לינוקס / יוניקס קאַמאַנד: סשד

נאָמען

sshd - OpenSSH SSH daemon

סינאָפּסיס

sshd [- ddqtD46 ] [- b bits ] [- f config_file ] [- g login_grace_time ] [- h host_key_file ] [- ק key_gen_time ] [- אָ אָפּציע ] [- פּ פּאָרט ] [- יו יו ]

באַשרייַבונג

sshd (SSH Daemon) איז די דאַעמאָן פּראָגראַם פֿאַר סש (1). צוזאַמען די מגילה פאַרבייַטן רללגין און רש , און צושטעלן זיכער ינקריפּטיד קאָמוניקאַציע צווישן צוויי אַנטרוסטעד מחנות איבער אַן ינסאַקיער נעץ. די מגילה זענען בדעה צו זיין ווי גרינג צו ינסטאַלירן און נוצן ווי מעגלעך.

sshd איז די דאַעמאָן אַז ליסאַנז פֿאַר קאַנעקשאַנז פון קלייאַנץ. עס איז נאָרמאַלי סטאַרטעד בייַ שטיוול פון / עטק / רק עס פאָרקס אַ נייַ דיימאַן פֿאַר יעדער ינקאַמינג קשר. די פאָרקעד דאַעמאָנס שעפּן שליסל וועקסל, ענקריפּשאַן, אָטענטאַקיישאַן, באַפֿעל דורכפירונג, און דאַטע וועקסל. דעם ימפּלאַמענטיישאַן פון סשד שטיצט ביידע סש פּראָטאָקאָל ווערסיע 1 און 2 סיימאַלטייניאַסלי.

סש פּראָטאָקאָל ווערסיע 1

יעדער באַלעבאָס האט אַ באַלעבאָס-ספּעציפיש רסאַ שליסל (נאָרמאַלי 1024 ביץ) געניצט צו ידענטיפיצירן דעם באַלעבאָס. דערצו, ווען דער דאַעמאָן סטאַרץ, עס דזשענערייץ אַ שליח רסאַ שליסל (נאָרמאַלי 768 ביטן). דעם שליסל איז נאָרמלי רידזשענערייטיד יעדער שעה אויב עס איז געניצט, און איז קיינמאָל סטאָרד אויף די דיסק.

ווען אַ קליענט קאַנעקץ די דאַעמאָן ריספּאַנדז מיט זייַן ציבור באַלעבאָס און שליסל שליסלען. דער קליענט קאַמפּערז די RSA באַלעבאָס שליסל קעגן זייַן אייגן דאַטאַבאַסע צו באַשטעטיקן אַז עס האט ניט געביטן. דער קליענט דעמאָלט דזשענערייץ אַ 256-ביסל טראַפ - נומער. עס ענקריפּץ דעם טראַפ - נומער ניצן ביידע דער באַלעבאָס שליסל און דער שליסל שליסל און סענדז די ינקריפּטיד נומער צו די סערווירער. ביידע זייטן נוצן דעם טראַפיק נומער ווי אַ סעסיע שליסל וואָס איז געניצט צו ענקריפּט אַלע ווייַטער קאָמוניקאַציע אין דער סעסיע. די אָפּזוך פון די סעסיע איז ינקריפּטיד ניצן אַ קאַנווענשאַנאַל סייפער, דערווייַל בלאָופיש אָדער 3DES, מיט 3DES זייַענדיק געניצט דורך פעליקייַט. דער קליענט סאַלעקץ די ענקריפּשאַן אַלגערידאַם צו נוצן פון די געפֿינט דורך די סערווירער.

ווייַטער, די סערווער און דער קליענט אַרייַן אַ אָטענטאַקיישאַן דיאַלאָג. דער קליענט פרוווט צו אָטענטייט זיך ניצן. רהאָסטס אָטענטאַקיישאַן,. רהאָסטס אָטענטאַקיישאַן קאַמביינד מיט רסאַ באַלעבאָס אָטענטאַקיישאַן, רסאַ אַרויסרופן-ענטפער אָטענטאַקיישאַן, אָדער פּאַראָל-באזירט אָטענטאַקיישאַן .

