Provided by:
manpages-tr_1.0.5.1-2_all 
ISIM
ssh - OpenSSH SSH istemcisi (uzaktan oturum acma araci)
KULLANIM
ssh [ -l kullanici ] konakismi | kullanici@konakismi [ komut ]
ssh [ -afgknqstvxACNTX1246 ] [ -b baglanti_adresi ]
[ -c ,sifre_belirtimi ] [ -e "onceleme_krk ] [ -i kimlik_dosyasi ]
[ -l kullanici ] [ -m mac_belirtimi ] [ -o se,cenek ] [ -p port ]
[ -F yapilandirma_dosyasi ] [ -L yerelport:uzakkonak:uzakkonakportu ]
[ -R uzakport:yerelkonak:yerelkonakportu ] [ -D port ]
konakismi | kullanici@konakismi [ komut ]
A,CIKLAMA
ssh (SSH istemci) uzaktaki bir makinada komut calistirmak icin
uzaktaki makinada bir kullanici oturumu acmayi saglayan bir
uygulamadir. rlogin ve rsh'in yerini almasi amaclanmistir. ssh guvenli
olmayan bir ag uzerindeki guvenilir olmayan iki sistemin sifreli
dolayisi ile guvenli iletisim kurmalarini saglar. X11 baglantilari ve
cesitli TCP/IP baglanti portlari da guvenli kanal uzerinden
iletilebilirler.
ssh, konakismi ile belirtilen makinaya baglanir ve oturum acar. Sayet
kullanici bir komut belirtmis ise, kullaniciya oturum kabugu yerine
komutun calistirildiktan sonraki ciktisi dondurulur.
Kullanici, uzaktaki sisteme kimligini kanitlamak zorundadir ve bunu
kullanilan protokole bagli olarak farkli yontemlerle yapabilir:
SSH protokol"un"un 1. s"ur"um"u
Ilk olarak eger kullanicinin oturum actigi sistemin ismi uzaktaki
sistemin /etc/hosts.equiv veya /etc/ssh/shosts.equiv dosyalarinda
bulunuyorsa ve her iki taraftaki kullanici isimleri ayni ise,
kullanicin uzak sisteme erismesine hemen izin verilir. Ikinci olarak,
eger .rhosts veya .shosts dosyalari kullanicinin uzaktaki ev dizininde
mevcut ise ve istemci makinanin adi ile bu makinadaki kullanici adi bu
dosyalardan birinde var ise, yine kullanicin erismesine izin verilir.
Guvenli olmamamasi nedeni ile bu cesit kimlik denetiminin kullanmasina
normalde sunucu tarafindan izin verilmez.
Ikinci kimlik denetim yontemi ise rhosts veya hosts.equiv yontemlerinin
RSA tabanli konak kimlik denetimi ile birlikte kullanilmasidir. Bu su
anlama gelir: eger erisime $HOME/.rhosts, $HOME/.shosts,
/etc/hosts.equiv veya /etc/ssh/shosts.equiv tarafindan izin verilmis ve
buna ek olarak sunucu da istemci anahtarini dogrulayabiliyorsa
(DOSYALAR bolumundeki /etc/ssh/ssh_known_hosts ve
$HOME/.ssh/known_hosts dosyalarinin aciklamalarina bakiniz), ancak o
zaman oturum acilmasina izin verilir. Bu kimlik denetimi yontemi
sayesinde IP kandirmaca, DNS kandirmaca ve yonlendirme kandirmacanin
sebep oldugu guvenlik aciklari engellenmis olur.
Sistem y"oneticilerine bilgi:
/etc/hosts.equiv, $HOME/.rhosts ve rlogin/rsh protokolleri genel
olarak guvenli degillerdir ve guvenligin gerektigi durumlarda
kullanilmamalari gerekir.
Ucuncu kimlik kanitlama yontemi olarak, ssh RSA tabanli kimlik
denetimini destekler. Bu senaryo acik anahtarli kriptografiye dayanir:
Sifrelemenin ve sifre cozmenin farkli anahtarlarla yapildigi ve sifre
cozme anahtarini sifreleme anahtarindan turetmeniz mumkun olmadigi
kripto sistemleri vardir. RSA boyle bir sistemdir. Burada amac her
kullanicinin kimlik denetimi icin bir cift genel ve ozel anahtar
olusturmasidir. Sunucu genel anahtara sahip iken, ozel anahtar sadece
kullanicinin kendisinde bulunur. $HOME/.ssh/authorized_keys dosyasi
erisim hakki olan genel anahtarlari listeler. Kullanici oturum acmak
istedigi zaman, ssh kimlik denetimi icin hangi anahtar ciftini
kullanmak istedigini sunucuya bildirir. Sunucu bu anahtarin gecerli
olup olmadigina bakar, sayet gecerli ise kullaniciya (aslinda kullanici
adina calisan ssh'a) kullanicinin genel anahtari ile sifrelenmis bir
kimlik sorgusu, rasgele bir sayi gonderir. Sifreli kimlik sorgusu
sadece uygun ozel anahtar ile cozulebilir. Kullanicinin istemcisi bu
kimlik sorgusunu kullanicinin ozel anahtari ile cozer, boylece uygun
ozel anahtarin varligini ispatlar (ozel anahtari sunucuya gostermeden).
ssh RSA kimlik denetim protokolunu ozdevinimli olarak gerceklestirir.
