bu yararlı ise
ssh parolalar veya parolalar isteyecek, ancak kullanıcı bunu
arka fon. Bu şu anlama gelir: -n. X11 programlarını uzaktan başlatmanın önerilen yolu
site gibi bir şey var ssh -f ev sahibi xterm.
Eğer ExitOnForwardArıza yapılandırma seçeneği "evet" olarak ayarlanır, ardından bir istemci
ile başladı -f tüm uzak bağlantı noktalarının başarılı bir şekilde iletilmesini bekleyecek
kendini arka plana yerleştirmeden önce kurulmuştur.
-G Bilgiler ssh değerlendirdikten sonra yapılandırmasını yazdırmak için Ev Sahibi ve Maç bloklar ve
çıkış.
-g Uzak ana bilgisayarların yerel iletilmiş bağlantı noktalarına bağlanmasına izin verir. Çok katlı olarak kullanılırsa
bağlantı, o zaman bu seçenek ana işlemde belirtilmelidir.
-I pkcs11
PKCS#11 paylaşılan kitaplığını belirtin ssh bir PKCS#11 ile iletişim kurmak için kullanmalıdır
kullanıcının özel RSA anahtarını sağlayan belirteç.
-i kimlik_dosyası
Ortak anahtar kimlik doğrulaması için kimliğin (özel anahtar) içinden çıktığı bir dosya seçer.
okunur. Varsayılan ~/.ssh/kimlik protokol sürüm 1 için ve ~/.ssh/id_dsa,
~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 ve ~/.ssh/id_rsa protokol sürümü 2 için.
Kimlik dosyaları, yapılandırma dosyasında ana bilgisayar bazında da belirtilebilir.
birden fazla olması mümkündür -i seçenekler (ve içinde belirtilen çoklu kimlikler)
yapılandırma dosyaları). tarafından açıkça belirtilmemişse,
Sertifika Dosyası , direktif ssh ayrıca sertifika bilgilerini yüklemeye çalışacak
eklenmesiyle elde edilen dosya adı -cert.pub kimlik dosya adlarına.
-K GSSAPI'nin GSSAPI tabanlı kimlik doğrulamasını ve iletilmesini (yetkilendirme) etkinleştirir
sunucuya kimlik bilgileri.
-k GSSAPI kimlik bilgilerinin sunucuya iletilmesini (yetkilendirmesini) devre dışı bırakır.
-L [bağlama_adresi:]Liman:ev sahibi:ana bilgisayar bağlantı noktası
-L [bağlama_adresi:]Liman:uzak_socket
-L yerel_socket:ev sahibi:ana bilgisayar bağlantı noktası
-L yerel_socket:uzak_socket
Yerel ağda verilen TCP bağlantı noktasına veya Unix soketine yapılan bağlantıların
(istemci) ana bilgisayarı, belirtilen ana bilgisayara ve bağlantı noktasına veya Unix yuvasına iletilecektir.
uzak taraf. Bu, bir TCP'yi dinlemek için bir soket tahsis ederek çalışır. Liman on
yerel taraf, isteğe bağlı olarak belirtilene bağlı bağlama_adresiveya bir Unix soketine.
Yerel bağlantı noktasına veya sokete her bağlantı yapıldığında, bağlantı
güvenli kanal üzerinden iletilir ve ikisinden birine bağlantı yapılır. ev sahibi Liman
ana bilgisayar bağlantı noktasıveya Unix soketi uzak_socket, uzak makineden.
Bağlantı noktası yönlendirmeleri de yapılandırma dosyasında belirtilebilir. Sadece
süper kullanıcı ayrıcalıklı bağlantı noktalarını iletebilir. IPv6 adresleri şu şekilde belirtilebilir:
adresi köşeli parantez içine alarak.
Varsayılan olarak, yerel bağlantı noktası aşağıdakilere uygun olarak bağlanır: Ağ GeçidiPortlar ayarı.
Ancak açık bir bağlama_adresi belirli bir bağlantıya bağlamak için kullanılabilir
adres. bağlama_adresi "localhost", dinleme bağlantı noktasının bağlanacağını gösterir
yalnızca yerel kullanım içindir, boş bir adres veya '*', bağlantı noktasının
tüm arayüzlerden erişilebilir.
-l Kullanıcı adı
Uzak makinede oturum açacağı kullanıcıyı belirtir. Bu da belirtilebilir
yapılandırma dosyasında ana bilgisayar bazında.
-M Yerler ssh bağlantı paylaşımı için istemciyi "ana" moda alın. çoklu -M
seçenekler yerler ssh Slave'den önce onay gerekli olan “master” moduna
bağlantılar kabul edilir. açıklamasına bakın KontrolUstası in
ssh_config(5) ayrıntılar için.
-m mac_spec
MAC (mesaj doğrulama kodu) algoritmalarının virgülle ayrılmış listesi,
tercih sırası. Bkz. MAC Daha fazla bilgi için anahtar kelime.
-N Uzak bir komut çalıştırmayın. Bu, yalnızca bağlantı noktalarını yönlendirmek için kullanışlıdır.