רהאָסטס אָטענטאַקיישאַן איז נאָרמאַלי פאַרקריפּלט ווייַל עס איז פאַנדאַמענאַלי ינסאַקיער, אָבער קענען זיין ענייבאַלד אין די סערווער קאַנפיגיעריישאַן טעקע אויב איר ווילן. סיסטעם זיכערהייַט איז נישט ימפּרוווד סייַדן רשד רללאָגינד און רעקסעקד זענען פאַרקריפּלט (אַזוי גאָר דיסאַבלינג רללינן און רש אין די מאַשין).

סש פּראָטאָקאָל ווערסיע 2

ווערסיע 2 אַרבעט סימאַלערלי: יעדער באַלעבאָס האט אַ האָסט-ספּעציפיש שליסל (RSA אָדער DSA) געניצט צו ידענטיפיצירן דעם באַלעבאָס. אָבער, ווען דער דאַעמאָן סטאַרץ, עס טוט נישט דזשענערייט אַ שליסל שליסל. פֿאָרווערטס זיכערהייַט איז צוגעשטעלט דורך אַ דיפפערענט דאַפי-העללמאַן שליסל. דעם שליסל העסקעם רעזולטאַטן אין אַ שערד סעסיע שליסל.

די אָפּזוך פון די סעסיע איז ינקריפּטיד ניצן אַ סיממעטריק סייפער, דערווייַל 128 ביסל אַעס, בלאָוופיש, 3 דעס, CAST128, Arcfour, 192 ביסל AES, אָדער 256 ביסל AES. דער קליענט סאַלעקץ די ענקריפּשאַן אַלגערידאַם צו נוצן פון די געפֿינט דורך די סערווירער. דערצו, סעסיע אָרנטלעכקייַט איז צוגעשטעלט דורך אַ קריפּטאָגראַפיק אָנזאָג אָטענטאַקיישאַן קאָד (hmac-sha1 אָדער hmac-md5).

פּראָטאָקאָל ווערסיע 2 גיט אַ ציבור שליסל באזירט באַניצער (PubkeyAuthentication) אָדער קליענט באַלעבאָס (HostbasedAuthentication) אָטענטאַקיישאַן אופֿן, קאַנווענשאַנאַל פּאַראָל אָטענטאַקיישאַן, און אַרויסרופן-ענטפער באזירט מעטהאָדס.

באַפֿעלן עקסעקוטיאָן און דאַטאַ פאָרווערדינג

אויב דער קליענט הצלחה אָטענטאַקייט זיך, אַ דיאַלאָג פֿאַר פּריפּערינג די סעסיע איז אריין. אין דעם צייַט דער קליענט זאל בעטן זאכן ווי אַלאַקייטינג אַ פּסעוודאָ-טטי, פאָרווערדינג קס 11 קאַנעקשאַנז, פאָרווערדינג טקפּ / יפּ קאַנעקשאַנז, אָדער פאָרווערדינג די אָטענטאַקיישאַן אַגענט קשר איבער די זיכער קאַנאַל.

סוף, דער קליענט אָדער ריקווייערז אַ שאָל אָדער דורכפירונג פון אַ באַפֿעל. די זייטן דעמאָלט אַרייַן סעסיע מאָדע. אין דעם מאָדע, יעדער זייַט זאל שיקן דאַטן אין קיין צייַט, און אַזאַ דאַטע איז פאָרווערדיד צו / פון די שאָל אָדער באַפֿעלן אויף די סערווער זייַט, און דער באַניצער וואָקזאַל אויף די קליענט זייַט.