Kullanici kendi RSA anahtar ciftini ssh-keygen(1) komutunu calistirarak
olusturur. Bu islem sayesinde ozel anahtar $HOME/.ssh/identity
dosyasinda ve genel anahtar da $HOME/.ssh/identity.pub doyasinda
saklanir. Daha sonra kullanici identity.pub dosyasini uzak makinenin
kullanicinin ev dizinideki $HOME/.ssh/authorized_keys dosyasina
kopyalamalidir. authorized_keys dosyasi geleneksel $HOME/.rhosts
dosyasina karsilik gelir ve her satiri bir anahtar icerir (satirlar cok
uzun olabilmektedir). Sonucta kullanici parola girmeden oturum acmaya
hak kazanmaktadir. RSA kimlik denetimi rhosts kimlik denetimine gore
daha guvenlidir.
RSA kimlik denetiminin en uygun kullanimi bir kimlik denetimi ajani ile
saglanabilir. Daha fazla bilgi icin ssh-agent(1)'a bakiniz.
Sayet bahsedilen kimlik denetimi yontemleri hata verirler ise, bu sefer
ssh kullaniciya parola sorar. Parola ana makineye denetim icin
gonderilir. Fakat butun iletisim sifrelendigi icin parola agi
dinlemekte olan biri tarafindan gorulemez.
SSH protokol"un"un 2. s"ur"um"u
Kullanici protokolun 2. surumunu kullanarak baglanti kurdugunda benzer
kimlik denetimi yontemleri kullanilir. PreferredAuthentications
(tercih edilen kimlik kanitlamalari) icin ontanimli degerler
kullanilarak, istemci oncelikle konak tabanli kimlik denetimi ile
uzaktaki makineye erismeye calisir; bu yontemin basarisiz olmasi
durumunda, genel anahtarli kimlik denetimi yontemi denenir, bu yontemin
de basarisiz olmasi durumunda son olarak klavye etkilesimli ve parolali
kimlik denetimi yontemine basvurulur.
Genel anahtar yontemi, bir onceki bolumde anlatilan RSA kimlik denetimi
ile benzerdir ve RSA veya DSA algoritmalarinin kullanilmasina izin
verir: Istemci oturum taniticisini ozel anahtari ($HOME/.ssh/id_dsa
veya $HOME/.ssh/id_rsa) ile imzalar ve sonucu sunucuya gonderir.
Sunucu, bu imza ile eslesen genel anahtarin $HOME/.ssh/authorized_keys
dosyasinda olup olmadigina bakar. Hem anahtarin listede bulunmasi hem
de imzanin dogru olmasi durumunda istemciye erisim izni verilir. Oturum
tanitici sadece sunucu ve istemci tarafindan bilinen ortak
Diffie-Hellman degerinden turetilir.
Sayet genel anahtarli kimlik denetimi basarisiz olursa ya da
desteklenmiyorsa, kullanicinin kimligini ispatlamak icin kullanicinin
parolasi sifrelenerek sunucuya gonderilebilir.
ssh bunlara ek olarak konak tabanli ve kimlik sorma/yanit verme kimlik
denetimi yontemlerini de destekler.
Protokol 2 gizlilik ve butunluk ilkeleri icin ek mekanizmalar saglar.
Gizlilik icin veri trafigi 3DES, Blowfish, CAST128 veya Arcfour
algoritmalari ile sifrelenir ve butunluk ilkesi icin ise hmac-md5 ya
da hmac-sha1 algoritmalari kullanilir. Protokol 1'in baglantinin
butunlugunu kesinlikle garanti eden bir mekanizmaya gereksinimi oldugu
unutulmamalidir.
Oturum ve Uzaktan Y"ur"utme
Sunucu, kullanicinin kimligini onayladigi takdirde ya kullanicinin
belirttigi komutu yurutur ya da sistemde oturum acar ve uzak sistemde
kullanicinin normal bir kabuga erismesini saglar. Uzakta calistirilacak
komut ya da kabukla gerceklestirilen butun iletisim sifrelenir.
Kullanici, sozde ucbirim (normal oturum) saglanmasi durumunda asagidaki
onceleme karakterlerini kullanabilir.
Sayet bir ucbirim saglanmazsa, oturum saydam olur ve ikili veri
guvenilir sekilde aktarilabilir. Bircok sistemde onceleme karakterini
``none'' seklinde ayarlamak tty kullanilsa bile oturumu saydam kilar.
Uzak sistemdeki komut ya da kabuk sonlandiginda oturum sonlanir ve
butunl X11 ve TCP/IP baglantilari kapatilir. Erisilen makinada
calistirilan uygulamanin cikis durumu ssh'in cikis durumu olarak
dondurulur.
"Onceleme Karakterleri
Sozde ucbirim istenmesi durumunda ssh bircok islevi bir onceleme
karakteri araciligi ile desteker.
Tek bir yaklasik isareti (tilde) ~~ seklinde ya da yaklasik isaretini
asagida belirtilen karakterlerin haricindeki bir karakterin takip
etmesi seklinde gonderilebilir. Onceleme karakterinin onceleme
karakteri olarak yorumlanabilmesi karakterden hemen sonra bir satirsonu
karakteri gelmelidir. Onceleme karakteri yapilandirma dosyasindaki
EscapeChar yapilandirma secenegi ile ya da komut satirinda -e secenegi
ile degistirilebilir.
