Provided by: manpages-cs_0.18.20090209-3_all bug

JM'ENO

       ssh - secure shell klient (program pro remote login)

POUIT'I

       ssh [-l pihlaovac'i_jm'eno] po'ita [p'ikaz]

       ssh   [-a]  [-c  idea|blowfish|des|3des|arcfour|none]  [-e escape_znak]
       [-i soubor_identit] [-l pihlaovac'i_jm'eno]  [-n]  [-k]  [-V]  [-o volba]
       [-p port]  [-q]  [-P]  [-t]  [-v]  [-x]  [-C] [-L port:po'ita:vzd'alport]
       [-R port:po'ita:vzd'alport] po'ita [p'ikaz]

POPIS

       Pikaz ssh  (secure  shell,  bezpeny  shell)  sloui  pro  pihlaovani  na
       vzdalene  poitae a pro spoutni pikaz na vzdalenych poitaich.  Je navren
       jako  nahrada  pikaz  rlogin  a  rsh  a  umouje  bezpenou   zaifrovanou
       komunikaci  mezi dvma nedvryhodnymi poitai pes nezabezpeenou si. Umouje
       take forwardovani X11 spojeni nebo  libovolnych  TCP/IP  port  bezpenym
       kanalem.

       Program  ssh  sloui  k  pipojeni  a  pihlaeni uivatele na zadany po'ita.
       Uivatel musi prokazat svoji identitu na tomto vzdalenem stroji  pouitim
       jedne z nasledujicich autentizanich metod:

       Prvni  metoda  je  pevzata  z  protokolu rsh/rlogin; normaln nebyva ssh
       serverem povolena, protoe pedstavuje ohroeni jeho bezpenosti.  Pokud je
       poita,  z  nho se uivatel hlasi, uveden v souboru /etc/hosts.equiv nebo
       /etc/ssh/shosts.equiv na vzdalenem stroji, a pihlaovaci jmena  jsou  na
       obou  stranach  stejna,  uivateli  je  okamit povoleno pihlaeni.  Stejn
       funguje, jestlie uivatel ma ve  svem  domovskem  adresai  na  vzdalenem
       stroji  soubor  .rhosts  nebo  .shosts,  v  nm  je  adek  tvoeny jmenem
       klientskeho stroje, mezerou a jmenem uivatele na klientskem poitai.

       Druha  (preferovana)  autentizani  metoda  pouiva  soubor  rhosts  nebo
       hosts.equiv ve spojeni s RSA autentizaci poitae. To znamena, e pihlaeni
       bude mone, jestlie by bylo  povoleno  podle  soubor  .rhosts,  .shosts,
       /etc/hosts.equiv,  nebo  /etc/ssh/shosts.equiv,  a  zarove server zna a
       zkontroluje  kli  klientskeho  poitae  (viz  $HOME/.ssh/known_hosts   a
       /etc/ssh/ssh_known_hosts  v  asti  SOUBORY).   Tato  autentizani metoda
       uzavira bezpenostni diry  vyuivajici  IP  spoofingu,  DNS  spoofingu  a
       routing spoofingu.  [Poznamka pro spravce: /etc/hosts.equiv, .rhosts, a
       protokol rlogin/rsh obecn jsou ze sve podstaty  nebezpene  a  pokud  je
       poadovana bezpenost, musi byt zakazany.]

       Jako  teti  autentizani  metodu pouiva ssh autentizaci zaloenou na RSA.
       Toto schema je zaloeno na ifrovani s  veejnym  kliem,  co  je  ifrovaci
       system,  v nm jsou pro ifrovani a deifrovani pouity dva rzne klie, piem
       ze ifrovaciho klie nelze odvodit deifrovaci kli.  Jednim z tchto system
       je  RSA.  Mylenka  je  takova,  e  si kady uivatel pro uely autentizace
       vytvoi dvojici kli; jeden veejny a druhy soukromy.  Server  zna  veejny
       kli, soukromy kli zna pouze uivatel.  Soubor $HOME/.ssh/authorized_keys
       obsahuje seznam veejnych kli, ktere je mone pouit pro pihlaeni.  Kdy se
       uivatel  pihlasi,  program  ssh oznami serveru, kterou dvojici kli chce
       pouit pro autentizaci.  Server zkontroluje, zdali mu je dany kli znamy,
       a  pokud  ano,  pole  uivateli (pesnji ssh programu sputnemu uivatelem)
       vyzvu -- nahodne islo, zaifrovane uivatelovym veejnym kliem.  Vyzva  me
       byt  deifrovana  pouze pouitim odpovidajiciho soukromeho klie. Uivatelv
       klient deifrovanim vyzvy  prokae,  e  zna  soukromy  kli,  ani  by  jej
       prozradil serveru.

       Program  ssh implementuje RSA autentizani protokol automaticky. Uivatel
       vytvoi svj par  RSA  kli  sputnim  programu  ssh-keygen(1).   Ten  uloi
       soukromy   kli  do  souboru  .ssh/identity  a  veejny  kli  do  souboru
       .ssh/identity.pub v uivatelov domovskem  adresai.  Uivatel  potom  musi
       pidat  obsah  souboru  identity.pub  do  .ssh/authorized_keys  ve  svem
       domovskem adresai na vzdalenem stroji (soubor authorized_keys  odpovida
       konvennimu  souboru  .rhosts a obsahuje jeden kli na kadem adku -- jeho
       adky mohou byt velmi dlouhe). Pote se uivatel me pihlaovat bez zadavani
       pihlaovaciho  hesla.  RSA autentizace je mnohem bezpenji ne autentizace
       pomoci souboru rhosts. Soubor s uivatelovym soukromym kliem  je  chrann
       pravy v operanim systemu Unix (neuinne jako ochrana ped superuivatelem)
       a navic pistupovym heslem (passphrase).

