Provided by:
manpages-hu_20010119-5_all 
N'EV
ssh - biztonsagos shell kliens (tavoli gepre valo belepesre szolgalo
program)
'ATTEKINT'ES
ssh [-l login_name] hostname [parancs]
ssh [-a] [-c idea|blowfish|des|3des|arcfour|none] [-e escape_char]
[-i identity_f'ajl] [-l login_name] [-n] [-k] [-V] [-o opci'ok] [-p port]
[-q] [-P] [-t] [-v] [-x] [-C] [-g] [-L port:host:hostport]
[-R port:host:hostport] hostname [parancs]
LE'IR'AS
Az ssh (Secure Shell) egy program, ami arra valo, hogy tavoli gepekre
jelentkezzunk be es/vagy parancsokat hajtsunk vegre tavoli gepeken.
Celja az, hogy helyettesitse az rlogin-t es az rsh-t, es biztonsagos
(titkositott) kapcsolatot biztositson ket gep kozott. X11 kapcsolatokat
es tetszleges TCP/IP portokat szinten lehet a biztonsagos csatornara
tovabbitani (forwardolni).
Az ssh kapcsolodik es belep a megadott hostname gepre. A felhasznalo
tobb modszerrel is igazolhatja azonossagat.
Elszor is, ha az a gep, amelyrl a felhasznalo belep fel van sorolva az
/etc/hosts.equiv -ban vagy az /etc/ssh/shosts.equiv -ban a tavoli
gepen, es a felhasznaloi nevek megegyeznek mindket oldalon, akkor
rogton beengedik. Masodszor, ha a .rhosts vagy a .shosts fajl ott van
a felhasznalo home konyvtaraban a tavoli gepen es tartalmaz egy sort,
amely a kliens gep nevet tartalmazza, a felhasznalo belephet. Az
authentikacionak (authentication - hitelesites, amikor bizonyitod, hogy
az vagy, akinek mondod magad - a ford. megjegyzese) ezt a formajat
altalaban nem engedelyezi a szerver, mert nem biztonsagos.
A masodik (es elsdleges) lehetseg az authentikaciora az rhosts vagy
hosts.equiv modszer, RSA-alapu gep-authentikacioval kombinalva. Ez azt
jelenti, hogy a belepes csak akkor engedelyezett, ha az .rhosts,
.shosts, /etc/hosts.equiv, vagy /etc/ssh/shosts.equiv, megengedi, es
ezen kivul a kliens gep kulcsat ellenrizni lehet (lasd a
$HOME/.ssh/known_hosts es /etc/ssh/ssh_known_hosts -t a F'AJLOK
reszben). Ez az authentikacios modszer kizarja az "IP spoofing", "DNS
spoofing" es a "routing spoofing" altal kihasznalt biztonsagi lyukakat.
[Megjegyzes a rendszergazdaknak: az /etc/hosts.equiv, .rhosts, es a
rlogin/rsh protokollok altalaban eredenden nem biztonsagosak es le kell
tiltani ket, ha a biztonsag fontos szempont.]
Harmadik authentikacios modszerkent az ssh tamogatja az RSA alapu
authentikaciot. Az elrendezes a nyilvanos kulcsu kriptografian alapul:
vannak olyan titkositasi rendszerek, ahol a titkositas es visszafejtes
kulonboz kulcsok hasznalataval tortenik, es a visszafejteshez hasznalt
kulcsot nem lehet a titkositashoz hasznalt kulcsbol kikovetkeztetni. Az
RSA egy ilyen rendszer. Az elgondolas az, hogy minden felhasznalo
keszit egy nyilvanos/privat kulcspart authentikacios celokra. A
szerver tudja a nyilvanos kulcsot, de a privat kulcsot csak a
felhasznalo ismeri. A $HOME/.ssh/authorized_keys fajl tartalmazza
azokat a nyilvanos kulcsokat, amelyekkel be lehet lepni. Amikor a
felhasznalo be akar lepni, az ssh program megmondja a szervernek, hogy
melyik kulcspart akarja authentikaciora felhasznalni. A szerver
ellenrzi, hogy a kulcs engedelyezve van-e, es ha igen, akkor ugy teszi
probara a felhasznalot (pontosabban az altala futtatott ssh
programot), hogy egy veletlen szamot kuld el neki, amit a felhasznalo
nyilvanos kulcsaval titkosit. Ezt csak a megfelel privat kulcs
segitsegevel lehet visszafejteni. Ezutan a felhasznalo kliense
visszafejti a privat kulcsal, igy bebizonyitja, hogy ismeri a a privat
kulcsot anelkul, hogy azt elkuldene a szervernek.
Az ssh automatikusan alkalmazza az RSA authentikacios protokollt. A
felhasznalo az ssh-keygen(1) futattasaval automatikusan letrehozza az
RSA kulcsparjat. Ezzel a privat kulcs a .ssh/identity -ba kerul, mig a
nyilvanos kulcs a .ssh/identity.pub -ba, a felhasznalo home
konyvtaraban. A felhasznalonak ezutan a sajat identity.pub -jat a
.ssh/authorized_keys -ba kell masolnia a home konyvtaraban a tavoli
gepen (az authorized_keys fajl megfelelt a hagyomanyos .rhosts fajlnak,
es soronkent egy kulcsot tartalmaz, bar a sorok nagyon hosszuak
lehetnek). Ezutan a felhasznalo belephet, anelkul hogy a jelszavat
megadna. Az RSA authentikacio sokkal biztonsagosabb mint az rhosts
authentikacio.
Az RSA authentikacio egy authentikacios kozvetit (agent) segitsegevel
hasznalhato a legkenyelmesebben. Lasd az ssh-agent(1) -et tovabbi
informaciokert.
