Provided by: manpages-ro_4.28.0-2_all 
NUME
ssh_config — fișierul de configurare al clientului OpenSSH
DESCRIERE
ssh(1) obține datele de configurare din următoarele surse, în ordinea următoare:
1. opțiuni din linia de comandă
2. fișierul de configurare al utilizatorului (~/.ssh/config)
3. fișierul de configurare la nivel de sistem (/etc/ssh/ssh_config)
Dacă nu se specifică altfel, pentru fiecare parametru se va utiliza prima valoare obținută. Fișierele de
configurare conțin secțiuni separate de specificări Host, iar secțiunea respectivă este aplicată numai
pentru gazdele care corespund unuia dintre modelele date în specificație. Numele de gazdă care corespunde
este, de obicei, cel dat în linia de comandă (consultați opțiunea CanonicalizeHostname pentru excepții).
Deoarece se utilizează prima valoare obținută pentru fiecare parametru, declarațiile specifice gazdei ar
trebui să fie plasate mai aproape de începutul fișierului, iar valorile implicite generale la sfârșit.
Rețineți că pachetul Debian openssh-client definește mai multe opțiuni ca standard în
/etc/ssh/ssh_config, care nu sunt implicite în ssh(1):
• Include /etc/ssh/ssh_config.d/*.conf
• SendEnv LANG LC_* COLORTERM NO_COLOR
• HashKnownHosts yes
• GSSAPIAuthentication yes
Fișierele /etc/ssh/ssh_config.d/*.conf sunt incluse la începutul fișierului de configurare la nivel de
sistem, astfel încât opțiunile definite acolo vor avea prioritate față de cele din /etc/ssh/ssh_config.
Fișierul conține perechi cuvânt-cheie-argument, una pe linie. Liniile care încep cu ‘#’ și liniile goale
sunt interpretate ca fiind comentarii. Argumentele pot fi incluse opțional între ghilimele duble (")
pentru a reprezenta argumentele care conțin spații. Opțiunile de configurare pot fi separate prin spații
albe sau spații albe opționale și exact un ‘=’; ultimul format este util pentru a evita necesitatea de a
cita spațiile albe atunci când se specifică opțiuni de configurare folosind opțiunea ssh, scp și sftp -o.
Cuvintele-cheie posibile și semnificațiile acestora sunt următoarele (rețineți că cuvintele-cheie nu
disting majusculele de minuscule, iar argumentele disting majusculele de minuscule):
Host Restricționează următoarele declarații (până la următorul cuvânt cheie Host sau Match) pentru a
fi numai pentru acele gazde care corespund unuia dintre modelele furnizate după cuvântul cheie.
Dacă sunt furnizate mai multe modele, acestea trebuie separate prin spații albe. Un singur ‘*’ ca
model poate fi utilizat pentru a furniza valori implicite globale pentru toate gazdele. Gazda
este de obicei argumentul nume-gazdă dat în linia de comandă (consultați cuvântul-cheie
CanonicalizeHostname pentru excepții).
O intrare de tip model poate fi negată prin prefixarea acesteia cu un semn de exclamare (‘!’).
Dacă o intrare negată este potrivită, atunci intrarea Host este ignorată, indiferent dacă alte
modele de pe linie se potrivesc. Potrivirile negate sunt, prin urmare, utile pentru a oferi
excepții pentru potrivirile cu caractere joker.
Pentru mai multe informații despre modele, consultați secțiunea “MODELE”.
Match Restricționează utilizarea următoarelor declarații (până la următorul cuvânt cheie Host sau
Match) numai atunci când sunt îndeplinite condițiile care urmează cuvântului cheie Match.
Condițiile de potrivire sunt specificate folosind unul sau mai multe criterii sau simbolul unic
all care se potrivește întotdeauna. Cuvintele-cheie disponibile pentru criterii sunt: canonical,
final, exec, localnetwork, host, originalhost, tagged, command, user, localuser și version.
Criteriul all trebuie să apară singur sau imediat după canonical sau final. Alte criterii pot fi
combinate arbitrar. Toate criteriile cu excepția all, canonical și final necesită un argument.
Criteriile pot fi negate prin adăugarea în fața lor a unui semn de exclamare (‘!’).
Cuvântul cheie canonical se potrivește numai atunci când fișierul de configurare este reanalizat
după canonizarea numelui de gazdă (consultați opțiunea CanonicalizeHostname). Acest lucru poate
fi util pentru a specifica condiții care funcționează numai cu nume de gazdă canonice.
Cuvântul cheie final solicită reanalizarea configurației (indiferent dacă CanonicalizeHostname
este activată) și se potrivește numai în timpul acestei treceri finale. Dacă CanonicalizeHostname
este activată, atunci canonical și final se potrivesc în timpul aceleiași etapei.
Cuvântul cheie exec execută comanda specificată în shell-ul utilizatorului. Dacă comanda
returnează o stare de ieșire zero, atunci condiția este considerată adevărată. Comenzile care
conțin caractere spațiu trebuie să fie puse între ghilimele. Argumentele pentru exec acceptă
simbolurile descrise în secțiunea “SIMBOLURI”.
Cuvântul cheie localnetwork compară adresele interfețelor rețelei locale active cu lista de
rețele furnizată în format CIDR. Acest lucru poate fi convenabil pentru a varia configurația
efectivă pe dispozitive care se deplasează între rețele. Rețineți că adresa de rețea nu este un
criteriu demn de încredere în multe situații (de exemplu, atunci când rețeaua este configurată
automat utilizând DHCP) și, prin urmare, trebuie să fiți precauți dacă îl utilizați pentru a
controla configurația sensibilă din punct de vedere al securității.
Celelalte criterii ale cuvintelor cheie trebuie să fie intrări unice sau liste separate prin
virgule și pot utiliza operatorii de caracter joker și de negare descriși în secțiunea “MODELE”.
Criteriile pentru cuvântul cheie host sunt comparate cu numele gazdei țintă, după orice
substituție efectuată de opțiunile Hostname sau CanonicalizeHostname. Cuvântul cheie
originalhost se compară cu numele gazdei așa cum a fost specificat în linia de comandă.
Cuvântul cheie tagged se potrivește cu un nume de etichetă specificat printr-o directivă Tag
anterioară sau în linia de comandă ssh(1) folosind marcajul -P. Cuvântul cheie command
corespunde comenzii la distanță care a fost solicitată sau numelui subsistemului care este
invocat (de exemplu, "sftp" pentru o sesiune SFTP). Șirul gol va corespunde cazului în care nu a
fost specificată o comandă sau o etichetă, de exemplu: ‘Match tag „”’. Cuvântul cheie version
se potrivește cu șirul de versiuni al ssh(1), de exemplu “OpenSSH_10.0”.
Cuvântul cheie user se potrivește cu numele de utilizator țintă de pe gazda la distanță. Cuvântul
cheie localuser se potrivește cu numele utilizatorului local care rulează ssh(1) (acest cuvânt
cheie poate fi util în fișierele ssh_config la nivel de sistem).
În sfârșit, cuvântul-cheie sessiontype corespunde tipului de sesiune solicitat, care poate fi
unul dintre shell pentru sesiunile interactive, exec pentru sesiunile de execuție a comenzilor,
subsystem pentru invocările subsistemelor, cum ar fi sftp(1), sau none pentru sesiunile de doar
transport, cum ar fi atunci când ssh(1) este inițiat cu fanionul -N.
AddKeysToAgent
Specifică dacă cheile ar trebui adăugate automat la un ssh-agent(1) în execuție. Dacă această
opțiune este stabilită la yes și o cheie este încărcată dintr-un fișier, cheia și fraza de acces
a acesteia sunt adăugate la agent cu durata de viață implicită, ca și cum ar fi efectuate de
ssh-add(1). Dacă această opțiune este stabilită la ask, ssh(1) va solicita confirmarea folosind
programul SSH_ASKPASS înainte de adăugarea unei chei (a se vedea ssh-add(1) pentru detalii). Dacă
această opțiune este stabilită la confirm, fiecare utilizare a cheii trebuie confirmată, ca și
cum opțiunea -c ar fi specificată la ssh-add(1). Dacă această opțiune este stabilită la no, nu
se adaugă nicio cheie la agent. Alternativ, această opțiune poate fi specificată ca un interval
de timp folosind formatul descris în secțiunea “FORMATE DE TIMP” din sshd_config(5) pentru a
specifica durata de viață a cheii în ssh-agent(1), după care aceasta va fi eliminată automat.
Argumentul trebuie să fie no (implicit), yes, confirm (urmat opțional de un interval de timp),
ask sau un interval de timp.
AddressFamily
Specifică familia de adrese care trebuie utilizată la conectare. Argumentele valide sunt any
(implicit), inet (utilizează numai IPv4) sau inet6 (utilizează numai IPv6).
BatchMode
Dacă este stabilită la yes, interacțiunea cu utilizatorul, cum ar fi solicitările de parolă și de
confirmare a cheii de gazdă, va fi dezactivată. În plus, opțiunea ServerAliveInterval va fi
stabilită implicit la 300 de secunde (specific Debian). Această opțiune este utilă în scripturi
și alte lucrări pe loturi în care nu este prezent niciun utilizator care să interacționeze cu
ssh(1) și în care este de dorit să se detecteze rapid o rețea defectă. Argumentul trebuie să fie
yes sau no (implicit).
BindAddress
Utilizează adresa specificată pe calculatorul local ca adresă sursă a conexiunii. Util numai pe
sistemele cu mai multe adrese.
BindInterface
Utilizează adresa interfeței specificate pe calculatorul local ca adresă sursă a conexiunii.
CanonicalDomains
Când CanonicalizeHostname este activată, această opțiune specifică lista de sufixe de domeniu în
care se caută gazda de destinație specificată.
CanonicalizeFallbackLocal
Specifică dacă să eșueze cu o eroare atunci când canonicalizarea numelui de gazdă eșuează.
