Provided by: manpages-hu_20010119-5_all bug

NÉV

       ssh - biztonságos shell kliens (távoli gépre való belépésre szolgáló program)

ÁTTEKINTÉS

       ssh [-l login_name] hostname [parancs]

       ssh  [-a]  [-c  idea|blowfish|des|3des|arcfour|none]  [-e escape_char]  [-i identity_fájl]
       [-l login_name] [-n] [-k] [-V] [-o opciók] [-p port] [-q] [-P] [-t] [-v]  [-x]  [-C]  [-g]
       [-L port:host:hostport] [-R port:host:hostport] hostname [parancs]

LEÍRÁS

       Az  ssh  (Secure  Shell)  egy program, ami arra való, hogy távoli gépekre jelentkezzünk be
       és/vagy parancsokat hajtsunk végre  távoli  gépeken.   Célja  az,  hogy  helyettesítse  az
       rlogin-t és az rsh-t, és biztonságos (titkosított) kapcsolatot biztosítson két gép között.
       X11 kapcsolatokat és tetszőleges TCP/IP portokat szintén lehet  a  biztonságos  csatornára
       továbbítani (forwardolni).

       Az  ssh  kapcsolódik és belép a megadott hostname gépre.  A felhasználó több módszerrel is
       igazolhatja azonosságát.

       Előszor is, ha az a gép, amelyről a felhasználó belép fel van sorolva az  /etc/hosts.equiv
       -ban  vagy  az  /etc/ssh/shosts.equiv  -ban  a  távoli  gépen,  és  a  felhasználói  nevek
       megegyeznek mindkét oldalon, akkor rögtön beengedik.   Másodszor,  ha  a  .rhosts  vagy  a
       .shosts fájl ott van a felhasználó home könyvtárában a távoli gépen és tartalmaz egy sort,
       amely a  kliens  gép  nevét  tartalmazza,  a  felhasználó  beléphet.  Az  authentikációnak
       (authentication  -  hitelesítés,  amikor bizonyítod, hogy az vagy, akinek mondod magad - a
       ford.  megjegyzése)  ezt  a  formáját  általában  nem  engedélyezi  a  szerver,  mert  nem
       biztonságos.

       A második (és elsődleges) lehetőség az authentikációra az rhosts vagy hosts.equiv módszer,
       RSA-alapú gép-authentikációval kombinálva.  Ez azt jelenti,  hogy  a  belépés  csak  akkor
       engedélyezett,  ha  az  .rhosts,  .shosts,  /etc/hosts.equiv,  vagy /etc/ssh/shosts.equiv,
       megengedi,  és  ezen  kívül   a   kliens   gép   kulcsát   ellenőrizni   lehet   (lásd   a
       $HOME/.ssh/known_hosts   és   /etc/ssh/ssh_known_hosts   -t  a  FÁJLOK  részben).   Ez  az
       authentikációs módszer kizárja az "IP spoofing", "DNS spoofing" és  a  "routing  spoofing"
       által    kihasznált    biztonsági   lyukakat.    [Megjegyzés   a   rendszergazdáknak:   az
       /etc/hosts.equiv,  .rhosts,  és  a  rlogin/rsh  protokollok   általában   eredendően   nem
       biztonságosak és le kell tiltani őket, ha a biztonság fontos szempont.]

       Harmadik  authentikációs  módszerként  az  ssh  támogatja az RSA alapú authentikációt.  Az
       elrendezés a nyilvános kulcsú kriptográfián alapul: vannak olyan  titkosítási  rendszerek,
       ahol  a  titkosítás  és  visszafejtés  különböző  kulcsok  használatával  történik,  és  a
       visszafejtéshez  használt  kulcsot   nem   lehet   a   titkosításhoz   használt   kulcsból
       kikövetkeztetni.  Az  RSA  egy  ilyen rendszer.  Az elgondolás az, hogy minden felhasználó
       készít egy nyilvános/privát kulcspárt authentikációs célokra.  A szerver tudja a nyilvános
       kulcsot, de a privát kulcsot csak a felhasználó ismeri.  A $HOME/.ssh/authorized_keys fájl
       tartalmazza azokat a nyilvános kulcsokat, amelyekkel be lehet lépni.  Amikor a felhasználó
       be  akar  lépni,  az  ssh  program  megmondja  a szervernek, hogy  melyik kulcspárt akarja
       authentikációra felhasználni.  A szerver ellenőrzi, hogy a kulcs engedélyezve van-e, és ha
       igen,  akkor  úgy  teszi  próbára   a  felhasználót  (pontosabban  az általa futtatott ssh
       programot), hogy egy véletlen számot küld el neki, amit a felhasználó nyilvános  kulcsával
       titkosít.   Ezt  csak a megfelelő privát kulcs segítségével lehet visszafejteni.  Ezután a
       felhasználó kliense visszafejti a privát kulcsal, így bebizonyítja, hogy ismeri a a privát
       kulcsot anélkül, hogy azt elküldené a szervernek.