Desteklenen oncelemler (ontanimlinin '~' oldugu kabuluyle) sunlardir:
~. Baglantiyi kes
~^Z ssh'i artalanda calistir
~# Iletilen baglantilari listele
~& Iletilen baglantinin ya da X11 oturumlarinin sonlandirilmasini
beklerken ssh'i artalanda calistir
~? Onceleme karakterlerinin listesini goster
~B Uzak sisteme sonlandirma iletisi gonder (sadece uzak sistemin
de desteklemesi durumunda SSH protokolunun 2. surumu icin
gecerlidir)
~C Komut satiri ac (sadece -L ve -R seceneklerini kullanarak port
iletimi eklemek icin yararlidir)
~R Baglantinin anahtarlarinin yenilenmesini iste (sadece uzak
sistemin de desteklemesi durumunda SSH protokolunun 2. surumu
icin gecerlidir)
X11 ve TCP Iletimi
Sayet ForwardX11 degiskeni ``yes'' seklinde ayarli ise (ya da
asagidaki -X ve -x seceneklerinin tanimlarina bakiniz) ve kullanici
X11 (DISPLAY cevre degiskeni atanmis ise) kullaniyorsa, X11 goruntuye
olan baglanti ozdevinimli bicimde uzaktaki sisteme iletilir. Bu sayede
kabuktan (ya da komut ile) calistirilan herhangi bir X11 programi
sifreli kanal boyunca iletilir ve yerel sistemin gercek X sunucusu ile
baglantisi gerceklestirilmis olur. Kullanici DISPLAY degiskenini el
ile ayarlamamalidir. X11 baglantilarinin iletilmesi komut satirinda
ya da yapilandirma dosyalari aracaligi ile ayarlanabilir.
ssh tarafindan ayarlanan DISPLAY degeri (sifirdan buyuk bir sayi)
sunucu sistemi isaret eder. Bu normaldir ve sebebi de ssh'nin
baglantilari sifreli kanal uzerinden iletmek icin sunucu sistemde
'vekil' X sunucusu olusturmasidir.
ssh yine sunucu makinede ozdevinimli bicimde Xauthority verisini
ayarlar. Bu amacla rasgele yetkilendime cerezi uretilip sunucuda
'Xauthority' dosyasinda saklanir ve iletilen baglantilarin bu cerezi
tasiyip tasimadiklari kontrol edilir ve baglanti acildiginda bu cerez
gercek cerez ile degistirilir. Gercek kimlik denetimi cerezi sunucu
sisteme hicbir zaman gonderilmez (ve hicbir cerez duz metin olarak
gonderilmez).
Sayet ForwardAgent degiskeni ``yes'' seklinde ayarlandi ise (asagida
aciklanan -A ve -a seceneklerine bakiniz) ve kullanici kimlik denetimi
ajani kullaniliyorsa, ajana olan baglanti ozdevinimli bicimde uzak
tarafa iletilir.
Keyfi TCP/IP baglantilarinin guvenli kanal uzerinden iletimi ya komut
satirinda ya da yapilandirma dosyasinda belirtilebilir. TCP/IP iletimi
uygulamalarina ornek olarak elektronik para cantasina guvenli baglanti
ya da guvenlik duvari uzerinden iletisim verilebilir.
Sunucu kimlik denetimi
ssh kullanilmis olan butun ana sistemleri iceren bir veritabanini
ozdevinimli olarak olusturur ve denetler. Ana sistem anahtarlari
kullanicinin ev dizinindeki $HOME/.ssh/known_hosts dosyasinda tutulur.
Buna ek olarak /etc/ssh/ssh_known_hosts dosyasina da bilinen
sistemleri kontrol icin ozdevinimli olarak basvurulur.
Yeni sistemler ozdevinimli olarak kullacinin dosyasina eklenir. Sayet
bir sistemin kimligi degisirse, ssh bu konuda uyarir ve truva atlarinin
kullanicin parolasini calmasini engellemek icin parola kimlik
denetimini edilgenlestirir. Bu mekanizmanin diger bir amaci sifrelemeyi
es gecebilen araya girme saldirilarina engel olmaktir.
StrictHostKeyChecking secenegi anahtari bilinmeyen ya da degismis olan
sistemlerde oturum acmayi engellemek icin kullanilabilir.
Secenekler sunlardir:
-1 ssh'yi sadece protokolun 1. surumunu kullanmaya zorlar.
-2 ssh'yi sadece protokolun 2. surumunu kullanmaya zorlar.
-4 ssh'yi sadece IPv4 adreslerini kullanmaya zorlar.
-6 ssh'yi sadece IPv6 adreslerini kullanmaya zorlar.
-a Kimlik denetimi ajani baglanti iletimini iptal eder.
-A Kimlik denetimi ajani baglanti iletimini etkinlestirir. Bu
ayrica yapilandirma dosyasinda da her bir konak icin ayri ayri
belirtilebilir.
Bu secenek etkinlestirilirken dikkat edilmelidir. Uzak
konaktaki (ajanin Unix-alan soketi icin) dosya izinlerini
atlayabilen kullanicilar iletilen baglantilar sayesinde yerel
ajana erisebilirler. Saldirgan, ajandan anahtarlari alamaz
ancak ajanda yuklu olan kimlikleri kullanarak kimlik denetimini
gecmeyi basarabilir.
-b baglanti_adresi
Coklu arayuzu olan ya da takma isimli adresler kullanan
sistemlerde iletisimin yapilacagi arayuzu belirler.