Egy negyedik authentikacios modszerkent, az ssh tamogatja a TIS
authentikacios szerveren keresztuli authentikaciot. Az elkepzeles az,
hogy az ssh megkeri a TIS authsrv(8) -et, hogy authentikalja a
felhasznalot. Elfordulhat, hogy a felhasznaloi nevek a TIS adatbazisban
nem ugyanazok mint a lokakis gepen, peldaul ha a felhasznalo egy
smartcard -al vagy Digipass-al authentikalja magat. Ebben az esetben a
felhasznaloi nev az adatbazisban altalaban csak az authentikacios
eszkoz sorozatszamakent ismert. Az /etc/ssh/sshd_tis.map fajl
tartalmazza a lokalis felhasznalok as a neki megfelel TIS adatbazis-
beli nevek kozotti lekepezest. Ha ez a fajl nem letezik, vagy a
felhasznalo nincs benne, akkor az ssh feltetelezi, hogy a felhasznaloi
nev es a TIS adatbazis-beli nev ugyanaz.
Ha a tobbi authentikacios modszer meghiusul, az ssh jelszot ker a
felhasznalotol. A jelszot ellenrzes celjabol elkuldi a tavoli gepre,
azonban mivel minden kommunikacio titkositva van, a jelszot nem
olvashatja el valaki, aki a halozaton hallgatozik.
Amikor a felhasznalo azonossagat elfogadja a szerver, akkor vagy
vegrehajtja a megadott parancsot, vagy belep a gepbe, es a
felhasznalonak egy szokasos shell-t ad a tavoli gepen. Minden, a
tavoli parancsal vagy shell-el torten kommunikacio automatikusan
titkositva lesz.
Ha egy pszeudo-terminal volt allokalva (normalis login session), a
felhasznalo kilephet a "~." parancs segitsegevel es felfuggesztheti az
ssh -t "~^Z" -vel.
Az osszes forwardolt kapcsolatot ki lehet listazni egy "~#" -el, es ha
a session a forwardolt X11 vagy TCP/IP kapcsolatok vegeteresere varva
blokkol, akkor "~&" -el hatterbe lehet kuldeni (Ezt nem szabad addig
hasznelni, amig a felhasznalo shellje aktiv, mert akkor a shell "logni"
fog). Az osszes escape-szekvenciat "~?" -el lehet kilistazni.
Egyetlen tilde (~) karaktert "~~" -kent lehet elkuldeni (vagy ugy,
hogy a tildet a fentiekben nem emlitett karakter koveti). Az escape
karakter csak akkor van kulonleges karakterkent interpretalva, ha
ujsort kovet. Az escape karaktert meg lehet valtoztatni a konfiguracios
fajlokban vagy a parancssorban.
Ha az ssh nem foglal le egy pszeudo terminalt, akkor a session atlatszo
lesz, es lehet binaris adatok megbizhato atvitelere hasznalni. A
legtobb rendszerben az escape karakter ``none'' -ra (semmire) valo
allitasa a sessiont atlatszova teszi akkor is, ha egy tty van
hasznalatban.
Egy session akkor er veget, amikor a parancs vegrehajtasa vagy a shell
a tavoli gepen veget er, es az osszes X11 es TCP/IP kapcsolat lezarult.
Az ssh a tavoli program kilepesi ertekevel (exit status) lep ki.
Ha a felhasznalo X11-et hasznal (a DISPLAY kornyezeti valtozo be van
allitva), az X11 displayhez valo kapcsolat automatikusan forwardolodik
a tavoli gephez, olymodon, hogy minden a shellbl (vagy parancsbol)
inditott X11 program a titkositott csatornan jon at, az igazi X
szerverrel valo kapcsolat pedig a lokalis geprl jon letre. A
felhasznalonak nem kell kezzel beallitania a DISPLAY -t. Az X11
kapcsolatok forwardolasast a parancssoron vagy a konfiguracios
fajlokban lehet beallitani.
Az ssh altal beallitott DISPLAY a szerver gepre mutat, de zeronal
nagyobb display szammal. Ez azert van, mert az ssh egy "proxy" X
szervert allit fel a szerver gepen a kapcsolatok titkositott csatornan
valo tovabbitasahoz.
Az ssh automatikusan beallitja a szerveren az Xauthority adatokat is.
Ehhez egy veletlenszer authorizacios cookie-t general, amit a szerveren
tarol az Xauthority-ban, ellenrzi, hogy az osszes forwardolt kapcsolat
ezzel a cookie-val jon-e, es kicsereli ket az igazi cookie-ra, amikor a
kapcsolat megnyilik. Az igazi authentikacios cookie-t soha nem kuldi
el a szerver gepre, es semmilyen cookie-t nem kuld el titkositas
nelkul.
Ha egy felhasznalo egy authentikacios kozvetitt (agent) hasznal, akkor
a kozvetithoz valo kapcsolatot automatikusan forwardolja a tavoli
gepre, hacsak ez nincs letiltva a parancssoron vagy egy konfiguracios
fajlban.
Tetszleges TCP/IP kapcsolatoknak a biztonsagos csatornan valo
forwardolasat a parancssoron vagy egy konfiguracios fajlban lehet
megadni. A TCP/IP forwardolasnak egy lehetseges alkalmazasa egy
elektronikus penztarcahoz valo biztonsagos kapcsolodas; egy masik a
tzfalakon valo atjutas.
