Provided by:
manpages-cs_0.18.20090209-3_all 
JM'ENO
ssh - secure shell klient (program pro remote login)
POUIT'I
ssh [-l pihlaovac'i_jm'eno] po'ita [p'ikaz]
ssh [-a] [-c idea|blowfish|des|3des|arcfour|none] [-e escape_znak]
[-i soubor_identit] [-l pihlaovac'i_jm'eno] [-n] [-k] [-V] [-o volba]
[-p port] [-q] [-P] [-t] [-v] [-x] [-C] [-L port:po'ita:vzd'alport]
[-R port:po'ita:vzd'alport] po'ita [p'ikaz]
POPIS
Pikaz ssh (secure shell, bezpeny shell) sloui pro pihlaovani na
vzdalene poitae a pro spoutni pikaz na vzdalenych poitaich. Je navren
jako nahrada pikaz rlogin a rsh a umouje bezpenou zaifrovanou
komunikaci mezi dvma nedvryhodnymi poitai pes nezabezpeenou si. Umouje
take forwardovani X11 spojeni nebo libovolnych TCP/IP port bezpenym
kanalem.
Program ssh sloui k pipojeni a pihlaeni uivatele na zadany po'ita.
Uivatel musi prokazat svoji identitu na tomto vzdalenem stroji pouitim
jedne z nasledujicich autentizanich metod:
Prvni metoda je pevzata z protokolu rsh/rlogin; normaln nebyva ssh
serverem povolena, protoe pedstavuje ohroeni jeho bezpenosti. Pokud je
poita, z nho se uivatel hlasi, uveden v souboru /etc/hosts.equiv nebo
/etc/ssh/shosts.equiv na vzdalenem stroji, a pihlaovaci jmena jsou na
obou stranach stejna, uivateli je okamit povoleno pihlaeni. Stejn
funguje, jestlie uivatel ma ve svem domovskem adresai na vzdalenem
stroji soubor .rhosts nebo .shosts, v nm je adek tvoeny jmenem
klientskeho stroje, mezerou a jmenem uivatele na klientskem poitai.
Druha (preferovana) autentizani metoda pouiva soubor rhosts nebo
hosts.equiv ve spojeni s RSA autentizaci poitae. To znamena, e pihlaeni
bude mone, jestlie by bylo povoleno podle soubor .rhosts, .shosts,
/etc/hosts.equiv, nebo /etc/ssh/shosts.equiv, a zarove server zna a
zkontroluje kli klientskeho poitae (viz $HOME/.ssh/known_hosts a
/etc/ssh/ssh_known_hosts v asti SOUBORY). Tato autentizani metoda
uzavira bezpenostni diry vyuivajici IP spoofingu, DNS spoofingu a
routing spoofingu. [Poznamka pro spravce: /etc/hosts.equiv, .rhosts, a
protokol rlogin/rsh obecn jsou ze sve podstaty nebezpene a pokud je
poadovana bezpenost, musi byt zakazany.]
Jako teti autentizani metodu pouiva ssh autentizaci zaloenou na RSA.
Toto schema je zaloeno na ifrovani s veejnym kliem, co je ifrovaci
system, v nm jsou pro ifrovani a deifrovani pouity dva rzne klie, piem
ze ifrovaciho klie nelze odvodit deifrovaci kli. Jednim z tchto system
je RSA. Mylenka je takova, e si kady uivatel pro uely autentizace
vytvoi dvojici kli; jeden veejny a druhy soukromy. Server zna veejny
kli, soukromy kli zna pouze uivatel. Soubor $HOME/.ssh/authorized_keys
obsahuje seznam veejnych kli, ktere je mone pouit pro pihlaeni. Kdy se
uivatel pihlasi, program ssh oznami serveru, kterou dvojici kli chce
pouit pro autentizaci. Server zkontroluje, zdali mu je dany kli znamy,
a pokud ano, pole uivateli (pesnji ssh programu sputnemu uivatelem)
vyzvu -- nahodne islo, zaifrovane uivatelovym veejnym kliem. Vyzva me
byt deifrovana pouze pouitim odpovidajiciho soukromeho klie. Uivatelv
klient deifrovanim vyzvy prokae, e zna soukromy kli, ani by jej
prozradil serveru.
Program ssh implementuje RSA autentizani protokol automaticky. Uivatel
vytvoi svj par RSA kli sputnim programu ssh-keygen(1). Ten uloi
soukromy kli do souboru .ssh/identity a veejny kli do souboru
.ssh/identity.pub v uivatelov domovskem adresai. Uivatel potom musi
pidat obsah souboru identity.pub do .ssh/authorized_keys ve svem
domovskem adresai na vzdalenem stroji (soubor authorized_keys odpovida
konvennimu souboru .rhosts a obsahuje jeden kli na kadem adku -- jeho
adky mohou byt velmi dlouhe). Pote se uivatel me pihlaovat bez zadavani
pihlaovaciho hesla. RSA autentizace je mnohem bezpenji ne autentizace
pomoci souboru rhosts. Soubor s uivatelovym soukromym kliem je chrann
pravy v operanim systemu Unix (neuinne jako ochrana ped superuivatelem)
a navic pistupovym heslem (passphrase).