-c blowfish | 3des | des
Oturumu sifrelemekte kullanilacak sifreyi secer. Ontanimli deger
3des'dir. Guvenli olduguna inanilir. 3des (uclu-des)
sifreleme-sifre cozme-sifreleme uclusunu 3 farkli anahtarla
gerceklestirir. blowfish hizli bir blok sifresidir; cok
guvenilirdir ve 3des'ten cok daha hizlidir. des ise 3des
sifrelemeyi desteklemeyen eski protokol 1 gerceklemeleri ile
isbirliktelik adina desteklenir. Sifreleme ile ilgili
zayifliklarindan dolayi des'in kullanilmamasi onemle tavsiye
edilir.
-c ,sifre_belirtimi
Ek olarak, protokol 2'de tercih sirasini belirtmek icin virgulle
ayrilmis sifreleme listesi verilebilir. Daha fazla bilgi icin
yapilandima dosyaindaki Ciphers (Sifreler) satirina bakiniz.
-C Butun verilerin (stdin, stdout, stderr, X11 verileri ve TCP/IP
baglanti verileri) sikistirilmasini saglar. Sikistirma
algoritmasi gzip(1)'in kullandigi ile aynidir.
CompressionLevel(Sikistirma Seviyesi) secenegi protokolun 1.
surumu icin ``seviye'' yi belirler. Modem hatlari ve diger
yavas baglantilar icin sikistirma kullanilmalidir, ancak hizli
aglar icin bu sadece yavaslamaya neden olacaktir. Ontanimli
deger yapilandirma dosyalarinda her konak icin ayri ayri
belirtilebilir. (Compression [Sikistirma] secenegine bakiniz).
-D port
Yerel "ozdevimli" uygulama seviyesinde port iletimini belirtir.
Yerel tarafta portu dinlemek uzere bir soket ayrilir. Bu port
ile ne zaman bir baglanti kurulsa, baglanti guvenli kanal
uzerinden iletilir ve uzak sistemde nereye baglanilacagi
uygulama protokolu kullanilarak belirlenir. Su anda SOCKS4 ve
SOCKS5 protokolleri desteklenmektedir. ssh bir SOCKS sunucusu
olarak davranir. Sadece yetkili kullanici (root) ayricalikli
portlari iletebilir. Ozdevimli port iletimleri yapilandirma
dosyasinda da belirtilebilir.
-e krk | ^krk | none
pty'li bir oturum icin onceleme karakterini ayarlar (ontanimli:
'~'). Onceleme karakteri sadece bir satirinin basinda ise
taninabilir. Onceleme karakterini nokta ('.') takip ederse
baglanti sonlandirilir; control-Z takip ederse baglanti askiya
alinir; '~' takip ederse onceleme karakteri bir kez gonderilir.
Karakteri ``none'' seklinde ayarlamak oncelemleri iptal eder ve
oturumu tamamen saydam yapar.
-f Komut yurutulmeden hemen once ssh'nin arkaplanda calismasini
saglar. Bu ssh'nin kullanici ya da anahtar parolasi sormasi
gerektigi ancak kullanicinin bu islemin arkaplanda yapilmasini
istedigi durumlarda yararlidir. Bu secenek -n seceneginin de
uygulanmasini saglar. X11 programlari uzak konakta calistirirken
komutun soyle cagrilmasi tavsiye edilir: ssh -f konakismi xterm.
-F yapilandirma_dosyasi
Kullanicinin kendine ozgu yapilandirma dosyasini belirtmek
icindir. Sayet komut satirinda bir yapilandirma_dosyasi
verilirse, sistemin yapilandirma dosyasi (/etc/ssh/ssh_config)
gormezden gelinir. $HOME/.ssh/config dosyasi kullanicinin
ontanimli yapilandirma dosyasidir.
-g Uzak konaklarin iletilen yerel portlara baglanmasina izin verir.
-i kimlik_dosyasi
RSA ya da DSA kimlik dogrulamalari icin kullanilacak olan kimlik
dosyasini (dolayisiyla gizli anahtari) belirtir. Protokolun 1.
surumu icin varsayilan dosya $HOME/.ssh/identity dosyasidir.
$HOME/.ssh/id_rsa ve $HOME/.ssh/id_dsa ise protokolun 2. surumu
icin ontanimli dosyalardir. Kimlik dosyalari her bir konak icin
ayri ayri yapilandirma dosyasinda da belirtilebilir. -i
seceneginin birden fazla kullanilmasi mumkundur (ve yapilandirma
dosyalarinda birden fazla kimlik tanimlamak da).
-I akillikart_aygiti
Kullanilacak olan akillikart aygitini belirtir. Belirtilen aygit
kullanicinin RSA gizli anahtarinin bulundugu akillikart ile
iletisim icin kullanilan aygit olmalidir.
-k Kerberos biletlerinin ve AFS dizgeciklerinin iletimini iptal
eder. Bu ayrica yapilandirma dosyasinda her konak icin ayri ayri
belirtilebilir.
-l kullanici_ismi
Uzak sistemde oturum acmak icin kullanilacak kullanici adini
belirtir. Bu yine yapilandirma dosyasinda her bir konak icin
ayri ayri belirtilebilir.
-L yerelport:uzakkonak:uzakkonakportu
Belirtilen yerel portun uzak konaktaki porta iletilmesi icin
kullanilir. Bunu saglamak icin yerel sistemde bir soket
yerelport portunu dinlemeye baslar ve bu porta baglanti istegi
geldiginde, baglanti guvenli kanaldan iletilerek uzakkonak
uzerindeki uzakkonakportuna bir baglanti gerceklestirilir. Port
iletimi, yapilandirma dosyasinda da belirtilebilir. Sadece
yetkili kullanici (root) ayricakli portlari iletebilir. IPv6
adresler icin farkli bir sozdizimi kullanilir:
yerelport/uzakkonak/uzakkonakportu.