Valoarea implicită, yes, va încerca să caute numele de gazdă necalificat utilizând regulile de
căutare ale rezolvatorului de sistem. O valoare de no va determina ssh(1) să eșueze instantaneu
dacă CanonicalizeHostname este activată și numele de gazdă țintă nu poate fi găsit în niciunul
dintre domeniile specificate de CanonicalDomains.
CanonicalizeHostname
Controlează dacă se efectuează canonicalizarea explicită a numelui de gazdă. Valoarea implicită,
no, este de a nu efectua nicio rescriere a numelui și de a lăsa rezolvatorul de sistem să se
ocupe de toate căutările numelui de gazdă. Dacă este stabilită la yes, atunci, pentru conexiunile
care nu utilizează ProxyCommand sau ProxyJump, ssh(1) va încerca să canonicalizeze numele de
gazdă specificat în linia de comandă utilizând sufixele CanonicalDomains și regulile
CanonicalizePermittedCNAMEs. Dacă CanonicalizeHostname este stabilită la always, atunci
canonicalizarea este aplicată de asemenea conexiunilor prin proxy.
Dacă această opțiune este activată, fișierele de configurare sunt procesate din nou utilizând
noul nume țintă pentru a prelua orice configurație nouă din strofele (secțiunile) Host și Match
corespunzătoare. O valoare none dezactivează utilizarea unei gazde de salt ProxyJump.
CanonicalizeMaxDots
Specifică numărul maxim de caractere punct într-un nume de gazdă înainte ca canonizarea să fie
dezactivată. Valoarea implicită, 1, permite un singur punct (adică: nume-gazdă.subdomeniu).
CanonicalizePermittedCNAMEs
Specifică reguli pentru a determina dacă CNAME-urile trebuie respectate la canonicalizarea
numelor de gazdă. Regulile constau în unul sau mai multe argumente de tipul
source_domain_list:target_domain_list, unde source_domain_list este o listă-model de domenii care
pot urma CNAME-urile în canonicalizare, iar target_domain_list este o listă-model de domenii la
care acestea se pot rezolva.
De exemplu, "*.a.example.com:*.b.example.com,*.c.example.com" va permite ca numele de gazdă care
corespund cu "*.a.example.com" să fie canonizate în nume din domeniile "*.b.example.com" sau
"*.c.example.com".
Un singur argument "none" face ca niciun CNAME să nu fie luat în considerare pentru canonizare.
Acesta este comportamentul implicit.
CASignatureAlgorithms
Specifică ce algoritmi sunt permiși pentru semnarea certificatelor de către autoritățile de
certificare (CA). Valoarea implicită este:
ssh-ed25519,ecdsa-sha2-nistp256,
ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
Dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii specificați vor fi adăugați
la setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘-’,
atunci algoritmii specificați (inclusiv caracterele joker) vor fi eliminați din setul implicit în
loc să fie înlocuiți.
ssh(1) nu va accepta certificate de gazdă semnate folosind alți algoritmi decât cei specificați.
CertificateFile
Specifică un fișier din care este citit certificatul utilizatorului. O cheie privată
corespunzătoare trebuie furnizată separat pentru a utiliza acest certificat fie dintr-o directivă
IdentityFile, fie dintr-un indicator -i către ssh(1), prin ssh-agent(1) sau prin PKCS11Provider
sau SecurityKeyProvider.
Argumentele pentru CertificateFile pot utiliza sintaxa tilde pentru a face referire la directorul
personal al utilizatorului, la simbolurile descrise în secțiunea “SIMBOLURI” și la variabilele de
mediu descrise în secțiunea “VARIABILE DE MEDIU”.
Este posibil să se specifice mai multe fișiere de certificate în fișierele de configurare; aceste
certificate vor fi încercate în ordine. Mai multe directive CertificateFile vor fi adăugate la
lista de certificate utilizate pentru autentificare.
ChannelTimeout
Specifică dacă și cât de repede ssh(1) trebuie să închidă canalele inactive. Timpii de așteptare
sunt specificați ca una sau mai multe perechi “tip=interval” separate prin spații albe, unde
“tip” trebuie să fie cuvântul cheie special “global” sau un nume de tip de canal din lista de mai
jos, conținând opțional caractere joker.
Valoarea timpului de așteptare “interval” este specificată în secunde sau poate utiliza oricare
dintre unitățile documentate în secțiunea “FORMATE DE TIMP”. De exemplu, “session=5m” ar face ca
sesiunile interactive să se încheie după cinci minute de inactivitate. Specificarea unei valori
zero dezactivează limita de timp pentru inactivitate.
Timpul de așteptare special “global” se aplică tuturor canalelor active, luate împreună. Traficul
pe orice canal activ va reinițializa timpul de așteptare, dar atunci când timpul de așteptare
expiră, toate canalele deschise vor fi închise. Rețineți că acest timp limită global nu este
compatibil cu caracterele joker și trebuie să fie specificat explicit.
Numele tipurilor de canal disponibile includ:
agent-connection
Deschide conexiuni către ssh-agent(1).
direct-tcpip, direct-streamlocal@openssh.com
Deschide conexiuni TCP sau soclu Unix (respectiv) care au fost stabilite de la o
redirecționare locală ssh(1), adică LocalForward sau DynamicForward.
forwarded-tcpip, forwarded-streamlocal@openssh.com
Deschide conexiuni TCP sau soclu Unix (respectiv) care au fost stabilite la un sshd(8)
care ascultă în numele unui ssh(1) de redirecționare la distanță, și anume RemoteForward.
session
Sesiunea principală interactivă, inclusiv sesiunea shell, executarea comenzilor, scp(1),
sftp(1), etc.
tun-connection
Deschide conexiuni TunnelForward.
x11-connection
Deschide sesiuni de redirecționare X11.
Rețineți că, în toate cazurile de mai sus, terminarea unei sesiuni inactive nu garantează
eliminarea tuturor resurselor asociate sesiunii, de exemplu, procesele shell sau clienții X11
referitoare la sesiune pot continua să se execute.
În plus, terminarea unui canal sau a unei sesiuni inactive nu închide neapărat conexiunea SSH și
nici nu împiedică un client să solicite un alt canal de același tip. În special, încetarea unei
sesiuni de redirecționare inactive nu împiedică crearea ulterioară a unei alte redirecționări
identice.
Valoarea implicită este de a nu expira canalele de orice tip pentru inactivitate.
CheckHostIP
Dacă este stabilită la yes, ssh(1) va verifica suplimentar adresa IP a gazdei în fișierul
known_hosts. Acest lucru îi permite să detecteze dacă o cheie de gazdă s-a schimbat din cauza
falsificării DNS și va adăuga adresele gazdelor de destinație la ~/.ssh/known_hosts în acest
proces, indiferent de configurarea StrictHostKeyChecking. Dacă opțiunea este stabilită la no
(implicit), verificarea nu va fi executată.
Ciphers
Specifică cifrurile permise și ordinea lor de preferință. Cifrurile multiple trebuie să fie
separate prin virgule. Dacă lista specificată începe cu un caracter ‘+’, atunci cifrurile
specificate vor fi adăugate la setul implicit în loc să le înlocuiască. Dacă lista specificată
începe cu un caracter ‘-’, atunci cifrurile specificate (inclusiv cele specificate cu caractere
joker) vor fi eliminate din setul implicit în loc să le înlocuiască. Dacă lista specificată
începe cu un caracter ‘^’, atunci cifrurile specificate vor fi plasate la începutul setului
implicit.
Cifrurile acceptate sunt:
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
Valoarea implicită este:
chacha20-poly1305@openssh.com,
aes128-gcm@openssh.com,aes256-gcm@openssh.com,
aes128-ctr,aes192-ctr,aes256-ctr
Lista cifrurilor disponibile poate fi de asemenea obținută utilizând "ssh -Q cipher".
ClearAllForwardings
Specifică ștergerea tuturor redirecționărilor de port locale, la distanță și dinamice specificate
în fișierele de configurare sau în linia de comandă. Această opțiune este utilă în principal
atunci când este utilizată din linia de comandă ssh(1) pentru a șterge redirecționările de port
stabilite în fișierele de configurare și este definită automat de scp(1) și sftp(1). Argumentul
trebuie să fie yes sau no (implicit).
Compression
Specifică dacă se utilizează comprimarea. Argumentul trebuie să fie yes sau no (implicit).
ConnectionAttempts
Specifică numărul de încercări (una pe secundă) care trebuie efectuate înainte de ieșire.
Argumentul trebuie să fie un număr întreg. Acest lucru poate fi util în scripturi dacă conexiunea
eșuează uneori. Valoarea implicită este 1.
ConnectTimeout
Specifică timpul de așteptare (în secunde) utilizat la conectarea la serverul SSH, în loc să
utilizeze timpul de așteptare TCP implicit al sistemului. Acest timp de așteptare se aplică atât
la stabilirea conexiunii, cât și la efectuarea negocierii inițiale a protocolului SSH și a
schimbului de chei. SetupTimeOut este un alias de compatibilitate specific Debian pentru această
opțiune.
ControlMaster
Activează partajarea mai multor sesiuni pe o singură conexiune de rețea. Atunci când este
stabilită la yes, ssh(1) va asculta conexiunile pe un soclu de control specificat utilizând
argumentul ControlPath. Alte sesiuni se pot conecta la acest soclu folosind același ControlPath
cu ControlMaster stabilită la no (implicit). Aceste sesiuni vor încerca să reutilizeze conexiunea
de rețea a instanței principale în loc să inițieze conexiuni noi, dar vor reveni la conectarea
normală dacă soclul de control nu există sau nu este ascultat.
Stabilirea acestei valori la ask va determina ssh(1) să asculte conexiunile de control, dar va
necesita confirmare utilizând ssh-askpass(1). Dacă ControlPath nu poate fi deschis, ssh(1) va
continua fără a se conecta la o instanță master (principală).
Redirecționarea X11 și ssh-agent(1) este acceptată pe aceste conexiuni multiplexate, însă
afișarea și agentul redirecționate vor fi cele aparținând conexiunii master, adică nu este
posibilă redirecționarea mai multor afișări sau agenți.
