Provided by: manpages-cs_0.18.20090209-3_all bug

JMÉNO

       ssh - secure shell klient (program pro remote login)

POUŽITÍ

       ssh [-l přihlašovací_jméno] počítač [příkaz]

       ssh  [-a]  [-c  idea|blowfish|des|3des|arcfour|none]  [-e escape_znak] [-i soubor_identit]
       [-l přihlašovací_jméno] [-n] [-k] [-V] [-o volba] [-p port] [-q] [-P] [-t] [-v] [-x]  [-C]
       [-L port:počítač:vzdálport] [-R port:počítač:vzdálport] počítač [příkaz]

POPIS

       Příkaz  ssh  (secure shell, bezpečný shell) slouží pro přihlašování na vzdálené počítače a
       pro spouštění příkazů na vzdálených počítačích. Je navržen jako náhrada příkazů  rlogin  a
       rsh  a umožňuje bezpečnou zašifrovanou komunikaci mezi dvěma nedůvěryhodnými počítači přes
       nezabezpečenou síť. Umožňuje také forwardování X11 spojení nebo libovolných  TCP/IP  portů
       bezpečným kanálem.

       Program  ssh  slouží  k  připojení a přihlášení uživatele na zadaný počítač. Uživatel musí
       prokázat  svoji  identitu  na  tomto  vzdáleném  stroji  použitím  jedné  z  následujících
       autentizačních metod:

       První  metoda  je  převzata z protokolu rsh/rlogin; normálně nebývá ssh serverem povolena,
       protože představuje ohrožení jeho bezpečnosti. Pokud  je  počítač,  z  něhož  se  uživatel
       hlásí, uveden v souboru /etc/hosts.equiv nebo /etc/ssh/shosts.equiv na vzdáleném stroji, a
       přihlašovací  jména  jsou  na  obou  stranách  stejná,  uživateli  je  okamžitě   povoleno
       přihlášení.  Stejně  funguje, jestliže uživatel má ve svém domovském adresáři na vzdáleném
       stroji soubor .rhosts nebo .shosts, v němž je řádek  tvořený  jménem  klientského  stroje,
       mezerou a jménem uživatele na klientském počítači.

       Druhá  (preferovaná) autentizační metoda používá soubor rhosts nebo hosts.equiv ve spojení
       s RSA autentizací počítače. To  znamená,  že  přihlášení  bude  možné,  jestliže  by  bylo
       povoleno  podle  souborů .rhosts, .shosts, /etc/hosts.equiv, nebo /etc/ssh/shosts.equiv, a
       zároveň server zná a zkontroluje klíč klientského počítače (viz  $HOME/.ssh/known_hosts  a
       /etc/ssh/ssh_known_hosts  v  části SOUBORY). Tato autentizační metoda uzavírá bezpečnostní
       díry využívající IP spoofingu, DNS spoofingu a routing spoofingu. [Poznámka  pro  správce:
       /etc/hosts.equiv,  .rhosts, a protokol rlogin/rsh obecně jsou ze své podstaty nebezpečné a
       pokud je požadována bezpečnost, musí být zakázány.]

       Jako třetí autentizační metodu používá ssh autentizaci založenou na RSA.  Toto  schéma  je
       založeno  na  šifrování  s  veřejným  klíčem,  což  je  šifrovací  systém, v němž jsou pro
       šifrování a dešifrování použity dva  různé  klíče,  přičemž  ze  šifrovacího  klíče  nelze
       odvodit  dešifrovací klíč. Jedním z těchto systémů je RSA. Myšlenka je taková, že si každý
       uživatel pro účely autentizace vytvoří dvojici klíčů;  jeden  veřejný  a  druhý  soukromý.
       Server    zná    veřejný    klíč,    soukromý    klíč    zná    pouze   uživatel.   Soubor
       $HOME/.ssh/authorized_keys obsahuje seznam veřejných klíčů,  které  je  možné  použít  pro
       přihlášení.  Když  se  uživatel přihlásí, program ssh oznámí serveru, kterou dvojici klíčů
       chce použít pro autentizaci. Server zkontroluje, zdali mu je daný klíč známý, a pokud ano,
       pošle  uživateli  (přesněji  ssh  programu  spuštěnému uživatelem) výzvu -- náhodné číslo,
       zašifrované uživatelovým veřejným  klíčem.  Výzva  může  být  dešifrována  pouze  použitím
       odpovídajícího  soukromého  klíče.  Uživatelův  klient  dešifrováním výzvy prokáže, že zná
       soukromý klíč, aniž by jej prozradil serveru.

       Program ssh implementuje RSA autentizační protokol automaticky. Uživatel vytvoří svůj  pár
       RSA   klíčů   spuštěním  programu  ssh-keygen(1).  Ten  uloží  soukromý  klíč  do  souboru
       .ssh/identity  a  veřejný  klíč  do  souboru  .ssh/identity.pub  v  uživatelově  domovském
       adresáři. Uživatel potom musí přidat obsah souboru identity.pub do .ssh/authorized_keys ve
       svém domovském adresáři na vzdáleném stroji (soubor authorized_keys  odpovídá  konvenčnímu
       souboru  .rhosts  a  obsahuje  jeden  klíč  na  každém řádku -- jeho řádky mohou být velmi
       dlouhé). Poté  se  uživatel  může  přihlašovat  bez  zadávání  přihlašovacího  hesla.  RSA
       autentizace  je  mnohem  bezpečnější  než  autentizace  pomocí  souboru  rhosts.  Soubor s
       uživatelovým soukromým klíčem je chráněn právy v operačním  systému  Unix  (neúčinné  jako
       ochrana před superuživatelem) a navíc přístupovým heslem (passphrase).