ווען די באַניצער פּראָגראַם איז טערמאַנייטיד און אַלע פאָרווערדיד קס 11 און אנדערע קאַנעקשאַנז זענען פארשלאסן, די סערווירער סענדז באַפֿעלן אַרויסגאַנג סטאַטוס צו דער קליענט און ביידע זייטן אַרויסגאַנג.

sshd קענען זיין קאַנפיגיערד ניצן באַפֿעלן שורה אָפּציעס אָדער אַ קאַנפיגיעריישאַן טעקע. באַפֿעלן-שורה אָפּציעס אָווועררייד וואַלועס ספּעסאַפייד אין די קאַנפיגיעריישאַן טעקע.

sshd רערייץ זייַן קאַנפיגיעריישאַן טעקע ווען עס באקומט אַ האַנגאַפּ סיגנאַל, סיגהופּ דורך עקסאַקיוטינג זיך מיט די נאָמען עס איז סטאַרטעד ווי, י.ע. / וסר / סבין / סשד

די אָפּציעס זענען ווי גייט:

-b ביטן

ספּעסאַפייז די נומער פון ביטן אין די עפּהעמאַראַל פּראָטאָקאָל ווערסיע 1 סערווירער שליסל (פעליקייַט 768).

-ד

דעבוג מאָדע. דער שליח סענדז ווערבאָוזד דיבאַג רעזולטאַט צו די סיסטעם קלאָץ און טוט נישט שטעלן זיך אין דער הינטערגרונט. די סערווירער וועט אויך אַרבעטן און וועט בלויז פּראָצעס איין קשר. דעם אָפּציע איז בלויז בדעה פֿאַר דיבאַגינג פֿאַר די סערווירער. קייפל -ד אָפּציעס פאַרגרעסערן די דיבאַגינג מדרגה. מאַקסימום איז 3.

-e

ווען די אָפּציע איז ספּעסאַפייד, sshd וועט שיקן די רעזולטאַט צו דער נאָרמאַל טעות אַנשטאָט פון די סיסטעם קלאָץ.

-f configuration_file

באַשטימען די נאָמען פון די קאַנפיגיעריישאַן טעקע. די פעליקייַט איז / עטק / ssh / sshd_config sshd וויל צו אָנהייב אויב עס איז קיין קאַנפיגיעריישאַן טעקע.

-ג login_grace_time

גיט די חן צייַט פֿאַר קלייאַנץ צו אָטענטייט זיך (פעליקייַט 120 סעקונדן). אויב דער קליענט פיילז צו אָטענטייט דעם באַניצער ין דעם פילע סעקונדעס, די סערווער דיסקאַנעקץ, און יקסידז. א ווערט פון נול ינדיקייץ קיין שיעור.

-ה האָסט_קיי_פילע

דערמאנט אַ טעקע פון ​​וואָס אַ באַלעבאָס שליסל איז לייענען. דעם אָפּציע מוזן זיין געגעבן אויב sshd איז ניט לויפן ווי שורש (ווי דער נאָרמאַל באַלעבאָס שליסל טעקעס זענען נאָרמאַלי ניט לייכט דורך ווער עס יז אָבער וואָרצל). די פעליקייַט איז / עטש / ssh / ssh_host_key פֿאַר פּראָטאָקאָל ווערסיע 1, און / עטק / סש / ssh_host_rsa_key און / עטק / סש / ssh_host_dsa_key פֿאַר פּראָטאָקאָל ווערסיע 2. עס איז מעגלעך צו האָבן עטלעכע באַלעבאָס שליסל טעקעס פֿאַר די פאַרשידענע פּראָטאָקאָל ווערסיעס און האָסט שליסל אַלגערידאַמז.

-i

ספּעסאַפייז אַז sshd איז פליסנדיק פון ינעטד. sshd איז נאָרמאַלי נישט לויפן פון ינעטד ווייַל עס דאַרף צו דזשענערייט די שליסל שליסל איידער עס קענען רעספּאָנד צו די קליענט, און דאָס קען נעמען טענס פון סעקונדעס. קליענץ וואָלט האָבן צו וואַרטן אויך לאַנג אויב די שליסל איז געווען רידזשענערייטיד יעדער מאָל. אָבער, מיט קליין שליסל סיזעס (למשל, 512) ניצן סשד פון ינעטד קען זיין פיזאַבאַל.