Două opțiuni suplimentare permit multiplexarea oportunistă: încearcă să utilizeze o conexiune
master, dar revine la crearea uneia noi dacă nu există deja una. Aceste opțiuni sunt: auto și
autoask. Cea din urmă necesită confirmare, la fel ca opțiunea ask.
ControlPath
Specifică ruta către soclul de control utilizat pentru partajarea conexiunii, astfel cum este
descris în secțiunea ControlMaster de mai sus sau șirul none pentru a dezactiva partajarea
conexiunii. Argumentele pentru ControlPath pot utiliza sintaxa tilde pentru a se referi la
directorul personal al unui utilizator, la simbolurile descrise în secțiunea “SIMBOLURI” și la
variabilele de mediu descrise în secțiunea “VARIABILE DE MEDIU”. Se recomandă ca orice
ControlPath utilizat pentru partajarea oportunistă a conexiunilor să includă cel puțin %h, %p și
%r (sau alternativ %C) și să fie plasat într-un director care nu poate fi scris de alți
utilizatori. Acest lucru asigură că conexiunile partajate sunt identificate în mod unic.
ControlPersist
Atunci când este utilizată împreună cu ControlMaster, specifică faptul că conexiunea master
(principală) ar trebui să rămână deschisă în fundal (așteptând viitoarele conexiuni client) după
ce conexiunea client inițială a fost închisă. Dacă este stabilită la no (valoarea implicită),
atunci conexiunea master nu va fi plasată în fundal și se va închide de îndată ce conexiunea
client inițială este închisă. Dacă este stabilită la yes sau 0, conexiunea principală va rămâne
în fundal pe termen nelimitat (până când este ucisă sau închisă prin intermediul unui mecanism
precum "ssh -O exit"). Dacă este definită la un timp în secunde sau un timp în oricare dintre
formatele documentate în sshd_config(5), atunci conexiunea principală din fundal se va încheia
automat după ce a rămas inactivă (fără conexiuni client) pentru timpul specificat.
DynamicForward
Specifică faptul că un port TCP de pe calculatorul local va fi redirecționat prin canalul
securizat, iar protocolul aplicației este apoi utilizat pentru a determina unde să se conecteze
la calculatorul de la distanță.
Argumentul trebuie să fie [bind_address:]port. Adresele IPv6 pot fi specificate prin includerea
adreselor între paranteze drepte. În mod implicit, portul local este legat în conformitate cu
configurarea GatewayPorts. Cu toate acestea, se poate utiliza un bind_address explicit pentru a
lega conexiunea la o anumită adresă. bind_address de localhost indică faptul că portul de
ascultare trebuie legat numai pentru uz local, în timp ce o adresă goală sau ‘*’ indică faptul că
portul trebuie să fie disponibil de pe toate interfețele.
În prezent sunt acceptate protocoalele SOCKS4 și SOCKS5, iar ssh(1) va funcționa ca server SOCKS.
Se pot specifica mai multe redirecționări, iar redirecționări suplimentare pot fi specificate în
linia de comandă. Numai superutilizatorul poate redirecționa porturi privilegiate.
EnableEscapeCommandline
Activează opțiunea liniei de comandă din meniul EscapeChar pentru sesiunile interactive (implicit
‘~C’). Implicit, linia de comandă este dezactivată.
EnableSSHKeysign
Stabilirea acestei opțiuni la yes în fișierul de configurare globală a clientului
/etc/ssh/ssh_config permite utilizarea programului auxiliar ssh-keysign(8) în timpul
HostbasedAuthentication. Argumentul trebuie să fie yes sau no (implicit). Această opțiune
trebuie plasată în secțiunea non-hostspecific. Consultați ssh-keysign(8) pentru mai multe
informații.
EscapeChar
Definește caracterul de eludare (implicit: ‘~’). Caracterul de eludare poate fi definit și în
linia de comandă. Argumentul trebuie să fie un singur caracter, ‘^’ urmat de o literă, sau none
pentru a dezactiva complet caracterul de eludare (făcând conexiunea transparentă pentru datele
binare).
ExitOnForwardFailure
Specifică dacă ssh(1) ar trebui să încheie conexiunea în cazul în care nu poate configura toate
redirecționările de port dinamice, de tunel, locale și la distanță solicitate (de exemplu, dacă
oricare dintre capete nu se poate lega și asculta pe un port specificat). Rețineți că
ExitOnForwardFailure nu se aplică conexiunilor realizate prin redirecționări de port și, de
exemplu, nu va determina ssh(1) să iasă dacă conexiunile TCP la destinația finală de
redirecționare eșuează. Argumentul trebuie să fie yes sau no (implicit).
FingerprintHash
Specifică algoritmul de sumă de control utilizat la afișarea amprentelor cheilor. Opțiunile
valide sunt: md5 și sha256 (implicit).
ForkAfterAuthentication
Solicită ssh să treacă în fundal chiar înainte de executarea comenzii. Acest lucru este util în
cazul în care ssh va solicita parole sau fraze de acces, dar utilizatorul îl dorește în fundal.
Aceasta presupune ca opțiunea de configurare StdinNull să fie stabilită la “yes”. Modul
recomandat de a porni programe X11 la distanță este ceva precum ssh -f host xterm, care este
același cu ssh host xterm dacă opțiunea de configurare ForkAfterAuthentication este stabilită la
“yes”.
If the ExitOnForwardFailure configuration option is set to “yes”, then a client started with the
ForkAfterAuthentication configuration option being set to “yes” will wait for all remote port
forwards to be successfully established before placing itself in the background. The argument to
this keyword must be yes (same as the -f option) or no (the default).
ForwardAgent
Specifică dacă conexiunea la agentul de autentificare (dacă există) va fi redirecționată către
mașina de la distanță. Argumentul poate fi yes, no (implicit), o rută explicită către un soclu
de agent sau numele unei variabile de mediu (începând cu ‘$’) în care să se găsească ruta.
Redirecționarea agentului trebuie să fie activată cu precauție. Utilizatorii care au capacitatea
de a ocoli permisiunile de fișier pe gazda de la distanță (pentru soclul de domeniu Unix al
agentului) pot accesa agentul local prin conexiunea redirecționată. Un atacator nu poate obține
materiale cheie de la agent, însă poate efectua operații asupra cheilor care îi permit să se
autentifice folosind identitățile încărcate în agent.
ForwardX11
Specifică dacă conexiunile X11 vor fi redirecționate automat prin canalul securizat și
configurează DISPLAY. Argumentul trebuie să fie yes sau no (implicit).
Redirecționarea X11 trebuie să fie activată cu precauție. Utilizatorii care au capacitatea de a
ocoli permisiunile de fișier pe gazda de la distanță (pentru baza de date de autorizare X11 a
utilizatorului) pot accesa afișajul X11 local prin conexiunea redirecționată. Un atacator poate
fi capabil să efectueze activități precum monitorizarea apăsării tastelor dacă opțiunea
ForwardX11Trusted este, de asemenea, activată.
ForwardX11Timeout
Specifică un timp de așteptare pentru redirecționarea X11 nesigură utilizând formatul descris în
secțiunea “TIME FORMATS” din sshd_config(5). Conexiunile X11 primite de ssh(1) după acest timp
vor fi refuzate. Stabilirea lui ForwardX11Timeout la zero va dezactiva timpul de așteptare și va
permite redirecționarea X11 pe durata de viață a conexiunii. Valoarea implicită este
dezactivarea transmiterii X11 nesigure după expirarea a douăzeci de minute.
ForwardX11Trusted
Dacă această opțiune este stabilită la yes (implicit pentru Debian), clienții X11 la distanță vor
avea acces complet la afișajul X11 original.
Dacă această opțiune este stabilită la no (implicit), clienții X11 de la distanță vor fi
considerați nesiguri și împiedicați să fure sau să falsifice date aparținând clienților X11 de
încredere. În plus, jetonul xauth(1) utilizat pentru sesiune va fi configurat să expire după 20
de minute. Clienților de la distanță li se va refuza accesul după această perioadă.
Consultați specificația extensiei „X11 SECURITY” pentru detalii complete privind restricțiile
impuse clienților care nu sunt de încredere.
GatewayPorts
Specifică dacă gazdele de la distanță sunt autorizate să se conecteze la porturile locale
redirecționate În mod implicit, ssh(1) leagă redirecționările porturilor locale la adresa
loopback. Acest lucru împiedică alte gazde de la distanță să se conecteze la porturile
redirecționate. GatewayPorts poate fi utilizată pentru a specifica faptul că ssh ar trebui să
lege redirecționările porturilor locale la adresa substituentă permițând astfel gazdelor de la
distanță să se conecteze la porturile redirecționate. Argumentul trebuie să fie yes sau no
(implicit).
GlobalKnownHostsFile
Specifică unul sau mai multe fișiere care vor fi utilizate pentru baza de date globală a cheilor
gazdă, separate prin spații. Implicit este /etc/ssh/ssh_known_hosts, /etc/ssh/ssh_known_hosts2.
GSSAPIAuthentication
Specifică dacă este permisă autentificarea utilizatorului bazată pe GSSAPI. Valoarea implicită
este no.
GSSAPIClientIdentity
Dacă este definită, specifică identitatea clientului GSSAPI pe care ssh trebuie să o utilizeze la
conectarea la server. Valoarea implicită este nedefinită, ceea ce înseamnă că va fi utilizată
identitatea implicită.
GSSAPIDelegateCredentials
Redirecționează (deleagă) acreditările către server. Valoarea implicită este no.
GSSAPIKeyExchange
Specifică dacă poate fi utilizat schimbul de chei bazat pe GSSAPI. Atunci când se utilizează
schimbul de chei GSSAPI, serverul nu trebuie să aibă o cheie de gazdă. Valoarea implicită este
“no”.
GSSAPIRenewalForcesRekey
Dacă este stabilită la “yes”, reînnoirea acreditărilor GSSAPI ale clientului va forța reînnoirea
cheii conexiunii ssh. Cu un server compatibil, acest lucru va delega acreditările reînnoite către
o sesiune pe server.