Az ssh automatikusan fenntart es ellenriz egy adatbazist, amely
tartalmazza az osszes olyan gep RSA-alapu azonositasat, amellyel valaha
is hasznalva volt. Az adatbazis az .ssh/known_hosts -ban van, a
felhasznalo home konyvtaraban. Ezen kivul az ismert gepeket az
/etc/ssh/ssh_known_hosts -ban is leellenrzi. Minden uj gep
automatikusan hozzaadodik a felhasznalo fajljahoz. Ha egy gep
nyilvanos kulcsa megvaltozik, az ssh figyelmeztet es megtiltja a
jelszoval valo belepest, nehogy a felhasznalo jelszavat egy "trojai
falo" lopja el. Ennek a mechanizmusnak egy masik celja a "kozepen a
tamado" (man-in-the-middle attack) megakadalyozasa, amely egyebkent
meghiusitana a titkositast. A StrictHostKeyChecking opciot (lasd az
alabbiakban) lehet arra hasznalni, hogy megakadalyozzuk az olyan gepre
valo belepest, amelyeknek a kulcsa nem ismert vagy megvaltozott.
OPC'I'OK
-a Megtiltja az authentikacios kozvetit (agent) forwardolasat. Ezt
egy gepektl fugg modon a konfiguracios fajlban is meg lehet
adni.
-c idea|des|3des|blowfish|arcfour|none
A session titkositasanak a modjat adja meg. Az idea az
alapertelmezett. Biztonsagosnak tartjak. A des az
adattitkositasi szabvany (data encryption standard), de
feltorhet a kormanyzatok, nagyobb vallalatok es a fontosabb
bnuldoz szervek altal. A 3des (triple-des) egy titkositas-
visszafejtes-titkositas harom kulonboz kulcsal. Valoszinleg
biztonsagosabb mint a DES. Ez az alapertelmezett, ha valamelyik
oldal nem tamogatja az IDEA-t. A blowfish Bruce Schneier altal
kitalalt titkositasi algoritmus, ami 128 bites kulcsokat
hasznal. Az arcfour egy 1995-ben az Usenet News-ben publikalt
algoritmus. Ugy tartjak, hogy ez ugyanaz mint az RSA Data
Security altal hasznalt RC4 titkositas (az RC4 az RSA Data
Security bejegyzett vedjegye). Ez a jelenleg tamogatott
leggyorsabb algoritmus. none eseten egyaltalan nincs titkositas
- ezt csak hibakeresesre szantak, es a kapcsolat nem
biztonsagos.
-e ch|^ch|none
Beallitja a pty-vel rendelkez session-ok szamara az escape
karaktert (alapertelmezett: ~). Ez csak a sor elejen szamit
escape karakternek. A pont altal kovetett escape karakter
bezarja a kapcsolatot, a control-Z altal kovetve felfuggeszti a
kapcsolatot, es onmaga altal kovetve egyszer kuldi el az escape
karaktert. A karakternek a 'none' -ra valo allitasa letilt
minden escape-t es teljesen atlaszova teszi a session-t.
-f A hatterbe teszi az ssh -t az authentikacio befejezese es a
forwardolasok letrehozasa utan. Ez hasznos ha az ssh jelszot
vagy jelmondatot (passphrase) ker, de a felhasznalo a hatterben
akarja futtatni. Szkriptekben is hasznos lehet. Ez az opcio a
-n opciot is magaban foglalja. A tavoli gepeken lev X11
programok elinditasanak az ajanlott modja valami "ssh -f gep
xterm" szer.
-i identity_f'ajl
Megadja, hogy melyik fajlbol legyen kiolvasva a privat kulcs az
RSA authentikaciohoz. Az alapertelmezett a .ssh/identity a
felhasznalo home konyvtaraban. Identity fajlokat gepektl fugg
modon a konfiguracios fajlokban is meg lehet adni. Lehetseges
tobb -i opciot is megadni (es a konfiguracios fajlokban is lehet
tobb privat kulcs).
-k Letiltja a kerberos ticket-ek forwardolasat. Ezt szinten meg
lehet adni gepektl fugg modon a konfiguracios fajlokban is.
-l login_name
Meghatarozza, hogy milyen felhasznaloi neven lepjen be a tavoli
gepre. Ezt szinten meg lehet adni gepektl fugg modon a
konfiguracios fajlokban is.
-n A /dev/null -bol iranyitja at a stdin-t (vagyis gyakorlatilag
megakadalyozza a stdin-rol valo olvasast) Ezt hasznalni kell,
amikor az ssh a hatterben fut. Egy szokasos trukk ezt a tavoli
gepen lev X11 programok futtatasara hasznalni. Peldaul "ssh -n
shadows.cs.hut.fi emacs &" egy emacs-ot indit el a
shadows.cs.hut.fi -n, es a X11 kapcsolat automatikusan
forwardolodik a titkositott csatornan. Az ssh program a
hatterbe kerul. (Ez nem mkodik, ha az ssh -nak jelszora vagy
jelmondatra van szuksege; erre lasd az -f opciot.)
-o 'opci'ok'
Ezt arra lehet hasznalni, hogy a konfiguracios fajlok
formatumaban adjunk meg opciokat. Ez olyan opciok eseten
hasznos, amelyeknek nincs kulon parancssoron hasznalhato flag-
juk. Az igy megadott opcioknak ugyanaz a formatumuk mint egy
konfiguracios fajl-beli sornak.
-p port
Megadja, hogy a tavoli gep melyik portjara csatlakozzunk. Ezt
szinten meg lehet adni gepektl fugg modon a konfiguracios
fajlokban is.
-q Csendes (quiet) uzemmod. Ilyenkor a figyelmeztetesek es a
diagnosztikai uzenetek nem irodnak ki, csak a vegzetes hibak.
-P Nem privilegizalt portot hasznal. Ilyenkor nem tudod az rhosts
vagy a rsarhosts authentikaciot hasznalni, de at tud menni olyan
tzfalakon, amelyek nem engednek at privilegizalt forras-portrol
indulo csomagokat.
-t Kenyszeriti a pseudo-tty lefoglalast. Ezt peldaul tavoli gepeken
futo keperny-alapu programok futtatasara lehet hasznalni
(peldaul amelyek menuket hasznalnak).
