Ubuntu Manpage: ssh-agent — Agentul de autentificare OpenSSH

nume
sinopsis
descriere
mediu
fișiere
consultați și
autori
traducere

NUME

     ssh-agent — Agentul de autentificare OpenSSH

SINOPSIS

     ssh-agent [-c | -s] [-Dd] [-a adresă-asociere] [-E hash-fingerprint] [-O opțiune] [-P furnizori-permiși]
     [-t durată-viață] ssh-agent [-a adresă-asociere] [-E hash-fingerprint] [-O opțiune] [-P furnizori-permiși]
     [-t durată-viață] comandă [arg ...] ssh-agent [-c | -s] -k

DESCRIERE

ssh-agent este un program pentru păstrarea cheilor private utilizate pentru autentificarea cu cheie
publică. Prin utilizarea variabilelor de mediu, agentul poate fi localizat și utilizat automat pentru
autentificare atunci când se conectează la alte mașini folosind ssh(1).

Opțiunile sunt următoarele:

-a adresă-asociere
Asociază agentul la soclul UNIX-domain adresă-asociere. Valoarea implicită este
$TMPDIR/ssh-XXXXXXXXXX/agent.<ppid>.

-c Generează comenzi C-shell la ieșirea standard. Aceasta este opțiunea implicită dacă SHELL pare a
fi un shell de tip csh.

-D Modul de prim-plan. Atunci când este specificată această opțiune, ssh-agent nu se bifurcă.

-d Modul de depanare. Atunci când este specificată această opțiune, ssh-agent nu va crea o bifurcare
și va scrie informații de depanare la ieșirea de eroare standard.

-E hash-fingerprint
Specifică algoritmul sumei de control utilizat la afișarea amprentelor cheilor. Opțiunile valide
sunt: “md5” și “sha256”. Opțiunea implicită este “sha256”.

-k Omoară agentul curent (dat de variabila de mediu SSH_AGENT_PID).

-O opțiune
Specifică o opțiune la pornirea ssh-agent. În prezent, sunt acceptate două opțiuni:
allow-remote-pkcs11 și no-restrict-websafe.

Opțiunea allow-remote-pkcs11 permite clienților unui ssh-agent transmis să încarce bibliotecile
furnizorului PKCS#11 sau FIDO. În mod implicit, numai clienții locali pot efectua această operație.
Rețineți că semnalizarea faptului că un client ssh-agent este la distanță este efectuată de ssh(1),
iar utilizarea altor instrumente pentru a transmite accesul la soclul agentului poate eluda această
restricție.

Opțiunea no-restrict-websafe instruiește ssh-agent să permită semnăturile care utilizează chei FIDO
care ar putea fi cereri de autentificare web. În mod implicit, ssh-agent refuză cererile de
semnătură pentru chei FIDO în cazul în care șirul de cerere a cheii nu începe cu “ssh:” și atunci
când datele care urmează să fie semnate nu par a fi o cerere de autentificare a utilizatorului
ssh(1) sau o semnătură ssh-keygen(1). Comportamentul implicit împiedică ca accesul transmis la o
cheie FIDO să transmită implicit și capacitatea de a se autentifica pe situri web.

-P furnizori-permiși
Specifică o listă de rute acceptabile pentru bibliotecile partajate ale furnizorului PKCS#11 și ale
mijlocitorului autentificator FIDO care pot fi utilizate cu opțiunile -S sau -s pentru ssh-add(1).
Bibliotecile care nu corespund listei de modele vor fi refuzate. A se vedea secțiunea MODELE din
ssh_config(5) pentru o descriere a sintaxei listei de modele. Lista implicită este
“usr/lib*/*,/usr/local/lib*/*”.

-s Generează comenzi Bourne shell la stdout. Aceasta este opțiunea implicită dacă SHELL nu pare a fi
un shell de tip csh.

-t durata-de-viață
Stabilește o valoare implicită pentru durata maximă de viață a identităților adăugate la agent.
Durata de viață poate fi specificată în secunde sau într-un format de timp specificat în
sshd_config(5). O durată de viață specificată pentru o identitate cu ssh-add(1) anulează această
valoare. Fără această opțiune, durata de viață maximă implicită este „forever” (pentru totdeauna).

comandă [arg ...]
Dacă se dă o comandă (și argumente opționale), aceasta este executată ca un subproces al agentului.
Agentul iese automat atunci când se termină comanda dată în linia de comandă.