-n stdin'i şuradan yönlendirir: / Dev / null (aslında, stdin'den okumayı engeller). Olmalı
ne zaman kullanılsın ssh arka planda çalıştırılır. Yaygın bir hile, bunu X11'i çalıştırmak için kullanmaktır.
uzak bir makinedeki programlar. Örneğin, ssh -n gölgeler.cs.hut.fi emacs & irade
shadows.cs.hut.fi üzerinde bir emacs başlatın ve X11 bağlantısı otomatik olarak olacaktır
şifreli bir kanal üzerinden iletilir. NS ssh program arka plana alınacaktır.
(Eğer bu işe yaramazsa ssh bir parola veya parola sorması gerekiyor; ayrıca bkz.
-f seçeneği.)
-O ctl_cmd
Etkin bir bağlantı çoğullama ana işlemini kontrol edin. Ne zaman -O seçenektir
belirtilen, ctl_cmd argüman yorumlanır ve ana işleme iletilir.
Geçerli komutlar şunlardır: "kontrol et" (ana işlemin çalıştığını kontrol edin), "ileri"
(komut çalıştırmadan yönlendirme iste), “iptal” (iletimleri iptal et),
"exit" (master'ın çıkmasını isteyin) ve "stop" (master'ın durmasını isteyin)
daha fazla çoğullama isteklerini kabul etmek).
-o seçenek
Yapılandırma dosyasında kullanılan biçimde seçenekler vermek için kullanılabilir. Bu
ayrı komut satırı bayrağı olmayan seçenekleri belirtmek için kullanışlıdır. İçin
Aşağıda listelenen seçeneklerin tüm ayrıntıları ve olası değerleri için bkz.
ssh_config(5).
Aracıya Anahtar Ekle
AdresAile
Toplu modu
BindAdres
Kanonik Etki Alanları
CanonicalizeFallbackYerel
CanonicalizeAna Bilgisayar Adı
MaxDots'u Kanonikleştirme
CanonicalizePermissionCNAME'ler
Sertifika Dosyası
ChallengeResponseKimlik Doğrulaması
Ana Bilgisayar IP'sini Kontrol Et
şifre
Şifrelemeleri
Tüm Yönlendirmeleri Temizle
Sıkıştırma
Sıkıştırma Seviyesi
Bağlantı Denemeleri
Bağlantı zaman aşımı
KontrolUstası
Kontrol Yolu
KontrolSürekli
Dinamikİleri
Escapechar
ExitOnForwardArıza
parmak izi Hash
nakliyeci
ileriX11
İleriX11Zaman aşımı
ForwardX11 Güvenilir
Ağ GeçidiPortlar
GlobalBilinenAna BilgisayarlarDosyası
GSSAPIKimlik Doğrulama
GSSAPIDelegateKimlik Bilgileri
HashKnownHost'lar
Ev Sahibi
Ana Bilgisayar Tabanlı Kimlik Doğrulama
Ana Bilgisayar Tabanlı Anahtar Türleri
Ana BilgisayarAnahtar Algoritmaları
Ana Bilgisayar AnahtarıAlias
Ana BilgisayarAdı
Kimlik Dosyası
Yalnızca Kimlikler
IPQoS
KbdEtkileşimliKimlik Doğrulama
KbdInteractiveCihazlar
KexAlgoritmaları
YerelKomut
yerelİleri
LogLevel
MAC
Maç
NoHostAuthenticationForLocalhost
NumberOfPasswordPrompts
Şifre Kimlik Doğrulaması
İzinYerelKomut
PKCS11Sağlayıcı
Liman
Tercih Edilen Kimlik Doğrulamaları
Protokol
ProxyKomutu
Proxy KullanımıFdpass
PubkeyKabul EdilenKeyTypes
PubkeyKimlik Doğrulaması
Yeniden Anahtar Limiti
Uzaktanİleri
İstekTTY
RhostsRSADoğrulama
RSADoğrulama
GönderEnv
SunucuCanlıAralık
SunucuAliveCountMax
StreamLocalBindMask
StreamLocalBindBağlantıyı Kaldır
StrictHostKeyKontrol
TCPCanlı Tut
Tünel
TünelCihaz
Ana Bilgisayar Anahtarlarını Güncelle
KullanımAyrıcalıklıPort
kullanıcı
KullanıcıBilinenHostsDosyası
Ana BilgisayarAnahtarıDNS'yi Doğrula
GörselAna Bilgisayar Anahtarı
XAuthKonum
-p Liman
Uzak ana bilgisayarda bağlanılacak bağlantı noktası. Bu, ana bilgisayar bazında belirtilebilir.
yapılandırma dosyası.
-Q sorgu_seçeneği
Sorguları ssh belirtilen sürüm 2 için desteklenen algoritmalar için.
özellikler şunlardır: şifre (desteklenen simetrik şifreler), şifreli kimlik doğrulama (desteklenen simetrik
kimliği doğrulanmış şifrelemeyi destekleyen şifreler), mac (desteklenen mesaj bütünlüğü
kodlar), KEX (anahtar değişim algoritmaları), anahtar (anahtar türleri), anahtar sertifikası (sertifika anahtarı
türleri), anahtar-düz (sertifika dışı anahtar türleri) ve protokol versiyonu (desteklenen SSH
protokol sürümleri).