       Az  ssh  automatikusan  alkalmazza az RSA authentikációs protokollt. A felhasználó az ssh-
       keygen(1) futattásával automatikusan létrehozza az ő  RSA  kulcspárját.   Ezzel  a  privát
       kulcs  a  .ssh/identity  -ba  kerül,  míg  a  nyilvános  kulcs  a .ssh/identity.pub -ba, a
       felhasználó home könyvtárában.  A  felhasználónak  ezután  a  saját  identity.pub  -ját  a
       .ssh/authorized_keys   -ba   kell   másolnia  a  home  könyvtárában  a  távoli  gépen  (az
       authorized_keys fájl megfelelt a hagyományos .rhosts fájlnak,  és  soronként  egy  kulcsot
       tartalmaz,  bár  a sorok nagyon hosszúak lehetnek). Ezután a felhasználó beléphet, anélkül
       hogy a jelszavát megadná. Az  RSA  authentikáció  sokkal  biztonságosabb  mint  az  rhosts
       authentikáció.

       Az  RSA  authentikáció  egy  authentikációs  közvetítő  (agent) segítségével használható a
       legkényelmesebben. Lásd az ssh-agent(1) -et további információkért.

       Egy negyedik authentikációs módszerként, az ssh támogatja a TIS  authentikációs  szerveren
       keresztüli  authentikációt.   Az  elképzelés az, hogy az ssh megkéri a TIS authsrv(8) -et,
       hogy  authentikálja  a  felhasználót.  Előfordulhat,  hogy  a  felhasználói  nevek  a  TIS
       adatbázisban  nem  ugyanazok  mint a lokákis gépen, például ha a felhasználó egy smartcard
       -al vagy  Digipass-al  authentikálja  magát.  Ebben  az  esetben  a  felhasználói  név  az
       adatbázisban   általában   csak  az  authentikációs  eszköz  sorozatszámaként  ismert.  Az
       /etc/ssh/sshd_tis.map fájl tartalmazza a lokális felhasználók  ás  a  neki  megfelelő  TIS
       adatbázis-beli  nevek  közötti  leképezést.   Ha ez a fájl nem létezik, vagy a felhasználó
       nincs benne, akkor az ssh feltételezi, hogy a felhasználói név és a TIS adatbázis-beli név
       ugyanaz.

       Ha  a  többi  authentikációs  módszer  meghiúsul,  az  ssh jelszót kér a felhasználótól. A
       jelszót ellenőrzés céljából elküldi a távoli  gépre,  azonban  mivel  minden  kommunikáció
       titkosítva van, a jelszót nem olvashatja el valaki, aki a hálózaton hallgatózik.

       Amikor  a  felhasználó  azonosságát elfogadja a szerver, akkor vagy végrehajtja a megadott
       parancsot, vagy belép a gépbe, és a felhasználónak egy szokásos shell-t ad a távoli gépen.
       Minden,  a  távoli  parancsal  vagy shell-el történő kommunikáció automatikusan titkosítva
       lesz.

       Ha egy pszeudo-terminál volt allokálva (normális login session), a felhasználó kiléphet  a
       "~." parancs segítségével  és felfüggesztheti az ssh -t "~^Z" -vel.

       Az  összes  forwardolt  kapcsolatot  ki  lehet  listázni  egy  "~#" -el, és ha a session a
       forwardolt X11 vagy TCP/IP kapcsolatok végetérésére várva blokkol, akkor "~&" -el háttérbe
       lehet  küldeni  (Ezt  nem  szabad  addig hasznélni, amíg a felhasználó shellje aktív, mert
       akkor a shell "lógni" fog).  Az összes escape-szekvenciát "~?" -el lehet kilistázni.

       Egyetlen tilde (~) karaktert "~~" -ként lehet  elküldeni  (vagy   úgy,  hogy  a  tildét  a
       fentiekben  nem  említett  karakter követi).  Az escape karakter csak akkor van különleges
       karakterként interpretálva, ha újsort követ. Az escape karaktert meg lehet  változtatni  a
       konfigurációs fájlokban vagy a parancssorban.

       Ha  az  ssh  nem  foglal le egy pszeudo terminált, akkor a session átlátszó lesz, és lehet
       bináris adatok megbízható átvitelére használni.  A legtöbb rendszerben az escape  karakter
       ``none''  -ra (semmire) való állítása a sessiont átlátszóvá teszi akkor is, ha egy tty van
       használatban.

       Egy session akkor ér véget, amikor a parancs végrehajtása vagy  a  shell  a  távoli  gépen
       véget ér, és az összes X11 és TCP/IP kapcsolat lezárult.  Az ssh a távoli program kilépési
       értékével (exit status) lép ki.