-v Bbeszed (verbose) uzemmod. Ilyenkor az ssh debugging uzeneteket
ir ki a mkodeserl. Ez a kapcsolatfelepitessel, authentikacioval
es a konfiguracioval kapcsolatos problemak hibakeresesenel
hasznos.
-V Csak kiirja a verzioszamot es kilep.
-g Megengedi, hogy tavoli gepek lokalis port-forwardolo portokra
kapcsolodjanak. Alapertelmezes szerint csak a localhostrol lehet
a lokalisan lekotott (bind) portokra csatlakozni.
-x Letiltja az X11 forwardolast. Ezt szinten meg lehet adni
gepektl fugg modon a konfiguracios fajlokban is.
-C Az osszes adat (beleertve a stdin-t, stdout-ot, stderr-t es a
forwardolt X11 es TCP/IP kapcsolatokat) tomoritve lesz. A
tomoritesi algoritmus ugyanaz mint a gzip altal hasznalt, es a
"szintjet" a CompressionLevel opcioval (lasd alabb) lehet
beallitani. A tomorites hasznos modemvonalakon es egyeb lassu
kapcsolatok eseten, de a gyors halozatok eseten csak lassitani
fogja a dolgokat. Ezt szinten meg lehet adni gepektl fugg modon
a konfiguracios fajlokban is, lasd a Compress opciot alabb.
-L port:host:hostport
Forwardol egy adott portot a lokalis (kliens) geprl egy tavoli
gepre. Ez ugy mkodik, hogy lefoglal egy socket-et, hogy a port
-on varakozzon (listen) a lokalis oldalon, es valahanyszor egy
kapcsolat jon erre a portra, azt a biztonsagos csatornan
keresztul forwardolja, es a host:hostport -re a tavoli geprl lep
be. A port-forwardolast a konfiguracios fajlban is specifikalni
lehet. Csak a root forwardolhat privilegizalt portokat.
-R port:host:hostport
Forwardol egy adott portot a tavoli (szerver) geprl egy lokalis
gepre. Ez ugy mkodik, hogy lefoglal egy socket-et, hogy a port
-on varakozzon (listen) a tavoli oldalon, es valahanyszor egy
kapcsolat jon erre a portra, azt a biztonsagos csatornan
keresztul forwardolja, es a host:hostport -re a lokalis geprl
lep be. A port-forwardolast a konfiguracios fajlban is
specifikalni lehet. A tavoli gepen rootkent kell belepnunk, ha
privilegizalt portokat akarunk forwardolni.
KONFIGUR'ACI'OS F'AJLOK
Az ssh a kovetkez forrasokbol veszi a konfiguracos adatait (ebben a
sorrendben): parancssorbeli opciok, felhasznalo konfiguracios fajlai
($HOME/.ssh/config), es a renszerszint konfiguracios fajl
(/etc/ssh/ssh_config). Minden parameter az igy kapott els erteket
kapja. A konfiguracios fajlok "Host" specifikaciok altal behatarolt
reszeket tartalmaznak, es egy adott resz csak azokra a gepekre
vonatkozik, amelyek illeszkednek a specifikacioban megadott mintara. A
parancssoron megadott gepnev kerul illesztesre.
Mivel minden parameter az els erteket kapja, az inkabb egy adott gepre
specifikus deklaraciokat a fajl elejen erdemes megadni, az altalanosabb
default-okat pedig a vegen.
A konfiguracios fajlnak a kovetkez formatuma van:
Az ures sorok es a '#' -el kezdd sorok megjegyzesek.
Egyebkent pedig egy sor formatuma "kulcsszo argumentumok" vagy
"kulcsszo = argumentumok". A lehetseges kulcsszavakat es a
jelentesuket lasd az alabbiakban (megjegyzes: a konfiguracios
fajlokban kulonbseg van a kisbet es a nagybet kozott, de a
kulcsszavaknal ez nem szamit):
Host Az ezt kovet deklaraciokat korlatozza, hogy csak a kulcsszo utan
kovetkez mintara illeszked gepnevekre legyen ervenyes (egeszen a
kovetkez Host kulcsszoig). A '*' es a '?' wildcard-kent
hasznalhato a mintakban. Ha a minta egyetlen '*' -bl all, akkor
az az osszes gepre vonatkozo globalis defaultot jelent. A
gepnev ilyenkor a parancssoron megadott hostname argumentum
(vagyis a nev nincs kanonikus alakba hozva az
illeszkedesvizsgalat eltt).
BatchMode
Ha ez "yes" -re van allitva, akkor a jelszo/jelmondat
megkerdezese letiltodik. Ezt akkor hasznos, ha szkriptekbl vagy
egyeb automatizalt eszkozokbl hivod, es nincs felhasznalo, aki
megadhatna a jelszot. Az argumentum "yes" vagy "no" kell
legyen.
Cipher Meghatarozza a session titkositasahoz hasznalat modszert.
Jelenleg az idea, des, 3des, blowfish, arcfour es none vannal
tamogatva. A alapertelmezett az "idea" (vagy a "3des" ha az
"idea"-t nem tamogatja mindket gep). A "none" eseten nincs
titkositas - ezt csak hibakeresesre szabad hasznalni, mert
ilyenkor a kapcsolat nem biztonsagos.
ClearAllForwardings
Kitorli az osszes forwardolast, miutan beolvasta az osszes
konfiguracios fajlt, es a parancssort is. Ez arra jo, hogy a
konfiguracios fajlokban talalhato forwardolasokat letiltsd,
amikor egy masodik kapcsolatot akarsz letrehozni egy olyan
geppel, amelynek a konfiguracios fajlaban a forwardolas be van
allitva. Az scp ezt alapertelmezes szerint beallitja, igy
mkodni fog meg akkor is, ha a konfiguracios fajban forwardolasok
vannak beallitva.