Se efectuează verificări pentru a se asigura că acreditările sunt propagate numai atunci când
noile acreditări corespund cu cele vechi de pe clientul de origine și când serverul destinatar
încă mai are setul vechi în memoria cache.
Valoarea implicită este “no”.
Pentru ca acest lucru să funcționeze, GSSAPIKeyExchange trebuie să fie activată pe server și
utilizată și de client.
GSSAPIServerIdentity
Dacă este definită, specifică identitatea serverului GSSAPI pe care ssh trebuie să o aștepte
atunci când se conectează la server. Valoarea implicită este nedefinită, ceea ce înseamnă că
identitatea serverului GSSAPI așteptată va fi determinată din numele gazdei țintă.
GSSAPITrustDns
Definită ca “yes” pentru a indica faptul că DNS-ul este de încredere pentru a canoniza în mod
securizat numele gazdei la care se conectează. Dacă este definită ca “no”, numele gazdei introdus
în linia de comandă va fi transmis nemodificat către biblioteca GSSAPI. Valoarea implicită este
“no”.
GSSAPIKexAlgorithms
Lista algoritmilor de schimb de chei care sunt oferiți pentru schimbul de chei GSSAPI. Valorile
posibile sunt
gss-gex-sha1-,
gss-group1-sha1-,
gss-group14-sha1-,
gss-group14-sha256-,
gss-group16-sha512-,
gss-nistp256-sha256-,
gss-curve25519-sha256-
:ista implicită este
“gss-group14-sha256-,gss-group16-sha512-,gss-nistp256-sha256-,gss-curve25519-sha256-,gss-gex-sha1-,gss-group14-sha1-”.
Această opțiune se aplică numai conexiunilor care utilizează GSSAPI.
HashKnownHosts
Indică faptul că ssh(1) trebuie să transforme numele și adresele de gazdă în sume de control
(hash) atunci când acestea sunt adăugate la ~/.ssh/known_hosts. Aceste nume convertite în sume
control pot fi utilizate în mod normal de către ssh(1) și sshd(8), dar ele nu dezvăluie vizual
informații de identificare dacă conținutul fișierului este divulgat. Valoarea implicită este no.
Rețineți că numele și adresele existente în fișierele de gazde cunoscute nu vor fi convertite
automat, dar pot fi convertite manual folosind ssh-keygen(1). Utilizarea acestei opțiuni poate
întrerupe facilități precum completarea cu ajutorul tastei «Tab» care se bazează pe citirea
numelor de gazde „traduse” din ~/.ssh/known_hosts.
HostbasedAcceptedAlgorithms
Specifică algoritmii de semnătură care vor fi utilizați pentru autentificarea bazată pe gazdă ca
o listă de modele separate prin virgule. Alternativ, dacă lista specificată începe cu un caracter
‘+’, atunci algoritmii de semnătură specificați vor fi adăugați la setul implicit în loc să fie
înlocuiți. Dacă lista specificată începe cu un caracter ‘-’, atunci algoritmii de semnătură
specificați (inclusiv cei specificați cu caractere joker) vor fi eliminați din setul implicit în
loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘^’, atunci algoritmii de
semnătură specificați vor fi plasați la începutul setului implicit. Valoarea implicită pentru
această opțiune este:
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
Opțiunea -Q din ssh(1) poate fi utilizată pentru a afișa lista algoritmilor de semnătură
acceptați. Aceasta se numea anterior „HostbasedKeyTypes”.
HostbasedAuthentication
Specifică dacă se va încerca autentificarea bazată pe rhosts (gazdele de la distanță) cu
autentificare cu cheie publică. Argumentul trebuie să fie yes sau no (implicit).
HostKeyAlgorithms
Specifică algoritmii de semnare a cheii gazdă pe care clientul dorește să îi utilizeze în ordinea
preferințelor. Alternativ, dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii de
semnătură specificați vor fi adăugați la setul implicit în loc să fie înlocuiți. Dacă lista
specificată începe cu un caracter ‘-’, atunci algoritmii de semnătură specificați (inclusiv cei
specificați cu caractere joker) vor fi eliminați din setul implicit în loc să fie înlocuiți. Dacă
lista specificată începe cu un caracter ‘^’, atunci algoritmii de semnătură specificați vor fi
plasați la începutul setului implicit. Valoarea implicită pentru această opțiune este:
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ecdsa-sha2-nistp256@openssh.com,
sk-ssh-ed25519@openssh.com,
rsa-sha2-512,rsa-sha2-256
Dacă cheile de gazdă sunt cunoscute pentru gazda de destinație, atunci această valoare implicită
este modificată pentru a prefera algoritmii acestora.
Lista algoritmilor de semnătură disponibili poate fi de asemenea obținută utilizând "ssh -Q
HostKeyAlgorithms".
HostKeyAlias
Specifică un alias care trebuie utilizat în locul numelui real al gazdei atunci când se caută sau
se salvează cheia gazdei în fișierele bazei de date a cheilor gazdelor și când se validează
certificatele gazdelor. Această opțiune este utilă pentru tunelarea conexiunilor SSH sau pentru
mai multe servere care rulează pe o singură gazdă.
Hostname
Specifică numele real al gazdei la care se face conectarea. Aceasta poate fi utilizată pentru a
specifica porecle sau abrevieri pentru gazde. Argumentele pentru Hostname acceptă simbolurile
descrise în secțiunea “SIMBOLURI”. Adresele IP numerice sunt de asemenea permise (atât în linia
de comandă, cât și în specificațiile Hostname). Valoarea implicită este numele dat în linia de
comandă.
IdentitiesOnly
Specifică faptul că ssh(1) trebuie să utilizeze numai identitatea de autentificare și fișierele
de certificat configurate (fie fișierele implicite, fie cele configurate explicit în fișierele
ssh_config sau pasate în linia de comandă ssh(1)), chiar dacă ssh-agent(1) sau un PKCS11Provider
sau SecurityKeyProvider oferă mai multe identități. Argumentul acestui cuvânt cheie trebuie să
fie yes sau no (implicit). Această opțiune este destinată situațiilor în care ssh-agent oferă
multe identități diferite.
IdentityAgent
Specifică soclul Unix-domain utilizat pentru comunicarea cu agentul de autentificare.
Această opțiune prevalează asupra variabilei de mediu SSH_AUTH_SOCK și poate fi utilizată pentru
a selecta un anumit agent. Stabilirea numelui soclului la none dezactivează utilizarea unui agent
de autentificare. Dacă este specificat șirul "SSH_AUTH_SOCK", locația soclului va fi citită din
variabila de mediu SSH_AUTH_SOCK. În caz contrar, dacă valoarea specificată începe cu un
caracter ‘$’, atunci aceasta va fi tratată ca o variabilă de mediu care conține locația soclului.
Argumentele pentru IdentityAgent pot utiliza sintaxa tilde pentru a face referire la directorul
personal al utilizatorului, la simbolurile descrise în secțiunea “SIMBOLURI” și la variabilele de
mediu descrise în secțiunea “VARIABILE DE MEDIU”.
IdentityFile
Specifică un fișier din care este citită identitatea de autentificare ECDSA, ECDSA găzduită de
autentificator, Ed25519, Ed25519 găzduită de autentificator sau RSA a utilizatorului. De
asemenea, puteți specifica un fișier de cheie publică pentru a utiliza cheia privată
corespunzătoare care este încărcată în ssh-agent(1) atunci când fișierul de cheie privată nu este
prezent local. Valoarea implicită este ~/.ssh/id_rsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk,
~/.ssh/id_ed25519 și ~/.ssh/id_ed25519_sk. În plus, toate identitățile reprezentate de agentul
de autentificare vor fi utilizate pentru autentificare, cu excepția cazului în care este activată
IdentitiesOnly. Dacă niciun certificat nu a fost specificat în mod explicit prin
CertificateFile, ssh(1) va încerca să încarce informații despre certificat din numele fișierului
obținut prin adăugarea -cert.pub la ruta unui IdentityFile specificat.
Argumentele pentru IdentityFile pot utiliza sintaxa tilde pentru a face referire la directorul
personal al utilizatorului sau la simbolurile descrise în secțiunea “SIMBOLURI”. Alternativ, se
poate utiliza argumentul none pentru a indica faptul că nu trebuie încărcate fișiere de
identitate.
Este posibil să se specifice mai multe fișiere de identitate în fișierele de configurare; toate
aceste identități vor fi încercate în ordine. Mai multe directive IdentityFile vor fi adăugate la
lista de identități încercate (acest comportament diferă de cel al altor directive de
configurare).
IdentityFile poate fi utilizată împreună cu IdentitiesOnly pentru a selecta identitățile dintr-un
agent care sunt oferite în timpul autentificării. IdentityFile poate fi utilizată și împreună cu
CertificateFile pentru a furniza orice certificat necesar pentru autentificarea cu identitatea.
IgnoreUnknown
Specifică o listă de modele de opțiuni necunoscute care vor fi ignorate dacă sunt întâlnite în
analiza configurației. Aceasta poate fi utilizată pentru a suprima erorile dacă ssh_config
conține opțiuni care nu sunt recunoscute de ssh(1). Se recomandă ca IgnoreUnknown să fie listată
la începutul fișierului de configurare, deoarece nu va fi aplicată opțiunilor necunoscute care
apar înaintea sa.
Include
Include fișierul (fișierele) de configurare specificat(e). Se pot specifica mai multe nume de
rută, iar fiecare nume de rută poate conține caractere joker glob(7), simboluri așa cum sunt
descrise în secțiunea “SIMBOLURI”, variabile de mediu așa cum sunt descrise în secțiunea
“VARIABILE DE MEDIU” și, pentru configurațiile de utilizator, referințe de tip shell ‘~’ la
directoarele personale ale utilizatorului. Caracterele joker vor fi expandate și procesate în
ordine lexicală. Se presupune că fișierele fără rute absolute se află în ~/.ssh dacă sunt incluse
într-un fișier de configurare utilizator sau /etc/ssh dacă sunt incluse în fișierul de
configurare al sistemului. Directiva Include poate apărea în interiorul unui bloc Match sau Host
pentru a efectua includerea condiționată.