       Ha a felhasználó X11-et használ (a DISPLAY környezeti változó  be  van  állítva),  az  X11
       displayhez  való  kapcsolat  automatikusan  forwardolódik  a távoli géphez, olymódon, hogy
       minden a shellből (vagy parancsból) indított X11 program a titkosított csatornán  jön  át,
       az  igazi  X szerverrel való kapcsolat pedig a lokális gépről jön létre.  A felhasználónak
       nem  kell  kézzel  beállítania  a  DISPLAY  -t.   Az  X11  kapcsolatok  forwardolásást   a
       parancssoron vagy a konfigurációs fájlokban lehet beállítani.

       Az ssh által beállított DISPLAY a szerver gépre mutat, de zérónál nagyobb display számmal.
       Ez azért van, mert az ssh egy "proxy" X szervert állít fel a szerver gépen  a  kapcsolatok
       titkosított csatornán való továbbításához.

       Az  ssh  automatikusan  beállítja  a  szerveren  az  Xauthority  adatokat  is.   Ehhez egy
       véletlenszerű authorizációs cookie-t generál, amit a szerveren  tárol  az  Xauthority-ban,
       ellenőrzi, hogy az összes forwardolt kapcsolat ezzel a cookie-val jön-e, és kicseréli őket
       az igazi cookie-ra, amikor a kapcsolat megnyílik.  Az igazi authentikációs  cookie-t  soha
       nem küldi el a szerver gépre, és semmilyen cookie-t nem küld el titkosítás nélkül.

       Ha  egy  felhasználó  egy  authentikációs közvetítőt (agent) használ, akkor a közvetítőhöz
       való kapcsolatot automatikusan forwardolja a távoli gépre,  hacsak  ez  nincs  letiltva  a
       parancssoron vagy egy konfigurációs fájlban.

       Tetszőleges   TCP/IP   kapcsolatoknak   a   biztonságos  csatornán  való  forwardolását  a
       parancssoron vagy egy konfigurációs fájlban lehet megadni.  A  TCP/IP  forwardolásnak  egy
       lehetséges  alkalmazása  egy  elektronikus  pénztárcához való biztonságos kapcsolódás; egy
       másik a tűzfalakon való átjutás.

       Az ssh automatikusan fenntart és ellenőriz egy adatbázist,  amely  tartalmazza  az  összes
       olyan  gép  RSA-alapú  azonosítását,  amellyel  valaha is használva volt.  Az adatbázis az
       .ssh/known_hosts -ban van, a felhasználó home könyvtárában.  Ezen kívül az ismert  gépeket
       az  /etc/ssh/ssh_known_hosts -ban is leellenőrzi.  Minden új gép automatikusan hozzáadódik
       a felhasználó fájljához.  Ha egy gép nyilvános kulcsa megváltozik, az ssh figyelmeztet  és
       megtiltja  a  jelszóval  való  belépést,  nehogy a felhasználó jelszavát egy "trójai faló"
       lopja el. Ennek a mechanizmusnak egy másik célja a "középen a  támadó"  (man-in-the-middle
       attack)    megakadályozása,    amely    egyébként    meghiúsítaná    a   titkosítást.    A
       StrictHostKeyChecking  opciót  (lásd  az   alábbiakban)   lehet   arra   használni,   hogy
       megakadályozzuk  az  olyan  gépre  való  belépést,  amelyeknek  a  kulcsa  nem ismert vagy
       megváltozott.

OPCÍÓK

       -a     Megtiltja az authentikációs közvetítő  (agent)  forwardolását.   Ezt  egy  gépektől
              függő módon a konfigurációs fájlban is meg lehet adni.

       -c idea|des|3des|blowfish|arcfour|none
              A   session  titkosításának  a  módját  adja  meg.   Az  idea  az  alapértelmezett.
              Biztonságosnak  tartják.  A  des  az  adattitkosítási  szabvány  (data   encryption
              standard),  de  feltörhető  a  kormányzatok,  nagyobb  vállalatok  és  a  fontosabb
              bűnüldoző szervek által. A 3des (triple-des) egy titkosítás-visszafejtés-titkosítás
              három   különboző   kulcsal.   Valószínűleg  biztonságosabb  mint  a  DES.   Ez  az
              alapértelmezett, ha valamelyik oldal nem támogatja az  IDEA-t.   A  blowfish  Bruce
              Schneier  által  kitalált  titkosítási algoritmus, ami 128 bites kulcsokat használ.
              Az arcfour egy 1995-ben az Usenet News-ben publikált algoritmus. Úgy tartják,  hogy
              ez  ugyanaz  mint az RSA Data Security által használt RC4 titkosítás (az RC4 az RSA
              Data  Security  bejegyzett  védjegye).  Ez  a   jelenleg   támogatott   leggyorsabb
              algoritmus.   none  esetén  egyáltalán  nincs  titkosítás  - ezt csak hibakeresésre
              szánták, és a kapcsolat nem biztonságos.