       Nejpijemnji zpsob pouiti RSA autentizace  je  s  pouitim  autentizaniho
       agenta. Podrobnji informace viz ssh-agent(1).

       Jako  tvrtou  autentizani  metodu  program  ssh  podporuje  autentizaci
       uivatele pomoci  TIS  autentizaniho  serveru  authsrv(8).   V  nkterych
       pipadech  neni  vhodne, aby byla uivatelska jmena v TIS databazi shodna
       se jmeny lokalnich uivatel. Me k tomu napiklad dojit, pokud se  uivatel
       autentizuje  pomoci  karty  smartcard nebo Digipass. V tomto pipad je v
       databazi  jako  uivatelske   jmeno   obvykle   uvedeno   seriove   islo
       autentizaniho   zaizeni.   Mapovani   mezi   jmeny  v  TIS  databazi  a
       uivatelskymi jmeny zajiuje soubor /etc/ssh/sshd_tis.map.  Jestlie tento
       soubor  neexistuje,  nebo v nm uivatel neni uveden, pedpoklada se, e ob
       jmena jsou shodna.

       Jestlie vechny autentizani metody  selou,  ssh  se  zepta  uivatele  na
       pihlaovaci heslo. Heslo je poslano na vzdaleny poita pro obvykle oveni.
       Nicmen protoe vekera komunikace je ifrovana, nelze odposlechem  provozu
       v siti pihlaovaci heslo zjistit.

       Jestlie  byla  uivatelova  identita  serverem  akceptovana,  server  bu
       provede zadany pikaz, nebo zajisti pihlaeni uivatele a  spusti  pro  nj
       normalni  shell.  Pitom  vekera  komunikace  se  vzdalenym  poitaem  je
       automaticky ifrovana.

       Jestlie byl vytvoen pseudoterminal (pro  normalni  login  session),  me
       uivatel  zadanim  "~."  ukonit  spojeni, zadanim "~^Z" suspendovat ssh,
       zadanim "~#" vypsat vechna forwardovana spojeni,  a  pokud  se  session
       ekanim  na ukoneni forwardovaneho X11 nebo TCP/IP spojeni zablokuje, me
       byt pevedena do pozadi zadani "~&" (nesmi byt pouito, dokud je  aktivni
       uivatelsky  shell,  protoe  by  mohlo  dojit k jeho zamrznuti).  Vechny
       dostupne escape posloupnosti lze vypsat pomoci "~?".

       Aby byl escape znak interpretovan jako specialni,  musi  byt  pouit  na
       zaatku  session  nebo po znaku konec adku (newline). Samotny znak vlnka
       je nutne vkladat zdvojeny "~~" (nebo nasledovany  jinym  znakem  ne  je
       popsano  vye).  V konfiguranim souboru nebo volbou v pikazovem adku lze
       escape znak zmnit.

       Pokud nebyl alokovan adny pseudoterminal, session bude transparentni  a
       me  byt  pouita  pro  spolehlivy  penos  binarnich  dat. Na vtin system
       nastaveni  escape  znaku  na  ``none''  take  zpsobi,  e  session  bude
       transparentni i pi pouiti tty.

       Session  skoni,  pokud  skoni  pikaz  nebo  shell na vzdalenem stroji a
       spojeni neni pouivano adnymi X11  a  TCP/IP  spojenimi.  Navratovy  kod
       vzdaleneho programu je vracen jako navratovy kod pikazu ssh.

       Jestlie  uivatel pouiva X11, je nastavena promnna prostedi DISPLAY tak,
       jako kdyby program komunikoval s X serverem na stejnem stroji  (tj.  na
       ssh  serveru).  islo displeje vak bude vti ne nula, protoe se nejedna o
       skuteny X server na ssh serveru, ale pouze o "proxy"  X  server,  ktery
       zajiuje  forwardovani  X11 spojeni bezpenym kanalem vytvoenym programem
       ssh na skuteny X server bici na stejnem stroji jako ssh klient.  Aby ve
       fungovalo,  jak  je  zde popsano, uivatel nesmi run nastavovat promnnou
       prostedi DISPLAY.  Pro konfiguraci forwardovani X11 spojeni  lze  pouit
       parametry na pikazovem adku nebo v konfiguranim souboru.

       Program  ssh  umouje automaticke nastavovani Xauthority dat na serveru.
       K tomuto uelu vygeneruje nahodne autorizani cookie, uloi jej v  souboru
       Xauthority na serveru, a zajisti, e vechna forwardovana spojeni ponesou
       toto cookie a pi oteveni spojeni jej nahradi opravdovym cookie. Skutene
       autentizani cookie neni nikdy posilano na server (a adne cookies nejsou
       nikdy posilany nezaifrovan).

       Jestlie uivatel pouiva autentizaniho agenta,  spojeni  s  agentem  bude
       automaticky  forwardovano  na  vzdalenou stranu, pokud to neni zakazano
       volbou na pikazovem adku nebo v konfiguranim souboru.

       Forwardovani libovolneho  TCP/IP  spojeni  pes  bezpeny  kanal  me  byt
       vyadano  bu  z  pikazoveho  adku nebo v konfiguranim souboru.  Jednou z
       monych aplikaci TCP/IP forwardingu je bezpene spojeni  s  elektronickou
       penenkou; druhou je zajitni prchodu firewallem.