Nejpijemnji zpsob pouiti RSA autentizace je s pouitim autentizaniho
agenta. Podrobnji informace viz ssh-agent(1).
Jako tvrtou autentizani metodu program ssh podporuje autentizaci
uivatele pomoci TIS autentizaniho serveru authsrv(8). V nkterych
pipadech neni vhodne, aby byla uivatelska jmena v TIS databazi shodna
se jmeny lokalnich uivatel. Me k tomu napiklad dojit, pokud se uivatel
autentizuje pomoci karty smartcard nebo Digipass. V tomto pipad je v
databazi jako uivatelske jmeno obvykle uvedeno seriove islo
autentizaniho zaizeni. Mapovani mezi jmeny v TIS databazi a
uivatelskymi jmeny zajiuje soubor /etc/ssh/sshd_tis.map. Jestlie tento
soubor neexistuje, nebo v nm uivatel neni uveden, pedpoklada se, e ob
jmena jsou shodna.
Jestlie vechny autentizani metody selou, ssh se zepta uivatele na
pihlaovaci heslo. Heslo je poslano na vzdaleny poita pro obvykle oveni.
Nicmen protoe vekera komunikace je ifrovana, nelze odposlechem provozu
v siti pihlaovaci heslo zjistit.
Jestlie byla uivatelova identita serverem akceptovana, server bu
provede zadany pikaz, nebo zajisti pihlaeni uivatele a spusti pro nj
normalni shell. Pitom vekera komunikace se vzdalenym poitaem je
automaticky ifrovana.
Jestlie byl vytvoen pseudoterminal (pro normalni login session), me
uivatel zadanim "~." ukonit spojeni, zadanim "~^Z" suspendovat ssh,
zadanim "~#" vypsat vechna forwardovana spojeni, a pokud se session
ekanim na ukoneni forwardovaneho X11 nebo TCP/IP spojeni zablokuje, me
byt pevedena do pozadi zadani "~&" (nesmi byt pouito, dokud je aktivni
uivatelsky shell, protoe by mohlo dojit k jeho zamrznuti). Vechny
dostupne escape posloupnosti lze vypsat pomoci "~?".
Aby byl escape znak interpretovan jako specialni, musi byt pouit na
zaatku session nebo po znaku konec adku (newline). Samotny znak vlnka
je nutne vkladat zdvojeny "~~" (nebo nasledovany jinym znakem ne je
popsano vye). V konfiguranim souboru nebo volbou v pikazovem adku lze
escape znak zmnit.
Pokud nebyl alokovan adny pseudoterminal, session bude transparentni a
me byt pouita pro spolehlivy penos binarnich dat. Na vtin system
nastaveni escape znaku na ``none'' take zpsobi, e session bude
transparentni i pi pouiti tty.
Session skoni, pokud skoni pikaz nebo shell na vzdalenem stroji a
spojeni neni pouivano adnymi X11 a TCP/IP spojenimi. Navratovy kod
vzdaleneho programu je vracen jako navratovy kod pikazu ssh.
Jestlie uivatel pouiva X11, je nastavena promnna prostedi DISPLAY tak,
jako kdyby program komunikoval s X serverem na stejnem stroji (tj. na
ssh serveru). islo displeje vak bude vti ne nula, protoe se nejedna o
skuteny X server na ssh serveru, ale pouze o "proxy" X server, ktery
zajiuje forwardovani X11 spojeni bezpenym kanalem vytvoenym programem
ssh na skuteny X server bici na stejnem stroji jako ssh klient. Aby ve
fungovalo, jak je zde popsano, uivatel nesmi run nastavovat promnnou
prostedi DISPLAY. Pro konfiguraci forwardovani X11 spojeni lze pouit
parametry na pikazovem adku nebo v konfiguranim souboru.
Program ssh umouje automaticke nastavovani Xauthority dat na serveru.
K tomuto uelu vygeneruje nahodne autorizani cookie, uloi jej v souboru
Xauthority na serveru, a zajisti, e vechna forwardovana spojeni ponesou
toto cookie a pi oteveni spojeni jej nahradi opravdovym cookie. Skutene
autentizani cookie neni nikdy posilano na server (a adne cookies nejsou
nikdy posilany nezaifrovan).
Jestlie uivatel pouiva autentizaniho agenta, spojeni s agentem bude
automaticky forwardovano na vzdalenou stranu, pokud to neni zakazano
volbou na pikazovem adku nebo v konfiguranim souboru.
Forwardovani libovolneho TCP/IP spojeni pes bezpeny kanal me byt
vyadano bu z pikazoveho adku nebo v konfiguranim souboru. Jednou z
monych aplikaci TCP/IP forwardingu je bezpene spojeni s elektronickou
penenkou; druhou je zajitni prchodu firewallem.