-k key_gen_time

באַשטימט ווי אָפט די עפעמפעראַל פּראָטאָקאָל ווערסיע 1 סערווער שליסל איז רידזשענערייטיד (פעליקייַט 3600 סעקונדעס, אָדער איין שעה). די מאָוטאַוויישאַן פֿאַר רידזשענערייטינג די שליסל פערלי אָפֿט איז אַז דער שליסל איז נישט סטאָרד ערגעץ, און נאָך אַ שעה, עס איז אוממעגלעך צו צוריקקריגן דעם שליסל פֿאַר דיקריפּטינג ינטערסעפּטעד קאָמוניקאַציע אַפֿילו אויב די מאַשין איז קראַקט אין אָדער פיזיקלי געכאפט. א ווערט פון נול ינדיקייץ אַז דער שליסל וועט קיינמאָל זיין רידזשענערייטיד.

-o אָפּציע

קענען זיין געוויינט צו געבן אָפּציעס אין דעם פֿאָרמאַט געניצט אין דעם קאַנפיגיעריישאַן טעקע. דאָס איז נוצלעך פֿאַר ספּעסאַפייינג אָפּציעס פֿאַר וואָס עס איז קיין באַזונדער באַפֿעלן שורה פאָן.

-פּ פּאָרט

דערמאנט דעם פּאָרט וואָס די סערווער ליסאַנז פֿאַר קאַנעקשאַנז (פעליקייַט 22). קייפל פּאָרט אָפּציעס זענען דערלויבט. פּאָרץ ספּעסאַפייד אין די קאַנפיגיעריישאַן טעקע זענען איגנאָרירט ווען אַ באַפֿעל-שורה פּאָרט איז ספּעסאַפייד.

-q

Quiet mode. גאָרנישט איז געשיקט צו די סיסטעם קלאָץ. נאָרמאַלי דער אָנהייב, אָטענטאַקיישאַן, און טערמאַניישאַן פון יעדער קשר זענען לאָגד.

-t

פּראָבע מאָדע. בלויז קאָנטראָלירן די גילטיקייַט פון די קאַנפיגיעריישאַן טעקע און די מינעס פון שליסלען. דאָס איז נוציק פֿאַר אַפּדייטינג סשד רילייאַבלי ווי קאַנפיגיעריישאַן אָפּציעס קען טוישן.

-איך

דעם אָפּציע איז גענוצט צו ספּעציפיצירן די גרייס פון דעם פעלד אין די וטמפּ סטרוקטור וואָס האלט די ווייַט באַלעבאָס נאָמען. אויב די ריזאַלווד באַלעבאָס נאָמען איז לענגער ווי לענ די דאַטיד דעצימאַל ווערט וועט זיין געוויינט אַנשטאָט. דעם אַלאַוז האָסטס מיט זייער לאַנג באַלעבאָס נאָמען וואָס לויפן איבער דעם פעלד צו זיין יוניקלי יידענאַפייד. ספּעסיפיינג - ו 0 ינדיקייץ אַז בלויז דוטיד דעצימאַל ווענדט זאָל זיין שטעלן אין די וטמפּ טעקע. - u0 איז אויך געניצט צו פאַרמייַדן סשד פון מאכן דנס ריקוועס סייַדן די אָטענטאַקיישאַן מעקאַניזאַם אָדער קאַנפיגיעריישאַן ריקווייערז עס. אָטענטאַקיישאַן מעקאַניזאַמז וואָס דאַרפן דנס אַרייַננעמען רהאָסצאַוטהענטיקאַטיאָן רהאָסצסאַאַוטהענטיקאַטיאָן האָסטבאַסעדאַטהענטיקאַטיאָן און ניצן אַ פון = מוסטער-רשימה אָפּציע אין אַ שליסל טעקע. קאָנפיגוראַטיאָן אָפּציעס וואָס דאַרפן דנס אַרייַננעמען ניצן אַ USER @ האָסט מוסטער אין אַללאָוווסערס אָדער דעניוערסערס

-ד

אויב די אָפּציע איז ספּעסאַפייד, sshd וועט נישט פאַרהאַלטן און טוט נישט ווערן אַ דיימאַן. דעם אַלאַוז גרינג מאָניטאָרינג פון סשד

-4

פאָרסעס סשד צו נוצן יפּוו 4 ווענדט בלויז.

-6

פאָרסעס sshd צו נוצן IPv6 אַדרעסes בלויז.