-m mac_belirtimi
Protokolun 2. surumunde ayrica tercih sirasina gore virgullerle
ayrilmis MAC (message authentication code - ileti kimlik
denetimi kodu) algoritmalari belirtilebilir. Daha fazla bilgi
icin MACs anahtar sozcugune bakiniz.
-n /dev/null'u standart girdiye yoneltir (yani standart girdiden
okuma yapilmasi engellenir). ssh artalanda calisiyorsa bu
secenek kullanilmak zorundadir. Uzak sistemde X11 programlari
calistirilirken bu secenek cok kullanilir. Ornegin, ssh -n
shadows.cs.hut.fi emacs & komutu shadows.cs.hut.fi konaginda
emacs uygulamasini baslatacaktir ve X11 baglantisi ozdevinimli
olarak sifreli kanal uzerinden iletilecektir. ssh artalana
yerlestirilecektir. (Ancak ssh'nin kullanici ya da anahtar
parolasi gerektirmesi durumunda bu calismayacaktir; ayrica -f
secenegine de bakiniz.)
-N Bir uzak komut calistirmaz. Bu sadece port iletimi icin
yararlidir (sadece protokolun 2. surumunde).
-o se,cenek
Yapilandirma dosyasindaki bicime uygun secenekler belirtmek icin
kullanilabilir. Kendisine ozel komut satiri secenegi olmayan
yapilandirma seceneklerini belirtmek icin kullanilabilir.
Asagida siralanan seceneklere ait tum ayrintilar ve
alabilecekleri olasi degerler icin ssh_config(5)'e basvurunuz.
AddressFamily (Adres Ailesi)
BatchMode (Toplu Is Kipi)
BindAddress (Baglanti Adresi)
ChallengeResponseAuthentication (Kimlik Sorma/Yanitlama Yontemi)
CheckHostIP (Konak IP Denetimi)
Cipher (Sifre)
Ciphers (Sifreler)
ClearAllForwardings (Butun Iletimleri Temizle)
Compression (Sikistirma)
CompressionLevel (Sikistirma Seviyesi)
ConnectionAttempts (Baglanti Denemeleri)
ConnectionTimeout (Baglanti Zaman Asimi)
DynamicForward (Ozdevimli Iletim)
EscapeChar (Onceleme Karakteri)
ForwardAgent (Iletim Ajani)
ForwardX11 (X11 Iletimi)
ForwardX11Trusted (Guvenilir X11 Iletimi)
GatewayPorts (Ag Gecidi Portlari)
GlobalKnownHostsFile (Genel Bilinen Konaklar Dosyasi)
GSSAPIAuthentication (GSSAPI Kimlik Denetimi)
GSSAPIDelegateCredentials (GSSAPI Yetkilendirme Tanitimlari)
Host (Konak)
HostbasedAuthentication (Konak Tabanli Kimlik Denetimi)
HostKeyAlgorithms (Konak Anahtari Algoritmalari)
HostKeyAlias (Konak Anahtari Takma Adlari)
HostName (Konak Adi)
IdentityFile (Kimlik Dosyasi)
LocalForward (Yerel Iletim)
LogLevel (Gunlukleme Duzeyi)
MACs (Ileti Kimlik Denetimi Kodlari)
NoHostAuthenticationForLocalhost (Yerel Konak Icin Kimlik Denetimi Yapma)
NumberOfPasswordPrompts (Parola Isteme Adedi)
PasswordAuthentication (Parolali Kimlik Denetimi)
Port
PreferredAuthentications (Tercih Edilen Kimlik Denetimi Yontemleri)
Protocol (Protokol)
ProxyCommand (Vekil Komutu)
PubkeyAuthentication (Genel Anahtarli Kimlik Denetimi)
RemoteForward (Uzak Iletim)
RhostsRSAAuthentication (RSA tabanli Rhosts Kimlik Denetimi)
RSAAuthentication (RSA Kimlik Denetimi)
ServerAliveInterval (Sunucu Canlilik Araligi)
ServerAliveCountMax (Canli Sunucu En Cok Mesaj Sayisi)
SmartcardDevice (Akilli Kart Aygiti)
StrictHostKeyChecking (Mutlak Konak Anahtari Denetimi)
TCPKeepAlive (TCP Canli Tutma)
UsePrivilegedPort (Ayricalikli Port Kullan)
User (Kullanici)
UserKnownHostsFile (Kullanicinin Bilinen Konaklari Dosyasi)
VerifyHostKeyDNS (Uzak Konak Anahtarinin Dogrulugunun DNS ile Saglanmasi)
XAuthLocation (XAuth'un Tam Yolu)
-p port
Uzak konaktaki baglanti portu. Yapilandirma dosyasinda her bir
konak icin ayri ayri belirtilebilir.
-q Sessizlik kipi. Butun uyari ve tani iletilerinin gizlenmesini
saglar. Sadece onarilamaz hatalar gosterilir. Sayet ikinci bir
-q verilirse onarilamaz hatalar da gosterilmez.