-q Sessiz mod. Çoğu uyarı ve tanılama mesajının bastırılmasına neden olur.
-R [bağlama_adresi:]Liman:ev sahibi:ana bilgisayar bağlantı noktası
-R [bağlama_adresi:]Liman:yerel_socket
-R uzak_socket:ev sahibi:ana bilgisayar bağlantı noktası
-R uzak_socket:yerel_socket
Uzaktan kumandadaki verilen TCP bağlantı noktasına veya Unix soketine yapılan bağlantıların
(sunucu) ana bilgisayarı, belirtilen ana bilgisayara ve bağlantı noktasına veya Unix yuvasına iletilecektir.
yerel taraf. Bu, bir TCP'yi dinlemek için bir soket tahsis ederek çalışır. Liman ya da
uzak tarafta bir Unix soketi. Bu bağlantı noktasına her bağlantı yapıldığında veya
Unix soket, bağlantı güvenli kanal üzerinden iletilir ve bir bağlantı
ikisinden birine yapılır ev sahibi Liman ana bilgisayar bağlantı noktasıya da yerel_socket, yerel makineden.
Bağlantı noktası yönlendirmeleri de yapılandırma dosyasında belirtilebilir. Ayrıcalıklı bağlantı noktaları
yalnızca uzak makinede kök olarak oturum açıldığında iletilebilir. IPv6 adresleri
adresi köşeli parantez içine alarak belirtilebilir.
Varsayılan olarak, sunucudaki TCP dinleme yuvaları geri döngüye bağlı olacaktır.
sadece arayüz. Bu, bir bağlama_adresi. Boş
bağlama_adresiveya '*' adresi, uzak soketin dinlemesi gerektiğini belirtir
tüm arayüzler. Bir uzaktan kumanda belirtme bağlama_adresi yalnızca sunucu
Ağ GeçidiPortlar seçeneği etkinleştirildi (bkz. sshd_config(5)).
Eğer Liman argüman '0' ise, dinleme bağlantı noktası dinamik olarak
sunucu ve çalışma zamanında istemciye rapor edilir. ile birlikte kullanıldığında -O ileri
tahsis edilen bağlantı noktası standart çıktıya yazdırılacaktır.
-S ctl_path
Bağlantı paylaşımı için bir kontrol soketinin konumunu veya dizeyi belirtir.
Bağlantı paylaşımını devre dışı bırakmak için "yok". açıklamasına bakın Kontrol Yolu ve
KontrolUstası in ssh_config(5) ayrıntılar için.
-s Uzak sistemdeki bir alt sistemin çağrılmasını istemek için kullanılabilir. alt sistemler
SSH'nin diğer uygulamalar için güvenli bir aktarım olarak kullanımını kolaylaştırmak (örn.
sftp(1)). Alt sistem, uzak komut olarak belirtilir.
-T Sözde terminal tahsisini devre dışı bırakın.
-t Sözde terminal tahsisini zorla. Bu, keyfi ekran yürütmek için kullanılabilir-
çok faydalı olabilen uzak bir makineye dayalı programlar, örneğin uygularken
menü hizmetleri. çoklu -t seçenekler tty tahsisini zorlar, hatta ssh yerel yok
ty.
-V Sürüm numarasını görüntüleyin ve çıkın.
-v Ayrıntılı mod. nedenler ssh ilerlemesi hakkında hata ayıklama mesajları yazdırmak için. Bu
bağlantı, kimlik doğrulama ve yapılandırma sorunlarını gidermede yardımcı olur.
çoklu -v seçenekler ayrıntıyı artırır. Maksimum 3'tür.
-W ev sahibi:Liman
İstemcideki standart giriş ve çıkışın şu adrese iletileceği istekleri ev sahibi on Liman
güvenli kanal üzerinden ima -N, -T, ExitOnForwardArıza ve
Tüm Yönlendirmeleri Temizle.
-w yerel_tun[:uzak_tun]
Belirtilen ile tünel cihazı iletmeyi ister şarap fıçısı(4) cihazlar arasında
müşteri (yerel_tun) ve sunucu (uzak_tun).
Cihazlar, sayısal kimlik veya "any" anahtar sözcüğü ile belirtilebilir.
bir sonraki uygun tünel cihazı. Eğer uzak_tun belirtilmemişse, varsayılan olarak "any" olur.
Ayrıca bakınız Tünel ve TünelCihaz direktifler ssh_config(5). Eğer Tünel
yönergesi ayarlanmamışsa, "noktadan noktaya" olan varsayılan tünel moduna ayarlanmıştır.
-X X11 iletmeyi etkinleştirir. Bu aynı zamanda bir ana bilgisayar bazında da belirtilebilir.
yapılandırma dosyası
X11 yönlendirme dikkatle etkinleştirilmelidir. Bypass yeteneği olan kullanıcılar
uzak ana bilgisayardaki dosya izinleri (kullanıcının X yetkilendirme veritabanı için)
iletilen bağlantı aracılığıyla yerel X11 ekranına erişin. Bir saldırgan daha sonra
tuş vuruşu izleme gibi faaliyetleri gerçekleştirebilir.