       -e ch|^ch|none
              Beállítja  a  pty-vel   rendelkező   session-ök   számára   az   escape   karaktert
              (alapértelmezett:  ~).   Ez  csak  a  sor elején számít escape karakternek.  A pont
              által követett escape karakter bezárja a kapcsolatot,  a  control-Z  által  követve
              felfüggeszti  a  kapcsolatot,  és  önmaga  által követve egyszer küldi el az escape
              karaktert.  A karakternek a ´none´ -ra való  állítása  letilt  minden  escape-t  és
              teljesen átlászóvá teszi a session-t.

       -f     A  háttérbe  teszi  az  ssh  -t  az  authentikáció  befejezése  és  a forwardolások
              létrehozása után.  Ez hasznos ha az ssh jelszót vagy jelmondatot (passphrase)  kér,
              de a felhasználó a háttérben akarja futtatni. Szkriptekben is hasznos lehet.  Ez az
              opció a -n opciót is  magában  foglalja.   A  távoli  gépeken  levő  X11  programok
              elindításának az ajánlott módja valami "ssh -f gép xterm" szerű.

       -i identity_fájl
              Megadja,   hogy   melyik   fájlból   legyen   kiolvasva   a  privát  kulcs  az  RSA
              authentikációhoz.  Az  alapértelmezett   a   .ssh/identity   a   felhasználó   home
              könyvtárában.   Identity fájlokat gépektől függő módon a konfigurációs fájlokban is
              meg lehet adni.  Lehetséges több -i opciót is megadni (és a konfigurációs fájlokban
              is lehet több privát kulcs).

       -k     Letiltja  a  kerberos ticket-ek forwardolását.  Ezt szintén meg lehet adni gépektől
              függő módon a konfigurációs fájlokban is.

       -l login_name
              Meghatározza, hogy milyen felhasználói néven lépjen be a távoli gépre.  Ezt szintén
              meg lehet adni gépektől függő módon a konfigurációs fájlokban is.

       -n     A  /dev/null  -ból  irányítja  át  a stdin-t (vagyis gyakorlatilag megakadályozza a
              stdin-ról való olvasást) Ezt használni kell, amikor az ssh a  háttérben  fut.   Egy
              szokásos  trükk  ezt  a  távoli  gépen  levő  X11  programok futtatására használni.
              Például  "ssh  -n  shadows.cs.hut.fi   emacs   &"   egy   emacs-ot   indít   el   a
              shadows.cs.hut.fi  -n, és a X11 kapcsolat automatikusan forwardolódik a titkosított
              csatornán.  Az ssh program a háttérbe kerül.  (Ez  nem  működik,  ha  az  ssh  -nak
              jelszóra vagy jelmondatra van szüksége; erre lásd az -f opciót.)

       -o 'opciók'
              Ezt  arra  lehet  használni,  hogy  a  konfigurációs fájlok formátumában adjunk meg
              opciókat. Ez olyan opciók  esetén  hasznos,  amelyeknek  nincs  külön  parancssoron
              használható  flag-jük.  Az  így  megadott  opcióknak  ugyanaz a formátumuk mint egy
              konfigurációs fájl-beli sornak.

       -p port
              Megadja, hogy a távoli gép melyik portjára csatlakozzunk.  Ezt  szintén  meg  lehet
              adni gépektől függő módon a konfigurációs fájlokban is.

       -q     Csendes  (quiet)  üzemmód.  Ilyenkor a figyelmeztetések és a diagnosztikai üzenetek
              nem íródnak ki, csak a végzetes hibák.

       -P     Nem privilégizált portot használ. Ilyenkor nem tudod az  rhosts  vagy  a  rsarhosts
              authentikációt használni, de át tud menni olyan tűzfalakon, amelyek nem engednek át
              privilégizált forrás-portról induló csomagokat.

       -t     Kényszeríti  a  pseudo-tty   lefoglalást.   Ezt   például   távoli   gépeken   futó
              képernyő-alapú  programok  futtatására  lehet  használni  (például  amelyek menüket
              használnak).

       -v     Bőbeszédő  (verbose)  üzemmód.  Ilyenkor  az  ssh  debugging  üzeneteket  ír  ki  a
              működéséről.  Ez  a  kapcsolatfelépítéssel,  authentikációval  és a konfigurációval
              kapcsolatos problémák hibakeresésénél hasznos.

       -V     Csak kiírja a verziószámot és kilép.

       -g     Megengedi, hogy  távoli  gépek  lokális  port-forwardoló  portokra  kapcsolódjanak.
              Alapértelmezés  szerint  csak  a  localhostról  lehet  a  lokálisan lekötött (bind)
              portokra csatlakozni.