Program ssh umi automaticky udrovat a pouivat databazi obsahujici RSA
identifikace vechny poita, se kterymi dosud komunikoval. Databaze je
uloena v souboru .ssh/known_hosts v uivatelov domovskem adresai. Pro
kontrolu je pouivan i soubor /etc/ssh/ssh_known_hosts. Pi nastaveni
volby StrictHostKeyChecking na "no" budou jakekoli nove poitae
automaticky pidany do uivatelskeho souboru. Jestlie se zmni
identifikace poitae, ssh na to upozorni a zakae autentizaci pihlaovacim
heslem, aby se zabranilo trojskym konim ziskat uivatelovo pihlaovaci
heslo. Dalim uelem tohoto mechanismu je zabranni utokm typu man-in-
the-middle, ktery by jinak mohl byt pouit na obejiti ifrovani. Volba
StrictHostKeyChecking (viz dale) me byt pouita na zabranni pihlaeni na
stroje, jejich kli neni znamy nebo byl zmnn.
VOLBY
-a Zakae forwardovani spojeni s autentizanim agentem. V
konfiguranim souboru lze nastavit i pro jednotlive poitae.
-c idea|des|3des|blowfish|arcfour|none
Vybere ifru pouitou pro ifrovani session. Implicitn je pouita
ifra idea, ktera je pokladana za bezpenou. des je sice standard
pro ifrovani dat, ale s dostatenym technickym zazemim (kterym
mohou disponovat vlady, velke korporace a velke kriminalni
organizace) jej lze rozlutit. 3des (triple-des) je trojice
ifrovani-deifrovani-ifrovani se temi rznymi klii. Je pravdpodobn
bezpenji ne DES. Pokud nktery z konc nepodporuje ifru IDEA, je
implicitn pouita ifra 3des. blowfish je ifrovaci algoritmus
objeveny Brucem Schneierem. Pouiva 128 bitovy kli. arcfour je
algoritmus publikovany v roce 1995 v Usenet News. Vi se, e je
stejn silny jako ifra RC4 od RSA Data Security (RC4 je ochranna
znaka firmy RSA Data Security). V souasnosti je to nejrychleji
pouivany algoritmus. none zcela zakae ifrovani; je ureno pouze
pro ladici uely, neni bezpene.
-e ch|^ch|none
Nastavi escape znak pro session pouivajici pty (implicitn: ~).
Escape znak je rozpoznan pouze na zaatku adku. Escape znak
nasledovany znakem teka (.) uzave spojeni, nasledovany znakem
control-Z suspenduje spojeni, a nasledovany sebou samym pole
jeden escape znak. Nastaveni znaku na 'none' zakae jakekoli
escape znaky a zpsobi, e spojeni bude pln transparentni.
-f Poaduje, aby ssh po provedeni autentizace a zahajeni
forwardovani peel do pozadi. Tato volba je vhodna, pokud uivatel
chce, aby ssh bel v pozadi, ale ssh bude jet ptat na pihlaovaci
nebo pistupova hesla. Me byt vhodna take ve skriptech. Implikuje
volbu -n. Doporueny zpsob pro start X11 program na vzdalenem
poitai je "ssh -f poita xterm".
-i soubor_identit
Udava jmeno soubor, z nho se tou identity (soukrome klie) pro
RSA autentizaci. Implicitn je .ssh/identity v uivatelov
domovskem adresai. V konfiguranim souboru me byt zadano vice
soubor identit, pro kady poita jeden. Lze pouit vice voleb -i.
-k Zakae forwardovani kerberos tiket. V konfiguranim souboru lze
nastavit i pro jednotlive poitae.
-l login_name
Uruje uivatelske jmeno na pihlaeni vzdalenem poitai. V
konfiguranim souboru lze nastavit i pro jednotlive poitae.
-n Pesmruje stdin na /dev/null (zabrauje teni ze stdin). Musi byt
pouito, jestlie je ssh sputn na pozadi. Obvyklym trikem je pouit
tuto volbu pro sputni X11 program na vzdalenem stroji. Pikaz
"ssh -n shadows.cs.hut.fi emacs &" odstartuje emacs na
shadows.cs.hut.fi, a X11 spojeni bude automaticky forwardovano
pes zaifrovany kanal. Program ssh bude sputn na pozadi. (Toto
nebude fungovat jestlie ssh se bude ptat na pihlaovaci nebo
pistupove heslo; pak je teba pouit volbu -f.)
-o 'volba'
Me byt pouito pro zadani voleb ve formatu pouitem v konfiguranim
souboru. Lze pouit pro zadani parametr, pro ktere neexistuje
adna volba v pikazovem adku. Volba ma stejny format jako adka v
konfiguranim souboru.
-p port
Port, na ktery se pipojit na vzdalenem poitai. V konfiguranim
souboru lze nastavit i pro jednotlive poitae.
-q Tichy reim. Potlai vypis varovani a diagnostickych zprav. Jsou
vypisovany pouze fatalni chyby.
-P Pouije neprivilegovany port. S touto volbou nelze pouit
autentizaci pomoci rhosts nebo rsarhosts, ale me byt pouito na
pekonani nkterych firewall, ktere nedovoluji pouivat
privilegovane zdrojove porty.