IPQoS Specifică tipul de serviciu IPv4 sau clasa DSCP pentru conexiune. Valorile acceptate sunt af11,
af12, af13, af21, af22, af23, af31, af32, af33, af41, af42, af43, cs0, cs1, cs2, cs3, cs4, cs5,
cs6, cs7, ef, le, lowdelay, throughput, reliability, o valoare numerică sau none pentru a utiliza
valoarea implicită a sistemului de operare. Această opțiune poate primi unul sau două argumente,
separate printr-un spațiu alb. Dacă este specificat un argument, acesta este utilizat
necondiționat ca clasă de pachete. Dacă sunt specificate două valori, prima este selectată
automat pentru sesiunile interactive și a doua pentru sesiunile non-interactive. Valoarea
implicită este lowdelay pentru sesiunile interactive și throughput pentru sesiunile non-
interactive.
KbdInteractiveAuthentication
Specifică dacă se utilizează autentificarea interactivă prin tastatură. Argumentul pentru acest
cuvânt cheie trebuie să fie yes (implicit) sau no. ChallengeResponseAuthentication este un alias
învechit pentru acesta.
KbdInteractiveDevices
Specifică lista de metode care urmează să fie utilizate în autentificarea interactivă de la
tastatură. Numele mai multor metode trebuie să fie separate prin virgule. Metoda implicită este
de a utiliza lista specificată de server. Metodele disponibile variază în funcție de ceea ce
acceptă serverul. Pentru un server OpenSSH, acestea pot fi zero sau mai multe dintre: bsdauth și
pam.
KexAlgorithms
Specifică algoritmii KEX (Key Exchange) permiși care vor fi utilizați și ordinea lor de
preferință. Algoritmul selectat va fi primul algoritm din această listă pe care serverul îl
acceptă. Algoritmii multipli trebuie separați prin virgule.
Dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii specificați vor fi adăugați
la setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘-’,
atunci algoritmii specificați (inclusiv cei secificați cu caractere joker) vor fi eliminați din
setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘^’, atunci
algoritmii specificați vor fi plasați la începutul setului implicit.
Valoarea implicită este:
mlkem768x25519-sha256,
sntrup761x25519-sha512,sntrup761x25519-sha512@openssh.com,
curve25519-sha256,curve25519-sha256@libssh.org,
ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
diffie-hellman-group-exchange-sha256,
diffie-hellman-group16-sha512,
diffie-hellman-group18-sha512,
diffie-hellman-group14-sha256
Lista algoritmilor de schimb de chei acceptați poate fi obținută și folosind "ssh -Q kex".
KnownHostsCommand
Specifică o comandă de utilizat pentru a obține o listă de chei de gazdă, în plus față de cele
enumerate în UserKnownHostsFile și GlobalKnownHostsFile. Această comandă este executată după ce
fișierele au fost citite. Aceasta poate scrie linii de chei de gazdă la ieșirea standard în
format identic cu cel al fișierelor obișnuite (descrise în secțiunea “VERIFYING HOST KEYS” din
ssh(1)). Argumentele pentru KnownHostsCommand acceptă simbolurile descrise în secțiunea
“SIMBOLURI”. Comanda poate fi invocată de mai multe ori pe conexiune: o dată la pregătirea
listei de preferințe a algoritmilor de chei de gazdă de utilizat, din nou pentru a obține cheia
de gazdă pentru numele de gazdă solicitat și, dacă CheckHostIP este activată, încă o dată pentru
a obține cheia de gazdă corespunzătoare adresei serverului. Dacă comanda iese în mod anormal sau
returnează o stare de ieșire diferită de zero, conexiunea este încheiată.
LocalCommand
Specifică o comandă care trebuie executată pe mașina locală după conectarea cu succes la server.
Șirul de comandă se extinde până la sfârșitul liniei și este executat cu shell-ul utilizatorului.
Argumentele pentru LocalCommand acceptă simbolurile descrise în secțiunea “SIMBOLURI”.
Comanda este executată sincron și nu are acces la sesiunea ssh(1) care a generat-o. Nu trebuie
utilizată pentru comenzi interactive.
Această directivă este ignorată, cu excepția cazului în care PermitLocalCommand a fost activată.
LocalForward
Specifică ca un port TCP sau un soclu de domeniu Unix de pe mașina locală să fie transmis prin
canalul securizat către gazda și portul specificate (sau soclul de domeniu Unix) de pe mașina de
la distanță. Pentru un port TCP, primul argument trebuie să fie [bind_address:]port sau o rută
de soclu de domeniu Unix. Al doilea argument este destinația și poate fi host:hostport sau o
rută de soclu de domeniu Unix dacă gazda de la distanță o acceptă.
Adresele IPv6 pot fi specificate prin încadrarea adreselor între paranteze drepte.
Dacă vreunul dintre argumente conține un caracter „/”, acel argument va fi interpretat ca un
soclu de domeniu Unix (pe gazda respectivă) și nu ca un port TCP.
Pot fi specificate mai multe redirecționări, iar redirecționările suplimentare pot fi specificate
în linia de comandă. Numai superutilizatorul poate redirecționa porturi privilegiate. În mod
implicit, portul local este legat în conformitate cu configurația GatewayPorts. Cu toate
acestea, poate fi utilizat un bind_address explicit pentru a lega conexiunea la o anumită adresă.
bind_address de localhost indică faptul că portul de ascultare este legat numai pentru uz local,
în timp ce o adresă goală sau ‘*’ indică faptul că portul ar trebui să fie disponibil de la toate
interfețele. Rutele de soclu de domeniu Unix pot utiliza simbolurile descrise în secțiunea
“SIMBOLURI” și variabilele de mediu descrise în secțiunea “VARIABILE DE MEDIU”.
LogLevel
Oferă nivelul de detaliere utilizat la înregistrarea mesajelor din ssh(1). Valorile posibile
sunt: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 și DEBUG3. Valoarea implicită
este INFO. DEBUG și DEBUG1 sunt echivalente. DEBUG2 și DEBUG3 specifică fiecare niveluri mai
ridicate de ieșire informativă detaliată.
LogVerbose
Specifică una sau mai multe suprascrieri pentru LogLevel. O suprascriere constă într-una sau mai
multe liste de modele care se potrivesc cu fișierul sursă, funcția și numărul liniei pentru care
se impune înregistrarea detaliată. De exemplu, un model de suprascriere de:
kex.c:*:1000,*:kex_exchange_identification():*,packet.c:*
ar activa înregistrarea detaliată pentru linia 1000 din kex.c, tot ce se află în funcția
kex_exchange_identification() și tot codul din fișierul packet.c. Această opțiune este destinată
depanării și nicio modificare (suprascriere) nu este activată implicit.
MACs Specifică algoritmii MAC (cod de autentificare a mesajelor) disponibili. Algoritmul MAC este
utilizat pentru protecția integrității datelor. Algoritmii multipli trebuie să fie separați prin
virgule. Dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii specificați vor fi
adăugați la setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter
‘-’, atunci algoritmii specificați (inclusiv cei specificați cu caractere joker) vor fi eliminați
din setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘^’,
atunci algoritmii specificați vor fi plasați la începutul setului implicit.
Algoritmii care conțin "-etm" calculează MAC după criptare (criptare-apoi-mac -- „encrypt-then-
mac”). Aceștia sunt considerați mai siguri și se recomandă utilizarea lor.
Valoarea implicită este:
umac-64-etm@openssh.com,umac-128-etm@openssh.com,
hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,
hmac-sha1-etm@openssh.com,
umac-64@openssh.com,umac-128@openssh.com,
hmac-sha2-256,hmac-sha2-512,hmac-sha1
Lista algoritmilor MAC disponibili poate fi de asemenea obținută utilizând "ssh -Q mac".
NoHostAuthenticationForLocalhost
Dezactivează autentificarea gazdei pentru gazda locală „localhost” (adrese loopback). Argumentul
pentru acest cuvânt cheie trebuie să fie yes sau no (implicit).
NumberOfPasswordPrompts
Specifică numărul de solicitări de parolă înainte de a renunța. Argumentul pentru acest cuvânt
cheie trebuie să fie un număr întreg. Valoarea implicită este 3.
ObscureKeystrokeTiming
Specifică dacă ssh(1) ar trebui să încerce să ascundă timpii între apăsările tastelor de
observatorii pasivi ai traficului de rețea. Dacă este activată, atunci pentru sesiunile
interactive, ssh(1) va trimite tastele la intervale fixe de câteva zeci de milisecunde și va
trimite pachete false de tastare pentru o anumită perioadă de timp după încetarea tastării.
Argumentul acestui cuvânt cheie trebuie să fie yes, no sau un specificator de interval de forma
interval:milisecunde (de exemplu, interval:80 pentru 80 milisecunde). Valoarea implicită este
de a ascunde apăsările de taste folosind un interval de pachete de 20 ms. Rețineți că intervalele
mai mici vor duce la rate mai mari de pachete de apăsări de taste false.
PasswordAuthentication
Specifică dacă se utilizează autentificarea prin parolă. Argumentul pentru acest cuvânt cheie
trebuie să fie yes (implicit) sau no.
PermitLocalCommand
Permite executarea comenzilor locale prin opțiunea LocalCommand sau utilizând secvența de eludare
!comanda în ssh(1). Argumentul trebuie să fie yes sau no (implicit).