       Program  ssh  umi automaticky udrovat a pouivat databazi obsahujici RSA
       identifikace vechny poita, se kterymi dosud komunikoval.   Databaze  je
       uloena  v  souboru  .ssh/known_hosts v uivatelov domovskem adresai. Pro
       kontrolu je pouivan i soubor  /etc/ssh/ssh_known_hosts.   Pi  nastaveni
       volby   StrictHostKeyChecking   na  "no"  budou  jakekoli  nove  poitae
       automaticky  pidany  do   uivatelskeho   souboru.   Jestlie   se   zmni
       identifikace poitae, ssh na to upozorni a zakae autentizaci pihlaovacim
       heslem, aby se zabranilo trojskym konim  ziskat  uivatelovo  pihlaovaci
       heslo.   Dalim  uelem  tohoto mechanismu je zabranni utokm typu man-in-
       the-middle, ktery by jinak mohl byt pouit na  obejiti  ifrovani.  Volba
       StrictHostKeyChecking  (viz dale) me byt pouita na zabranni pihlaeni na
       stroje, jejich kli neni znamy nebo byl zmnn.

VOLBY

       -a     Zakae  forwardovani   spojeni   s   autentizanim   agentem.    V
              konfiguranim souboru lze nastavit i pro jednotlive poitae.

       -c idea|des|3des|blowfish|arcfour|none
              Vybere  ifru  pouitou pro ifrovani session.  Implicitn je pouita
              ifra idea, ktera je pokladana za bezpenou.  des je sice standard
              pro  ifrovani  dat,  ale s dostatenym technickym zazemim (kterym
              mohou disponovat  vlady,  velke  korporace  a  velke  kriminalni
              organizace)  jej  lze  rozlutit.   3des  (triple-des) je trojice
              ifrovani-deifrovani-ifrovani se temi rznymi klii. Je pravdpodobn
              bezpenji  ne DES.  Pokud nktery z konc nepodporuje ifru IDEA, je
              implicitn pouita ifra 3des.   blowfish  je  ifrovaci  algoritmus
              objeveny  Brucem  Schneierem. Pouiva 128 bitovy kli.  arcfour je
              algoritmus publikovany v roce 1995 v Usenet News. Vi  se,  e  je
              stejn  silny jako ifra RC4 od RSA Data Security (RC4 je ochranna
              znaka firmy RSA Data Security).  V souasnosti je to  nejrychleji
              pouivany  algoritmus.  none zcela zakae ifrovani; je ureno pouze
              pro ladici uely, neni bezpene.

       -e ch|^ch|none
              Nastavi escape znak pro session pouivajici pty  (implicitn:  ~).
              Escape  znak  je  rozpoznan  pouze  na  zaatku adku. Escape znak
              nasledovany znakem teka (.) uzave  spojeni,  nasledovany  znakem
              control-Z  suspenduje  spojeni,  a  nasledovany sebou samym pole
              jeden escape znak. Nastaveni  znaku  na  'none'  zakae  jakekoli
              escape znaky a zpsobi, e spojeni bude pln transparentni.

       -f     Poaduje,   aby   ssh   po   provedeni   autentizace  a  zahajeni
              forwardovani peel do pozadi. Tato volba je vhodna, pokud uivatel
              chce,  aby ssh bel v pozadi, ale ssh bude jet ptat na pihlaovaci
              nebo pistupova hesla. Me byt vhodna take ve skriptech. Implikuje
              volbu  -n.   Doporueny  zpsob pro start X11 program na vzdalenem
              poitai je "ssh -f poita xterm".

       -i soubor_identit
              Udava jmeno soubor, z nho se tou identity  (soukrome  klie)  pro
              RSA   autentizaci.   Implicitn   je  .ssh/identity  v  uivatelov
              domovskem adresai. V konfiguranim souboru  me  byt  zadano  vice
              soubor identit, pro kady poita jeden.  Lze pouit vice voleb -i.

       -k     Zakae  forwardovani  kerberos tiket.  V konfiguranim souboru lze
              nastavit i pro jednotlive poitae.

       -l login_name
              Uruje  uivatelske  jmeno  na  pihlaeni  vzdalenem   poitai.    V
              konfiguranim souboru lze nastavit i pro jednotlive poitae.

       -n     Pesmruje  stdin na /dev/null (zabrauje teni ze stdin).  Musi byt
              pouito, jestlie je ssh sputn na pozadi. Obvyklym trikem je pouit
              tuto  volbu  pro  sputni  X11 program na vzdalenem stroji. Pikaz
              "ssh  -n  shadows.cs.hut.fi  emacs  &"   odstartuje   emacs   na
              shadows.cs.hut.fi,  a  X11 spojeni bude automaticky forwardovano
              pes zaifrovany kanal.  Program ssh bude sputn na pozadi.   (Toto
              nebude  fungovat  jestlie  ssh  se  bude ptat na pihlaovaci nebo
              pistupove heslo; pak je teba pouit volbu -f.)

       -o 'volba'
              Me byt pouito pro zadani voleb ve formatu pouitem v konfiguranim
              souboru.  Lze  pouit  pro  zadani parametr, pro ktere neexistuje
              adna volba v pikazovem adku. Volba ma stejny format jako adka  v
              konfiguranim souboru.

       -p port
              Port,  na  ktery se pipojit na vzdalenem poitai.  V konfiguranim
              souboru lze nastavit i pro jednotlive poitae.

       -q     Tichy reim. Potlai vypis varovani a diagnostickych  zprav.  Jsou
              vypisovany pouze fatalni chyby.

       -P     Pouije   neprivilegovany   port.  S  touto  volbou  nelze  pouit
              autentizaci pomoci rhosts nebo rsarhosts, ale me byt  pouito  na
              pekonani    nkterych    firewall,   ktere   nedovoluji   pouivat
              privilegovane zdrojove porty.

       -t     Vynuti  pidleni  pseudo-tty.  Me   byt   pouito   pro   provadni
              libovolneho   obrazovkov  orientovaneho  programu  na  vzdalenem
              stroji, co me byt velmi uitene napiklad  pro  programy  ovladane
              pomoci menu.