       Nejpříjemnější  způsob  použití  RSA  autentizace  je  s  použitím  autentizačního agenta.
       Podrobnější informace viz ssh-agent(1).

       Jako čtvrtou autentizační metodu program ssh podporuje autentizaci  uživatele  pomocí  TIS
       autentizačního serveru authsrv(8). V některých případech není vhodné, aby byla uživatelská
       jména v TIS databázi shodná se jmény lokálních uživatelů. Může  k  tomu  například  dojít,
       pokud  se  uživatel autentizuje pomocí karty smartcard nebo Digipass. V tomto případě je v
       databázi jako uživatelské jméno obvykle uvedeno  sériové  číslo  autentizačního  zařízení.
       Mapování   mezi   jmény   v   TIS   databázi   a   uživatelskými  jmény  zajišťuje  soubor
       /etc/ssh/sshd_tis.map. Jestliže tento soubor neexistuje, nebo v něm uživatel není  uveden,
       předpokládá se, že obě jména jsou shodná.

       Jestliže všechny autentizační metody selžou, ssh se zeptá uživatele na přihlašovací heslo.
       Heslo je posláno  na  vzdálený  počítač  pro  obvyklé  ověření.  Nicméně  protože  veškerá
       komunikace je šifrovaná, nelze odposlechem provozu v síti přihlašovací heslo zjistit.

       Jestliže byla uživatelova identita serverem akceptována, server buď provede zadaný příkaz,
       nebo zajistí přihlášení  uživatele  a  spustí  pro  něj  normální  shell.  Přitom  veškerá
       komunikace se vzdáleným počítačem je automaticky šifrována.

       Jestliže  byl  vytvořen pseudoterminál (pro normální login session), může uživatel zadáním
       "~."  ukončit  spojení,  zadáním  "~^Z"  suspendovat  ssh,  zadáním  "~#"  vypsat  všechna
       forwardovaná  spojení,  a  pokud  se  session  čekáním na ukončení forwardovaného X11 nebo
       TCP/IP spojení zablokuje, může být převedena do pozadí zadání  "~&"  (nesmí  být  použito,
       dokud  je  aktivní  uživatelský  shell,  protože by mohlo dojít k jeho zamrznutí). Všechny
       dostupné escape posloupnosti lze vypsat pomocí "~?".

       Aby byl escape znak interpretován jako speciální, musí být použit na začátku session  nebo
       po  znaku  konec  řádku (newline). Samotný znak vlnka je nutné vkládat zdvojený "~~" (nebo
       následovaný jiným znakem než je popsáno výše).  V  konfiguračním  souboru  nebo  volbou  v
       příkazovém řádku lze escape znak změnit.

       Pokud  nebyl  alokován žádný pseudoterminál, session bude transparentní a může být použita
       pro spolehlivý přenos binárních dat. Na většině systemů nastavení escape znaku na ``none''
       také způsobí, že session bude transparentní i při použití tty.

       Session  skončí,  pokud  skončí  příkaz  nebo  shell  na  vzdáleném  stroji a spojení není
       používáno žádnými X11 a TCP/IP spojeními. Návratový kód vzdáleného programu je vrácen jako
       návratový kód příkazu ssh.

       Jestliže  uživatel  používá  X11,  je nastavena proměnná prostředí DISPLAY tak, jako kdyby
       program komunikoval s X serverem na stejném stroji (tj. na ssh  serveru).  Číslo  displeje
       však bude větší než nula, protože se nejedná o skutečný X server na ssh serveru, ale pouze
       o "proxy" X server, který zajišťuje forwardování X11 spojení bezpečným kanálem  vytvořeným
       programem  ssh  na  skutečný  X  server  běžící na stejném stroji jako ssh klient. Aby vše
       fungovalo, jak je  zde  popsáno,  uživatel  nesmí  ručně  nastavovat  proměnnou  prostředí
       DISPLAY. Pro konfiguraci forwardování X11 spojení lze použít parametry na příkazovém řádku
       nebo v konfiguračním souboru.

       Program ssh umožňuje automatické nastavování Xauthority dat na  serveru.  K  tomuto  účelu
       vygeneruje  náhodné  autorizační  cookie,  uloží  jej  v  souboru Xauthority na serveru, a
       zajistí, že všechna forwardovaná spojení ponesou toto cookie a při  otevření  spojení  jej
       nahradí  opravdovým  cookie. Skutečné autentizační cookie není nikdy posíláno na server (a
       žádné cookies nejsou nikdy posílány nezašifrovaně).

       Jestliže uživatel používá  autentizačního  agenta,  spojení  s  agentem  bude  automaticky
       forwardováno na vzdálenou stranu, pokud to není zakázáno volbou na příkazovém řádku nebo v
       konfiguračním souboru.

       Forwardování libovolného TCP/IP spojení přes  bezpečný  kanál  může  být  vyžádáno  buď  z
       příkazového  řádku  nebo  v  konfiguračním  souboru.  Jednou  z  možných  aplikací  TCP/IP
       forwardingu je bezpečné spojení s elektronickou peněženkou; druhou je  zajištění  průchodu
       firewallem.