Există două modalități principale de a înființa un agent. Prima este la începutul unei sesiuni X, unde
toate celelalte ferestre sau programe sunt pornite ca fiind copii ai programului ssh-agent. Agentul
pornește o comandă sub care sunt exportate variabilele sale de mediu, de exemplu ssh-agent xterm &. Când
comanda se termină, se termină și agentul.

A doua metodă este utilizată pentru o sesiune de conectare. Atunci când ssh-agent este pornit, acesta
imprimă comenzile de shell necesare pentru a stabili variabilele de mediu, care, la rândul lor, pot fi
evaluate în shell-ul apelant, de exemplu eval `ssh-agent -s`.

În ambele cazuri, ssh(1) consultă aceste variabile de mediu și le utilizează pentru a stabili o conexiune
cu agentul.

Inițial, agentul nu are nicio cheie privată. Cheile sunt adăugate folosind ssh-add(1) sau prin ssh(1)
atunci când AddKeysToAgent este definit în ssh_config(5). În ssh-agent pot fi stocate simultan mai multe
identități, iar ssh(1) le va utiliza automat dacă sunt prezente. ssh-add(1) se utilizează, de asemenea,
pentru a elimina chei din ssh-agent și pentru a interoga cheile care sunt păstrate în una dintre ele.

Conexiunile către ssh-agent pot fi redirecționate de la alte gazde la distanță folosind opțiunea -A către
ssh(1) (a se vedea însă avertismentele documentate în acest sens), evitându-se astfel necesitatea stocării
datelor de autentificare pe alte mașini. Frazele de autentificare și cheile private nu trec niciodată prin
rețea: conexiunea cu agentul este redirecționată prin conexiuni la distanță SSH, iar rezultatul este
returnat solicitantului, permițând utilizatorului accesul la identitățile sale oriunde în rețea într-un mod
sigur.

MEDIU

     SSH_AGENT_PID  La pornire, ssh-agent stochează numele ID-ului de proces al agentului (PID) în această
                    variabilă.

     SSH_AUTH_SOCK  Când ssh-agent pornește, acesta creează un soclu UNIX-domain și stochează numele de acces în
                    această variabilă. Aceasta este accesibilă numai utilizatorului curent, dar este ușor de
                    abuzat de root sau de o altă instanță a aceluiași utilizator.

     În Debian, ssh-agent este instalat cu bitul set-group-id activat, pentru a preveni atacurile ptrace(2) care
     recuperează materialul cheii private. Acest lucru are efectul secundar de a determina editorul de legături
     în timpul execuției să elimine anumite variabile de mediu care ar putea avea implicații de securitate
     pentru programele set-id, inclusiv LD_PRELOAD, LD_LIBRARY_PATH și TMPDIR.  Dacă trebuie să stabiliți
     oricare dintre aceste variabile de mediu, va trebui să faceți acest lucru în programul executat de ssh-
     agent.

FIȘIERE

     $TMPDIR/ssh-XXXXXXXXXX/agent.<ppid>
             Socluri UNIX-domain utilizate pentru a conține conexiunea cu agentul de autentificare. Aceste
             socluri trebuie să poată fi citite numai de către proprietar. Soclurile trebuie să fie eliminate
             automat la ieșirea agentului.

CONSULTAȚI ȘI

     ssh(1), ssh-add(1), ssh-keygen(1), ssh_config(5), sshd(8)

AUTORI

     OpenSSH este un derivat al versiunii originale și libere ssh 1.2.12 de Tatu Ylonen.  Aaron Campbell, Bob
     Beck, Markus Friedl, Niels Provos, Theo de Raadt și Dug Song au eliminat multe erori, au (re)adăugat
     caracteristici mai noi și au creat OpenSSH.  Markus Friedl a contribuit la suportul pentru versiunile 1.5
     și 2.0 ale protocolului SSH.

TRADUCERE

     Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu
     <remusgabriel.chelu@disroot.org>

     Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3:
     https://www.gnu.org/licenses/gpl-3.0.html sau o versiune ulterioară cu privire la condiții privind
     drepturile de autor.  NU se asumă NICIO RESPONSABILITATE.

     Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la
     translation-team-ro@lists.sourceforge.net .