       -v     Upovidany  reim.  Zpsobi,  e  program  ssh bude vypisovat ladici
              zpravy  o  sve  innosti.  Lze  pouit  pi  ladni  spojeni  a   pi
              autentizanich a konfiguranich problemech.

       -V     Vypie pouze islo verze a skoni.

       -g     Povoli  vzdalenym  strojm  pipojovani  na  lokalni  forwardovane
              porty.  Implicitn se me na tyto porty pipojovat pouze localhost.

       -x     Zakae X11 forwardovani.  V konfiguranim souboru lze  nastavit  i
              pro jednotlive poitae.

       -C     Bude  komprimovat vechna data (vetn stdin, stdout, stderr, a dat
              pro forwardovane X11 a TCP/IP spojeni). Komprimani algoritmus je
              ty  jako  v  programu  gzip. Urove komprese me byt zadana volbou
              CompressionLevel  volba  (viz  dale).  Komprese  je  adouci   na
              modemovych linkach a pro jina pomala spojeni, ale pes rychlou si
              bude zpomalovat innost.  Implicitni hodnota me byt nastavenu pro
              jednotlive  poitae  v  konfiguranim  souboru; viz volba Compress
              dale.

       -L port:po'ita:vzd'alport
              Uruje, e zadany port na lokalnim poitai (tj. ssh  klientovi)  ma
              byt  forwardovan  pes  bezpeny kanal na ssh server a z nj ma byt
              navazovano TCP spojeni na zadany vzdaleny poita a port.  Alokuje
              soket,  ktery  bude  naslouchat  na  zadanem  portu  na lokalnim
              poitai, a kdykoli bude vytvoeno  spojeni  na  tento  port,  bude
              forwardovano  pes  bezpeny  kanal,  a  ze vzdaleneho stroje bude
              navazano spojeni na zadany po'ita:vzd'alport.  Forwardovani  portu
              me  byt  take  nastaveno  v konfiguranim souboru.  Privilegovane
              port me forwardovat pouze root.

       -R port:po'ita:vzd'alport
              Uruje, e zadany port na vzdalenem poitai (tj.  serveru)  ma  byt
              forwardovan  na  lokalni  poita  a  odtud na dali zadany poita a
              port. Alokuje soket, ktery bude naslouchat na zadanem  portu  na
              vzdalene  stran,  a  kdykoli  je navazano spojeni na tento port,
              spojeni bude forwardovano pes bezpeny kanal na lokalni stroj,  a
              z   nj   bude   navazano   spojeni  na  zadany  po'ita:vzd'alport.
              Forwardovani  port  me  byt  zadano  v   konfiguranim   souboru.
              Privilegovane  porty  mohou  byt  forwardovany pouze pi pihlaeni
              jako root na vzdalenem stroji.

KONFIGURAN'I SOUBORY

       Program ssh ziskava konfigurani informace postupn z nasledujicich zdroj
       (v  uvedenem  poadi):  volby  v  pikazovem adku, uivatelsky konfigurani
       soubor    ($HOME/.ssh/config),    a    hlavni    konfigurani     soubor
       (/etc/ssh/ssh_config)  pro  cely  poita. Pro kady parameter bude pouita
       prvni ziskana hodnota.   Konfigurani  soubory  obsahuji  sekce  uvozene
       adkem  "Host",  a  kada  sekce  plati  pouze pro poitae, ktere vyhovuji
       jednomu ze vzork zadanych v adku "Host". Jmeno poitae  se  porovnava  v
       tom tvaru, v jakem je uvedeno na pikazovem adku.

       Protoe  se pouije prvni ziskana hodnota pro kady parameter, musi byt na
       zaatku souboru hodnoty  specificke  pro  jednotlive  poitae,  a  obecne
       implicitni hodnoty na konci.

       Konfigurani soubor ma nasledujici format:

              Prazdne adky a adky zainajici znakem '#' jsou komentae.

              Ostatni   adky   maji   format   "kliove-slovo  argumenty"  nebo
              "kliove-slovo  =  argumenty".  V  konfiguranich   souborech   se
              rozliuji mala a velka pismena, ale v kliovych slovech nikoli.

       Host   Omezuje  nasledujici  deklarace (a po dali adek s kliovym slovem
              Host) pouze pro poitae, ktere vyhovuji jednomu ze vzork zadanych
              za  kliovym  slovem.  Vzorky mohou obsahovat olikove znaky '*' a
              '?'.  Vzorek '*' vyhovuje vem  poitam.  Vzorek  se  porovnava  s
              parametrem  hostname  zadanym v pikazovem adku (t.j., jmeno neni
              konvertovano na kanonicke ped porovnanim se vzorkem).

       BatchMode
              Je-li nastaveno na "yes", program se nebude  ptat  na  pistupove
              nebo  pihlaovaci heslo. Vhodne pro skripty a jine davkove ulohy,
              kde neni adny uivatel, ktery by zadal pihlaovaci heslo. Argument
              musi byt "yes" nebo "no".

       Cipher Uruje  druh  ifry pouite pro ifrovani session. V souasnosti jsou
              podporovany ifry idea, des, 3des,  blowfish,  arcfour,  a  none.
              Implicitni   je   "idea"   (nebo   "3des"  jestlie  "idea"  neni
              podporovana obma stroji). Pouiti "none" (bez ifrovani) je  ureno
              pouze pro uely ladni, a vysledne spojeni neni bezpene.