-R uzakport:yerelkonak:yerelkonakportu
Belirtilen uzak portun yerel konaktaki porta iletilmesi icin
kullanilir. Bunu saglamak icin uzak sistemde bir soket uzakport
portunu dinlemeye baslar ve bu porta baglanti istegi geldiginde,
baglanti guvenli kanaldan iletilerek yerelkonak uzerindeki
yerelkonakportuna bir baglanti gerceklestirilir. Port iletimi,
yapilandirma dosyasinda da belirtilebilir. Sadece yetkili
kullanici (root) ayricakli portlari iletebilir. IPv6 adresler
icin farkli bir sozdizimi kullanilir:
uzakport/yerelkonak/yerelkonakportu.
-s Uzak konakta bir altsistemi cagirmak amaciyla kullanilabilir.
Altsistemler, diger uygulamalarin (orn. sftp) guvenli
tasinmasini saglayan SSH2 protokolunun bir ozelligidir.
Altsistem uzak komut olarak belirtilir.
-t Sozde-tty ayirmayi zorlar. Bu uzak sistemde ekran tabanli
herhangi bir uygulamalarin calistirilmasinda kullanilabilir.
Ornek olarak menu hizmetlerinin gerceklestirilmesinde bu cok
yararli olabilir. Cok sayida -t secenegi ssh'nin yerel tty'si
olmasa bile bir tty ayrilmasini saglar.
-T Sozde-tty ayirmayi iptal eder.
-v Ayrinti kipi. ssh'nin calismasi esnasindaki hata ayiklama
iletilerinin gosterilmesini saglar. Baglanti, kimlik denetimi ve
yapilandirma sorunlarindaki hatalari ayiklamada bu secenek cok
faydalidir. Cok sayida -v secenegi ayrinti seviyesini artirir.
En fazla uc tane olabilir.
-V Surum numarasini gosterir ve cikar.
-x X11 iletimini iptal eder.
-X X11 iletimini etkinlestirir. Bu her bir konak icin ayri ayri
yapilandirma dosyasinda belirtilebilir.
Bu secenek etkinlestirilirken dikkat edilmelidir. Uzak
sistemdeki dosya izinlerini atlayabilen kullanicilar
(kullanicinin X yetkilendirme veritabani icin) iletilen
baglantilar sayesinde yerel X11 goruntuye erisebilirler.
Saldirgan, tus vuruslarini izlenmek gibi etkinliklerde
bulunabilir.
-Y Guvenilir X11 iletimini etkinlestirir.
YAPILANDIRMA DOSYALARI
ssh yapilandirma verilerini her kullaniciya ozel ayri birer
yapilandirma dosyasindan ve de sistemin yapilandirma dosyasindan
alabilir. Dosya bicimi ve yapilandirma secenekleri ssh_config(5)'de
aciklanmaktadir.
ORTAM DEGI,SKENLERI
ssh normalde asagidaki cevre degiskenlerini ayarlar:
DISPLAY
DISPLAY degiskeni X11 sunucusunun konumunu gosterir. ssh bu
degiskene ozdevinimli bicimde ``konak_adi:n'' biciminde deger
atar. Burada konak_adi kabugun calistigi sistemi isaret ederken
n de n >= 1 sartini saglayan bir tamsayiya karsilik gelir. ssh
bu ozel degeri X11 baglantilarini guvenli kanal uzerinden
iletmede kullanir. Kullanici DISPLAY degiskenini dogrudan
kendisi ayarlamamalidir, cunku bu X11 baglantilarini guvensiz
hale getirir (ve ayrica kullanicinin gerekli olan yetkilendirme
cerezlerini el ile kopyalamasini gerektirir).
HOME Kullanicinin ev dizininin yolu bu degiskene atanir.
LOGNAME
USER degiskeni ile aynidir; bu degiskeni kullanan sistemlerle
uyumluluk icin tanimlanir.
MAIL Kullanicinin posta kutusunun yolu bu degiskene atanir.
PATH ssh derlenirken belirtilen gibi ontanimli PATH'a ayarlanir.
SSH_ASKPASS
Sayet ssh bir anahtar parolasi gerektiriyorsa, bunu mevcut
ucbirimden okur (eger ucbirimden calistiriliyorsa). Diger
taraftan ssh bir ucbirimden calistirilmiyor fakat DISPLAY ve
SSH_ASKPASS degiskenleri ayarlanmis iseler, ssh, SSH_ASKPASS
tarafindan belirtilen uygulamayi calistirir ve anahtar parolayi
okumak icin bir X11 penceresi acar. Bu ozellikle ssh bir
.Xsession ya da ilgili betik tarafindan cagiriliyorsa
yararlidir. (Burada dikkat edilmesi gereken bu yontemin
calismasi icin bazi sistemlerde girdilerin /dev/null'dan
yonlendirilmesi gerektigidir.)
SSH_AUTH_SOCK
Ajanla iletisimde kullanilacak Unix-alan soketinin yolunu
belirtir.
SSH_CONNECTION
Baglantinin kuruldugu istemci ve sunucuyu belirtir. Degisken
bosluk ile birbirinden ayrilmis 4 degerden olusur: istemci
ip-adresi, istemci portu, sunucu ip-adresi ve sunucu portu.
SSH_ORIGINAL_COMMAND
Zorunlu bir komutun calistirilmasi durumunda ozgun komut
satirini icerir. Bu ozgun argumanlarin ozutlenmesinde
kullanilabilir.
SSH_TTY
Yururlukteki kabuk ya da komutla iliskili olan tty'nin adi
(aygit yolu) bu degiskene atanir. Yururlukteki oturum tty'ye
sahip degilse, bu degiskene bir atama yapilmaz.