Compression
Meghatarozza hogy legyen-e tomorites hasznalva. Az argumentum
"yes" vagy "no" kell legyen.
CompressionLevel
Meghatarozza a tomorites szintjet, ha a tomorites engedelyezve
van. Az argumentum egy 1 (gyors) es 9 (lassu, de a legjobb)
kozotti szam kell legyen. Az alapertelmezett szint 6, ami jo a
legtobb alkalmazas szempotjabol. Ezeknek az ertekeknek a
jelentese ugyanaz, mint a GNU GZIP eseten.
ConnectionAttempts
Meghatarozza, hogy hanyszor probalkozzon (masodpercenkent
egyszer), mieltt az rsh-val probalkozna, vagy kilepne. Az
argumentum egy egesz szam kell legyen. Ez hasznos lehet
szkriptekben, ha a kapcsolatfelvetel neha nem sikerul.
EscapeChar
Beallitja az escape karaktert (az alapertelmezett: ~). Az
escape karaktert a parancssoron is be lehet allitani. Az
argumentum egy bet altal kovetett '^' kell legyen, vagy
``none'', hogy az escape karaktert teljesen letiltsuk (es igy a
kapcsolatot atlatszova tegyuk a binaris adatok szamara)
FallBackToRsh
Meghatarozza, hogy ha az ssh kapcsolat nem sikerul "connection
refused" hiba miatt (amit valoszinuleg az okoz, hogy a masik
gepen nem fut az sshd ), akkor az rsh legyen-e hasznalva
automatikusan helyette (egy megfelel figyelmeztetes utan, mely
szerint a session nem lesz titkositva). Az argumentum "yes"
vagy "no" kell legyen.
ForwardAgent
Meghatarozza, hogy egy authentikacios kozvetitvel valo kapcsolat
(ha van) forwardolva legyen-e a tavoli gepre. Az argumentum
"yes" vagy "no" kell legyen.
ForwardX11
Meghatarozza , hogy az X11 kapcsolatok automatikusan at
legyenek-e iranyitva a biztonsagos csatornara a DISPLAY
beallitasaval egyidejleg. Az argumentum "yes" vagy "no" kell
legyen.
GatewayPorts
Meghatarozza, hogy tavoli gepek kapcsolodhatnak-e a lokalisan
forwardolt portokra. Az argumentum "yes" vagy "no" kell legyen.
GlobalKnownHostsFile
Meghatarozza, hogy a /etc/ssh/ssh_known_hosts helyett melyik
fajl legyen hasznalva.
HostName
Meghatatozza annak a gepnek az igazi nevet, amelyikre be akarunk
lepni. Ez arra jo, hogy roviditett neveket hasznaljunk. A
default a parancssoron megadott nev. A numerikus IP cimek
szinten engedelyezve vannak (a parancssoron is, es a HostName
specifikaciokban is).
IdentityFile
Meghatarozza, hogy a felhasznalo RSA authentikacios kulcsa
melyik fajlbol legyen kiolvasva (az alapertelmezett az
.ssh/identity a felhasznalo home konyvtaraban). Ezenkivul egy
esetleges authentikacios kozvetit altal megadott identitasok is
felhasznalodnak. A fajl neve tertalmazhatja a tildet, hogy a
felhasznalo home konyvtarat jelezze. Tobb identitas-fajlt is meg
lehet adni a konfiguracios fajlokban, ilyenkor ezek az adott
sorrendben lesznek kiprobalva.
KeepAlive
Meghatarozza, hogy a rendszer kuldjon-e "maradj elve"
(keepalive) uzeneteket a tuloldalnak. Ha kuld, akkor a kapcsolat
megszunese, vagy a gepek egyikenek a meghalasa megfelelen
eszleldik. Ugyanakkor ez azt is jelenti, hogy a kapcsolatok
megszakadnak akkor is ha a halozat csak ideiglenesen nem mkodik,
es van aki ezt idegesitnek tartja.
A alapertelmezett az hogy "yes" (kuldjon ilyeneket), es a kliens
eszre fogja venni ha a szerver vagy a halozat lehal. Ez fontos a
scriptekben, es sok felhasznalo szinten szereti.
A keepalives-ek letiltasahoz ezt az erteket "no"-ra kell
allitani mind a szerver, mind a kliens konfiguracios fajljaiban.
KerberosAuthentication
Meghatarozza, hogy legyen-e Kerberos V5 authentikacio hasznalva.
KerberosTgtPassing
Meghatarozza, hogy legyen-e egy Kerberos V5 TGT a szervernek
elkuldve.
LocalForward
Azt allitja be, hogy egy lokalis TCP/IP port forwardolva legyen
a biztonsagos csatornan keresztul a megadott gep megadott
portjara. Az els argumentum egy portszam kell legyen, a masodik
meg egy gep:port. Egyszerre tobb forwardolast is be lehet
allitani, es tovabbi forwardolasokat lehet a parancssoron
hozzaadni. Privilegizalt portokat csak a root forwadolhat.
NumberOfPasswordPrompts
Meghatarozza, hogy az ssh hanyszor kerje el a jelszot mieltt
feladna. Mivel a szerver szinten limitalja a probalkozasok
szamat (jelenleg 5 a maximum), ezert hatastalan ennel nagyobb
ertekre allitani. Az alapertelmezett ertek egy.
PasswordAuthentication
Meghatarozza legyen-e jelszo-authentikacio hasznalva. Az
argumentum "yes" vagy "no" kell legyen.
PasswordPromptHost
Meghatarozza, hogy benne legyen-e a tavoli gep neve a jelszo
promptban. Az argumentum "yes" vagy "no" kell legyen.