       Program  ssh  umí  automaticky  udržovat  a  používat databázi obsahující RSA identifikace
       všechny  počítačů,  se  kterými  dosud  komunikoval.  Databáze  je   uložena   v   souboru
       .ssh/known_hosts  v  uživatelově  domovském  adresáři.  Pro  kontrolu je používán i soubor
       /etc/ssh/ssh_known_hosts. Při nastavení volby StrictHostKeyChecking na "no" budou jakékoli
       nové počítače automaticky přidány do uživatelského souboru. Jestliže se změní identifikace
       počítače, ssh na to upozorní a zakáže autentizaci přihlašovacím heslem, aby  se  zabránilo
       trojským  koním  získat uživatelovo přihlašovací heslo. Dalším účelem tohoto mechanismu je
       zabránění útokům typu man-in-the-middle,  který  by  jinak  mohl  být  použit  na  obejití
       šifrování. Volba StrictHostKeyChecking (viz dále) může být použita na zabránění přihlášení
       na stroje, jejichž klíč není známý nebo byl změněn.

VOLBY

       -a     Zakáže forwardování spojení s autentizačním agentem. V  konfiguračním  souboru  lze
              nastavit i pro jednotlivé počítače.

       -c idea|des|3des|blowfish|arcfour|none
              Vybere  šifru  použitou  pro  šifrování  session. Implicitně je použita šifra idea,
              která je pokládána za bezpečnou. des je sice standard  pro  šifrování  dat,  ale  s
              dostatečným  technickým  zázemím  (kterým mohou disponovat vlády, velké korporace a
              velké kriminální organizace)  jej  lze  rozluštit.  3des  (triple-des)  je  trojice
              šifrování-dešifrování-šifrování   se   třemi   různými   klíči.   Je  pravděpodobně
              bezpečnější než DES. Pokud některý z konců nepodporuje šifru  IDEA,  je  implicitně
              použita  šifra  3des.  blowfish je šifrovací algoritmus objevený Brucem Schneierem.
              Používá 128 bitový klíč. arcfour je algoritmus publikovaný v  roce  1995  v  Usenet
              News.  Věří  se,  že  je  stejně  silný jako šifra RC4 od RSA Data Security (RC4 je
              ochranná značka  firmy  RSA  Data  Security).  V  současnosti  je  to  nejrychlejší
              používaný  algoritmus.  none  zcela  zakáže  šifrování;  je určeno pouze pro ladící
              účely, není bezpečné.

       -e ch|^ch|none
              Nastaví escape znak pro session používající pty (implicitně:  ~).  Escape  znak  je
              rozpoznán  pouze  na začátku řádku. Escape znak následovaný znakem tečka (.) uzavře
              spojení, následovaný znakem control-Z suspenduje spojení, a následovaný sebou samým
              pošle  jeden  escape znak. Nastavení znaku na 'none' zakáže jakékoli escape znaky a
              způsobí, že spojení bude plně transparentní.

       -f     Požaduje, aby ssh po  provedení  autentizace  a  zahájení  forwardování  přešel  do
              pozadí.  Tato volba je vhodná, pokud uživatel chce, aby ssh běžel v pozadí, ale ssh
              bude ještě ptát na přihlašovací nebo přístupová hesla.  Může  být  vhodná  také  ve
              skriptech.  Implikuje  volbu  -n.  Doporučený  způsob  pro  start  X11  programů na
              vzdáleném počítači je "ssh -f počítač xterm".

       -i soubor_identit
              Udává jméno soubor, z něhož se čtou identity (soukromé klíče) pro RSA  autentizaci.
              Implicitně  je  .ssh/identity  v  uživatelově  domovském  adresáři. V konfiguračním
              souboru může být zadáno více souborů identit, pro každý počítač jeden.  Lze  použít
              více voleb -i.

       -k     Zakáže  forwardování  kerberos  tiketů.  V konfiguračním souboru lze nastavit i pro
              jednotlivé počítače.

       -l login_name
              Určuje uživatelské jméno na přihlášení vzdáleném počítači. V konfiguračním  souboru
              lze nastavit i pro jednotlivé počítače.

       -n     Přesměruje  stdin  na  /dev/null  (zabraňuje  čtení  ze  stdin).  Musí být použito,
              jestliže je ssh spuštěn na  pozadí.  Obvyklým  trikem  je  použít  tuto  volbu  pro
              spuštění  X11  programů na vzdáleném stroji. Příkaz "ssh -n shadows.cs.hut.fi emacs
              &"  odstartuje  emacs  na  shadows.cs.hut.fi,  a  X11  spojení   bude   automaticky
              forwardováno  přes  zašifrovaný  kanál.  Program  ssh bude spuštěn na pozadí. (Toto
              nebude fungovat jestliže ssh se bude ptát na přihlašovací  nebo  přístupové  heslo;
              pak je třeba použít volbu -f.)

       -o 'volba'
              Může  být použito pro zadání voleb ve formátu použitém v konfiguračním souboru. Lze
              použít pro zadání parametrů, pro které neexistuje žádná volba v  příkazovém  řádku.
              Volba má stejný formát jako řádka v konfiguračním souboru.

       -p port
              Port,  na  který  se  připojit  na  vzdáleném počítači. V konfiguračním souboru lze
              nastavit i pro jednotlivé počítače.

       -q     Tichý režim. Potlačí výpis varování a diagnostických zpráv. Jsou  vypisovány  pouze
              fatální chyby.

       -P     Použije neprivilegovaný port. S touto volbou nelze použít autentizaci pomocí rhosts
              nebo rsarhosts, ale může  být  použito  na  překonání  některých  firewallů,  které
              nedovolují používat privilegované zdrojové porty.