Bu nedenle X11 yönlendirmesi, X11 SECURITY uzantısı kısıtlamalarına tabidir.
varsayılan olarak. Lütfen ssh -Y seçeneği ve ForwardX11 Güvenilir Direktifler
in ssh_config(5) daha fazla bilgi için.
(Debian'a özgü: X11 iletme, X11 SECURITY uzantısına tabi değildir
varsayılan olarak kısıtlamalar, çünkü şu anda bu modda çok fazla program çöküyor.
Yı kur ForwardX11 Güvenilir yukarı akış davranışını geri yüklemek için "hayır" seçeneği. Bu
istemci tarafındaki iyileştirmelere bağlı olarak gelecekte değişebilir.)
-x X11 iletmeyi devre dışı bırakır.
-Y Güvenilir X11 iletmeyi etkinleştirir. Güvenilir X11 iletimleri,
X11 GÜVENLİK genişletme kontrolleri.
(Debian'a özgü: Bu seçenek, varsayılan yapılandırmada hiçbir şey yapmaz:
eşittir "ForwardX11 Güvenilir evet”, yukarıda açıklandığı gibi varsayılandır. Ayarlamak
the ForwardX11 Güvenilir yukarı akış davranışını geri yüklemek için "hayır" seçeneği. Bu olabilir
istemci tarafı iyileştirmelere bağlı olarak gelecekte değişiklik.)
-y kullanarak günlük bilgilerini gönderin. syslog(3) sistem modülü. Varsayılan olarak bu bilgi
stderr'e gönderilir.
ssh ayrıca bir kullanıcı başına yapılandırma dosyasından yapılandırma verilerini alabilir ve
sistem çapında yapılandırma dosyası. Dosya formatı ve yapılandırma seçenekleri şurada açıklanmıştır:
ssh_config(5).
KİMLİK DOĞRULAMA
OpenSSH SSH istemcisi, SSH protokolleri 1 ve 2'yi destekler. Varsayılan, protokol 2'yi kullanmaktır.
yalnızca, ancak bu, aracılığıyla değiştirilebilir Protokol seçeneği ssh_config(5) veya -1 ve -2
seçenekler (yukarıya bakın). Protokol 1 kullanılmamalıdır ve yalnızca mirası desteklemek için sunulur
cihazlar. Bir dizi kriptografik zayıflıktan muzdariptir ve bunların çoğunu desteklemez.
protokol 2 için kullanılabilen gelişmiş özellikler.
Kimlik doğrulama için kullanılabilen yöntemler şunlardır: GSSAPI tabanlı kimlik doğrulama, ana bilgisayar tabanlı
kimlik doğrulama, ortak anahtar kimlik doğrulama, sorgulamaya yanıt kimlik doğrulama ve parola
kimlik doğrulama. Kimlik doğrulama yöntemleri yukarıda belirtilen sırayla denenir, ancak
Tercih Edilen Kimlik Doğrulamaları varsayılan sırayı değiştirmek için kullanılabilir.
Ana bilgisayar tabanlı kimlik doğrulama şu şekilde çalışır: Kullanıcının oturum açtığı makine listeleniyorsa
in /etc/hosts.equiv or /etc/ssh/shosts.equiv uzak makinede ve kullanıcı adları
her iki tarafta da aynı veya dosyalar ~/.rhost'lar or ~/.shost'lar kullanıcının evinde var
uzak makinedeki dizin ve istemci makinenin adını içeren bir satır içeren
ve o makinedeki kullanıcının adı, kullanıcı oturum açma için kabul edilir. Bunlara ek olarak,
sunucu , eğer mülteci statüleri sona erdirilmemişse Amerika'ya geldikten bir yıl sonra istemcinin ana bilgisayar anahtarını doğrulayabilmeli (bkz.
/etc/ssh/ssh_known_hosts ve ~/.ssh/bilinen_hostlar, aşağıda) oturum açmaya izin verilmesi için. Bu
kimlik doğrulama yöntemi, IP sahtekarlığı, DNS sahtekarlığı ve yönlendirme nedeniyle güvenlik açıklarını kapatır
yanıltma. [Yöneticiye not: /etc/hosts.equiv, ~/.rhost'larve rlogin/rsh
protokol genel olarak, doğası gereği güvensizdir ve güvenlik isteniyorsa devre dışı bırakılmalıdır.]
Açık anahtar kimlik doğrulaması şu şekilde çalışır: Şema, açık anahtar kriptografisine dayanır,
şifreleme ve şifre çözmenin ayrı anahtarlar kullanılarak yapıldığı şifreleme sistemlerini kullanmak ve
şifreleme anahtarından şifre çözme anahtarının türetilmesi mümkün değildir. Fikir şu ki, her kullanıcı
kimlik doğrulama amacıyla bir genel/özel anahtar çifti oluşturur. Sunucu halkı tanıyor
anahtarıdır ve özel anahtarı yalnızca kullanıcı bilir. ssh ortak anahtar kimlik doğrulamasını uygular
DSA, ECDSA, Ed25519 veya RSA algoritmalarından birini kullanarak otomatik olarak protokol. Tarih
bölümünde ssl(8) (OpenBSD olmayan sistemlerde, bkz.
http://www.openbsd.org/cgi-bin/man.cgi?query=ssl&sektion=8#HISTORY) bir özet içerir
DSA ve RSA algoritmalarının tartışılması.