PasswordPromptLogin
Meghatarozza, hogy benne legyen-e a tavoli login nev a jelszo
promptban. Az argumentum "yes" vagy "no" kell legyen.
Port Meghatarozza, hogy a tavoli gepen milyen porton probalkozzon. A
default 22.
ProxyCommand
Meghatarozza, hogy milyen parancs segitsegevel kapcsolodjunk egy
szerverre. A parancs-string a sor vegeig tart, a /bin/sh hajtja
vegre. A parancs-stringben a %h helyere a szerver gep neve
kerul, %p helyere pedig a portszam. A parancs szinte barmi
lehet, a stdin-rl kell olvasnia, es a stdout-re irnia. Vegul egy
valamilyen gepen futo sshd szerverre kell kapcsolodnia, vagy
"sshd -i" -t kell futtatnia valahol. A gep-kulcs kezelese a
szerver gep HostName-ja segitsegevel (aminak a defaultja a
felhasznalo altal beirt nev) tortenik. (Megjegyzes: az ssh -t
lehet ugy konfiguralni, hogy a SOCKS rendszert tamogassa: ehhez
forditaskor a --with-socks4 vagy --with-socks5 opciokat kell
megadni).
RemoteForward
Azt allitja be, hogy egy tavoli TCP/IP port forwardolva legyen a
biztonsagos csatornan keresztul a megadott lokalis gep megadott
portjara. Az els argumentum egy portszam kell legyen, a masodik
meg egy gep:port. Egyszerre tobb forwardolast is be lehet
allitani, es tovabbi forwardolasokat lehet a parancssoron
hozzaadni. Privilegizalt portokat csak a root forwadolhat.
RhostsAuthentication
Meghatarozza, hogy az rhosts authentikacio ki legyen-e probalva.
Megjegyzes: ez a deklaracio csak a kliens viselkedeset
befolyasolja, es a biztonsagra semmi hatasa nincs. Az rhosts
authentikacioval valo probalkozas letiltasa csokkentheti az
authentikacios idt lassu kapcsolatok eseten, ha az rhosts
authentikacio nincs hasznalatban. A legtobb szerver nem
engedelyezi az az rhosts authentikaciot, mert az nem biztonsagos
(lasd RhostsRSAAuthentication) Az argumentum "yes" vagy "no"
kell legyen.
RhostsRSAAuthentication
Meghatarozza, hogy az RSA gep-authentikacioval kombinalt rhosts
authentikacio ki legyen-e probalva. Ez az elsdleges
authentikacios modszer a legtobb esetben. Az argumentum "yes"
vagy "no" kell legyen.
RSAAuthentication
Meghatarozza, hogy az RSA authentikacio ki legyen-e probalva.
Az argumentum "yes" vagy "no" kell legyen. Az RSA authentikacio
csak akkor lesz megprobalva, ha egy identity fajl letezik, vagy
ha egy authentikacios kozvetit fut.
StrictHostKeyChecking
Ha ez a flag "yes" - re van allitva, akkor az ssh soha nem fogja
a gep-kulcsokat a $HOME/.ssh/known_hosts fajlhoz automatikusan
hozzaadni, es megtagadja, hogy olyan gepekre lepjen be,
amelyeknek a kulcsa megvaltozott. Ez maximalis vedelmet nyujt a
trojai falo tipusu tamadasok ellen. Ugyanakkor elegge idegesit
tud lenni, ha nincs egy jo /etc/ssh/ssh_known_hosts fajlod
installalva es gyakran probalsz uj gepekre kapcsolodni.
Gyakorlatilag ez az opcio arra kenyszeriti a felhasznalot, hogy
kezzel adja hozza az osszes uj gepet. Altalaban "ask"-ra
allitjak ezt az opciot, es az uj gepek automatikusan
hozzaadodnak az ismert gepeket tartalmazo fajlhoz, miutan a
felhasznalo megersitette, hogy valoban ezt akarja. Ha ez "no"-ra
van allitva, akkor az uj gepek automatikusan adodnak hozza az
ismert gepeket tartalmazo fajlhoz. Az ismert gepek kulcsai
minden esetben automatikusan ellenrizve lesznek. Az argumentum
"yes", "no" vagy "ask" kell legyen.
TISAuthentication
Meghatarozza, hogy megprobalkozzunk-e TIS authentikacioval. Az
argumentum "yes" vagy "no" kell legyen.
UsePrivilegedPort
Meghatarozza, hogy hasznaljunk-e privilegizalt portokat, amikor
a masik oldalhoz hozzakapcsolodunk. Az alapertelmezett az, hogy
"yes", ha az rhosts authentikaciok engedelyezve vannak.
User Meghatarozza, hogy milyen felhasznalokent lepjen be. Ez akkor
lehet hasznos, ha a kulonboz gepeken mas-mas a felhasznaloi
neved, es nem akarod azzal vesziteni az idt, hogy a parancssoron
adod meg a felhasznaloi nevet.
UserKnownHostsFile
Meghatarozza, hogy a $HOME/.ssh/known_hosts helyett milyen fajlt
hasznaljunk.
UseRsh Meghatarozza, hogy egy adott gepre rogton az rlogin/rsh legyen-e
hasznalva. Elfordulhat, hogy egy gep egyaltalan nem tamogatja az
ssh protokollt. Ilyenkor ssh rogton elinditja az rsh -t. Az
osszes tobbi opcio (kiveve a HostName-t) ignoralva lesz. Az
argumentum "yes" vagy "no" kell legyen.
XAuthLocation
Meghatarozza a eleresi utat a xauth programhoz.