       -t     Vynutí přidělení pseudo-tty. Může být použito pro provádění libovolného obrazovkově
              orientovaného programu na vzdáleném stroji, což může být velmi  užitečné  například
              pro programy ovládané pomocí menu.

       -v     Upovídaný  režim.  Způsobí,  že  program  ssh  bude  vypisovat  ladící zprávy o své
              činnosti. Lze použít při ladění  spojení  a  při  autentizačních  a  konfiguračních
              problémech.

       -V     Vypíše pouze číslo verze a skončí.

       -g     Povolí  vzdáleným  strojům připojování na lokální forwardované porty. Implicitně se
              může na tyto porty připojovat pouze localhost.

       -x     Zakáže X11 forwardování. V konfiguračním souboru  lze  nastavit  i  pro  jednotlivé
              počítače.

       -C     Bude komprimovat všechna data (včetně stdin, stdout, stderr, a dat pro forwardované
              X11 a TCP/IP spojení). Komprimační algoritmus je týž jako v programu  gzip.  Úroveň
              komprese  může  být  zadána  volbou  CompressionLevel volba (viz dále). Komprese je
              žádoucí na modemových linkách a pro jiná pomalá spojení, ale přes rychlou síť  bude
              zpomalovat činnost. Implicitní hodnota může být nastavenu pro jednotlivé počítače v
              konfiguračním souboru; viz volba Compress dále.

       -L port:počítač:vzdálport
              Určuje, že zadaný port na lokálním počítači (tj. ssh klientovi) má být  forwardován
              přes  bezpečný  kanál na ssh server a z něj má být navazováno TCP spojení na zadaný
              vzdálený počítač a port. Alokuje soket, který bude naslouchat na zadaném  portu  na
              lokálním   počítači,   a  kdykoli  bude  vytvořeno  spojení  na  tento  port,  bude
              forwardováno přes bezpečný kanál, a ze vzdáleného stroje bude navázáno  spojení  na
              zadaný   počítač:vzdálport.   Forwardování   portu   může   být  také  nastaveno  v
              konfiguračním souboru. Privilegované port může forwardovat pouze root.

       -R port:počítač:vzdálport
              Určuje, že zadaný port na vzdáleném počítači (tj. serveru) má  být  forwardován  na
              lokální  počítač  a odtud na další zadaný počítač a port. Alokuje soket, který bude
              naslouchat na zadaném portu na vzdálené straně, a kdykoli je  navázáno  spojení  na
              tento port, spojení bude forwardováno přes bezpečný kanál na lokální stroj, a z něj
              bude navázáno spojení na zadaný  počítač:vzdálport.  Forwardování  portů  může  být
              zadáno  v  konfiguračním  souboru. Privilegované porty mohou být forwardovány pouze
              při přihlášení jako root na vzdáleném stroji.

KONFIGURAČNÍ SOUBORY

       Program ssh získává konfigurační informace postupně z  následujících  zdrojů  (v  uvedeném
       pořadí):  volby v příkazovém řádku, uživatelský konfigurační soubor ($HOME/.ssh/config), a
       hlavní konfigurační soubor (/etc/ssh/ssh_config) pro celý  počítač.  Pro  každý  parameter
       bude  použita  první  získaná  hodnota. Konfigurační soubory obsahují sekce uvozené řádkem
       "Host", a každá sekce platí pouze pro počítače, které vyhovují jednomu ze vzorků  zadaných
       v  řádku "Host". Jméno počítače se porovnává v tom tvaru, v jakém je uvedeno na příkazovém
       řádku.

       Protože se použije první získaná hodnota pro každý parameter, musí být na začátku  souboru
       hodnoty specifické pro jednotlivé počítače, a obecné implicitní hodnoty na konci.

       Konfigurační soubor má následující formát:

              Prázdné řádky a řádky začínající znakem '#' jsou komentáře.

              Ostatní   řádky   mají  formát  "klíčové-slovo  argumenty"  nebo  "klíčové-slovo  =
              argumenty". V konfiguračních souborech se rozlišují malá a  velká  písmena,  ale  v
              klíčových slovech nikoli.

       Host   Omezuje  následující deklarace (až po další řádek s klíčovým slovem Host) pouze pro
              počítače, které vyhovují jednomu ze vzorků  zadaných  za  klíčovým  slovem.  Vzorky
              mohou  obsahovat  žolíkové  znaky  '*'  a  '?'. Vzorek '*' vyhovuje všem počítačům.
              Vzorek se porovnává s parametrem hostname zadaným v příkazovém řádku  (t.j.,  jméno
              není konvertováno na kanonické před porovnáním se vzorkem).

       BatchMode
              Je-li  nastaveno  na  "yes", program se nebude ptát na přístupové nebo přihlašovací
              heslo. Vhodné pro skripty a jiné dávkové úlohy, kde není žádný uživatel,  který  by
              zadal přihlašovací heslo. Argument musí být "yes" nebo "no".

       Cipher Určuje  druh  šifry  použité  pro šifrování session. V současnosti jsou podporovány
              šifry idea, des, 3des, blowfish, arcfour, a none. Implicitní je "idea" (nebo "3des"
              jestliže  "idea"  není podporována oběma stroji). Použití "none" (bez šifrování) je
              určeno pouze pro účely ladění, a výsledné spojení není bezpečné.