PermitRemoteOpen
Specifică destinațiile către care este permisă redirecționarea portului TCP la distanță atunci
când RemoteForward este utilizat ca proxy SOCKS. Specificația de redirecționare trebuie să aibă
una dintre următoarele forme:
PermitRemoteOpen gazdă:port
PermitRemoteOpen adresă-IPv4:port
PermitRemoteOpen [adresă-IPv6]:port
Se pot specifica mai multe redirecționări prin separarea lor cu un spațiu alb. Un argument de
tipul any poate fi utilizat pentru a elimina toate restricțiile și a permite orice cerere de
redirecționare. Un argument de tipul none poate fi utilizat pentru a interzice toate cererile de
redirecționare. Caracterul joker ‘*’ poate fi utilizat pentru gazdă sau port pentru a permite
toate gazdele, respectiv porturile. În caz contrar, nu se efectuează nicio potrivire de model sau
căutare de adrese pentru numele furnizate.
PKCS11Provider
Specifică furnizorul PKCS#11 care trebuie utilizat sau none pentru a indica faptul că nu trebuie
utilizat niciun furnizor (implicit). Argumentul pentru acest cuvânt cheie este o rută către
biblioteca partajată PKCS#11 ssh(1) care trebuie utilizată pentru a comunica cu un simbol PKCS#11
care furnizează chei pentru autentificarea utilizatorului.
Port Specifică numărul portului la care se va conecta la gazda de la distanță. Valoarea implicită este
22.
PreferredAuthentications
Specifică ordinea în care clientul trebuie să încerce metodele de autentificare. Acest lucru
permite clientului să prefere o metodă (de exemplu, keyboard-interactive) în detrimentul unei
alte metode (de exemplu, password). Valoarea implicită este:
gssapi-with-mic,hostbased,publickey,
keyboard-interactive,password
ProxyCommand
Specifică comanda care trebuie utilizată pentru conectarea la server. Șirul de comandă se
extinde până la sfârșitul liniei și este executat utilizând directiva ‘exec’ a shell-ului
utilizatorului pentru a evita un proces shell persistent.
Argumentele pentru ProxyCommand acceptă simbolurile descrise în secțiunea “SIMBOLURI”. Comanda
poate fi practic orice și ar trebui să citească de la intrarea sa standard și să scrie la ieșirea
sa standard. Ar trebui să conecteze în cele din urmă un server sshd(8) care rulează pe o anumită
mașină sau să execute sshd -i undeva. Gestionarea cheilor de gazdă se va face folosind Hostname
al gazdei conectate (implicit numele tastat de utilizator). Stabilirea comenzii la none
dezactivează complet această opțiune. Rețineți că CheckHostIP nu este disponibilă pentru
conexiunile cu o comandă proxy.
Această directivă este utilă în combinație cu nc(1) și suportul său proxy. De exemplu, următoarea
directivă s-ar conecta prin intermediul unui proxy HTTP la 192.0.2.0:
ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p
ProxyJump
Specifică unul sau mai multe proxy-uri de salt fie ca [user@]host[:port] sau un URI ssh. Mai
multe proxy-uri pot fi separate prin caractere virgulă și vor fi vizitate secvențial. Definirea
acestei opțiuni va determina ssh(1) să se conecteze la gazda țintă realizând mai întâi o
conexiune ssh(1) la gazda ProxyJump specificată și apoi stabilind de acolo o redirecționare TCP
către ținta finală. Stabilirea gazdei la none dezactivează complet această opțiune.
Rețineți că această opțiune va concura cu opțiunea ProxyCommand - cea care este specificată prima
va împiedica aplicarea celeilalte.
Rețineți, de asemenea, că configurația pentru gazda de destinație (furnizată fie prin linia de
comandă, fie prin fișierul de configurare) nu se aplică în general gazdelor de salt
(intermediare). ~/.ssh/config trebuie utilizat dacă este necesară o configurație specifică
pentru gazdele de salt.
ProxyUseFdpass
Specifică faptul că ProxyCommand va returna un descriptor de fișier conectat către ssh(1) în loc
să continue executarea și transmiterea datelor. Valoarea implicită este no.
PubkeyAcceptedAlgorithms
Specifică algoritmii de semnătură care vor fi utilizați pentru autentificarea cu cheie publică ca
o listă de modele separate prin virgule. Dacă lista specificată începe cu un caracter ‘+’, atunci
algoritmii de după acesta vor fi adăugați la algoritmul implicit în loc să îl înlocuiască. Dacă
lista specificată începe cu un caracter ‘-’, atunci algoritmii specificați (inclusiv cei
specificați cu caractere joker) vor fi eliminați din setul implicit în loc să fie înlocuiți. Dacă
lista specificată începe cu un caracter ‘^’, atunci algoritmii specificați vor fi plasați la
începutul setului implicit. Valoarea implicită pentru această opțiune este:
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
Lista algoritmilor de semnătură disponibili poate fi de asemenea obținută utilizând "ssh -Q
PubkeyAcceptedAlgorithms".
PubkeyAuthentication
Specifică dacă să se încerce autentificarea prin cheie publică. Argumentul acestui cuvânt cheie
trebuie să fie yes (implicit), no, unbound sau host-bound. Ultimele două opțiuni activează
autentificarea cu cheie publică și, respectiv, dezactivează sau activează extensia protocolului
de autentificare OpenSSH host-bound necesară pentru redirecționarea restricționată ssh-agent(1).
RekeyLimit
Specifică cantitatea maximă de date care pot fi transmise sau primite înainte ca cheia de sesiune
să fie renegociată, urmată opțional de o cantitate maximă de timp care poate trece înainte ca
cheia de sesiune să fie renegociată. Primul argument este specificat în octeți și poate avea un
sufix ‘K’, ‘M’ sau ‘G’ pentru a indica kiloocteți, megaocteți sau, respectiv, gigaocteți.
Valoarea implicită este între ‘1G’ și ‘4G’, în funcție de cifru. A doua valoare opțională este
specificată în secunde și poate utiliza oricare dintre unitățile documentate în secțiunea FORMATE
DE TIMP din sshd_config(5). Valoarea implicită pentru RekeyLimit este default none, ceea ce
înseamnă că rescrierea este efectuată după ce a fost trimisă sau primită cantitatea de date
implicită a cifrului și nu se efectuează rescrierea în funcție de timp.
RemoteCommand
Specifică o comandă care trebuie executată pe mașina de la distanță după conectarea cu succes la
server. Șirul de comandă se extinde până la sfârșitul liniei și este executat cu shell-ul
utilizatorului. Argumentele pentru RemoteCommand acceptă simbolurile descrise în secțiunea
“SIMBOLURI”.
RemoteForward
Specifică ca un port TCP sau un soclu de domeniu Unix de pe mașina de la distanță să fie
redirecționat pe canalul securizat. Portul de la distanță poate fi redirecționat fie către o
gazdă și un port specificate, fie către un soclu de domeniu Unix de pe mașina locală, sau poate
acționa ca un proxy SOCKS 4/5 care permite unui client de la distanță să se conecteze la
destinații arbitrare de pe mașina locală. Primul argument este specificația de ascultare și poate
fi [bind_address:]port sau, dacă gazda de la distanță o acceptă, o rută de soclu de domeniu Unix.
În cazul redirecționării către o destinație specifică, al doilea argument trebuie să fie
host:hostport sau o rută de soclu de domeniu Unix; în caz contrar, dacă nu este specificat niciun
argument de destinație, redirecționarea de la distanță va fi stabilită ca un proxy SOCKS. Atunci
când acționează ca un proxy SOCKS, destinația conexiunii poate fi restricționată prin
PermitRemoteOpen.
Adresele IPv6 pot fi specificate prin încadrarea adreselor între paranteze drepte.
Dacă vreunul dintre argumente conține un caracter „/”, acel argument va fi interpretat ca un
soclu de domeniu Unix (pe gazda respectivă) și nu ca un port TCP.
Pot fi specificate mai multe redirecționări, iar redirecționările suplimentare pot fi date în
linia de comandă. Porturile privilegiate pot fi redirecționate numai atunci când vă conectați ca
root pe mașina de la distanță. Rutele de soclu de domeniu Unix pot utiliza simbolurile descrise
în secțiunea “SIMBOLURI” și variabilele de mediu descrise în secțiunea “VARIABILE DE MEDIU”.
Dacă argumentul port este 0, portul de ascultare va fi alocat dinamic pe server și raportat
clientului în timpul rulării.
Dacă bind_address nu este specificată, implicit se face legătura numai cu adresele loopback. Dacă
bind_address este ‘*’ sau un șir de caractere gol, redirecționarea este solicitată să asculte pe
toate interfețele. Specificarea unei bind_address la distanță va reuși numai dacă opțiunea
GatewayPorts a serverului este activată (consultați sshd_config(5)).
RequestTTY
Specifică dacă se solicită un pseudo-tty pentru sesiune. Argumentul poate fi unul dintre
următoarele: no (nu se solicită niciodată un TTY), yes (se solicită întotdeauna un TTY când
intrarea standard este un TTY), force (se solicită întotdeauna un TTY) sau auto (se solicită un
TTY la deschiderea unei sesiuni de autentificare). Această opțiune reflectă fanioanele -t și -T
pentru ssh(1).
RequiredRSASize
Specifică dimensiunea minimă a cheii RSA (în biți) pe care ssh(1) o va accepta. Cheile de
autentificare ale utilizatorilor mai mici decât această limită vor fi ignorate. Serverele care
prezintă chei de gazdă mai mici decât această limită vor determina întreruperea conexiunii.
Valoarea implicită este 1024 biți. Rețineți că această limită poate fi mărită numai față de
valoarea implicită.
RevokedHostKeys
Specifică cheile publice revocate ale gazdei. Cheile enumerate în acest fișier vor fi refuzate
pentru autentificarea gazdei. Rețineți că, dacă acest fișier nu există sau nu poate fi citit,
atunci autentificarea gazdei va fi refuzată pentru toate gazdele. Cheile pot fi specificate sub
forma unui fișier text, care enumeră o cheie publică pe linie, sau sub forma unei liste de
revocare a cheilor OpenSSH (KRL), generată de ssh-keygen(1). Pentru mai multe informații despre
KRL-uri, consultați secțiunea LISTE DE REVOCARE A CHEILOR din ssh-keygen(1). Argumentele pentru
RevokedHostKeys pot utiliza sintaxa tilde pentru a se referi la directorul personal al unui
utilizator, la simbolurile descrise în secțiunea “SIMBOLURI” și la variabilele de mediu descrise
în secțiunea “VARIABILE DE MEDIU”.