       -x     Letiltja az X11 forwardolást.  Ezt szintén meg lehet adni gépektől  függő  módon  a
              konfigurációs fájlokban is.

       -C     Az  összes  adat  (beleértve  a stdin-t, stdout-ot, stderr-t és a forwardolt X11 és
              TCP/IP kapcsolatokat) tömörítve lesz. A tömörítési algoritmus ugyanaz mint  a  gzip
              által  használt,  és  a  "szintjét"  a CompressionLevel opcióval (lásd alább) lehet
              beállítani.  A tömörítés hasznos modemvonalakon és egyéb lassú kapcsolatok  esetén,
              de a gyors hálózatok esetén csak lassítani fogja a dolgokat.  Ezt szintén meg lehet
              adni gépektől függő módon a konfigurációs fájlokban  is,  lásd  a  Compress  opciót
              alább.

       -L port:host:hostport
              Forwardol  egy  adott  portot  a  lokális  (kliens) gépről egy távoli gépre. Ez úgy
              működik, hogy lefoglal egy socket-et, hogy a port -on várakozzon (listen) a lokális
              oldalon,  és  valahányszor  egy  kapcsolat  jön  erre  a  portra, azt a biztonságos
              csatornán keresztül forwardolja, és a host:hostport -re a távoli gépről lép be.   A
              port-forwardolást  a  konfigurációs  fájlban  is  specifikálni  lehet.  Csak a root
              forwardolhat privilégizált portokat.

       -R port:host:hostport
              Forwardol egy adott portot a távoli (szerver) gépről  egy  lokális  gépre.  Ez  úgy
              működik,  hogy lefoglal egy socket-et, hogy a port -on várakozzon (listen) a távoli
              oldalon, és valahányszor egy  kapcsolat  jön  erre  a  portra,  azt  a  biztonságos
              csatornán keresztül forwardolja, és a host:hostport -re a lokális gépről lép be.  A
              port-forwardolást a konfigurációs fájlban is specifikálni lehet.   A  távoli  gépen
              rootként kell belépnünk, ha privilégizált portokat akarunk forwardolni.

KONFIGURÁCIÓS FÁJLOK

       Az  ssh  a  következő  forrásokból  veszi  a  konfigurácós  adatait  (ebben a sorrendben):
       parancssorbeli  opciók,  felhasználó  konfigurációs  fájlai  ($HOME/.ssh/config),   és   a
       renszerszintű  konfigurációs  fájl  (/etc/ssh/ssh_config).  Minden paraméter az így kapott
       első értéket kapja.  A konfigurációs fájlok "Host" specifikációk által behatárolt részeket
       tartalmaznak,  és  egy adott rész csak azokra a gépekre vonatkozik, amelyek illeszkednek a
       specifikációban megadott mintára. A parancssoron megadott gépnév kerül illesztésre.

       Mivel minden paraméter az első  értéket  kapja,  az  inkább  egy  adott  gépre  specifikus
       deklarációkat a fájl elején érdemes megadni, az általánosabb default-okat pedig a végén.

       A konfigurációs fájlnak a következő formátuma van:

              Az üres sorok és a ´#´ -el kezdődő sorok megjegyzések.

              Egyébként  pedig  egy  sor  formátuma  "kulcsszó  argumentumok"  vagy  "kulcsszó  =
              argumentumok". A lehetséges kulcsszavakat és a  jelentésüket  lásd  az  alábbiakban
              (megjegyzés:  a  konfigurációs  fájlokban  különbség  van  a  kisbetű és a nagybetű
              közott, de a kulcsszavaknál ez nem számít):

       Host   Az ezt követő deklarációkat korlátozza, hogy csak a kulcsszó után következő mintára
              illeszkedő  gépnevekre legyen érvényes (egészen a következő Host kulcsszóig). A ´*´
              és a ´?´ wildcard-ként használható a mintákban.  Ha a minta egyetlen ´*´ -ből  áll,
              akkor  az az összes gépre vonatkozó globális defaultot jelent.  A gépnév ilyenkor a
              parancssoron megadott hostname argumentum (vagyis  a  név  nincs  kanonikus  alakba
              hozva az illeszkedésvizsgálat előtt).

       BatchMode
              Ha  ez "yes" -re van állítva, akkor a jelszó/jelmondat megkérdezése letiltódik. Ezt
              akkor hasznos, ha szkriptekből vagy egyéb automatizált eszközökből hívod, és  nincs
              felhasználó, aki megadhatná a jelszót.  Az argumentum "yes" vagy "no" kell legyen.

       Cipher Meghatározza  a  session titkosításához használat módszert.  Jelenleg az idea, des,
              3des, blowfish, arcfour és none vannal  támogatva.   A  alapértelmezett  az  "idea"
              (vagy  a  "3des"  ha  az "idea"-t nem támogatja mindkét gép). A "none" esetén nincs
              titkosítás - ezt csak hibakeresésre szabad használni, mert ilyenkor a kapcsolat nem
              biztonságos.