       ClearAllForwardings
              Po načtení všech  konfiguračních  souborů  a  zpracování  příkazového  řádku  zruší
              veškeré  forwardování.  Lze použít pro zákaz forwardování uvedených v konfiguračním
              souboru při navazování druhého spojení na počítač, který má forwardování  nastaveno
              v konfiguračním souboru. Program scp nastavuje tuto volbu implicitně na "on", takže
              i kdyby forwardování bylo vyžádáno v konfiguračním souboru, k chybě nedojde.

       Compression
              Určuje, zda použít kompresi. Argument musí být "yes" nebo "no".

       CompressionLevel
              Určuje úroveň komprese, je-li povolena. Argument musí být celé číslo  od  1  (nízká
              komprese,   největší   rychlost)  do  9  (největší  komprese,  nejnižší  rychlost).
              Implicitní úroveň, vhodná pro většinu aplikací, je 6. Hodnota má stejný význam jako
              v programu GNU gzip.

       ConnectionAttempts
              Určuje počet pokusů o spojení, které se provedou (s opakováním po sekundě), než ssh
              použije rsh nebo ukončením programu ssh. Argument musí být celé číslo.  Vhodné  pro
              použití ve skriptech, pokud se ne vždy podaří navázat spojení.

       EscapeChar
              Nastaví  escape  znak  (implicitně  ~).  Escape  znak  může  být  také  nastaven na
              příkazovém řádku. Argument musí být jediný znak (aby bylo spojení transparentní pro
              binární data), je třeba použít hodnotu ``none''.

       FallBackToRsh
              Pokud  se  nepodaří navázat spojení pomocí ssh a spojení bude odmítnuto (protože na
              vzdáleném počítači neběží sshd), použije  se  automaticky  rsh  (přitom  se  vypíše
              varování, že komunikace nebude šifrovaná). Argument musí být "yes" nebo "no".

       ForwardAgent
              Určuje, zda spojení s autentizačním agentem (pokud existuje) má být forwardováno na
              vzdálený stroj. Argument musí být "yes" nebo "no".

       ForwardX11
              Určuje, zda X11 spojení má být  automaticky  přesměrováno  přes  bezpečný  kanál  a
              nastavena proměnné prostředí DISPLAY. Argument musí být "yes" nebo "no".

       GatewayPorts
              Určuje,  že také vzdálené stroje se mohou připojovat na lokálně forwardované porty.
              Argument musí být "yes" nebo "no".

       GlobalKnownHostsFile
              Definuje, jaký soubor použít místo /etc/ssh/ssh_known_hosts.

       HostName
              Definuje skutečné jméno vzdáleného  počítače.  Umožňuje  používání  přezdívek  nebo
              zkratek  pro jména počítačů. Implicitně je jméno počítače shodné se jménem zadaný v
              příkazovém řádku. Jsou povoleny i numerické IP adresy (jak i příkazovém řádku,  tak
              jako argument HostName).

       IdentityFile
              Definuje   soubor,   ze  kterého  se  čte  uživatelova  RSA  autentizační  identita
              (implicitně .ssh/identity  v  uživatelově  domovském  adresáři).  Navíc  budou  pro
              autentizaci  použity  i  všechny  identity  známé  autentizačnímu  agentu. Ve jméně
              souboru lze  použít  znak  vlnka  pro  označení  uživatelova  domovského  adresáře.
              Konfigurační  soubory  mohou  obsahovat  více identit; tyto identity budou zkoušeny
              postupně.

       KeepAlive
              Určuje, zda systém má posílat protistraně udržovací  zprávy  (keepalive  messages).
              Tyto  zprávy  umožňují  zjistit  přerušení  spojení nebo havárii jednoho ze strojů.
              Ovšem i při dočasném přerušení komunikace bude spojení ukončeno. Řadě lidí se  toto
              chování nelíbí, je však vhodné při dávkovém zpracování.

              Implicitní   hodnota  je  "yes"  (posílat  udržovací  zprávy),  takže  klient  bude
              informován, pokud dojde k přerušení spojení nebo havárii vzdáleného počítače.

              Pro zákaz zasílání udržovacích zpráv musí být  nastaveno  "no"  jak  v  konfiguraci
              serveru, tak klienta.

       KerberosAuthentication
              Určuje, zda má být použita autentizace Kerberos V5.

       KerberosTgtPassing
              Určuje, zda má být Kerberos V5 TGT forwardováno na server.

       LocalForward
              Určuje, že TCP/IP port na lokálním stroji má být forwardován přes bezpečný kanál na
              vzdálený stroj a odtud na další zadaný počítač:port. První argument musí být  číslo
              portu,  druhý  počítač:port. Lze zadat více forwardování a další forwardování mohou
              být zadána v příkazovém řádku. Privilegované porty může forwardovat pouze root.

       NumberOfPasswordPrompts
              Určuje počet výzev na zadání přihlašovacího hesla. Argument musí  být  celé  číslo.
              Pamatujte,  že  také server omezuje počet pokusů (implicitně na 5), takže nastavení
              tohoto parametru na větší hodnotu nemá význam. Implicitní hodnota je 1.

       PasswordAuthentication
              Určuje, zda použít autentizaci přihlašovacím heslem. Argument musí být  "yes"  nebo
              "no".

       PasswordPromptHost
              Určuje,  zda  ve  výzvě  k  zadání  hesla  má být obsaženo jméno vzdáleného stroje.
              Argument musí být "yes" nebo "no".

       PasswordPromptLogin
              Určuje, zda ve výzvě k zadání hesla má být obsaženo přihlašovací jméno na vzdáleném
              počítači. Argument musí být "yes" nebo "no".