קאָנפיגוראַטיאָן טעקע

sshd לייענט קאַנפיגיעריישאַן דאַטע פון ​​/ עטק / ssh / sshd_config (אָדער די טעקע ספּעסאַפייד מיט - f אויף די באַפֿעל שורה). דער טעקע פֿאָרמאַט און קאַנפיגיעריישאַן אָפּציעס זענען דיסקרייבד אין sshd_config5.

לאָגין פּראָצעס

ווען אַ באַניצער הצלחה לאָגס אין, sshd טוט די פאלגענדע:

1. אויב דער לאָגין איז אויף אַ טטי, און קיין באַפֿעל איז געווען ספּעסאַפייד, דרוקן לעצט לאָגין צייַט און / עטק / מאָט (סייַדן פאַרהיטן אין די קאַנפיגיעריישאַן טעקע אָדער דורך $ HOME / .שושלאָגן זען די סקס פיילז אָפּטיילונג).
2. אויב די לאָגין איז אויף אַ טטי, רעקאָרדס לאָגין צייַט.
3. טשעקס / עטק / נאָולין אויב עס יזייז, פּרינץ אינהאַלט און קליץ (סייַדן וואָרצל).
4. ענדערונגען צו לויפן מיט נאָרמאַל באַניצער פּריוולאַדזשאַז.
5. שטעלט אַרויף יקערדיק סוויווע.
6. לייענען $ HOME / .סש / סוויווע אויב עס יזייז און ניצערס קענען זיין ענדערן זייער סוויווע. קוק די PermitUserEnvironment אָפּציע אין sshd_config5.
7. ענדערונגען צו באַניצער 'ס היים וועגווייַזער.
8. אויב $ HOME / .סש / רק יזיז, לויפט עס; אַנדערש אויב / עטק / ssh / sshrc exists, לויפט עס; אַנדערש לויפט קסאַוטה. די `` רק '' טעקעס זענען געגעבן די X11 אָטענטאַקיישאַן פּראָטאָקאָל און קיכל אין נאָרמאַל אַרייַנשרייַב.
9. לויפט באַניצער ס שאָל אָדער באַפֿעל.

Authorized_Keyys טעקע פֿאָרמאַטירונג

$ HOME / .סש / אַוטהאָריזעד_קייס איז די פעליקייַט טעקע וואָס רשימות די ציבור שליסלען וואָס זענען דערלויבט פֿאַר רסאַ אָטענטאַקיישאַן אין פּראָטאָקאָל ווערסיע 1 און פֿאַר ציבור שליסל אָטענטאַקיישאַן (PubkeyAuthentication) אין פּראָטאָקאָל ווערסיע 2. אַוטהאָריזעדקייספילע קען זיין געניצט צו ספּעציפיצירן אַן אָלטערנאַטיוו טעקע.

יעדער שורה פון דער טעקע כּולל איין שליסל (ליידיק שורות און שורות סטאַרטינג מיט אַ `# 'זענען איגנאָרירט ווי באַמערקונגען). יעדער רסאַ ציבור שליסל באשטייט פון די ווייַטערדיק פעלדער, אפגעשיידט דורך ספּייסאַז: אָפּציעס, ביטן, עקספּאָנענט, מאָדולוס, באַמערקונג. יעדער פּראָטאָקאָל ווערסיע 2 ציבור שליסל באשטייט פון: אָפּציעס, קייטיפּ, באַסע 64 קאָודאַד שליסל, באַמערקונג. די אָפּציעס פעלד איז אַפּשאַנאַל; זייַן בייַזייַן איז באשלאסן דורך צי די שורה סטאַרץ מיט אַ נומער אָדער ניט (די אָפּציעס פעלד קיינמאָל סטאַרץ מיט אַ נומער). די ביטן, עקספּאָנענט, מאָדולוס און קאָמענטאַר פעלדער געבן די RSA שליסל פֿאַר פּראָטאָקאָל ווערסיע 1; די באַמערקן פעלד איז נישט געניצט פֿאַר עפּעס (אָבער קען זיין באַקוועם פֿאַר די באַניצער צו ידענטיפיצירן דער שליסל). פֿאַר פּראָטאָקאָל ווערסיע 2 דער שליסל איז `` סש-דסס '' אָדער `` סש-רסאַ ''