-t Vynuti pidleni pseudo-tty. Me byt pouito pro provadni
libovolneho obrazovkov orientovaneho programu na vzdalenem
stroji, co me byt velmi uitene napiklad pro programy ovladane
pomoci menu.
-v Upovidany reim. Zpsobi, e program ssh bude vypisovat ladici
zpravy o sve innosti. Lze pouit pi ladni spojeni a pi
autentizanich a konfiguranich problemech.
-V Vypie pouze islo verze a skoni.
-g Povoli vzdalenym strojm pipojovani na lokalni forwardovane
porty. Implicitn se me na tyto porty pipojovat pouze localhost.
-x Zakae X11 forwardovani. V konfiguranim souboru lze nastavit i
pro jednotlive poitae.
-C Bude komprimovat vechna data (vetn stdin, stdout, stderr, a dat
pro forwardovane X11 a TCP/IP spojeni). Komprimani algoritmus je
ty jako v programu gzip. Urove komprese me byt zadana volbou
CompressionLevel volba (viz dale). Komprese je adouci na
modemovych linkach a pro jina pomala spojeni, ale pes rychlou si
bude zpomalovat innost. Implicitni hodnota me byt nastavenu pro
jednotlive poitae v konfiguranim souboru; viz volba Compress
dale.
-L port:po'ita:vzd'alport
Uruje, e zadany port na lokalnim poitai (tj. ssh klientovi) ma
byt forwardovan pes bezpeny kanal na ssh server a z nj ma byt
navazovano TCP spojeni na zadany vzdaleny poita a port. Alokuje
soket, ktery bude naslouchat na zadanem portu na lokalnim
poitai, a kdykoli bude vytvoeno spojeni na tento port, bude
forwardovano pes bezpeny kanal, a ze vzdaleneho stroje bude
navazano spojeni na zadany po'ita:vzd'alport. Forwardovani portu
me byt take nastaveno v konfiguranim souboru. Privilegovane
port me forwardovat pouze root.
-R port:po'ita:vzd'alport
Uruje, e zadany port na vzdalenem poitai (tj. serveru) ma byt
forwardovan na lokalni poita a odtud na dali zadany poita a
port. Alokuje soket, ktery bude naslouchat na zadanem portu na
vzdalene stran, a kdykoli je navazano spojeni na tento port,
spojeni bude forwardovano pes bezpeny kanal na lokalni stroj, a
z nj bude navazano spojeni na zadany po'ita:vzd'alport.
Forwardovani port me byt zadano v konfiguranim souboru.
Privilegovane porty mohou byt forwardovany pouze pi pihlaeni
jako root na vzdalenem stroji.
KONFIGURAN'I SOUBORY
Program ssh ziskava konfigurani informace postupn z nasledujicich zdroj
(v uvedenem poadi): volby v pikazovem adku, uivatelsky konfigurani
soubor ($HOME/.ssh/config), a hlavni konfigurani soubor
(/etc/ssh/ssh_config) pro cely poita. Pro kady parameter bude pouita
prvni ziskana hodnota. Konfigurani soubory obsahuji sekce uvozene
adkem "Host", a kada sekce plati pouze pro poitae, ktere vyhovuji
jednomu ze vzork zadanych v adku "Host". Jmeno poitae se porovnava v
tom tvaru, v jakem je uvedeno na pikazovem adku.
Protoe se pouije prvni ziskana hodnota pro kady parameter, musi byt na
zaatku souboru hodnoty specificke pro jednotlive poitae, a obecne
implicitni hodnoty na konci.
Konfigurani soubor ma nasledujici format:
Prazdne adky a adky zainajici znakem '#' jsou komentae.
Ostatni adky maji format "kliove-slovo argumenty" nebo
"kliove-slovo = argumenty". V konfiguranich souborech se
rozliuji mala a velka pismena, ale v kliovych slovech nikoli.
Host Omezuje nasledujici deklarace (a po dali adek s kliovym slovem
Host) pouze pro poitae, ktere vyhovuji jednomu ze vzork zadanych
za kliovym slovem. Vzorky mohou obsahovat olikove znaky '*' a
'?'. Vzorek '*' vyhovuje vem poitam. Vzorek se porovnava s
parametrem hostname zadanym v pikazovem adku (t.j., jmeno neni
konvertovano na kanonicke ped porovnanim se vzorkem).
BatchMode
Je-li nastaveno na "yes", program se nebude ptat na pistupove
nebo pihlaovaci heslo. Vhodne pro skripty a jine davkove ulohy,
kde neni adny uivatel, ktery by zadal pihlaovaci heslo. Argument
musi byt "yes" nebo "no".
Cipher Uruje druh ifry pouite pro ifrovani session. V souasnosti jsou
podporovany ifry idea, des, 3des, blowfish, arcfour, a none.
Implicitni je "idea" (nebo "3des" jestlie "idea" neni
podporovana obma stroji). Pouiti "none" (bez ifrovani) je ureno
pouze pro uely ladni, a vysledne spojeni neni bezpene.