       Port   Určuje číslo portu pro připojení na vzdálený počítač. Implicitně 22.

       ProxyCommand
              Definuje,  jaký  příkaz  použít  pro  připojení  na  server. Příkazový řetězec může
              pokračovat do konce řádku, a bude prováděn shellem /bin/sh.  V  příkazovém  řetězci
              bude  %h  nahrazeno jménem počítače, ke kterému se má připojovat a %p číslem portu.
              Příkaz může být v zásadě cokoli, ale musí číst z stdin a zapisovat na stdout.  Musí
              se  připojit na sshd server běžící na nějakém stroji, nebo někde provést "sshd -i".
              Správa klíčů počítačů bude  prováděna  užitím  HostName  počítače,  ke  kterému  se
              připojuje (implicitně na jméno zadané uživatelem).

              Pamatujte,   že  ssh  může  být  také  zkonfigurováno  pro  podporu  SOCKS  systémů
              používajících --s-socks4 nebo --s-socks5 konfigurační volbu při překladu.

       RemoteForward
              Požaduje, aby zadaný TCP/IP port  na  vzdáleném  stroji  byl  přes  bezpečný  kanál
              forwardován  na  lokální  počítač,  na  kterém  vyvolá  TCP spojení na další zadaný
              počítač:port. První argument musí  být  číslo  portu  na  vzdáleném  stroji,  druhý
              argument  libovolný  počítač:port.  Lze  zadat  více než jedno forwardování a další
              mohou být zadána z příkazového řádku. Privilegované porty  může  forwardovat  pouze
              root.

       RhostsAuthentication
              Určuje,  zda  zkoušet autentizaci založenou na souborech rhosts. Pamatujte, že tato
              deklarace ovlivní pouze stranu klienta a nemá  žádný  efekt  na  bezpečnost.  Zákaz
              rhosts  autentizace  může  snížit dobu autentizace při pomalém spojení, když rhosts
              autentizace není použita. Většina serverů nedovoluje RhostsAuthentication,  protože
              není  bezpečná  (viz  RhostsRSAAuthentication).  Argument této volby musí být "yes"
              nebo "no".

       RhostsRSAAuthentication
              Určuje, zda zkoušet autentizaci založenou na souborech  rhosts  s  RSA  autentizací
              počítačů,  což bývá na většině uzlů primární autentizační metoda. Argument musí být
              "yes" nebo "no".

       RSAAuthentication
              Určuje, zda zkoušet RSA  autentizaci.  Argument  musí  být  "yes"  nebo  "no".  RSA
              autentizace   může   být   použita,  pokud  existuje  soubor  identity,  nebo  běží
              autentizační agent.

       StrictHostKeyChecking
              Jestliže je tento příznak nastaven na "yes", ssh nebude automaticky přidávat  klíče
              počítačů  do  souboru  $HOME/.ssh/known_hosts,  a  odmítne požadavek na připojení k
              počítači, jehož klíč byl změněn. Toto nastavení poskytuje maximální  ochranu  proti
              útokům  typu  trojského  koně.  Nicméně  pokud  není  nainstalován  aktuální soubor
              /etc/ssh/ssh_known_hosts  obsahující  klíče  všech  počítačů,  na  něž   se   často
              připojujete,  je  tato  volba  nepříjemná, protože nutí uživatele, aby všechny nové
              počítače přidával ručně. Kompromisem je nastavení na "ask", kdy  budou  nové  klíče
              počítačů  přidávány  automaticky  poté,  co  uživatel  potvrdí  že to opravdu chce.
              Jestliže je tato volba nastavena na "no", potom budou nové klíče počítačů přidávány
              do  souboru  $HOME/.ssh/known_hosts  automaticky  bez  potvrzování.  Klíče  známých
              počítačů budou ověřovány automaticky ve všech případech.

              Argument musí být "yes", "no" nebo "ask".

       TISAuthentication
              Určuje, zda zkoušet TIS autentizaci. Argument této volby musí být "yes" nebo "no".

       UsePrivilegedPort
              Určuje, zda při připojování na vzdálený počítač použít privilegovaný port. Jestliže
              je povolena autentizace založená na rhosts nebo rsarhosts, je implicitní hodnota je
              "yes".

       User   Definuje uživatelské jméno na vzdáleném stroji. Lze použít, pokud  má  uživatel  na
              různých  strojích  různá uživatelská jména. Odstraňuje problémy s nutností zadávání
              uživatelského jména na příkazovém řádku.

       UserKnownHostsFile
              Určuje, který soubor použít místo $HOME/.ssh/known_hosts.

       UseRsh Určuje, že pro přihlašování na tento počítač musí být  použit  nebezpečný  protokol
              rlogin/rsh.  Je  možné,  že počítač vůbec nepodporuje ssh protocol. Způsobí, že ssh
              okamžitě vyvolá rsh. Je-li zadána tato volba, budou všechny  ostatní  volby  (kromě
              HostName) ignorovány. Argument musí být "yes" nebo "no".

       XAuthLocation
              Určuje cestu k programu xauth.

PROMĚNNÉ PROSTŘEDÍ

       Program ssh normálně nastavuje následující proměnné prostředí:

       DISPLAY
              Proměnná  prostředí DISPLAY označuje umístění X11 serveru. Je automaticky nastavena
              programem ssh, tak že obsahuje hodnotu ve tvaru "hostname:n", kde hostname označuje
              počítač, kde běží shell, a n je celé číslo >= 1. Ssh používá tuto speciální hodnotu
              pro forwardování X11 spojení přes bezpečný kanál.  Uživatel  normálně  nesmí  ručně
              nastavovat  proměnnou  DISPLAY,  protože pak by X11 spojení bylo nebezpečný (a bude
              vyžadovat, aby uživatel ručně kopíroval jakékoli požadované autorizační cookies).