       ClearAllForwardings
              Kitörli  az összes forwardolást, miután beolvasta az összes konfigurációs fájlt, és
              a  parancssort  is.  Ez  arra  jó,  hogy  a   konfigurációs   fájlokban   található
              forwardolásokat  letiltsd,  amikor  egy  második  kapcsolatot akarsz létrehozni egy
              olyan géppel, amelynek a konfigurációs fájlában a forwardolás be van  állítva.   Az
              scp  ezt  alapértelmezés  szerint  beállítja,  így  működni  fog még akkor is, ha a
              konfigurációs fájban forwardolások vannak beállítva.

       Compression
              Meghatározza hogy legyen-e tömörítés használva.  Az argumentum "yes" vagy "no" kell
              legyen.

       CompressionLevel
              Meghatározza  a tömörítés szintjét, ha a tömörítés engedélyezve van.  Az argumentum
              egy  1  (gyors)  és  9  (lassú,  de  a  legjobb)  közötti  szám  kell  legyen.   Az
              alapértelmezett  szint  6,  ami  jó  a legtöbb alkalmazás szempotjából.  Ezeknek az
              értékeknek a jelentése ugyanaz, mint a GNU GZIP esetén.

       ConnectionAttempts
              Meghatározza, hogy hányszor próbálkozzon (másodpercenként egyszer), mielőtt az rsh-
              val próbálkozna, vagy kilépne. Az argumentum egy egész szám kell legyen. Ez hasznos
              lehet szkriptekben, ha a kapcsolatfelvétel néha nem sikerül.

       EscapeChar
              Beállítja az escape karaktert (az  alapértelmezett:  ~).   Az  escape  karaktert  a
              parancssoron  is be lehet állítani.  Az argumentum egy betű által követett ´^´ kell
              legyen, vagy ``none'', hogy az  escape  karaktert  teljesen  letiltsuk  (és  így  a
              kapcsolatot átlátszóvá tegyük a bináris adatok számára)

       FallBackToRsh
              Meghatározza,  hogy ha az ssh kapcsolat nem sikerül "connection refused" hiba miatt
              (amit valószínüleg az okoz, hogy a másik gépen nem fut az  sshd  ),  akkor  az  rsh
              legyen-e  használva automatikusan helyette (egy megfelelő figyelmeztetés után, mely
              szerint a session nem lesz titkosítva).  Az argumentum "yes" vagy "no" kell legyen.

       ForwardAgent
              Meghatározza,  hogy  egy  authentikációs  közvetítővel  való  kapcsolat  (ha   van)
              forwardolva legyen-e a távoli gépre.  Az argumentum "yes" vagy "no" kell legyen.

       ForwardX11
              Meghatározza  ,  hogy  az  X11  kapcsolatok automatikusan át legyenek-e irányítva a
              biztonságos csatornára a DISPLAY beállításával egyidejűleg.   Az  argumentum  "yes"
              vagy "no" kell legyen.

       GatewayPorts
              Meghatározza,  hogy távoli gépek kapcsolódhatnak-e a lokálisan forwardolt portokra.
              Az argumentum "yes" vagy "no" kell legyen.

       GlobalKnownHostsFile
              Meghatározza, hogy a /etc/ssh/ssh_known_hosts helyett melyik fájl legyen használva.

       HostName
              Meghatátozza annak a gépnek az igazi nevét, amelyikre be akarunk  lépni.   Ez  arra
              jó,  hogy  rövidített neveket használjunk. A default a parancssoron megadott név. A
              numerikus IP címek szintén engedélyezve vannak (a parancssoron is,  és  a  HostName
              specifikációkban is).

       IdentityFile
              Meghatározza,  hogy  a  felhasználó RSA authentikációs kulcsa melyik fájlból legyen
              kiolvasva (az alapértelmezett az .ssh/identity a  felhasználó  home  könyvtárában).
              Ezenkívül  egy  esetleges  authentikációs  közvetítő  által megadott identitások is
              felhasználódnak.  A fájl neve tertalmazhatja a  tildét,  hogy  a  felhasználó  home
              könyvtárát  jelezze.  Több  identitás-fájlt  is  meg  lehet  adni  a  konfigurációs
              fájlokban, ilyenkor ezek az adott sorrendben lesznek kipróbálva.

       KeepAlive
              Meghatározza, hogy a rendszer küldjön-e  "maradj  élve"  (keepalive)  üzeneteket  a
              túloldalnak.  Ha  küld,  akkor  a  kapcsolat  megszünése,  vagy a gépek egyikének a
              meghalása megfelelően észlelődik.  Ugyanakkor ez azt is jelenti, hogy a kapcsolatok
              megszakadnak  akkor  is  ha a hálózat csak ideiglenesen nem működik, és van aki ezt
              idegesítőnek tartja.