ClearAllForwardings
Po nateni vech konfiguranich soubor a zpracovani pikazoveho adku
zrui vekere forwardovani. Lze pouit pro zakaz forwardovani
uvedenych v konfiguranim souboru pi navazovani druheho spojeni
na poita, ktery ma forwardovani nastaveno v konfiguranim
souboru. Program scp nastavuje tuto volbu implicitn na "on",
take i kdyby forwardovani bylo vyadano v konfiguranim souboru, k
chyb nedojde.
Compression
Uruje, zda pouit kompresi. Argument musi byt "yes" nebo "no".
CompressionLevel
Uruje urove komprese, je-li povolena. Argument musi byt cele
islo od 1 (nizka komprese, nejvti rychlost) do 9 (nejvti
komprese, nejnii rychlost). Implicitni urove, vhodna pro vtinu
aplikaci, je 6. Hodnota ma stejny vyznam jako v programu GNU
gzip.
ConnectionAttempts
Uruje poet pokus o spojeni, ktere se provedou (s opakovanim po
sekund), ne ssh pouije rsh nebo ukonenim programu ssh. Argument
musi byt cele islo. Vhodne pro pouiti ve skriptech, pokud se ne
vdy podai navazat spojeni.
EscapeChar
Nastavi escape znak (implicitn ~). Escape znak me byt take
nastaven na pikazovem adku. Argument musi byt jediny znak (aby
bylo spojeni transparentni pro binarni data), je teba pouit
hodnotu ``none''.
FallBackToRsh
Pokud se nepodai navazat spojeni pomoci ssh a spojeni bude
odmitnuto (protoe na vzdalenem poitai nebi sshd), pouije se
automaticky rsh (pitom se vypie varovani, e komunikace nebude
ifrovana). Argument musi byt "yes" nebo "no".
ForwardAgent
Uruje, zda spojeni s autentizanim agentem (pokud existuje) ma
byt forwardovano na vzdaleny stroj. Argument musi byt "yes" nebo
"no".
ForwardX11
Uruje, zda X11 spojeni ma byt automaticky pesmrovano pes bezpeny
kanal a nastavena promnne prostedi DISPLAY. Argument musi byt
"yes" nebo "no".
GatewayPorts
Uruje, e take vzdalene stroje se mohou pipojovat na lokaln
forwardovane porty. Argument musi byt "yes" nebo "no".
GlobalKnownHostsFile
Definuje, jaky soubor pouit misto /etc/ssh/ssh_known_hosts.
HostName
Definuje skutene jmeno vzdaleneho poitae. Umouje pouivani
pezdivek nebo zkratek pro jmena poita. Implicitn je jmeno poitae
shodne se jmenem zadany v pikazovem adku. Jsou povoleny i
numericke IP adresy (jak i pikazovem adku, tak jako argument
HostName).
IdentityFile
Definuje soubor, ze ktereho se te uivatelova RSA autentizani
identita (implicitn .ssh/identity v uivatelov domovskem
adresai). Navic budou pro autentizaci pouity i vechny identity
zname autentizanimu agentu. Ve jmen souboru lze pouit znak vlnka
pro oznaeni uivatelova domovskeho adresae. Konfigurani soubory
mohou obsahovat vice identit; tyto identity budou zkoueny
postupn.
KeepAlive
Uruje, zda system ma posilat protistran udrovaci zpravy
(keepalive messages). Tyto zpravy umouji zjistit perueni spojeni
nebo havarii jednoho ze stroj. Ovem i pi doasnem perueni
komunikace bude spojeni ukoneno. ad lidi se toto chovani nelibi,
je vak vhodne pi davkovem zpracovani.
Implicitni hodnota je "yes" (posilat udrovaci zpravy), take
klient bude informovan, pokud dojde k perueni spojeni nebo
havarii vzdaleneho poitae.
Pro zakaz zasilani udrovacich zprav musi byt nastaveno "no" jak
v konfiguraci serveru, tak klienta.
KerberosAuthentication
Uruje, zda ma byt pouita autentizace Kerberos V5.
KerberosTgtPassing
Uruje, zda ma byt Kerberos V5 TGT forwardovano na server.
LocalForward
Uruje, e TCP/IP port na lokalnim stroji ma byt forwardovan pes
bezpeny kanal na vzdaleny stroj a odtud na dali zadany
poita:port. Prvni argument musi byt islo portu, druhy
poita:port. Lze zadat vice forwardovani a dali forwardovani
mohou byt zadana v pikazovem adku. Privilegovane porty me
forwardovat pouze root.
NumberOfPasswordPrompts
Uruje poet vyzev na zadani pihlaovaciho hesla. Argument musi byt
cele islo. Pamatujte, e take server omezuje poet pokus
(implicitn na 5), take nastaveni tohoto parametru na vti hodnotu
nema vyznam. Implicitni hodnota je 1.
PasswordAuthentication
Uruje, zda pouit autentizaci pihlaovacim heslem. Argument musi
byt "yes" nebo "no".
PasswordPromptHost
Uruje, zda ve vyzv k zadani hesla ma byt obsaeno jmeno
vzdaleneho stroje. Argument musi byt "yes" nebo "no".
PasswordPromptLogin
Uruje, zda ve vyzv k zadani hesla ma byt obsaeno pihlaovaci
jmeno na vzdalenem poitai. Argument musi byt "yes" nebo "no".