TZ Zaman Dilimi degiskeni; o anki zaman dilimini isaret etmesi icin
ayarlanir (sayet artalan sureci baslatildiginda ayarlandi ise).
Yani, artalan sureci yeni baglantilara bu degeri aktarir.
USER Oturum acan kullanici adi olarak ayarlanir.
Ayrica ssh, $HOME/.ssh/environment dosyasini okur ve eger bu dosya
mevcut ise ve de kullanicilar degiskenlerini degistirme hakkina sahip
iseler ``DEGISKEN=deger'' bicimindeki satirlari ortama ekler. Daha
fazla bilgi icin, sshd_config(5)'deki PermitUserEnvironment (Kullanici
Ortamina Izin Ver) secenegine bakiniz.
ILGILI DOSYALAR
$HOME/.ssh/known_hosts
Kullanicinin oturum actigi /etc/ssh/ssh_known_hosts dosyasinda
kayitli olmayan butun konaklarin anahtarlarini kaydeder.
Bakiniz, sshd(8).
$HOME/.ssh/identity, $HOME/.ssh/id_dsa, $HOME/.ssh/id_rsa
Kullanicinin kimlik denetim kimligini icerirler. Sirasiyla
protokol 1 RSA, protokol 2 DSA ve protokol 2 RSA'ye karsilik
gelirler. Bu dosyalar duyarli veri icerirler ve bu sebeple
kimlik sahibi haricindekilerin erisim hakki olmamalidir. Sayet
ozel anahtar dosyasi diger kullanicilarin erisimine aciksa,
ssh'nin bu dosyayi kullanmayi reddedecegini unutmayin. Gizli
anahtari olustururken bir anahtar parolasi belirtilebilir ve
anahtar parolasi bu dosyanin duyarli kismini 3DES algoritmasi
ile sifrelemede kullanilir.
$HOME/.ssh/identity.pub, $HOME/.ssh/id_dsa.pub, $HOME/.ssh/id_rsa.pub
Kimlik denetiminde kullanilacak genel anahtari icerirler (kimlik
dosyasinin okunabilir bicimdeki genele acik olan kismi).
$HOME/.ssh/identity.pub'un icerigi kullanicinin protokol surum 1
RSA kimlik denetimini kullanmak istedigi butun sistemlerdeki
$HOME/.ssh/authorized_keys dosyasina eklenmelidir.
$HOME/.ssh/id_dsa.pub ve $HOME/.ssh/id_rsa.pub dosyalarinin
icerikleri kullanicinin protokol surum 2 DSA/RSA kimlik
denetimini kullanmak istedigi butun sistemlerdeki
$HOME/.ssh/authorized_keys dosyasina eklenmelidir. Bu dosyalar
duyarli degillerdir ve herkes tarafindan okunabilirler (fakat
gerekmemektedir). Bu dosyalar hicbir zaman ozdevinimli bicimde
kullanilmamalidir ve kullanilmalari da gerekmez. Bu dosyalar
sadece kullanicinin rahatligi icin olusturulur.
$HOME/.ssh/config
Kullaniciya ozel yapilandirma dosyasi. Dosyanin bicimi ve
yapilandirma secenekleri ssh_config(5)'de aciklanmaktadir.
$HOME/.ssh/authorized_keys
Ev dizini sahibinin oturum acmasi icin kullanilan acik
anahtarlari (RSA/DSA) listeler. Dosya bicimi sshd(8) kilavuz
sayfasinda aciklanmaktadir. En basit bicimiyle dosya .pub kimlik
dosyalari ile ayni bicimdedir. Bu dosya cok duyarli degildir,
ancak tavsiye edilen izinler kullanici icin okuma/yazma haklari
ve diger kullanicilar icin ise erisim hakkinin olmamasidir.
/etc/ssh/ssh_known_hosts
Bilinen konaklarin anahtarlarini listeleyen sistem dosyasi. Bu
dosya sistem yoneticisi tarafindan hazirlanmalidir ve
orgutlesimdeki butun konaklarin genel anahtarlari dosyaya
eklenmelidir. Dosya izinleri herkes tarafindan okunabilecek
sekilde ayarlanmalidir. Dosya her satirda belirtilecek sekilde
genel anahtarlari su bicimde icerir (alanlar birbirinden bosluk
ile ayrilirlar): sistem adi, acik anahtar ve yorum alani
(zorunlu degil). Sayet ayni makina icin farkli isimler
kullanilirsa, butun bu isimler virgulle ayrilacak sekilde
listelenmelidir. Bicim hakkinda detayli bilgiyi sshd(8) kilavuz
sayfasinda bulabilirsiniz.
Kuralli sistem adi (isim sunucularindan donene ad) istemci icin
oturum acilirken denetimde sshd(8) tarafindan kullanilir; diger
isimlere de gerek vardir cunku ssh, anahtari denetlemeden once
kullanicinin belirttigi ismi kuralli isme cevirmez. Bunun nedeni
isim sunucularina erisebilen birinin sistem kimlik denetimini
yaniltma olasiligidir.
/etc/ssh/ssh_config
Sistem yapilandirma dosyasi. Dosyanin bicimi ve yapilandirma
secenekleri ssh_config(5)'de aciklanmaktadir.