       ClearAllForwardings
              Po nateni vech konfiguranich soubor a zpracovani pikazoveho adku
              zrui vekere  forwardovani.  Lze  pouit  pro  zakaz  forwardovani
              uvedenych  v  konfiguranim souboru pi navazovani druheho spojeni
              na  poita,  ktery  ma  forwardovani  nastaveno  v   konfiguranim
              souboru.   Program  scp  nastavuje tuto volbu implicitn na "on",
              take i kdyby forwardovani bylo vyadano v konfiguranim souboru, k
              chyb nedojde.

       Compression
              Uruje, zda pouit kompresi. Argument musi byt "yes" nebo "no".

       CompressionLevel
              Uruje  urove  komprese,  je-li  povolena. Argument musi byt cele
              islo od  1  (nizka  komprese,  nejvti  rychlost)  do  9  (nejvti
              komprese,  nejnii  rychlost). Implicitni urove, vhodna pro vtinu
              aplikaci, je 6. Hodnota ma stejny vyznam  jako  v  programu  GNU
              gzip.

       ConnectionAttempts
              Uruje  poet  pokus o spojeni, ktere se provedou (s opakovanim po
              sekund), ne ssh pouije rsh nebo ukonenim programu ssh.  Argument
              musi  byt cele islo. Vhodne pro pouiti ve skriptech, pokud se ne
              vdy podai navazat spojeni.

       EscapeChar
              Nastavi escape znak (implicitn  ~).  Escape  znak  me  byt  take
              nastaven  na  pikazovem adku. Argument musi byt jediny znak (aby
              bylo spojeni transparentni pro  binarni  data),  je  teba  pouit
              hodnotu ``none''.

       FallBackToRsh
              Pokud  se  nepodai  navazat  spojeni  pomoci  ssh a spojeni bude
              odmitnuto (protoe na vzdalenem  poitai  nebi  sshd),  pouije  se
              automaticky  rsh  (pitom  se vypie varovani, e komunikace nebude
              ifrovana).  Argument musi byt "yes" nebo "no".

       ForwardAgent
              Uruje, zda spojeni s autentizanim agentem  (pokud  existuje)  ma
              byt forwardovano na vzdaleny stroj. Argument musi byt "yes" nebo
              "no".

       ForwardX11
              Uruje, zda X11 spojeni ma byt automaticky pesmrovano pes bezpeny
              kanal  a  nastavena promnne prostedi DISPLAY.  Argument musi byt
              "yes" nebo "no".

       GatewayPorts
              Uruje, e take vzdalene  stroje  se  mohou  pipojovat  na  lokaln
              forwardovane porty. Argument musi byt "yes" nebo "no".

       GlobalKnownHostsFile
              Definuje, jaky soubor pouit misto /etc/ssh/ssh_known_hosts.

       HostName
              Definuje   skutene  jmeno  vzdaleneho  poitae.  Umouje  pouivani
              pezdivek nebo zkratek pro jmena poita. Implicitn je jmeno poitae
              shodne  se  jmenem  zadany  v  pikazovem  adku.  Jsou povoleny i
              numericke IP adresy (jak i pikazovem  adku,  tak  jako  argument
              HostName).

       IdentityFile
              Definuje  soubor,  ze  ktereho  se te uivatelova RSA autentizani
              identita  (implicitn   .ssh/identity   v   uivatelov   domovskem
              adresai).  Navic  budou pro autentizaci pouity i vechny identity
              zname autentizanimu agentu. Ve jmen souboru lze pouit znak vlnka
              pro  oznaeni uivatelova domovskeho adresae.  Konfigurani soubory
              mohou  obsahovat  vice  identit;  tyto  identity  budou  zkoueny
              postupn.

       KeepAlive
              Uruje,   zda   system  ma  posilat  protistran  udrovaci  zpravy
              (keepalive messages). Tyto zpravy umouji zjistit perueni spojeni
              nebo  havarii  jednoho  ze  stroj.  Ovem  i  pi  doasnem perueni
              komunikace bude spojeni ukoneno. ad lidi se toto chovani nelibi,
              je vak vhodne pi davkovem zpracovani.

              Implicitni  hodnota  je  "yes"  (posilat  udrovaci zpravy), take
              klient bude informovan,  pokud  dojde  k  perueni  spojeni  nebo
              havarii vzdaleneho poitae.

              Pro  zakaz zasilani udrovacich zprav musi byt nastaveno "no" jak
              v konfiguraci serveru, tak klienta.

       KerberosAuthentication
              Uruje, zda ma byt pouita autentizace Kerberos V5.

       KerberosTgtPassing
              Uruje, zda ma byt Kerberos V5 TGT forwardovano na server.

       LocalForward
              Uruje, e TCP/IP port na lokalnim stroji ma byt  forwardovan  pes
              bezpeny   kanal  na  vzdaleny  stroj  a  odtud  na  dali  zadany
              poita:port.  Prvni  argument  musi   byt   islo   portu,   druhy
              poita:port.  Lze  zadat  vice  forwardovani  a dali forwardovani
              mohou byt  zadana  v  pikazovem  adku.  Privilegovane  porty  me
              forwardovat pouze root.

       NumberOfPasswordPrompts
              Uruje poet vyzev na zadani pihlaovaciho hesla. Argument musi byt
              cele  islo.  Pamatujte,  e  take  server  omezuje   poet   pokus
              (implicitn na 5), take nastaveni tohoto parametru na vti hodnotu
              nema vyznam. Implicitni hodnota je 1.

       PasswordAuthentication
              Uruje, zda pouit autentizaci pihlaovacim heslem.  Argument  musi
              byt "yes" nebo "no".

       PasswordPromptHost
              Uruje,  zda  ve  vyzv  k  zadani  hesla  ma  byt  obsaeno  jmeno
              vzdaleneho stroje.  Argument musi byt "yes" nebo "no".