Port Uruje islo portu pro pipojeni na vzdaleny poita. Implicitn 22.
ProxyCommand
Definuje, jaky pikaz pouit pro pipojeni na server. Pikazovy
etzec me pokraovat do konce adku, a bude provadn shellem
/bin/sh. V pikazovem etzci bude %h nahrazeno jmenem poitae, ke
kteremu se ma pipojovat a %p islem portu. Pikaz me byt v zasad
cokoli, ale musi ist z stdin a zapisovat na stdout. Musi se
pipojit na sshd server bici na njakem stroji, nebo nkde provest
"sshd -i". Sprava kli poita bude provadna uitim HostName
poitae, ke kteremu se pipojuje (implicitn na jmeno zadane
uivatelem).
Pamatujte, e ssh me byt take zkonfigurovano pro podporu SOCKS
system pouivajicich --s-socks4 nebo --s-socks5 konfigurani volbu
pi pekladu.
RemoteForward
Poaduje, aby zadany TCP/IP port na vzdalenem stroji byl pes
bezpeny kanal forwardovan na lokalni poita, na kterem vyvola TCP
spojeni na dali zadany poita:port. Prvni argument musi byt islo
portu na vzdalenem stroji, druhy argument libovolny poita:port.
Lze zadat vice ne jedno forwardovani a dali mohou byt zadana z
pikazoveho adku. Privilegovane porty me forwardovat pouze root.
RhostsAuthentication
Uruje, zda zkouet autentizaci zaloenou na souborech rhosts.
Pamatujte, e tato deklarace ovlivni pouze stranu klienta a nema
adny efekt na bezpenost. Zakaz rhosts autentizace me sniit dobu
autentizace pi pomalem spojeni, kdy rhosts autentizace neni
pouita. Vtina server nedovoluje RhostsAuthentication, protoe
neni bezpena (viz RhostsRSAAuthentication). Argument teto volby
musi byt "yes" nebo "no".
RhostsRSAAuthentication
Uruje, zda zkouet autentizaci zaloenou na souborech rhosts s RSA
autentizaci poita, co byva na vtin uzl primarni autentizani
metoda. Argument musi byt "yes" nebo "no".
RSAAuthentication
Uruje, zda zkouet RSA autentizaci. Argument musi byt "yes" nebo
"no". RSA autentizace me byt pouita, pokud existuje soubor
identity, nebo bi autentizani agent.
StrictHostKeyChecking
Jestlie je tento piznak nastaven na "yes", ssh nebude
automaticky pidavat klie poita do souboru
$HOME/.ssh/known_hosts, a odmitne poadavek na pipojeni k poitai,
jeho kli byl zmnn. Toto nastaveni poskytuje maximalni ochranu
proti utokm typu trojskeho kon. Nicmen pokud neni nainstalovan
aktualni soubor /etc/ssh/ssh_known_hosts obsahujici klie vech
poita, na n se asto pipojujete, je tato volba nepijemna, protoe
nuti uivatele, aby vechny nove poitae pidaval run. Kompromisem
je nastaveni na "ask", kdy budou nove klie poita pidavany
automaticky pote, co uivatel potvrdi e to opravdu chce. Jestlie
je tato volba nastavena na "no", potom budou nove klie poita
pidavany do souboru $HOME/.ssh/known_hosts automaticky bez
potvrzovani. Klie znamych poita budou ovovany automaticky ve
vech pipadech.
Argument musi byt "yes", "no" nebo "ask".
TISAuthentication
Uruje, zda zkouet TIS autentizaci. Argument teto volby musi byt
"yes" nebo "no".
UsePrivilegedPort
Uruje, zda pi pipojovani na vzdaleny poita pouit privilegovany
port. Jestlie je povolena autentizace zaloena na rhosts nebo
rsarhosts, je implicitni hodnota je "yes".
User Definuje uivatelske jmeno na vzdalenem stroji. Lze pouit, pokud
ma uivatel na rznych strojich rzna uivatelska jmena. Odstrauje
problemy s nutnosti zadavani uivatelskeho jmena na pikazovem
adku.
UserKnownHostsFile
Uruje, ktery soubor pouit misto $HOME/.ssh/known_hosts.
UseRsh Uruje, e pro pihlaovani na tento poita musi byt pouit nebezpeny
protokol rlogin/rsh. Je mone, e poita vbec nepodporuje ssh
protocol. Zpsobi, e ssh okamit vyvola rsh. Je-li zadana tato
volba, budou vechny ostatni volby (krom HostName) ignorovany.
Argument musi byt "yes" nebo "no".
XAuthLocation
Uruje cestu k programu xauth.
PROMNN'E PROSTED'I
Program ssh normaln nastavuje nasledujici promnne prostedi:
DISPLAY
Promnna prostedi DISPLAY oznauje umistni X11 serveru. Je
automaticky nastavena programem ssh, tak e obsahuje hodnotu ve
tvaru "hostname:n", kde hostname oznauje poita, kde bi shell, a
n je cele islo >= 1. Ssh pouiva tuto specialni hodnotu pro
forwardovani X11 spojeni pes bezpeny kanal. Uivatel normaln
nesmi run nastavovat promnnou DISPLAY, protoe pak by X11 spojeni
bylo nebezpeny (a bude vyadovat, aby uivatel run kopiroval
jakekoli poadovane autorizani cookies).