באַמערקונג אַז שורות אין דעם טעקע זענען יוזשאַוואַלי עטלעכע הונדערט ביטעס לאַנג (ווייַל פון די גרייס פון די ציבור שליסל קאָד). איר טאָן ניט ווילן צו אַרייַן זיי; אַנשטאָט, קאָפּיע די identity.pub id_dsa.pub אָדער די id_rsa.pub טעקע און רעדאַגירן עס.

sshd ענפאָרסיז אַ מינימום RSA שליסל מאָדולוס גרייס פֿאַר פּראָטאָקאָל 1 און פּראָטאָקאָל 2 שליסלען פון 768 ביטן.

די אָפּציעס (אויב פאָרשטעלן) צונויפשטעלנ זיך פון קאָמע-אפגעשיידט אָפּציע ספּעסאַפאַקיישאַנז. קיין ספּייסיז זענען דערלויבט, חוץ אין טאָפּל קוואָטעס. די ווייַטערדיק אָפּציעס ספּעסאַפאַקיישאַנז זענען געשטיצט (טאָן אַז אָפּציע טערמינען זענען פאַל-ינסענסיטיוו):

פון = מוסטער-רשימה

באַשטימט אַז אין דערצו צו ציבור שליסל אָטענטאַקיישאַן, די קאַנאָנאַליש נאָמען פון די ווייַט באַלעבאָס מוזן זיין פאָרשטעלן אין דער קאָמע-אפגעשיידט רשימה פון פּאַטערנז (* * און `? 'דינען ווי ווילדקאַרדס). דער רשימה קען אויך אַנטהאַלטן מוסטער ניגאַד דורך פּרעפיקסינג זיי מיט `! ' ; אויב די קאַנאַנאַקאַל באַלעבאָס נאָמען שוועבעלעך אַ ניגאַטעד מוסטער, די שליסל איז נישט אנגענומען. דער ציל פון דעם אָפּציע איז צו אָפּטיאָנאַללי פאַרגרעסערן די זיכערהייַט: דער ציבור שליסל אָטענטאַקיישאַן דורך זיך טוט ניט צוטרוי די נעץ אָדער נאָמען סערווערס אָדער עפּעס (אָבער דער שליסל); אָבער, אויב עמעצער עפעס סטילז דער שליסל, דער שליסל פּערמיץ אַ ינטרודער צו קלאָץ אין פון ערגעץ אין דער וועלט. דעם נאָך אָפּציע מאכט ניצן אַ סטאָלען שליסל מער שווער (נאָמען סערווערס און / אָדער ראָוטערס זאָל זיין קאַמפּראַמייזד אין דערצו צו נאָר דער שליסל).

באַפֿעל = באַפֿעלן

דערמאנט אַז דער באַפֿעל איז עקסאַקיוטאַד ווען דעם שליסל איז געניצט פֿאַר אָטענטאַקיישאַן. דער באַפֿעל סאַפּלייד דורך די באַניצער (אויב קיין) איז איגנאָרירט. דער באַפֿעל איז פליסנדיק אויף אַ פּטי אויב דער קליענט ריקווייערז אַ פּטי; אַנדערש עס איז פליסנדיק אָן אַ טטי. אויב אַ 8-ביסל ריין קאַנאַל איז פארלאנגט, איר זאָל ניט דאַרפן אַ פּטי אָדער זאָל ספּעציפיצירן קיין-פּטי. א ציטירן קען זיין אַרייַנגערעכנט אין די באַפֿעלן דורך קוויטינג עס מיט אַ באַקסשלאַש. דעם אָפּציע קען זיין נוצלעך צו באַגרענעצן זיכער פובליק קיז צו דורכפירן נאָר אַ ספּעציפיש אָפּעראַציע. אַ בייַשפּיל זאל זיין אַ שליסל וואָס אַלאַוז ווייַט באַקאַפּס אָבער גאָרנישט אַנדערש. באַמערקונג אַז דער קליענט קען ספּעציפיצירן טקפּ / יפּ און / אָדער קס11 פאָרווערדינג, אויב זיי זענען בישליימעס פּראָוכיבאַטאַד. באַמערקונג אַז דאָס אָפּציע אַפּלייז צו שאָל, באַפֿעל אָדער סאַבסטיישאַן דורכפירונג.