Dosya ~/.ssh/yetkili_anahtarlar oturum açmaya izin verilen ortak anahtarları listeler.
Kullanıcı oturum açtığında, ssh program sunucuya hangi anahtar çiftini kullanmak istediğini söyler.
kimlik doğrulama için. İstemci, özel anahtara ve sunucuya erişimi olduğunu kanıtlar
ilgili ortak anahtarın hesabı kabul etmeye yetkili olup olmadığını kontrol eder.
Kullanıcı çalıştırarak anahtar çiftini oluşturur. ssh-keygen(1). Bu, özel anahtarı şurada saklar:
~/.ssh/kimlik (protokol 1), ~/.ssh/id_dsa (DSA), ~/.ssh/id_ecdsa (ECDSA),
~/.ssh/id_ed25519 (Ed25519) veya ~/.ssh/id_rsa (RSA) ve genel anahtarı içinde saklar
~/.ssh/identity.pub (protokol 1), ~/.ssh/id_dsa.pub (DSA), ~/.ssh/id_ecdsa.pub (ECDSA),
~/.ssh/id_ed25519.pub (Ed25519) veya ~ / .ssh / id_rsa.pub (RSA) kullanıcının ana dizininde.
Kullanıcı daha sonra genel anahtarı şuraya kopyalamalıdır: ~/.ssh/yetkili_anahtarlar kendi ana dizininde
uzak makinede. NS yetkili anahtarlar dosya, geleneksel ~/.rhost'lar
dosyasıdır ve satırlar çok uzun olabilse de her satırda bir anahtar bulunur. Bundan sonra kullanıcı şunları yapabilir:
şifreyi vermeden giriş yapınız.
Ortak anahtar kimlik doğrulamasının bir varyasyonu, sertifika biçiminde mevcuttur.
kimlik doğrulama: bir dizi genel/özel anahtar yerine imzalı sertifikalar kullanılır. Bu
birçok yetkilinin yerine tek bir güvenilir sertifika yetkilisinin kullanılabilmesi avantajına sahiptir.
genel/özel anahtarlar. SERTİFİKALAR bölümüne bakın ssh-keygen(1) daha fazla bilgi için.
Ortak anahtarı veya sertifika kimlik doğrulamasını kullanmanın en uygun yolu, bir
kimlik doğrulama aracısı. Görmek SSH-madde(1) ve (isteğe bağlı olarak) Aracıya Anahtar Ekle yönergesi
ssh_config(5) daha fazla bilgi için.
Meydan okuma-yanıt kimlik doğrulaması şu şekilde çalışır: Sunucu, rastgele bir
"meydan okuma" metni ve bir yanıt ister. Sorgulama-yanıt kimlik doğrulaması örnekleri
BSD Kimlik Doğrulamasını içerir (bkz. oturum açma.conf(5)) ve PAM (bazı OpenBSD olmayan sistemler).
Son olarak, diğer kimlik doğrulama yöntemleri başarısız olursa, ssh kullanıcıdan parola ister. NS
şifre kontrol için uzak ana bilgisayara gönderilir; ancak, tüm iletişimler
şifrelenmiş, şifre ağda dinleyen biri tarafından görülemez.
ssh tüm ana bilgisayarlar için kimlik içeren bir veritabanını otomatik olarak korur ve kontrol eder
ile birlikte kullanılmıştır. Ana bilgisayar anahtarları şurada saklanır: ~/.ssh/bilinen_hostlar kullanıcının evinde
dizin. Ek olarak, dosya /etc/ssh/ssh_known_hosts otomatik olarak kontrol edilir
bilinen konaklar Herhangi bir yeni ana bilgisayar, kullanıcının dosyasına otomatik olarak eklenir. Eğer bir ev sahibi
kimlik her zaman değişir, ssh bu konuda uyarır ve parola doğrulamasını devre dışı bırakır
için kullanılabilecek sunucu sahtekarlığını veya ortadaki adam saldırılarını önlemek
şifrelemeyi atlatın. NS StrictHostKeyKontrol seçenek, girişleri kontrol etmek için kullanılabilir
ana bilgisayar anahtarı bilinmeyen veya değiştirilmiş makinelere.
Kullanıcının kimliği sunucu tarafından kabul edildiğinde, sunucu ya
etkileşimli olmayan bir oturumda verilen komut veya herhangi bir komut belirtilmemişse oturum açar
makine ve kullanıcıya etkileşimli bir oturum olarak normal bir kabuk verir. tüm iletişim
uzak komut veya kabuk ile otomatik olarak şifrelenir.
Etkileşimli bir oturum istenirse ssh varsayılan olarak yalnızca bir sözde terminal isteyecektir
(pty) istemcide bir tane olduğunda etkileşimli oturumlar için. bayraklar -T ve -t için kullanılabilir
bu davranışı geçersiz kıl.
Bir sözde terminal tahsis edilmişse, kullanıcı aşağıda belirtilen kaçış karakterlerini kullanabilir.