       HOME   Bude nastavena na cestu do uživatelova domovského adresáře.

       LOGNAME
              Synonymum pro USER; nastavuje se pro kompatibilitu se systémy, které používají tuto
              proměnnou.

       MAIL   Bude nastavena na jméno uživatelova mailboxu.

       PATH   Bude  nastavena  na  implicitní  PATH  zadanou  při  překladu programu ssh, nebo na
              některých systémech definovanou v /etc/environment nebo /etc/default/login.

       SSH_AUTH_SOCK
              Jestliže existuje, bude  nastavena  na  jméno  (včetně  cesty)  unix-domain  soketu
              použitého pro komunikaci s autentizačním agentem (nebo jeho lokálním zástupcem).

       SSH_CLIENT
              Identifikuje  klientský  konec spojení. Tato proměnná obsahuje tři hodnoty oddělené
              mezerou: IP adresu klienta, číslo portu klienta, a číslo portu serveru.

       SSH_ORIGINAL_COMMAND
              Bude obsahovat původní příkazový řádek, jestliže je spuštěn zadaný příkaz. Může být
              použita pro získání argumentů apod. z opačného konce.

       SSH_TTY
              Bude  nastavena  na  jméno  tty  (včetně  cesty) spojeného s aktuálním shellem nebo
              příkazem. Jestliže aktuální session nemá žádné tty, proměnná nebude nastavena.

       TZ     Proměnná timezone bude nastavena, aby označovala aktuální časovou zónu, pokud  byla
              nastavena při spuštění démona (tj., démon předává hodnota na nové spojení).

       USER   Bude nastavena na jméno přihlášeného uživatele.

       Navíc  příkaz  ssh  čte  soubor /etc/environment a $HOME/.ssh/environment, a přidává řádky
       tvaru PROMĚNNÁ=hodnota do prostředí.  Některé  systémy  mohou  mít  další  mechanismy  pro
       nastavování prostředí, jako soubor /etc/default/login na systému Solaris.

SOUBORY

       $HOME/.ssh/known_hosts
              Obsahuje  klíče  všech  počítačů,  na které se uživatel přihlásil (a které nejsou v
              /etc/ssh/ssh_known_hosts). Viz manuálová stránka k sshd.

       $HOME/.ssh/random_seed
              Použit jako hnízdo pro  generátor náhodných čísel. Soubor obsahuje senzitivní  data
              a  proto  musí  mít práva read/write pro uživatele a žádná práva pro ostatní. Tento
              soubor je vytvořen při prvním spuštění  programu  a  je  automaticky  aktualizován.
              Uživatel nikdy nemusí číst nebo modifikovat tento soubor ručně.

       $HOME/.ssh/identity
              Obsahuje RSA autentizační identitu uživatele. Tento soubor obsahuje senzitivní data
              a musí být čitelný uživatelem, ale nedostupný pro ostatní. Při generování klíče  je
              možné  specifikovat  přístupové heslo. Přístupové heslo bude použito na zašifrování
              senzitivní části tohoto souboru použitím šifry IDEA.

       $HOME/.ssh/identity.pub
              Obsahuje veřejný klíč pro autentizaci (veřejnou  část  souboru  identity  v  podobě
              čitelné     člověkem).    Obsah    tohoto    souboru    musí    být    přidán    do
              $HOME/.ssh/authorized_keys na všech strojích, na  které  se  chcete  přihlašovat  s
              použitím  RSA  autentizace.  Soubor neobsahuje citlivá data a může (ale nemusí) být
              čitelný pro kohokoli. Tento soubor není nikdy použit automaticky a  není  nezbytný;
              je použit pouze pro snazší práci uživatele.

       $HOME/.ssh/config
              Konfigurační soubor pro jednotlivé uživatele. Jeho formát je popsán výše. Soubor je
              používán  ssh  klientem.  Obvykle  neobsahuje  jakákoli  citlivé   informace,   ale
              doporučená práva jsou read/write pro uživatele, a žádná pro ostatní.

       $HOME/.ssh/authorized_keys
              Obsahuje  seznam  RSA  klíčů,  které  mohou  být  použity  pro  přihlašování tohoto
              uživatele.  Jeho  formát  je  popsán  v  manuálové   stránce   programu   sshd.   V
              nejjednodušším  případě je formát stejný jako formát .pub identity souboru (to jest
              každý řádek obsahuje počet bitů v modulu veřejný exponent, modulus,  a  komentářové
              pole,  oddělené  mezerami).  Tento soubor neobsahuje zvláště citlivé informace, ale
              doporučená práva jsou read/write pro uživatele, a žádná práva pro ostatní.

       /etc/ssh/ssh_known_hosts
              Seznam známých klíčů počítačů pro celý systém.  Tento  soubor  musí  být  připraven
              správcem  systému  tak,  aby  obsahoval  veřejné klíče všech počítačů v organizaci.
              Soubor musí být čitelný pro všechny. Soubor obsahuje veřejné klíče, jeden na řádku,
              v  následujícím formátu (pole jsou oddělena mezerami): jméno počítače, počet bitů v
              modulu, veřejný exponent, modulus, a  nepovinný  komentář.  Používají-li  se  různá
              jména  pro  týž  stroj,  musí  být  v  souboru  uvedena všechna jeho jména oddělená
              čárkami. Formát je popsán na sshd manuálové stránce.