סוויווע = NAME = ווערט

דערמאנט אַז די שטריקל איז צוגעלייגט צו די סוויווע ווען לאָגינג אין ניצן דעם שליסל. ענוויראָנמענט וועריאַבאַלז שטעלן דעם וועג אָווועררייד אנדערע פעלדער סוויווע. קייפל אָפּציעס פון דעם טיפּ זענען דערלויבט. ענוויראָנמענט פּראַסעסינג איז פאַרקריפּלט דורך פעליקייַט און איז קאַנטראָולד דורך די PermitUserEnvironment אָפּציע. דעם אָפּציע איז אויטאָמאַטיש פאַרקריפּלט אויב וסולאָגין איז ענייבאַלד.

ניט-פּאָרט-פאָרווערדינג

פאָרבידס טקפּ / יפּ פאָרווערדינג ווען דעם שליסל איז געניצט פֿאַר אָטענטאַקיישאַן. קיין פּאָרט פאָרווערדערז דורך דעם קליענט וועט צוריקקומען אַ טעות. דעם קען זיין געוויינט, למשל, אין קשר מיט די באַפֿעלן אָפּציע.

קיין-קס11-פאָרווערדינג

פאָרבידס קס 11 פאָרווערדינג ווען דעם שליסל איז געניצט פֿאַר אָטענטאַקיישאַן. קיין קס11 פאָרויס ריקוועס דורך דעם קליענט וועט צוריקקומען אַ טעות.

ניט-אַגענט-פאָרווערדינג

פאָרבידס אָטענטאַקיישאַן אַגענט פאָרווערדינג ווען דעם שליסל איז געניצט פֿאַר אָטענטאַקיישאַן.

no-pty

פּרעווענץ טטי אַלאַקיישאַן (אַ בעטן צו אַלאַקייט אַ פּטי וועט פאַרלאָזן).

דערלויבן = באַלעבאָס: פּאָרט

שיעור היגע `sש-ל '' פּאָרט פאָרווערדינג אַזאַ ווי עס קען נאָר פאַרבינדן צו די ספּעסאַפייד באַלעבאָס און פּאָרט. IPv6 אַדרעסעס קענען זיין ספּעסאַפייד מיט אַן אָלטערנאַטיוו סינטאַקס: האָסט / פּאָרט Multiple permitopen options can be applied separated by commas. ניט מוסטער וואָס ריכטן איז געטאן אויף די ספּעסאַפייד האָסטנאַמעס, זיי מוזן זיין ליטעראַל דאָומיינז אָדער ווענדט.

ביישפילן

1024 33 12121 ... 312314325 ylo@foo.bar

פון = "*. ניקסולאַ.הוט.פי,! פּק.ניקסולאַ.הוט.פי" 1024 35 23 ... 2334 ילאָ @ ניקסולאַ

commands = "dump / home", no-pty, no-port-forwarding 1024 33 23 ... 2323 backup.hut.fi

permitopen = "10.2.1.55:80", permitopen = "10.2.1.56:25" 1024 33 23 ... 2323

Ssh_Known_Hosts טעקע פֿאָרמאַטירונג

די / עטק / ssh / ssh_known_hosts און $ HOME / .סש / known_hosts טעקעס אַנטהאַלטן האָסט ציבור שליסלען פֿאַר אַלע באַוווסט האָסטעס. די גלאבאלע טעקע זאָל זיין צוגעגרייט דורך די אַדמיניסטראַטאָר (אַפּשאַנאַל), און די פּער באַניצער טעקע איז אויטאָמאַטיש אויטאָמאַטיש: ווען דער באַניצער קאַנעקץ פון אַן אומבאַקאַנט באַלעבאָס זייַן שליסל איז מוסיף צו די פּער באַניצער.