K"ORNYEZET
Az ssh normalis esetben a kovetkez kornyezeti valtozokat allitja be:
DISPLAY
A DISPLAY valtozo az X11 szerver helyere utal. Ezt az ssh
automatikusan egy "gepnev:n" alakra allitja be, ahol a gepnev
annak a gepnek a neve, ahol a shell fut, es n egy >= 1 egesz
szam. Az ssh ezt arra hasznalja, hogy az X11 kapcsolatokat a
biztonsagos csatornan forwadolja. Jobb, ha a felhasznalo nem
allitja be maga a DISPLAY-t expliciten, mert ez azt eredmenyezi,
hogy az X11 kapcsolat nem lesz biztonsagos. (es a felhasznalo
kenytelen lesz maganak bemasolni a szukseges authorizacios
cookie-kat).
HOME A felhasznalo home konyvtara.
LOGNAME
Az USER szinonimaja - az olyan rendszerekkel valo kompatibilitas
celjabol, amelyek ezt a valtozot hasznaljak.
MAIL A felhasznalo mailbox-a.
PATH Egy olyan alapertelmezett PATH-ra van beallitva, amelyet
forditas kozben lehet megadni az ssh -nak, vagy egyes
rendszerekben az /etc/environment -ban vagy az
/etc/default/login -ban.
SSH_AUTH_SOCK
Ha letezik, arra van hasznalva, hogy egy olyan unix-domain
sockethez vezet path-ot jelezzen, ami egy authentikacios
kozvetitvel (avgy lokalis megfeleljevel) valo kapcsolathoz kell.
SSH_CLIENT
A kapcsolat kliens reszet jelzi. Ez a valtozo harom space-el
hatarolt erteket tartalmaz: kliens ip-cim, kliens portszam es
szerver portszam.
SSH_ORIGINAL_COMMAND
Ez az eredeti parancssor kenyszeritett parancsfuttatas eseten.
Arra lehet hasznalni, hogy elerd az argumentumokat stb. a
tuloldalrol.
SSH_TTY
Ez a jelenlegi shellel vagy parancsal tarsitott tty nevere (egy
eszkozhoz vezet utvonalra) van allitva. Ha a jelenlegi session-
nak nincs tty-je, ez a valtozo nincs bealitva.
TZ Az idzona (timezone) valtozo a jelenlegi idzonat jelzi, ha az be
volt allitva a demon inditasakor. (A demon atadja ezt az erteket
az uj kapcsolatoknak.)
USER A belepett felhasznalo neve.
Ezeken kivul az ssh elolvassa az /etc/environment es
$HOME/.ssh/environment, fajlokat, es V'ALTOZ'ON'EV='ert'ek formatumu sorokat
ad a kornyezethez. Egyes rendszereken tovabbi mechanizmusok is
letezhetnek a kornyezet beallitasara, igy peldaul az /etc/default/login
Solaris-on.
F'AJLOK
$HOME/.ssh/known_hosts
Olyan gepek kulcsai, amelyikbe a felhasznalo belepett (es
nincsenek benne a /etc/ssh/ssh_known_hosts -ban). Lasd meg az
sshd kezikonyvlapot.
$HOME/.ssh/random_seed
A veletlenszam-generator inicializalasahoz hasznalt fajl. Ez a
fajl fontos adatokat tartalmaz, a felhasznalonak legyen
irasi/olvasasi joga ra, de masoknak semmi. Ez a fajl akkor
keletkezik, amikor egy program els izben fut, es automatikusan
valtozik. A felhasznalonak sohasem kell elolvasnia vagy
mododitania ezt a fajlt.
$HOME/.ssh/identity
A felhasznalo RSA authentikacios identitasat tartalmazza. Ez a
fajl fontos adatokat tartalmaz, a felhasznalonak legyen
irasi/olvasasi joga ra, de masoknak semmi. Ennek a kulcsnak a
generalasakor egy jelmondatot is meg lehet adni, ez a jelmondat
arra hasznalhato, hogy ennek a fajlnak az erzekeny reszet
titkositsa az IDEA segitsegevel
$HOME/.ssh/identity.pub
Az authentikaciora hasznalt nyilvanos kulcsot tartalmazza (az
identitas-fajl nyilvanos reszet olvashato formaban) ennek a
fajlnak a tartalmat a $HOME/.ssh/authorized_keys fajlhoz kell
hozzaadni minden olyan gepen, amelyikre RSA authentikacio
segitsegevel akarsz belepni. Ez a fajl nem erzekeny, es lehet
(de nem szuksegszer) mindenki altal olvashatova tenni. Ezt a
fajlt soha nem hasznaljak automatikusan, es nincs is szukseg ra,
csak a felhasznalo kenyelme kedveert van ott.
$HOME/.ssh/config
Ez a konfiguracios fajl a felhasznalora jellemz beallitasokat
tartalmazza. A fajl formatuma a fentiekben van leirva. Ezt a
fajlt az ssh kliensek hasznaljak. Altalaban ez a fajl nem
tartalmaz erzekeny informaciokat, de az ajanlott jogosultsagok
iras/olvasas a felhasznalonak, es semmi jog masoknak.
$HOME/.ssh/authorized_keys
Azokat az RSA kulcsokat tartalmazza, amelyek hasznalhatok arra,
hogy segitsegevel e felhasznalokent be lehessen lepni. Ennek a
fajlnak a formatuma az sshd kezikonyvlapban van leirva.
Legegyszerbb esetben a formatum ugyanaz mint a .pub identitas
fajlok eseten.
Ez a fajl nem tartalmaz nagyon erzekeny informaciokat, de az
ajanlott jogosultsagok iras/olvasas a felhasznalonak, es semmi
jog masoknak.
/etc/ssh/ssh_known_hosts
Az ismert gepek kulcsainak rendszerszint listaja. Ezt a fajlt a
rendszergazdanak kell elkeszitenie, hogy a halozaton beluli
osszes gep nyilvanos kulcsat tartalmazza. Ennek a fajlnak
mindenki altal olvashatonak kell lennie. Ha egy gepnek tobb
neve is van, akkor az osszes ilyen gepnevet fel kell sorolni,
vesszvel elvalasztva. A formatumot az sshd kezikonyvlap irja
le.