/etc/ssh/ssh_host_key, /etc/ssh/ssh_host_dsa_key,
/etc/ssh/ssh_host_rsa_key
Bu uc dosya sistem anahtarlarinin ozel kismini icerirler ve
RhostsRSAAuthentication ve HostbasedAuthentication icin
kullanilirlar. Sayet RhostsRSAAuthentication yontemi protokolun
1. surumu icin kullaniliyor ise, ssh root yetkileriyle (setuid
root) calismalidir, zira sistem anahtari sadece root tarafindan
okunabilir. Protokolun 2. surumu icin ise, ssh,
HostbasedAuthentication icin sistem anahtarlarina erisimde
ssh-keysign(8)'i kullanir. Bu sayede bu kimlik denetimi yontemi
kullanildiginda ssh'nin root yetkileriyle calismasi zorunlulugu
ortadan kalkar. Ontanimli olarak, ssh root yetkileriyle
calismaz.
$HOME/.rhosts
Bu dosya .rhosts kimlik denetiminde erisim izni olan
konak/kullanici ciftlerini listeler. (Dikkat: Bu dosya ayrica
rlogin ve rsh tarafindan da kullanildigindan kullanimi guvenli
degildir.) Dosyanin her satirinda birbirinden bosluk ile
ayrilmis bir konak adi (isim sunuculari tarafindan saglanan
kuralli ad biciminde) ve bu konakta gecerli kullanici adi
bulunur. Bazi makinalarda bu dosyanin erisim haklarinin herkes
tarafindan okunacak sekilde duzenlenmis olmasi gerekmektedir
(sayet kullanicinin ana dizini NFS bolumunde ise; cunku sshd(8)
bu dosyayi root olarak okur). Ayrica bu dosyanin sahibi
kullanici olmali ve hicbir kimsenin bu dosyaya yazma hakki
bulunmamalidir. Bircok makina icin tavsiye edilen erisim
yetkileri, kullanici icin okuma/yazma hakki ve digerleri icin
ise erisimin olmamasidir.
sshd(8) ontanimli olarak .rhosts kimlik kanitlama yonteminden
once RSA konak kimlik denetimini gerektirecek sekilde kurulur.
Sayet sunucu makinanin /etc/ssh/ssh_known_hosts dosyasinda
istemcinin konak anahtari bulunmuyorsa, bu anahtar
$HOME/.ssh/known_hosts dosyasinda bulunabilir. Bunu yapmanin en
basit yolu sunucu konaga ssh ile oturum actiktan sonra istemciye
ssh kullanarak baglanmaktir. Boylece konak anahtari
kendiliginden $HOME/.ssh/known_hosts dosyasina eklenir.
$HOME/.shosts
Ayni .rhosts'un kullanildigi sekilde kullanilir. Bu dosyanin
bulunmasinin amaci .rhosts kimlik denetiminin sadece ssh ile
kullanilmasini, rlogin ya da rsh(1) ile kullanilmamasini
saglamaktir.
/etc/hosts.equiv
Bu dosya .rhosts kimlik denetiminde kullanilir. Her satirda
kuralli sistem adlarini icerecek sekilde duzenlenir (Bicim
hakkinda ayrintili bilgi sshd(8) kilavuz sayfasinda
bulunabilir). Sayet istemci konak bu dosyada bulunuyorsa,
istemci ve sunucu kullanici adlari ayni olmasi sarti ile erisime
izin verilir. Ayrica RSA sistem kimlik denetimi normalde
gereklidir. Bu dosyaya sadece root yazabilmelidir.
/etc/ssh/shosts.equiv
Ayni /etc/hosts.equiv gibi islem gorur. ssh kullanarak erisimin
saglandigi ancak rsh/rlogin'in kullanilmamasi gerektigi
durumlarda faydalidir.
/etc/ssh/sshrc
Bu dosyadaki komutlar kullanici oturum actiginda kullanicinin
kabugu (ya da komut) calistirilmadan hemen once ssh tarafindan
calistirilir. Daha arintili bilgi icin sshd(8) kilavuz
sayfasina bakiniz.
$HOME/.ssh/rc
Bu dosyadaki komutlar kullanici oturum actiginda kullanicinin
kabugu (ya da komut) calistirilmadan hemen once ssh tarafindan
calistirilir. Daha arintili bilgi icin sshd(8) kilavuz
sayfasina bakiniz.
$HOME/.ssh/environment
Ortam degiskenlerinin ek tanimlarini icerir. Yukaridaki ORTAM
DEGI,SKENLERI bolumune bakiniz.
,CIKI,S DURUMU
ssh uzak komutun cikis durumu ile ya da hata olmus ise 255 ile
sonlanir.
ILGILI BELGELER
gzip(1), rsh(1), scp(1), sftp(1), ssh-add(1), ssh-agent(1),
ssh-keygen(1), telnet(1), hosts.equiv(5), ssh_config(5),
sshd_config(5), ssh-keysign(8), sshd(8).
T. Ylonen, T. Kivinen, M. Saarinen, T. Rinne, ve S. Lehtinen, SSH
Protocol Architecture (SSH Protokol Mimarisi),
draft-ietf-secsh-architecture-12.txt, Ocak 2002 (halen gelistiriliyor).
YAZARLAR
OpenSSH, Tatu Ylonen'in ozgun ve ozgur ssh 1.2.12 surumunun bir
turevidir. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo
de Raadt ve Dug Song bircok yazilim hatasini ortadan kaldirmislar, yeni
ozellikler eklemisler ve OpenSSH'i olusturmuslardir. Markus Friedl SSH
protokolunun 1.5 ve 2.0 surumu destegi icin katkida bulunmustur.
,CEVIREN
Emin Islam Tatli <eminislam (at) web.de>, Agustos 2004
BSD 25 Eylul 1999 ssh(1)