              A alapértelmezett az hogy "yes" (küldjön ilyeneket), és a kliens észre fogja  venni
              ha  a  szerver  vagy  a  hálózat lehal. Ez fontos a scriptekben, és sok felhasználó
              szintén szereti.

              A keepalives-ek letiltásához ezt az értéket "no"-ra kell állítani mind  a  szerver,
              mind a kliens konfigurációs fájljaiban.

       KerberosAuthentication
              Meghatározza, hogy legyen-e Kerberos V5 authentikáció használva.

       KerberosTgtPassing
              Meghatározza, hogy legyen-e egy Kerberos V5 TGT a szervernek elküldve.

       LocalForward
              Azt  állítja  be,  hogy  egy  lokális  TCP/IP port forwardolva legyen a biztonságos
              csatornán keresztül a megadott gép  megadott  portjára.   Az  első  argumentum  egy
              portszám  kell  legyen, a második meg egy gép:port.  Egyszerre több forwardolást is
              be lehet állítani, és  további  forwardolásokat  lehet  a  parancssoron  hozzáadni.
              Privilégizált portokat csak a root forwadolhat.

       NumberOfPasswordPrompts

              Meghatározza,  hogy  az  ssh  hányszor kérje el a jelszót mielőtt feladná.  Mivel a
              szerver szintén limitálja a próbálkozások számát  (jelenleg  5  a  maximum),  ezért
              hatástalan ennél nagyobb értékre állítani.  Az alapértelmezett érték egy.

       PasswordAuthentication
              Meghatározza   legyen-e  jelszó-authentikáció  használva.  Az argumentum "yes" vagy
              "no" kell legyen.

       PasswordPromptHost
              Meghatározza, hogy benne legyen-e  a  távoli  gép  neve  a  jelszó  promptban.   Az
              argumentum "yes" vagy "no" kell legyen.

       PasswordPromptLogin
              Meghatározza,  hogy  benne  legyen-e  a  távoli  login  név a jelszó promptban.  Az
              argumentum "yes" vagy "no" kell legyen.

       Port   Meghatározza, hogy a távoli gépen milyen porton probálkozzon. A default 22.

       ProxyCommand
              Meghatározza, hogy milyen  parancs  segítségével  kapcsolódjunk  egy  szerverre.  A
              parancs-string  a sor végéig tart, a /bin/sh hajtja végre. A parancs-stringben a %h
              helyére a szerver gép neve kerül, %p helyére pedig a portszám.   A  parancs  szinte
              bármi  lehet, a stdin-ről kell olvasnia, és a stdout-re írnia. Végül egy valamilyen
              gépen futó sshd szerverre kell kapcsolódnia,  vagy  "sshd  -i"  -t  kell  futtatnia
              valahol.   A  gép-kulcs  kezelése  a szerver gép HostName-ja segítségével (aminak a
              defaultja a felhasználó által beírt név) történik.  (Megjegyzés: az  ssh  -t  lehet
              úgy  konfigurálni,  hogy  a  SOCKS rendszert támogassa: ehhez fordításkor a --with-
              socks4 vagy --with-socks5 opciókat kell megadni).

       RemoteForward
              Azt állítja be, hogy egy  távoli  TCP/IP  port  forwardolva  legyen  a  biztonságos
              csatornán  keresztül  a megadott lokális gép megadott portjára.  Az első argumentum
              egy portszám kell legyen, a második meg egy gép:port.  Egyszerre több  forwardolást
              is  be  lehet  állítani, és további forwardolásokat lehet a parancssoron hozzáadni.
              Privilégizált portokat csak a root forwadolhat.

       RhostsAuthentication
              Meghatározza, hogy az rhosts authentikáció ki legyen-e próbálva.  Megjegyzés: ez  a
              deklaráció  csak  a kliens viselkedését befolyásolja, és a biztonságra semmi hatása
              nincs.  Az rhosts  authentikációval  való  próbálkozás  letiltása  csökkentheti  az
              authentikációs  időt  lassú  kapcsolatok  esetén,  ha az rhosts authentikáció nincs
              használatban. A legtöbb szerver nem engedélyezi az az rhosts  authentikációt,  mert
              az  nem  biztonságos  (lásd  RhostsRSAAuthentication) Az argumentum "yes" vagy "no"
              kell legyen.

       RhostsRSAAuthentication
              Meghatározza, hogy az RSA gép-authentikációval kombinált  rhosts  authentikáció  ki
              legyen-e  próbálva.  Ez az elsődleges authentikációs módszer a legtöbb esetben.  Az
              argumentum "yes" vagy "no" kell legyen.