       PasswordPromptLogin
              Uruje, zda ve vyzv k zadani  hesla  ma  byt  obsaeno  pihlaovaci
              jmeno na vzdalenem poitai.  Argument musi byt "yes" nebo "no".

       Port   Uruje islo portu pro pipojeni na vzdaleny poita.  Implicitn 22.

       ProxyCommand
              Definuje,  jaky  pikaz  pouit  pro  pipojeni na server. Pikazovy
              etzec me  pokraovat  do  konce  adku,  a  bude  provadn  shellem
              /bin/sh.  V  pikazovem etzci bude %h nahrazeno jmenem poitae, ke
              kteremu se ma pipojovat a %p islem portu. Pikaz me byt  v  zasad
              cokoli,  ale  musi  ist  z stdin a zapisovat na stdout.  Musi se
              pipojit na sshd server bici na njakem stroji, nebo nkde  provest
              "sshd  -i".   Sprava  kli  poita  bude  provadna  uitim HostName
              poitae, ke  kteremu  se  pipojuje  (implicitn  na  jmeno  zadane
              uivatelem).

              Pamatujte,  e  ssh  me byt take zkonfigurovano pro podporu SOCKS
              system pouivajicich --s-socks4 nebo --s-socks5 konfigurani volbu
              pi pekladu.

       RemoteForward
              Poaduje,  aby  zadany  TCP/IP  port  na vzdalenem stroji byl pes
              bezpeny kanal forwardovan na lokalni poita, na kterem vyvola TCP
              spojeni  na dali zadany poita:port. Prvni argument musi byt islo
              portu na vzdalenem stroji, druhy argument libovolny  poita:port.
              Lze  zadat  vice ne jedno forwardovani a dali mohou byt zadana z
              pikazoveho adku. Privilegovane porty me forwardovat pouze root.

       RhostsAuthentication
              Uruje, zda zkouet  autentizaci  zaloenou  na  souborech  rhosts.
              Pamatujte,  e tato deklarace ovlivni pouze stranu klienta a nema
              adny efekt na bezpenost. Zakaz rhosts autentizace me sniit  dobu
              autentizace  pi  pomalem  spojeni,  kdy  rhosts autentizace neni
              pouita. Vtina  server  nedovoluje  RhostsAuthentication,  protoe
              neni  bezpena (viz RhostsRSAAuthentication). Argument teto volby
              musi byt "yes" nebo "no".

       RhostsRSAAuthentication
              Uruje, zda zkouet autentizaci zaloenou na souborech rhosts s RSA
              autentizaci  poita,  co  byva  na  vtin uzl primarni autentizani
              metoda.  Argument musi byt "yes" nebo "no".

       RSAAuthentication
              Uruje, zda zkouet RSA autentizaci. Argument musi byt "yes"  nebo
              "no".   RSA  autentizace  me  byt  pouita, pokud existuje soubor
              identity, nebo bi autentizani agent.

       StrictHostKeyChecking
              Jestlie  je  tento  piznak  nastaven  na   "yes",   ssh   nebude
              automaticky      pidavat      klie      poita     do     souboru
              $HOME/.ssh/known_hosts, a odmitne poadavek na pipojeni k poitai,
              jeho  kli  byl zmnn.  Toto nastaveni poskytuje maximalni ochranu
              proti utokm typu trojskeho kon. Nicmen pokud  neni  nainstalovan
              aktualni  soubor  /etc/ssh/ssh_known_hosts  obsahujici klie vech
              poita, na n se asto pipojujete, je tato volba nepijemna,  protoe
              nuti  uivatele,  aby vechny nove poitae pidaval run. Kompromisem
              je nastaveni na  "ask",  kdy  budou  nove  klie  poita  pidavany
              automaticky  pote, co uivatel potvrdi e to opravdu chce. Jestlie
              je tato volba nastavena na "no", potom  budou  nove  klie  poita
              pidavany   do  souboru  $HOME/.ssh/known_hosts  automaticky  bez
              potvrzovani. Klie znamych poita  budou  ovovany  automaticky  ve
              vech pipadech.

              Argument musi byt "yes", "no" nebo "ask".

       TISAuthentication
              Uruje,  zda zkouet TIS autentizaci. Argument teto volby musi byt
              "yes" nebo "no".

       UsePrivilegedPort
              Uruje, zda pi pipojovani na vzdaleny poita  pouit  privilegovany
              port.  Jestlie  je  povolena  autentizace zaloena na rhosts nebo
              rsarhosts, je implicitni hodnota je "yes".

       User   Definuje uivatelske jmeno na vzdalenem stroji. Lze pouit,  pokud
              ma  uivatel  na rznych strojich rzna uivatelska jmena. Odstrauje
              problemy s nutnosti zadavani  uivatelskeho  jmena  na  pikazovem
              adku.

       UserKnownHostsFile
              Uruje, ktery soubor pouit misto $HOME/.ssh/known_hosts.

       UseRsh Uruje,  e pro pihlaovani na tento poita musi byt pouit nebezpeny
              protokol rlogin/rsh. Je  mone,  e  poita  vbec  nepodporuje  ssh
              protocol.  Zpsobi,  e  ssh okamit vyvola rsh.  Je-li zadana tato
              volba, budou vechny ostatni volby  (krom  HostName)  ignorovany.
              Argument musi byt "yes" nebo "no".

       XAuthLocation
              Uruje cestu k programu xauth.