HOME Bude nastavena na cestu do uivatelova domovskeho adresae.
LOGNAME
Synonymum pro USER; nastavuje se pro kompatibilitu se systemy,
ktere pouivaji tuto promnnou.
MAIL Bude nastavena na jmeno uivatelova mailboxu.
PATH Bude nastavena na implicitni PATH zadanou pi pekladu programu
ssh, nebo na nkterych systemech definovanou v /etc/environment
nebo /etc/default/login.
SSH_AUTH_SOCK
Jestlie existuje, bude nastavena na jmeno (vetn cesty) unix-
domain soketu pouiteho pro komunikaci s autentizanim agentem
(nebo jeho lokalnim zastupcem).
SSH_CLIENT
Identifikuje klientsky konec spojeni. Tato promnna obsahuje ti
hodnoty oddlene mezerou: IP adresu klienta, islo portu klienta,
a islo portu serveru.
SSH_ORIGINAL_COMMAND
Bude obsahovat pvodni pikazovy adek, jestlie je sputn zadany
pikaz. Me byt pouita pro ziskani argument apod. z opaneho
konce.
SSH_TTY
Bude nastavena na jmeno tty (vetn cesty) spojeneho s aktualnim
shellem nebo pikazem. Jestlie aktualni session nema adne tty,
promnna nebude nastavena.
TZ Promnna timezone bude nastavena, aby oznaovala aktualni asovou
zonu, pokud byla nastavena pi sputni demona (tj., demon pedava
hodnota na nove spojeni).
USER Bude nastavena na jmeno pihlaeneho uivatele.
Navic pikaz ssh te soubor /etc/environment a $HOME/.ssh/environment, a
pidava adky tvaru PROMNN'A=hodnota do prostedi. Nktere systemy mohou mit
dali mechanismy pro nastavovani prostedi, jako soubor
/etc/default/login na systemu Solaris.
SOUBORY
$HOME/.ssh/known_hosts
Obsahuje klie vech poita, na ktere se uivatel pihlasil (a ktere
nejsou v /etc/ssh/ssh_known_hosts). Viz manualova stranka k
sshd.
$HOME/.ssh/random_seed
Pouit jako hnizdo pro generator nahodnych isel. Soubor obsahuje
senzitivni data a proto musi mit prava read/write pro uivatele a
adna prava pro ostatni. Tento soubor je vytvoen pi prvnim sputni
programu a je automaticky aktualizovan. Uivatel nikdy nemusi ist
nebo modifikovat tento soubor run.
$HOME/.ssh/identity
Obsahuje RSA autentizani identitu uivatele. Tento soubor
obsahuje senzitivni data a musi byt itelny uivatelem, ale
nedostupny pro ostatni. Pi generovani klie je mone specifikovat
pistupove heslo. Pistupove heslo bude pouito na zaifrovani
senzitivni asti tohoto souboru pouitim ifry IDEA.
$HOME/.ssh/identity.pub
Obsahuje veejny kli pro autentizaci (veejnou ast souboru
identity v podob itelne lovkem). Obsah tohoto souboru musi byt
pidan do $HOME/.ssh/authorized_keys na vech strojich, na ktere
se chcete pihlaovat s pouitim RSA autentizace. Soubor neobsahuje
citliva data a me (ale nemusi) byt itelny pro kohokoli. Tento
soubor neni nikdy pouit automaticky a neni nezbytny; je pouit
pouze pro snazi praci uivatele.
$HOME/.ssh/config
Konfigurani soubor pro jednotlive uivatele. Jeho format je
popsan vye. Soubor je pouivan ssh klientem. Obvykle neobsahuje
jakakoli citlive informace, ale doporuena prava jsou read/write
pro uivatele, a adna pro ostatni.
$HOME/.ssh/authorized_keys
Obsahuje seznam RSA kli, ktere mohou byt pouity pro pihlaovani
tohoto uivatele. Jeho format je popsan v manualove strance
programu sshd. V nejjednoduim pipad je format stejny jako
format .pub identity souboru (to jest kady adek obsahuje poet
bit v modulu veejny exponent, modulus, a komentaove pole,
oddlene mezerami). Tento soubor neobsahuje zvlat citlive
informace, ale doporuena prava jsou read/write pro uivatele, a
adna prava pro ostatni.
/etc/ssh/ssh_known_hosts
Seznam znamych kli poita pro cely system. Tento soubor musi byt
pipraven spravcem systemu tak, aby obsahoval veejne klie vech
poita v organizaci. Soubor musi byt itelny pro vechny. Soubor
obsahuje veejne klie, jeden na adku, v nasledujicim formatu
(pole jsou oddlena mezerami): jmeno poitae, poet bit v modulu,
veejny exponent, modulus, a nepovinny komenta. Pouivaji-li se
rzna jmena pro ty stroj, musi byt v souboru uvedena vechna jeho
jmena oddlena arkami. Format je popsan na sshd manualove
strance.