SecurityKeyProvider
Specifică o rută către o bibliotecă care va fi utilizată la încărcarea oricăror chei găzduite de
autentificatorul FIDO, înlocuind opțiunea implicită de utilizare a suportului USB HID încorporat.
Dacă valoarea specificată începe cu caracterul ‘$’, atunci va fi tratată ca o variabilă de mediu
care conține ruta către bibliotecă.
SendEnv
Specifică cheile publice revocate ale gazdei. Cheile enumerate în acest fișier vor fi refuzate
pentru autentificarea gazdei. Rețineți că, dacă acest fișier nu există sau nu poate fi citit,
atunci autentificarea gazdei va fi refuzată pentru toate gazdele. Cheile pot fi specificate sub
forma unui fișier text, care enumeră o cheie publică pe linie, sau sub forma unei liste de
revocare a cheilor OpenSSH (KRL), generată de ssh-keygen(1). Specifică ce variabile din
environ(7) local trebuie trimise către server. Serverul trebuie, de asemenea, să le accepte, iar
serverul trebuie să fie configurat pentru a accepta aceste variabile de mediu. Rețineți că
variabila de mediu TERM este întotdeauna trimisă ori de câte ori este solicitat un pseudo-
terminal, deoarece este cerută de protocol. Consultați AcceptEnv în sshd_config(5) pentru modul
de configurare a serverului. Variabilele sunt specificate prin nume, care poate conține caractere
joker. Variabilele de mediu multiple pot fi separate prin spațiu alb sau distribuite pe mai multe
directive SendEnv.
Pentru mai multe informații despre modele, consultați secțiunea “MODELE”.
Este posibil să ștergeți numele variabilelor SendEnv definite anterior, prefixând modelele cu -.
Implicit, nu se trimit variabile de mediu.
ServerAliveCountMax
Stabilește numărul de mesaje alive pentru server (a se vedea mai jos) care pot fi trimise fără ca
ssh(1) să primească niciun mesaj înapoi de la server. Dacă acest prag este atins în timp ce se
trimit mesaje server alive, ssh se va deconecta de la server, închizând sesiunea. Este important
să rețineți că utilizarea mesajelor server alive este foarte diferită de TCPKeepAlive (mai jos).
Mesajele server alive sunt trimise prin canalul criptat și, prin urmare, nu vor putea fi
falsificate. Opțiunea TCP keepalive activată de TCPKeepAlive poate fi falsificată. Mecanismul
server alive este valoros atunci când clientul sau serverul depind de cunoașterea momentului în
care o conexiune nu mai răspunde.
Valoarea implicită este 3. Dacă, de exemplu, ServerAliveInterval (a se vedea mai jos) este
definită la 15 și ServerAliveCountMax este lăsată la valoarea implicită, dacă serverul nu mai
răspunde, ssh se va deconecta după aproximativ 45 de secunde.
ServerAliveInterval
Stabilește un interval de timp în secunde după care, dacă nu au fost primite date de la server,
ssh(1) va trimite un mesaj prin canalul criptat pentru a solicita un răspuns de la server.
Valoarea implicită este 0, indicând că aceste mesaje nu vor fi trimise către server, sau 300 dacă
opțiunea BatchMode este activată (specifică Debian). ProtocolKeepAlives este un alias de
compatibilitate specific Debian pentru această opțiune.
SessionType
Poate fi utilizată fie pentru a solicita invocarea unui subsistem pe sistemul de la distanță, fie
pentru a preveni executarea unei comenzi de la distanță. Aceasta din urmă este utilă doar pentru
redirecționarea porturilor. Argumentul acestui cuvânt cheie trebuie să fie none (la fel ca
opțiunea -N), subsystem (la fel ca opțiunea -s) sau default (execuție shell sau comandă).
SetEnv Specifică direct una sau mai multe variabile de mediu și conținutul acestora care urmează să fie
trimise serverului sub forma “NUME=VALOARE”. Similar cu SendEnv, cu excepția variabilei TERM,
serverul trebuie să fie pregătit să accepte variabila de mediu.
“VALOARE” poate utiliza simbolurile descrise în secțiunea “SIMBOLURI” și variabilele de mediu
descrise în secțiunea “VARIABILE DE MEDIU”.
StdinNull
Redirecționează stdin către /dev/null (de fapt, împiedică citirea din stdin). Această opțiune sau
opțiunea echivalentă -n trebuie utilizată atunci când ssh este rulat în fundal. Argumentul pentru
acest cuvânt cheie trebuie să fie yes (la fel ca opțiunea -n) sau no (implicit).
StreamLocalBindMask
Stabilește masca octală a modului de creare a fișierului (umask) utilizată la crearea unui fișier
soclu de domeniu Unix pentru redirecționarea porturilor locale sau la distanță. Această opțiune
este utilizată numai pentru redirecționarea porturilor către un fișier soclu de domeniu Unix.
Valoarea implicită este 0177, care creează un fișier soclu de domeniu Unix care poate fi citit și
scris numai de către proprietar. Rețineți că nu toate sistemele de operare respectă modul de
fișier al fișierelor soclu de domeniu Unix.
StreamLocalBindUnlink
Specifică dacă să se elimine un fișier de soclu de domeniu Unix existent pentru redirecționarea
portului local sau la distanță înainte de a crea unul nou. Dacă fișierul soclu există deja și
StreamLocalBindUnlink nu este activat, ssh nu va putea transmite portul către fișierul soclu de
domeniu Unix. Această opțiune este utilizată numai pentru redirecționarea portului către un
fișier soclu de domeniu Unix.
Argumentul trebuie să fie yes sau no (valoarea implicită).
StrictHostKeyChecking
Dacă acest fanion este stabilit la yes, ssh(1) nu va adăuga niciodată automat cheile de gazdă la
fișierul ~/.ssh/known_hosts și refuză să se conecteze la gazdele a căror cheie de gazdă s-a
schimbat. Acest lucru oferă protecție maximă împotriva atacurilor de tip man-in-the-middle
(MITM), deși poate fi enervant atunci când fișierul /etc/ssh/ssh_known_hosts este prost
întreținut sau când se fac frecvent conexiuni la gazde noi. Această opțiune obligă utilizatorul
să adauge manual toate gazdele noi.
Dacă acest fanion este definit la accept-new, ssh va adăuga automat noi chei de gazdă la fișierul
known_hosts al utilizatorului, dar nu va permite conexiunile la gazdele cu chei de gazdă
modificate. Dacă acest fanion este stabilit la no sau off, ssh va adăuga automat noi chei de
gazdă la fișierele de gazde cunoscute ale utilizatorului și va permite conexiunile la gazdele cu
chei de gazdă modificate, sub rezerva anumitor restricții. Dacă acest fanion este definit la ask
(valoarea implicită), noile chei de gazdă vor fi adăugate la fișierele de gazde cunoscute de
utilizator numai după ce utilizatorul a confirmat că aceasta este ceea ce dorește cu adevărat să
facă, iar ssh va refuza să se conecteze la gazdele a căror cheie de gazdă s-a schimbat. Cheile de
gazdă ale gazdelor cunoscute vor fi verificate automat în toate cazurile.
SyslogFacility
Oferă codul facilității utilizat la înregistrarea mesajelor din ssh(1). Valorile posibile sunt:
DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Valoarea
implicită este USER.
TCPKeepAlive
Specifică dacă sistemul trebuie să trimită mesaje TCP keepalive celeilalte părți. Dacă acestea
sunt trimise, moartea conexiunii sau prăbușirea uneia dintre mașini va fi raportată în mod
corespunzător. Această opțiune utilizează doar mesajele keepalive TCP (spre deosebire de mesajele
keepalive la nivel ssh), astfel încât este nevoie de mult timp pentru a observa când conexiunea
moare. Ca atare, probabil că doriți și opțiunea ServerAliveInterval. Cu toate acestea, acest
lucru înseamnă că conexiunile vor muri dacă ruta este căzută temporar, iar unii oameni consideră
acest lucru enervant.
Implicit este yes (pentru a trimite mesaje TCP keepalive), iar clientul va observa dacă rețeaua
cade sau gazda la distanță se oprește. Acest lucru este important în scripturi, iar mulți
utilizatori îl doresc.
Pentru a dezactiva mesajele TCP keepalive, valoarea trebuie să fie stabilită la no. Consultați
și ServerAliveInterval pentru keepalive-uri la nivel de protocol.
Tag Specifică un nume de etichetă de configurare care poate fi utilizat ulterior de o directivă Match
pentru a selecta un bloc de configurare.
Tunnel Solicită redirecționarea dispozitivului tun(4) între client și server. Argumentul trebuie să fie
yes, point-to-point (stratul 3), ethernet (stratul 2) sau no (implicit). Specificarea yes
solicită modul tunel implicit, care este point-to-point.
TunnelDevice
Specifică dispozitivele tun(4) care trebuie deschise pe clientul (local_tun) și pe serverul
(remote_tun).
Argumentul trebuie să fie local_tun[:remote_tun]. Dispozitivele pot fi specificate prin ID
numeric sau prin cuvântul cheie any, care utilizează următorul dispozitiv tunel disponibil. Dacă
remote_tun nu este specificat, valoarea implicită este any. Valoarea implicită este any:any.
UpdateHostKeys
Specifică dacă ssh(1) trebuie să accepte notificări de chei de gazdă suplimentare de la server
trimise după finalizarea autentificării și să le adauge la UserKnownHostsFile. Argumentul
trebuie să fie yes, no sau ask. Această opțiune permite învățarea unor chei gazdă alternative
pentru un server și acceptă rotația inteligentă a cheilor permițând unui server să trimită chei
publice de înlocuire înainte ca cele vechi să fie eliminate.