יעדער שורה אין די טעקעס כּולל די פאלגענדע פעלדער: האָסטנאַמעס, ביטן, עקספּאָנענט, מאָדולוס, באַמערקונג. די פעלדער זענען אפגעשיידט דורך ספּייסאַז.

האָסטנאַמעס זענען אַ קאָמע-אפגעשיידט רשימה פון פּאַטערנז ('*' און '?' אַקט ווי ווילדקאַרדס); יעדער מוסטער, אין קער, איז מאַטשט קעגן די קאַנאַנאַקאַל באַלעבאָס נאָמען (ווען אָטענטאַקיישאַן אַ קליענט) אָדער קעגן די באַניצער-סאַפּלייד נאָמען (ווען אָטענטאַקיישאַן אַ סערווער). א מוסטער קען אויך זיין פּריסטיד דורך `! ' צו פאַרענטפערן די נעגאַטיווקייט: אויב די באַלעבאָס נאָמען שוועבעלעך אַ ניגאַטעד מוסטער, עס איז נישט אנגענומען (דורך אַז שורה), אַפֿילו אויב איר מאַטשט אנדערן מוסטער אויף די שורה.

ביטן, עקספּאָנענט, און מאָדולוס זענען גענומען גלייַך פון די רסאַ באַלעבאָס שליסל; זיי קענען זיין באקומען, למשל, פון /etc/ssh/shsh_host_key.pub די אַפּשאַנאַל באַמערקונג פעלד האלט צו דער סוף פון די שורה און איז נישט געניצט.

לינעס סטאַרטינג מיט `# 'און ליידיק שורות זענען איגנאָרירט ווי באַמערקונגען.

ווען פּערפאָרמינג באַלעבאָס אָטענטאַקיישאַן, אָטענטאַקיישאַן איז אנגענומען אויב קיין ריכטיק שורה האט די ריכטיק שליסל. עס איז אַזוי ערלויבט (אָבער ניט רעקאַמענדיד) צו האָבן עטלעכע שורות אָדער פאַרשידענע באַלעבאָס שליסלען פֿאַר די זעלבע נעמען. דעם וועט ינעוואַטאַבלי פּאַסירן ווען קורץ פארמען פון באַלעבאָס נעמען פון פאַרשידענע דאָומיינז זענען שטעלן אין די טעקע. עס איז מעגלעך אַז די טעקעס אַנטהאַלטן קאַנפליקטינג אינפֿאָרמאַציע; אָטענטאַקיישאַן איז אנגענומען אויב גילטיק אינפֿאָרמאַציע קען זיין געפונען אין יעדער טעקע.

באַמערקונג אַז די שורות אין די טעקעס זענען typically hundreds of characters long, and you definitely do not want to type in the host keys by hand. אלא, דזשענערייט זיי דורך אַ שריפט אָדער דורך /etc/ssh/ssh_host_key.pub און לייגן די האָסט נעמען בייַ די פראָנט.

ביישפילן

קלאָוסענעט, ..., 130.233.208.41 1024 37 159 ... 93 closenet.hut.fi cvs.openbsd.org, 199.185.137.3 סש-רסאַ אַאַאַאַ 1234 ..... =

זען אויך

scp (1), sftp (1), ssh (1), ssh-add1, ssh-agent1, ssh-keygen1, login.conf5, moduli (5), sshd_config5, ספטפּ-סערווער 8

T. Ylonen T. Kivinen M. Saarinen T. Rinne S. Lehtinen "SSH Protocol Architecture" פּלאַן-ietf-secsh-architecture-12.txt יאנואר 2002 אַרבעט אין פּראָגרעס מאַטעריאַל

M. Friedl N. Provos WA סימפּסאָן "Diffie-Hellman Group Exchange for the SSH Transport Layer Protocol" draft-ietf-secsh-dh-group-exchange-02.txt יאנואר 2002 אַרבעט אין פּראָגרעס מאַטעריאַל

וויכטיק: ניצן די מענטש באַפֿעל ( % man ) צו זען ווי אַ באַפֿעל איז געוויינט אויף דיין באַזונדער קאָמפּיוטער.