Belepeskor a kanonikus gepnev (amit a nameserver visszaad) az,
amit az sshd a kliens gep identitasanak a megallapitasara
hasznal belepeskor; a tobbi nevre azert van szukseg, mert az ssh
nem konvertalja a felhasznalo altal megadott nevet kanonikus
nevve, mieltt egy kulcsot ellenrizne, mivel egyebkent valaki,
aki hozzafer a nameserver-hez, atverhetne a gep-authentikaciot.
/etc/ssh/ssh_config
A rendszerszint konfiguracios fajl. Ez a fajl defaultokat
specifikal olyan ertekek szamara, amelyek nincsenek a
felhasznalo konfiguracios fajljaban, vagy olyan felhasznaloknak,
akiknek nincs konfiguracios fajljuk. Ennek a fajlnak mindenki
altal olvashatonak kell lennie.
$HOME/.rhosts
Ez a fajl az .rhosts authentikacio soran van hasznalva, megpedig
arra, hogy felsorolja azokat a gep/felhasznalo parokat,
amelyeknek a belepes engedelyezve van. (Megjegyzes: ezt a fajlt
hasznalja az rlogin es az rsh is, ezert hasznalatuk nem szamit
biztonsagosnak) A fajl minden sora tartalmaz egy gepnevet (abban
a kanonikus formaban, ahogy a nameserverek adjak), utana pedig
egy azon a gepen talalhato felhasznalo felhasznaloi nevet,
vesszvel elvalasztva. Ennek a fajlnak a felhasznalo
tulajdonaban kell lennie, es nem szabad masoknak is irasi jogot
adni ra.
Megjegyzes: alapertelmezes szerint az sshd sikeres RSA gep-
authentikaciot igenyel mieltt megengedne az .rhosts
authentikaciot. Ha egy szerver geped nem tartalmazza egy kliens
gep kulcsat az /etc/ssh/ssh_known_hosts -ben, akkor az
$HOME/.ssh/known_hosts -be is teheted. A legegyszerbb modja
ennek az, hogy a szerverrl belepsz a kliensre, ekkor a kliens
gep kulcsa automatikusan hozzaadodik a $HOME/.ssh/known_hosts
-hoz.
$HOME/.shosts
Ezt a fajlt pontosan ugyanugy kell hasznalni mint a .rhosts -t.
Csak azert van, hogy kepes legyel az rhosts authentikaciot
hasznalni az ssh -val, anelkul, hogy megenged az rlogin-t vagy
az rsh-t.
/etc/hosts.equiv
Ez a fajl az .rhosts authentikacio soran van hasznalva.
Kanonikus gepneveket tartalmaz, soronkent egyet (a formatum
teljes leirasat lasd az sshd kezikonyvlapban). Ha egy kliens
gep benne van ebben a fajlban, es a login nevek a szerveren es a
kliensen megegyeznek, akkor a belepes automatikusan engedelyezve
lesz. Ezen kivul sikeres RSA gep-authentikaciora is szukseg van
normalis esetben. Ennek a fajlnak csak a root altal kell
irhatonak lennie.
/etc/ssh/shosts.equiv
Ez a fajl pontosan ugy van feldolgozva, mint a /etc/hosts.equiv.
Arra jo, hogy megengedje az ssh belepeseket, de megtiltsa az
rsh/rlogin belepeseket.
/etc/ssh/sshrc
Az ebben a fajlban talalhato parancsok akkor hajtodnak vegre az
ssh altal, amikor felhasznalo belep, kozvetlenul azeltt, hogy a
felhasznalo shellje (vagy parancsa) elindulna. Lasd az sshd
kezikonyvlapot tovabbi informaciokert.
$HOME/.ssh/rc
Az ebben a fajlban talalhato parancsok akkor lesznek vegrehajtva
az ssh altal, amikor felhasznalo belep, kozvetlenul azeltt, hogy
a felhasznalo shellje (vagy parancsa) elindulna. Lasd az sshd
kezikonyvlapot tovabbi informaciokert.
INSTALL'AL'AS
Az ssh altalaban suid rootkent van felinstallalva. A root jogokra csak
az rhosts authentikacio miatt van szuksege (Az rhosts authentikacio azt
igenyli, hogy a kapcsolat egy privilegizalt portrol kezdemenyezdjon, es
ilyen portot csak root jogokkal lehet lefoglalni) Ezen kivul kepesnek
kell lennie arra, hogy a /etc/ssh/ssh_host_key -t elolvassa, hogy RSA
gep authentikaciot tudjon hasznalni. Lehetseges az ssh -t root jogok
nelkul hasznalni, de akkor az rhosts authentikaciot nem lehet
hasznalni. Az ssh eldobja az osszes extra jogot, amint a kapcsolat a
tavoli geppel letrejott.
Mindent megtettunk azert, hogy az ssh biztonsagos legyen. Ha ennek
ellenere biztonsagi problemat talalsz, kerjuk rogton ertesits minket az
<ssh-bugs@cs.hut.fi> cimen.
SZERZ
Tatu Ylonen <ylo@ssh.fi>
Az ujabb verziokrol, levelezesi listakrol, es a tobbi kapcsolodo
temarol az ssh WWW home page-n, a http://www.cs.hut.fi/ssh cimen
talalsz informaciot.
L'ASD M'EG
sshd(8), ssh-keygen(1), ssh-agent(1), ssh-add(1), scp(1), make-ssh-
known-hosts(1), rlogin(1), rsh(1), telnet(1)
MAGYAR FORD'IT'AS
Balazs-Csiki Laszlo <bcsl@elender.hu>