Program sshd pouiva kanonicke jmeno poitae (vracene domain name
servery) pro verifikaci klientskych poita pi pihlaovani; ostatni
jmena jsou poteba protoe ssh nekonvertuje uivatelem zadane jmeno
na kanonicke jmeno ped kontrolou klie, aby osoba, ktera ma
pistup k domain name serveru, nemohla mast autentizaci poita.
/etc/ssh/ssh_config
Konfigurani soubor pro cely system (pro vechny uivatele). Tento
soubor poskytuje implicitni hodnoty, pro parametry, ktere nejsou
zadany v uivatelov konfiguranim souboru, a pro uivatele, ktei
nemaji konfigurani soubor. Tento soubor musi byt itelny pro
vechny.
$HOME/.rhosts
Tento soubor je pouit pro .rhosts autentizaci. Obsahuje seznam
dvojic poita/uivatel, pro ktere je povoleno pihlaeni.
(Pamatujte, e tento soubor je take pouivan programy rlogin a
rsh, diky kterym je pouiti tohoto souboru nebezpene.) Kady adek
v tomto souboru obsahuje jmeno poitae (v kanonicke form vracene
domain name serverem) a jmeno uivatele na tomto poitai, oddlene
mezerou. Tento soubor musi byt vlastnny uivatelem, a nesmi mit
pravo zapisu pro nikoho jineho. Doporuena prava jsou read/write
pro uivatele a adna pro ostatni.
Pamatujte, e implicitn ma byt sshd instalovan tak, e poaduje
uspnou RSA autentizaci poitae ped .rhosts autentizaci. Jestlie
server nema kli klientskeho poitae v souboru
/etc/ssh/ssh_known_hosts, me uivatel uloit kli do souboru
$HOME/.ssh/known_hosts. Nejsnazi zpsob, jak toho dosahnout, je
spojit se zpt ze serveru na klienta pomoci ssh; tim se kli
poitae automaticky pida do souboru $HOME/.ssh/known_hosts.
$HOME/.shosts
Tento soubor se pouiva pesn stejnym zpsobem jako .rhosts. Jeho
uelem je umonit rhosts autentizaci pro ssh, ani by bylo povoleno
pihlaeni pomoci rlogin nebo rsh.
/etc/hosts.equiv
Tento soubor se pouiva pi autentizaci pomoci souboru .rhosts.
Obsahuje kanonicka jmena poita, na kadem adku jeden (format je
detailn popsan na manualove strance programu
sshd).Jestliejeklientsk'ypoitanalezenvtomto souboru, je
automaticky povolene pihlaeni, pokud je jmeno uivatele na
serveru i klientu stejne. Navic je normaln nutna uspna RSA
autentizace poitae. Tento soubor musi zapisovatelny pouze
uivatelem root.
/etc/ssh/shosts.equiv
Tento soubor je zpracovavan pesn jako /etc/hosts.equiv. Me byt
uiteny na povoleni pihlaeni pomoci ssh, ale nikoli pro
rsh/rlogin.
/etc/ssh/sshrc
Pikazy v tomto souboru budou provedeny programem ssh po pihlaeni
uivatele, ale ped provedenim uivatelova shellu (nebo pikaz).
Viz manualova stranka sshd pro dali informace.
$HOME/.ssh/rc
Pikazy v tomto souboru budou provedeny programem ssh po pihlaeni
uivatele, ale ped provedenim uivatelova shellu (nebo pikaz).
Viz manualova stranka sshd pro dali informace.
INSTALACE
Program ssh je normaln instalovan jako setuid root. Prava uivatele root
potebuje pouze pro autentizaci pomoci souboru rhosts (vyaduje, aby
spojeni pichazelo z privilegovaneho portu, a alokovani takoveho portu
vyaduje prava uivatele root). Take musi byt schopen ist soubor
/etc/ssh/ssh_host_key pro RSA autentizaci poita. Program ssh lze pouit
bez opravnni uivatele root, ale autentizace pomoci souboru rhosts bude
zakazana. Program ssh se vzda jakychkoli zvlatnich prav bezprostedn po
navazani spojeni se vzdalenym poitaem.
Byla vynaloena znana prace, aby byl program ssh bezpeny. Nicmen pokud
objevite bezpenostni problem, oznamte to prosim ihned na <ssh-
bugs@cs.hut.fi>.
AUTOR
Tatu Ylonen <ylo@ssh.fi>
Informace o novych verzich, mailing listech, a podobn mete nalezt na
domovske WWW strance programu ssh na http://www.cs.hut.fi/ssh.
VIZ TAK'E
sshd(8), ssh-keygen(1), ssh-agent(1), ssh-add(1), scp(1), make-ssh-
known-hosts(1), rlogin(1), rsh(1), telnet(1)
VAROV'AN'I
Peklad je pravdpodobn zastaraly. Pokud chcete pomoci s jeho
aktualizaci, zamite na http://man-pages-cs-wiki.homelinux.net/