Herhangi bir sözde terminal tahsis edilmemişse, oturum şeffaftır ve aşağıdakiler için kullanılabilir:
ikili verileri güvenilir bir şekilde aktarın. Çoğu sistemde, kaçış karakterinin "yok" olarak ayarlanması,
ayrıca bir tty kullanılsa bile oturumu şeffaf hale getirir.
Uzak makinedeki komut veya kabuk çıktığında ve tüm X11 ve
TCP bağlantıları kapatıldı.
ESCAPE KARAKTERLER
Bir sözde terminal istendiğinde, ssh aracılığıyla bir dizi işlevi destekler.
bir kaçış karakterinin kullanılması.
Tek bir tilde karakteri şu şekilde gönderilebilir: ~~ veya tildeyi başka bir karakterle takip ederek
aşağıda açıklananlardan daha. Kaçış karakterinin olması için her zaman yeni bir satırı izlemesi gerekir.
özel olarak yorumlanmıştır. Kaçış karakteri, yapılandırma dosyalarında kullanılarak değiştirilebilir.
the Escapechar yapılandırma yönergesi veya komut satırında -e seçeneği.
Desteklenen çıkışlar (varsayılan '~' varsayılarak):
~. Bağlantıyı kes.
~^Z Olayın Arka Planı ssh.
~# Yönlendirilen bağlantıları listeleyin.
~& Olayın Arka Planı ssh yönlendirilen bağlantı / X11 oturumları için beklerken çıkışta
sonlandırmak.
~? Kaçış karakterlerinin bir listesini görüntüleyin.
~B Uzak sisteme bir BREAK gönderin (yalnızca eş bunu destekliyorsa yararlıdır).
~C Komut satırını açın. Şu anda bu, aşağıdakileri kullanarak bağlantı noktası yönlendirmelerinin eklenmesine izin verir:
-L, -R ve -D seçenekler (yukarıya bakın). Ayrıca mevcutların iptaline izin verir.
ile port yönlendirme -KL[bağlama_adresi:]Liman yerel için, -KR[bağlama_adresi:]Liman için
uzak ve -KD[bağlama_adresi:]Liman dinamik bağlantı noktası yönlendirmeleri için. !komuta veriyor
kullanıcı yerel bir komut yürütürse İzinYerelKomut seçenek etkin
ssh_config(5). kullanarak temel yardım mevcuttur. -h seçeneği.
~R Bağlantının yeniden anahtarlanmasını isteyin (yalnızca eş bunu destekliyorsa kullanışlıdır).
~V Ayrıntıyı azalt (LogLevel) hatalar stderr'e yazılırken.
~v Ayrıntıyı artırın (LogLevel) hatalar stderr'e yazılırken.
TCP YÖNLENDİRME
Güvenli kanal üzerinden rastgele TCP bağlantılarının iletilmesi,
komut satırında veya bir yapılandırma dosyasında. TCP iletmenin olası bir uygulaması,
bir posta sunucusuna güvenli bir bağlantı; diğeri güvenlik duvarlarından geçiyor.
Aşağıdaki örnekte, bir IRC istemcisi ve sunucusu arasındaki iletişimi şifrelemeye bakıyoruz,
IRC sunucusu şifreli iletişimi doğrudan desteklemese bile. Bu çalışıyor
aşağıdaki gibi: kullanıcı uzak ana bilgisayara şu şekilde bağlanır: ssh, kullanılacak bir bağlantı noktası belirterek
bağlantıları uzak sunucuya iletir. Bundan sonra hizmeti başlatmak mümkündür
istemci makinede şifrelenecek, aynı yerel bağlantı noktasına bağlanacak ve ssh
bağlantıyı şifreler ve iletir.
Aşağıdaki örnek, "127.0.0.1" (yerel ana bilgisayar) istemci makinesinden bir IRC oturumunu tüneller.
uzak sunucu "server.example.com":
$ ssh -f -L 1234:localhost:6667 server.example.com uyku 10
$ irc -c '#users' -p 1234 pembemsi 127.0.0.1
Bu, "#users" kanalına katılarak IRC sunucusu "server.example.com" ile bağlantı kurar,
1234 numaralı bağlantı noktasını kullanan “pinky” takma adı.
1023'ten büyük (unutmayın, ayrıcalıklı bağlantı noktalarında yalnızca kök yuvaları açabilir) ve açmaz
zaten kullanımda olan herhangi bir bağlantı noktası ile çakışma. Bağlantı, 6667 numaralı bağlantı noktasına yönlendirilir.
uzak sunucu, çünkü bu, IRC hizmetleri için standart bağlantı noktasıdır.
The -f seçenek arka planları ssh ve "uyku 10" uzak komutu, bir
tünellenecek hizmeti başlatmak için gereken süre (örnekte 10 saniye).