Cheile gazdă suplimentare sunt acceptate numai dacă cheia utilizată pentru autentificarea gazdei
era deja de încredere sau acceptată în mod explicit de utilizator, gazda a fost autentificată
prin UserKnownHostsFile (adică nu GlobalKnownHostsFile) și gazda a fost autentificată utilizând o
cheie simplă și nu un certificat.
UpdateHostKeys este activată în mod implicit dacă utilizatorul nu a suprascris valoarea implicită
a setării UserKnownHostsFile și nu a activat VerifyHostKeyDNS, în caz contrar UpdateHostKeys va
fi stabilită la no.
Dacă UpdateHostKeys este stabilită la ask, atunci utilizatorul este rugat să confirme
modificările aduse fișierului known_hosts. ă Confirmarea este în prezent incompatibilă cu
ControlPersist și va fi dezactivată dacă aceasta este activată.
În prezent, numai sshd(8) din OpenSSH 6.8 și versiunile ulterioare acceptă extensia de protocol
"hostkeys@openssh.com" utilizată pentru a informa clientul cu privire la toate cheile gazdă ale
serverului.
User Specifică utilizatorul cu care se va conecta. Acest lucru poate fi util atunci când un nume de
utilizator diferit este utilizat pe diferite mașini. Se evită astfel problema de a nu uita să se
indice numele de utilizator în linia de comandă. Argumentele pentru User pot utiliza simbolurile
descrise în secțiunea “SIMBOLURI” (cu excepția %r și %C) și variabilele de mediu descrise în
secțiunea “VARIABILE DE MEDIU”.
UserKnownHostsFile
Specifică unul sau mai multe fișiere care urmează să fie utilizate pentru baza de date a cheilor
gazdei utilizatorului, separate prin spațiu alb. Fiecare nume de fișier poate utiliza notația
tilde pentru a se referi la directorul personal al utilizatorului, la simbolurile descrise în
secțiunea “SIMBOLURI” și la variabilele de mediu descrise în secțiunea “VARIABILE DE MEDIU”. O
valoare de none face ca ssh(1) să ignore orice fișiere de gazde cunoscute specifice
utilizatorului. Valoarea implicită este ~/.ssh/known_hosts, ~/.ssh/known_hosts2.
VerifyHostKeyDNS
Specifică dacă se verifică cheia de la distanță utilizând DNS și înregistrările resurselor SSHFP.
Dacă această opțiune este definită la yes, clientul va avea implicit încredere în cheile care
corespund unei amprente securizate din DNS. Amprentele nesigure vor fi tratate ca și cum această
opțiune ar fi definită la ask. Dacă această opțiune este definită la ask, se vor afișa
informații privind potrivirea amprentei digitale, dar utilizatorul va trebui în continuare să
confirme cheile gazdă noi în conformitate cu opțiunea StrictHostKeyChecking. Valoarea implicită
este no.
Consultați și secțiunea “VERIFICAREA CHEILOR GAZDEI” din ssh(1).
VersionAddendum
Opțional, specifică textul suplimentar care va fi adăugat la mesajul de întâmpinare al
protocolului SSH trimis de client la conectare. Valoarea implicită este none.
VisualHostKey
Dacă acest fanion este stabilit la yes, o reprezentare artistică ASCII a amprentei digitale a
cheii gazdei la distanță este imprimată în plus față de șirul de amprente digitale la
autentificare și pentru cheile gazdei necunoscute. Dacă acest fanion este stabilit la no
(valoarea implicită), nu se imprimă niciun șir de amprente digitale la autentificare și numai
șirul de amprente digitale va fi imprimat pentru cheile gazdă necunoscute.
XAuthLocation
Specifică ruta completă a programului xauth(1). Valoarea implicită este /usr/bin/xauth.
MODELE
Un model constă din zero sau mai multe caractere care nu sunt spații, ‘*’ (un caracter joker care se
potrivește cu zero sau mai multe caractere) sau ‘?’ (un caracter joker care se potrivește exact cu un
singur caracter). De exemplu, pentru a specifica un set de declarații pentru orice gazdă din setul de
domenii ".co.uk", se poate utiliza următorul model:
Host *.co.uk
Următorul model ar corespunde oricărei gazde din intervalul de rețea 192.168.0.[0-9]:
Host 192.168.0.?
O listă-de-modele este o listă de modele separate prin virgule. Modelele din listele de modele pot fi
negate prin precedarea lor cu un semn de exclamare (‘!’). De exemplu, pentru a permite utilizarea unei
chei de oriunde din cadrul unei organizații, cu excepția grupului "dialup", se poate utiliza următoarea
intrare (în authorized_keys):
from="!*.dialup.example.com,*.example.com"
Rețineți că o potrivire negată nu va produce niciodată un rezultat pozitiv. De exemplu, încercarea de a
potrivi "host3" cu următoarea listă de modele va eșua:
from="!host1,!host2"
Soluția în acest caz este să includeți un termen care va genera o potrivire pozitivă, cum ar fi un
caracter joker:
from="!host1,!host2,*"
SIMBOLURI
Argumentele la unele cuvinte cheie pot utiliza simboluri, care sunt expandate în timpul execuției:
%% Un literal ‘%’.
%C Suma de control (hash) de %l%h%p%r%j.
%d Directorul personal al utilizatorului local.
%f Amprenta cheii gazdei serverului.
%H Numele de gazdă sau adresa known_hosts care este căutată.
%h Numele gazdei de la distanță.
%I Un șir care descrie motivul executării KnownHostsCommand: fie ADDRESS atunci când se caută un
gazdă după adresă (numai când CheckHostIP este activată), HOSTNAME atunci când se caută după
numele gazdei, sau ORDER atunci când se pregătește lista de preferințe a algoritmului cheii
gazdei care va fi utilizată pentru gazda de destinație.
%i ID-ul utilizatorului local.
%j Conținutul opțiunii ProxyJump sau șirul gol dacă această opțiune nu este definită.
%K Cheia gazdă codificată în base64.
%k Aliasul cheii gazdei, dacă este specificat, altfel numele gazdei la distanță original, dat în
linia de comandă.
%L Numele gazdei locale.
%l Numele gazdei locale, inclusiv numele domeniului.
%n Numele original al gazdei la distanță, așa cum este indicat în linia de comandă.
%p Portul de la distanță.
%r Numele utilizatorului de la distanță.
%T Interfața de rețea locală tun(4) sau tap(4) atribuită dacă a fost solicitată redirecționarea
tunelului, sau "NONE" în caz contrar.
%t Tipul cheii gazdei serverului, de exemplu ssh-ed25519.
%u Numele utilizatorului local.
CertificateFile, ControlPath, IdentityAgent, IdentityFile, Include, KnownHostsCommand, LocalForward,
Match exec, RemoteCommand, RemoteForward, RevokedHostKeys, UserKnownHostsFile și VersionAddendum acceptă
simbolurile %%, %C, %d, %h, %i, %j, %k, %L, %l, %n, %p, %r, și %u.
KnownHostsCommand acceptă în plus simbolurile %f, %H, %I, %K și %t.
Hostname acceptă simbolurile %% și %h.
LocalCommand acceptă toate simbolurile.
ProxyCommand și ProxyJump acceptă simbolurile %%, %h, %n, %p și %r.
Rețineți că unele dintre aceste directive construiesc comenzi pentru execuție prin intermediul shell-
ului. Deoarece ssh(1) nu efectuează nicio filtrare sau eludare a caracterelor care au o semnificație
specială în comenzile shell (de exemplu, ghilimelele), este responsabilitatea utilizatorului să se
asigure că argumentele transmise către ssh(1) nu conțin astfel de caractere și că simbolurile sunt citate
corespunzător atunci când sunt utilizate.
VARIABILE DE MEDIU
Argumentele pentru anumite cuvinte cheie pot fi extinse în timpul rulării din variabilele de mediu de pe
client, prin închiderea lor între ${}, de exemplu ${HOME}/.ssh ar face referire la directorul .ssh al
utilizatorului. Dacă o variabilă de mediu specificată nu există, atunci va fi returnată o eroare și
definiția pentru acel cuvânt cheie va fi ignorată.
Cuvintele-cheie CertificateFile, ControlPath, IdentityAgent, IdentityFile, Include, KnownHostsCommand și
UserKnownHostsFile acceptă variabile de mediu. Cuvintele-cheie LocalForward și RemoteForward acceptă
variabile de mediu numai pentru rutele de soclu de domeniu Unix.
FIȘIERE
~/.ssh/config
Acesta este fișierul de configurare pentru fiecare utilizator. Formatul acestui fișier este
descris mai sus. Acest fișier este utilizat de clientul SSH. Din cauza potențialului de abuz,
acest fișier trebuie să aibă permisiuni stricte: citire/scriere pentru utilizator și nu poate fi
scris de către alții. Acesta poate fi scris de grup, cu condiția ca grupul în cauză să conțină
doar utilizatorul.
/etc/ssh/ssh_config
Fișier de configurare la nivel de sistem. Acest fișier furnizează valorile implicite pentru acele
valori care nu sunt specificate în fișierul de configurare al utilizatorului și pentru acei
utilizatori care nu au un fișier de configurare. Acest fișier trebuie să poată fi citit de toată
lumea.
CONSULTAȚI ȘI
ssh(1)
AUTORI
OpenSSH este un derivat al versiunii originale și libere ssh 1.2.12 de Tatu Ylonen. Aaron Campbell, Bob
Beck, Markus Friedl , Niels Provos, Theo de Raadt și Dug Song au eliminat multe erori, au (re)adăugat
caracteristici mai noi și au creat OpenSSH. Markus Friedl a contribuit la suportul pentru versiunile 1.5
și 2.0 ale protocolului SSH.
TRADUCERE
Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu
<remusgabriel.chelu@disroot.org>
Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3:
https://www.gnu.org/licenses/gpl-3.0.html sau o versiune ulterioară cu privire la condiții privind
drepturile de autor. NU se asumă NICIO RESPONSABILITATE.
Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la
translation-team-ro@lists.sourceforge.net .
Debian 3 martie, 2025 SSH_CONFIG(5)