PROMNN'E PROSTED'I

       Program ssh normaln nastavuje nasledujici promnne prostedi:

       DISPLAY
              Promnna   prostedi  DISPLAY  oznauje  umistni  X11  serveru.  Je
              automaticky nastavena programem ssh, tak e obsahuje  hodnotu  ve
              tvaru  "hostname:n", kde hostname oznauje poita, kde bi shell, a
              n je cele islo >= 1.  Ssh  pouiva  tuto  specialni  hodnotu  pro
              forwardovani  X11  spojeni  pes  bezpeny kanal.  Uivatel normaln
              nesmi run nastavovat promnnou DISPLAY, protoe pak by X11 spojeni
              bylo  nebezpeny  (a  bude  vyadovat,  aby  uivatel run kopiroval
              jakekoli poadovane autorizani cookies).

       HOME   Bude nastavena na cestu do uivatelova domovskeho adresae.

       LOGNAME
              Synonymum pro USER; nastavuje se pro kompatibilitu  se  systemy,
              ktere pouivaji tuto promnnou.

       MAIL   Bude nastavena na jmeno uivatelova mailboxu.

       PATH   Bude  nastavena  na  implicitni PATH zadanou pi pekladu programu
              ssh, nebo na nkterych systemech definovanou  v  /etc/environment
              nebo /etc/default/login.

       SSH_AUTH_SOCK
              Jestlie  existuje,  bude  nastavena  na jmeno (vetn cesty) unix-
              domain soketu pouiteho pro  komunikaci  s  autentizanim  agentem
              (nebo jeho lokalnim zastupcem).

       SSH_CLIENT
              Identifikuje  klientsky  konec spojeni. Tato promnna obsahuje ti
              hodnoty oddlene mezerou: IP adresu klienta, islo portu  klienta,
              a islo portu serveru.

       SSH_ORIGINAL_COMMAND
              Bude  obsahovat  pvodni  pikazovy  adek, jestlie je sputn zadany
              pikaz. Me byt pouita  pro  ziskani  argument  apod.   z  opaneho
              konce.

       SSH_TTY
              Bude  nastavena  na jmeno tty (vetn cesty) spojeneho s aktualnim
              shellem nebo pikazem. Jestlie aktualni session  nema  adne  tty,
              promnna nebude nastavena.

       TZ     Promnna  timezone  bude nastavena, aby oznaovala aktualni asovou
              zonu, pokud byla nastavena pi sputni demona (tj.,  demon  pedava
              hodnota na nove spojeni).

       USER   Bude nastavena na jmeno pihlaeneho uivatele.

       Navic pikaz ssh te  soubor /etc/environment a $HOME/.ssh/environment, a
       pidava adky tvaru PROMNN'A=hodnota do prostedi. Nktere systemy mohou mit
       dali    mechanismy    pro    nastavovani    prostedi,    jako    soubor
       /etc/default/login na systemu Solaris.

SOUBORY

       $HOME/.ssh/known_hosts
              Obsahuje klie vech poita, na ktere se uivatel pihlasil (a  ktere
              nejsou  v  /etc/ssh/ssh_known_hosts).  Viz  manualova  stranka k
              sshd.

       $HOME/.ssh/random_seed
              Pouit jako hnizdo pro  generator nahodnych isel. Soubor obsahuje
              senzitivni data a proto musi mit prava read/write pro uivatele a
              adna prava pro ostatni. Tento soubor je vytvoen pi prvnim sputni
              programu a je automaticky aktualizovan. Uivatel nikdy nemusi ist
              nebo modifikovat tento soubor run.

       $HOME/.ssh/identity
              Obsahuje  RSA  autentizani  identitu  uivatele.   Tento   soubor
              obsahuje  senzitivni  data  a  musi  byt  itelny  uivatelem, ale
              nedostupny pro ostatni. Pi generovani klie je mone  specifikovat
              pistupove  heslo.   Pistupove  heslo  bude  pouito na zaifrovani
              senzitivni asti tohoto souboru pouitim ifry IDEA.

       $HOME/.ssh/identity.pub
              Obsahuje  veejny  kli  pro  autentizaci  (veejnou  ast   souboru
              identity  v  podob itelne lovkem). Obsah tohoto souboru musi byt
              pidan do $HOME/.ssh/authorized_keys na vech strojich,  na  ktere
              se chcete pihlaovat s pouitim RSA autentizace. Soubor neobsahuje
              citliva data a me (ale nemusi) byt itelny  pro  kohokoli.  Tento
              soubor  neni  nikdy  pouit automaticky a neni nezbytny; je pouit
              pouze pro snazi praci uivatele.

       $HOME/.ssh/config
              Konfigurani soubor  pro  jednotlive  uivatele.  Jeho  format  je
              popsan  vye.  Soubor je pouivan ssh klientem. Obvykle neobsahuje
              jakakoli citlive informace, ale doporuena prava jsou  read/write
              pro uivatele, a adna pro ostatni.

       $HOME/.ssh/authorized_keys
              Obsahuje  seznam  RSA kli, ktere mohou byt pouity pro pihlaovani
              tohoto uivatele. Jeho  format  je  popsan  v  manualove  strance
              programu  sshd.   V  nejjednoduim  pipad  je  format stejny jako
              format .pub identity souboru (to jest kady  adek  obsahuje  poet
              bit  v  modulu  veejny  exponent,  modulus,  a  komentaove pole,
              oddlene  mezerami).   Tento  soubor  neobsahuje  zvlat   citlive
              informace,  ale  doporuena prava jsou read/write pro uivatele, a
              adna prava pro ostatni.

       /etc/ssh/ssh_known_hosts
              Seznam znamych kli poita pro cely system. Tento soubor musi  byt
              pipraven  spravcem  systemu  tak, aby obsahoval veejne klie vech
              poita v organizaci. Soubor musi byt itelny  pro  vechny.  Soubor
              obsahuje  veejne  klie,  jeden  na  adku, v nasledujicim formatu
              (pole jsou oddlena mezerami): jmeno poitae, poet bit  v  modulu,
              veejny  exponent,  modulus,  a nepovinny komenta. Pouivaji-li se
              rzna jmena pro ty stroj, musi byt v souboru uvedena vechna  jeho
              jmena  oddlena  arkami.  Format  je  popsan  na  sshd  manualove
              strance.