Belirtilen süre içerisinde bağlantı yapılmazsa, ssh çıkacak
X11 YÖNLENDİRME
Eğer ileriX11 değişken "evet" olarak ayarlanır (veya -X, -x, ve -Y
yukarıdaki seçenekler) ve kullanıcı X11'i kullanıyorsa (EKRAN ortam değişkeni ayarlanmıştır),
X11 ekranına bağlantı bu şekilde otomatik olarak uzak tarafa iletilir
kabuktan (veya komuttan) başlatılan herhangi bir X11 programının şifrelenmiş
kanal ve gerçek X sunucusuna bağlantı yerel makineden yapılacaktır. NS
kullanıcı DISPLAY'i manuel olarak ayarlamamalıdır. X11 bağlantılarının iletilmesi şurada yapılandırılabilir:
komut satırında veya yapılandırma dosyalarında.
tarafından ayarlanan EKRAN değeri ssh sunucu makineyi gösterecek, ancak bir ekran numarası ile
sıfırdan büyük. Bu normaldir ve olur çünkü ssh üzerinde bir "proxy" X sunucusu oluşturur
bağlantıları şifreli kanal üzerinden iletmek için sunucu makinesi.
ssh ayrıca sunucu makinesinde Xauthority verilerini otomatik olarak kuracaktır. Bu amaç için,
rastgele bir yetkilendirme tanımlama bilgisi oluşturacak, onu sunucuda Xauthority'de depolayacak ve
herhangi bir iletilen bağlantının bu tanımlama bilgisini taşıdığını doğrulayın ve bunu gerçek tanımlama bilgisi ile değiştirin
bağlantı açıldığında. Gerçek kimlik doğrulama çerezi asla sunucuya gönderilmez
makine (ve ovada çerez gönderilmez).
Eğer nakliyeci değişken "evet" olarak ayarlanır (veya -A ve -a
seçenekleri) ve kullanıcı bir kimlik doğrulama aracısı kullanıyorsa, aracıya bağlantı
otomatik olarak uzak tarafa iletilir.
DOĞRULANIYOR HOST ANAHTARLAR
Bir sunucuya ilk kez bağlanırken, sunucunun genel anahtarının parmak izi alınır.
kullanıcıya sunulur (seçenek StrictHostKeyKontrol devre dışı bırakıldı).
Parmak izleri kullanılarak belirlenebilir ssh-keygen(1):
$ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
Parmak izi zaten biliniyorsa, eşleştirilebilir ve anahtar kabul edilebilir veya
reddedilmiş. Sunucu için yalnızca eski (MD5) parmak izleri mevcutsa, ssh-keygen(1)
-E seçeneği, parmak izi algoritmasını eşleşecek şekilde düşürmek için kullanılabilir.
Yalnızca parmak izi dizilerine bakarak ana bilgisayar anahtarlarını karşılaştırmanın zorluğu nedeniyle,
kullanarak ana bilgisayar anahtarlarını görsel olarak karşılaştırma desteği de vardır. rasgele Sanat. ayarlayarak
GörselAna Bilgisayar Anahtarı "evet" seçeneği, her oturum açmada küçük bir ASCII grafiği görüntülenir.
sunucu, oturumun kendisinin etkileşimli olup olmadığına bakılmaksızın. a kalıbını öğrenerek
bilinen sunucu ürettiğinde, bir kullanıcı, bir
tamamen farklı bir desen görüntülenir. Çünkü bu modeller açık değildir.
ancak, hatırlanan kalıba benzeyen bir örüntü yalnızca iyi bir sonuç verir.
ana bilgisayar anahtarının aynı olma olasılığı, garantili kanıt değildir.
Bilinen tüm ana bilgisayarlar için rastgele resimleriyle birlikte parmak izlerinin bir listesini almak için,
aşağıdaki komut satırı kullanılabilir:
$ ssh-keygen -lv -f ~/.ssh/bilinen_hostlar
Parmak izi bilinmiyorsa, alternatif bir doğrulama yöntemi mevcuttur: SSH
DNS tarafından doğrulanan parmak izleri. Ek bir kaynak kaydı (RR), SSHFP, bir
zonefile ve bağlanan istemci, parmak izini anahtarınkiyle eşleştirebilir
sundu.
Bu örnekte, bir istemciyi “host.example.com” sunucusuna bağlıyoruz. SSHFP
kaynak kayıtları önce host.example.com için bölge dosyasına eklenmelidir:
$ ssh-keygen -r host.example.com.
Çıktı satırlarının bölge dosyasına eklenmesi gerekecektir. Bölgenin yanıt verdiğini kontrol etmek için
parmak izi sorguları:
$ dig -t SSHFP ana bilgisayarı.example.com
Sonunda istemci bağlanır:
$ ssh -o "VerifyHostKeyDNS sor" host.example.com
[...]
DNS'de eşleşen ana bilgisayar anahtarı parmak izi bulundu.
Bağlamaya devam etmek istediğinizden emin misiniz (evet / hayır)?
Bak Ana BilgisayarAnahtarıDNS'yi Doğrula seçeneği ssh_config(5) daha fazla bilgi için.
SSH-TABANLI SANAL ÖZEL AĞLAR
ssh kullanarak Sanal Özel Ağ (VPN) tünelleme desteği içerir. şarap fıçısı(4) ağ
sözde cihaz, iki ağın güvenli bir şekilde birleştirilmesine izin verir. NS sshd_config(5)
yapılandırma seçeneği İzin Tüneli sunucunun bunu destekleyip desteklemediğini ve ne zaman
seviye (katman 2 veya 3 trafik).
Aşağıdaki örnek, istemci ağını 10.0.50.0/24 uzak ağ ile bağlayacaktır.