              Program sshd používá kanonické jméno počítače (vrácené  domain  name  servery)  pro
              verifikaci  klientských  počítačů  při  přihlašování;  ostatní  jména  jsou potřeba
              protože ssh nekonvertuje uživatelem zadané jméno na kanonické jméno před  kontrolou
              klíče,  aby osoba, která má přístup k domain name serveru, nemohla mást autentizaci
              počítačů.

       /etc/ssh/ssh_config
              Konfigurační soubor pro celý systém (pro všechny uživatele). Tento soubor poskytuje
              implicitní  hodnoty, pro parametry, které nejsou zadány v uživatelově konfiguračním
              souboru, a pro uživatele, kteří nemají konfigurační soubor. Tento soubor  musí  být
              čitelný pro všechny.

       $HOME/.rhosts
              Tento   soubor   je   použit   pro  .rhosts  autentizaci.  Obsahuje  seznam  dvojic
              počítač/uživatel, pro které je povoleno přihlášení. (Pamatujte, že tento soubor  je
              také  používán  programy  rlogin  a  rsh,  díky  kterým  je  použití tohoto souboru
              nebezpečné.) Každý řádek v tomto souboru obsahuje jméno počítače (v kanonické formě
              vrácené  domain  name  serverem)  a  jméno  uživatele  na  tomto počítači, oddělené
              mezerou. Tento soubor musí být vlastněný uživatelem, a nesmí mít právo  zápisu  pro
              nikoho jiného. Doporučená práva jsou read/write pro uživatele a žádná pro ostatní.

              Pamatujte,  že  implicitně  má  být  sshd  instalován tak, že požaduje úspěšnou RSA
              autentizaci  počítače  před  .rhosts  autentizací.  Jestliže   server   nemá   klíč
              klientského  počítače v souboru /etc/ssh/ssh_known_hosts, může uživatel uložit klíč
              do souboru $HOME/.ssh/known_hosts. Nejsnazší způsob, jak toho dosáhnout, je  spojit
              se zpět ze serveru na klienta pomocí ssh; tím se klíč počítače automaticky přidá do
              souboru $HOME/.ssh/known_hosts.

       $HOME/.shosts
              Tento soubor se používá přesně  stejným  způsobem  jako  .rhosts.  Jeho  účelem  je
              umožnit  rhosts autentizaci pro ssh, aniž by bylo povoleno přihlášení pomocí rlogin
              nebo rsh.

       /etc/hosts.equiv
              Tento soubor se používá při autentizaci pomocí souboru .rhosts. Obsahuje  kanonická
              jména  počítačů,  na  každém  řádku  jeden  (formát je detailně popsán na manuálové
              stránce   programu   sshd).Jestližejeklientskýpočítačnalezenvtomto   souboru,    je
              automaticky  povolené  přihlášení,  pokud  je  jméno uživatele na serveru i klientu
              stejné. Navíc je normálně nutná úspěšná RSA autentizace počítače. Tento soubor musí
              zapisovatelný pouze uživatelem root.

       /etc/ssh/shosts.equiv
              Tento  soubor  je  zpracováván  přesně  jako /etc/hosts.equiv. Může být užitečný na
              povolení přihlášení pomocí ssh, ale nikoli pro rsh/rlogin.

       /etc/ssh/sshrc
              Příkazy v tomto souboru budou provedeny programem ssh po přihlášení uživatele,  ale
              před  provedením  uživatelova  shellu (nebo příkaz). Viz manuálová stránka sshd pro
              další informace.

       $HOME/.ssh/rc
              Příkazy v tomto souboru budou provedeny programem ssh po přihlášení uživatele,  ale
              před  provedením  uživatelova  shellu (nebo příkaz). Viz manuálová stránka sshd pro
              další informace.

INSTALACE

       Program ssh je normálně instalován jako setuid root. Práva uživatele root potřebuje  pouze
       pro  autentizaci pomocí souboru rhosts (vyžaduje, aby spojení přicházelo z privilegovaného
       portu, a alokování takového portu vyžaduje práva uživatele root). Také  musí  být  schopen
       číst soubor /etc/ssh/ssh_host_key pro RSA autentizaci počítačů. Program ssh lze použít bez
       oprávnění uživatele root, ale autentizace pomocí souboru rhosts bude zakázána. Program ssh
       se  vzdá  jakýchkoli  zvláštních  práv  bezprostředně  po  navázání  spojení  se vzdáleným
       počítačem.

       Byla vynaložena značná práce,  aby  byl  program  ssh  bezpečný.  Nicméně  pokud  objevíte
       bezpečnostní problém, oznamte to prosím ihned na <ssh-bugs@cs.hut.fi>.

AUTOR

       Tatu Ylonen <ylo@ssh.fi>

       Informace  o  nových  verzích,  mailing  listech,  a podobně můžete nalézt na domovské WWW
       stránce programu ssh na http://www.cs.hut.fi/ssh.

VIZ TAKÉ

       sshd(8),  ssh-keygen(1),  ssh-agent(1),   ssh-add(1),   scp(1),   make-ssh-known-hosts(1),
       rlogin(1), rsh(1), telnet(1)

VAROVÁNÍ

       Překlad  je  pravděpodobně  zastaralý.  Pokud chcete pomoci s jeho aktualizací, zamiřte na
       http://man-pages-cs-wiki.homelinux.net/