              Program sshd pouiva kanonicke jmeno poitae (vracene domain  name
              servery) pro verifikaci klientskych poita pi pihlaovani; ostatni
              jmena jsou poteba protoe ssh nekonvertuje uivatelem zadane jmeno
              na  kanonicke  jmeno  ped  kontrolou  klie,  aby osoba, ktera ma
              pistup k domain name serveru, nemohla mast autentizaci poita.

       /etc/ssh/ssh_config
              Konfigurani soubor pro cely system (pro vechny uivatele).  Tento
              soubor poskytuje implicitni hodnoty, pro parametry, ktere nejsou
              zadany v uivatelov konfiguranim souboru, a  pro  uivatele,  ktei
              nemaji  konfigurani  soubor.  Tento  soubor  musi byt itelny pro
              vechny.

       $HOME/.rhosts
              Tento soubor je pouit pro .rhosts autentizaci.  Obsahuje  seznam
              dvojic   poita/uivatel,   pro   ktere   je   povoleno  pihlaeni.
              (Pamatujte, e tento soubor je take  pouivan  programy  rlogin  a
              rsh, diky kterym je pouiti tohoto souboru nebezpene.)  Kady adek
              v tomto souboru obsahuje jmeno poitae (v kanonicke form  vracene
              domain  name serverem) a jmeno uivatele na tomto poitai, oddlene
              mezerou. Tento soubor musi byt vlastnny uivatelem, a  nesmi  mit
              pravo  zapisu pro nikoho jineho. Doporuena prava jsou read/write
              pro uivatele a adna pro ostatni.

              Pamatujte, e implicitn ma byt sshd  instalovan  tak,  e  poaduje
              uspnou  RSA  autentizaci poitae ped .rhosts autentizaci. Jestlie
              server    nema    kli    klientskeho    poitae     v     souboru
              /etc/ssh/ssh_known_hosts,   me  uivatel  uloit  kli  do  souboru
              $HOME/.ssh/known_hosts.  Nejsnazi zpsob, jak toho dosahnout,  je
              spojit  se  zpt  ze  serveru  na  klienta pomoci ssh; tim se kli
              poitae automaticky pida do souboru $HOME/.ssh/known_hosts.

       $HOME/.shosts
              Tento soubor se pouiva pesn stejnym zpsobem jako .rhosts.   Jeho
              uelem je umonit rhosts autentizaci pro ssh, ani by bylo povoleno
              pihlaeni pomoci rlogin nebo rsh.

       /etc/hosts.equiv
              Tento soubor se pouiva pi autentizaci  pomoci  souboru  .rhosts.
              Obsahuje  kanonicka  jmena poita, na kadem adku jeden (format je
              detailn     popsan     na     manualove     strance     programu
              sshd).Jestliejeklientsk'ypoitanalezenvtomto      souboru,      je
              automaticky  povolene  pihlaeni,  pokud  je  jmeno  uivatele  na
              serveru  i  klientu  stejne.  Navic  je  normaln nutna uspna RSA
              autentizace  poitae.  Tento  soubor  musi  zapisovatelny   pouze
              uivatelem root.

       /etc/ssh/shosts.equiv
              Tento  soubor je zpracovavan pesn jako /etc/hosts.equiv.  Me byt
              uiteny  na  povoleni  pihlaeni  pomoci  ssh,  ale   nikoli   pro
              rsh/rlogin.

       /etc/ssh/sshrc
              Pikazy v tomto souboru budou provedeny programem ssh po pihlaeni
              uivatele, ale ped provedenim  uivatelova  shellu  (nebo  pikaz).
              Viz manualova stranka sshd pro dali informace.

       $HOME/.ssh/rc
              Pikazy v tomto souboru budou provedeny programem ssh po pihlaeni
              uivatele, ale ped provedenim  uivatelova  shellu  (nebo  pikaz).
              Viz manualova stranka sshd pro dali informace.

INSTALACE

       Program ssh je normaln instalovan jako setuid root. Prava uivatele root
       potebuje pouze pro autentizaci  pomoci  souboru  rhosts  (vyaduje,  aby
       spojeni  pichazelo  z privilegovaneho portu, a alokovani takoveho portu
       vyaduje prava  uivatele  root).   Take  musi  byt  schopen  ist  soubor
       /etc/ssh/ssh_host_key  pro RSA autentizaci poita. Program ssh lze pouit
       bez opravnni uivatele root, ale autentizace pomoci souboru rhosts  bude
       zakazana.  Program ssh se vzda jakychkoli zvlatnich prav bezprostedn po
       navazani spojeni se vzdalenym poitaem.

       Byla vynaloena znana prace, aby byl program ssh bezpeny.  Nicmen  pokud
       objevite   bezpenostni  problem,  oznamte  to  prosim  ihned  na  <ssh-
       bugs@cs.hut.fi>.

AUTOR

       Tatu Ylonen <ylo@ssh.fi>

       Informace o novych verzich, mailing listech, a podobn  mete  nalezt  na
       domovske WWW strance programu ssh na http://www.cs.hut.fi/ssh.

VIZ TAK'E

       sshd(8),  ssh-keygen(1),  ssh-agent(1),  ssh-add(1),  scp(1), make-ssh-
       known-hosts(1), rlogin(1), rsh(1), telnet(1)

VAROV'AN'I

       Peklad  je  pravdpodobn  zastaraly.  Pokud   chcete   pomoci   s   jeho
       aktualizaci, zamite na http://man-pages-cs-wiki.homelinux.net/