10.0.99.0/24, 10.1.1.1'den 10.1.1.2'ye kadar noktadan noktaya bağlantı kullanarak,
Uzak ağa açılan ağ geçidinde çalışan SSH sunucusu, 192.168.1.15'te buna izin verir.
İstemcide:
# ssh -f -w 0:1 192.168.1.15 doğru
# ifconfig tun0 10.1.1.1 10.1.1.2 ağ maskesi 255.255.255.252
# rota ekle 10.0.99.0/24 10.1.1.2
sunucuda:
# ifconfig tun1 10.1.1.2 10.1.1.1 ağ maskesi 255.255.255.252
# rota ekle 10.0.50.0/24 10.1.1.1
İstemci erişimi, aşağıdakiler aracılığıyla daha hassas bir şekilde ayarlanabilir: /root/.ssh/yetkili_anahtarlar dosya (aşağıya bakın)
ve İzin VerKökGiriş sunucu seçeneği. Aşağıdaki giriş, bağlantılara izin verir
şarap fıçısı(4) "jane" kullanıcısından cihaz 1 ve "john" kullanıcısından tun cihaz 2'de, eğer İzin VerKökGiriş is
"Yalnızca zorunlu komutlar" olarak ayarlayın:
tünel="1",komut="sh /etc/netstart tun1" ssh-rsa ... jane
tünel="2",komut="sh /etc/netstart tun2" ssh-rsa ... john
SSH tabanlı bir kurulum, makul miktarda ek yük gerektirdiğinden, daha uygun olabilir.
kablosuz VPN'ler gibi geçici kurulumlar. Daha kalıcı VPN'ler, aşağıdakiler tarafından daha iyi sağlanır:
gibi araçlar ipsecctl(8) ve isakmpd(8).
ÇEVRE
ssh normalde aşağıdaki ortam değişkenlerini ayarlar:
EKRAN EKRAN değişkeni, X11 sunucusunun konumunu belirtir. Bu
tarafından otomatik olarak ayarlanır ssh “hostname:n” biçiminde bir değere işaret etmek için,
burada "hostname", kabuğun çalıştığı ana bilgisayarı gösterir ve "n",
bir tam sayı ≥ 1. ssh X11'i iletmek için bu özel değeri kullanır
Güvenli kanal üzerinden bağlantılar. Kullanıcı normalde ayarlamamalıdır
X11 bağlantısını güvensiz hale getireceğinden, açıkça DISPLAY
(ve kullanıcının gerekli herhangi bir yetkilendirmeyi manuel olarak kopyalamasını gerektirecektir)
kurabiye).
HOME Kullanıcının ev dizininin yolunu ayarlayın.
KULLANICI için LOGNAME Eşanlamlısı; bunu kullanan sistemlerle uyumluluk için ayarlayın
değişkeni.
MAIL Kullanıcının posta kutusunun yolunu ayarlayın.
PATH Derleme sırasında belirtildiği gibi varsayılan PATH'e ayarlayın ssh.
SSH_ASKPASS Eğer ssh bir parolaya ihtiyacı varsa, parolayı paroladan okuyacaktır.
bir terminalden çalıştırılmışsa mevcut terminal. Eğer ssh bulunmamaktadır
onunla ilişkili bir terminal ancak DISPLAY ve SSH_ASKPASS ayarlandı,
SSH_ASKPASS tarafından belirtilen programı çalıştıracak ve bir X11 açacaktır.
parolayı okumak için pencere. Bu, özellikle
çağrı ssh Bir gelen .x oturumu veya ilgili komut dosyası. (Bazılarında unutmayın
makinelerden girişi yeniden yönlendirmek gerekebilir / Dev / null için
bu işi yap.)
SSH_AUTH_SOCK ile iletişim kurmak için kullanılan bir UNIX etki alanı soketinin yolunu tanımlar.
ajan.
SSH_CONNECTION Bağlantının istemci ve sunucu uçlarını tanımlar. Değişken
dört boşlukla ayrılmış değer içerir: istemci IP adresi, istemci bağlantı noktası
numarası, sunucu IP adresi ve sunucu bağlantı noktası numarası.
SSH_ORIGINAL_COMMAND Bu değişken, zorunlu bir komut varsa orijinal komut satırını içerir.
Idam edildi. Orijinal argümanları çıkarmak için kullanılabilir.
SSH_TTY Bu, ilişkili tty'nin (cihazın yolu) adına ayarlanır.
geçerli kabuk veya komutla. Geçerli oturumda tty yoksa,
bu değişken ayarlanmadı.
TZ Bu değişken, ayarlanmışsa mevcut saat dilimini gösterecek şekilde ayarlanır.
arka plan programı başlatıldığında (yani arka plan programı değeri
yeni bağlantılar).
KULLANICI Oturum açan kullanıcının adını ayarlayın.
Buna ek olarak, ssh okur ~/.ssh/ortam, ve "VARNAME=değer" biçimindeki satırları ekler.
dosya varsa ve kullanıcıların ortamlarını değiştirmelerine izin veriliyorsa ortam. İçin
daha fazla bilgi için bkz. İzinKullanıcıOrtamı seçeneği sshd_config(5).
onworks.net hizmetlerini kullanarak çevrimiçi ssh kullanın