       RSAAuthentication
              Meghatározza, hogy az RSA authentikáció ki legyen-e próbálva.  Az argumentum  "yes"
              vagy  "no"  kell  legyen.  Az RSA authentikáció csak akkor lesz megpróbálva, ha egy
              identity fájl létezik, vagy ha egy authentikációs közvetítő fut.

       StrictHostKeyChecking
              Ha ez a flag "yes" - re van állítva, akkor az ssh soha nem fogja a gép-kulcsokat  a
              $HOME/.ssh/known_hosts  fájlhoz  automatikusan hozzáadni, és megtagadja, hogy olyan
              gépekre lépjen be, amelyeknek a kulcsa megváltozott.  Ez maximális védelmet nyújt a
              trójai  faló  típusú  támadások  ellen.   Ugyanakkor eléggé idegesítő tud lenni, ha
              nincs egy jó /etc/ssh/ssh_known_hosts fájlod installálva  és  gyakran  próbálsz  új
              gépekre  kapcsolódni.   Gyakorlatilag  ez az opció arra kényszeríti a felhasználót,
              hogy kézzel adja hozzá az összes új gépet.   Általában  "ask"-ra  állítják  ezt  az
              opciót,  és  az  új  gépek  automatikusan hozzáadódnak az ismert gépeket tartalmazó
              fájlhoz, miután a felhasználó megerősítette, hogy valóban ezt akarja. Ha ez "no"-ra
              van  állítva,  akkor  az  új  gépek  automatikusan  adódnak hozzá az ismert gépeket
              tartalmazó  fájlhoz.  Az  ismert  gépek  kulcsai   minden   esetben   automatikusan
              ellenőrizve lesznek.  Az argumentum "yes", "no" vagy "ask" kell legyen.

       TISAuthentication
              Meghatározza,  hogy  megpróbálkozzunk-e  TIS authentikációval.  Az argumentum "yes"
              vagy "no" kell legyen.

       UsePrivilegedPort
              Meghatározza, hogy használjunk-e privilégizált portokat, amikor  a  másik  oldalhoz
              hozzákapcsolódunk.  Az  alapértelmezett az, hogy "yes", ha az rhosts authentikációk
              engedélyezve vannak.

       User   Meghatározza, hogy milyen felhasználóként lépjen be. Ez akkor lehet hasznos,  ha  a
              különböző  gépeken  más-más  a felhasználói neved, és nem akarod azzal veszíteni az
              időt, hogy a parancssoron adod meg a felhasználói nevet.

       UserKnownHostsFile
              Meghatározza, hogy a $HOME/.ssh/known_hosts helyett milyen fájlt használjunk.

       UseRsh Meghatározza, hogy  egy  adott  gépre  rögtön  az  rlogin/rsh  legyen-e  használva.
              Előfordulhat, hogy egy gép egyáltalán nem támogatja az ssh protokollt. Ilyenkor ssh
              rögtön elindítja az rsh -t. Az összes többi opció (kivéve a  HostName-t)  ignorálva
              lesz.  Az argumentum "yes" vagy "no" kell legyen.

       XAuthLocation
              Meghatározza a elérési utat a xauth programhoz.

KÖRNYEZET

       Az ssh normális esetben a következő környezeti változókat állítja be:

       DISPLAY
              A  DISPLAY  változó  az  X11  szerver  helyére  utal.  Ezt az ssh automatikusan egy
              "gépnév:n" alakra állítja be, ahol a gépnév annak a gépnek a  neve,  ahol  a  shell
              fut,  és  n  egy  >=  1  egész  szám.   Az  ssh  ezt  arra  használja,  hogy az X11
              kapcsolatokat a biztonságos csatornán  forwadolja.   Jobb,  ha  a  felhasználó  nem
              állítja  be  maga  a  DISPLAY-t  expliciten,  mert  ez azt eredményezi, hogy az X11
              kapcsolat nem lesz biztonságos.  (és a felhasználó kénytelen lesz magának bemásolni
              a szükséges authorizációs cookie-kat).

       HOME   A felhasználó home könyvtára.

       LOGNAME
              Az  USER szinonimája - az olyan rendszerekkel való kompatibilitás céljából, amelyek
              ezt a változót használják.

       MAIL   A felhasználó mailbox-a.

       PATH   Egy olyan alapértelmezett PATH-ra van  beállítva,  amelyet  fordítás  közben  lehet
              megadni  az  ssh  -nak,  vagy egyes rendszerekben az /etc/environment -ban vagy  az
              /etc/default/login -ban.

       SSH_AUTH_SOCK
              Ha létezik, arra van használva, hogy egy olyan unix-domain sockethez vezető path-ot
              jelezzen,  ami  egy  authentikációs közvetítővel (avgy lokális megfelelőjével) való
              kapcsolathoz kell.

       SSH_CLIENT
              A kapcsolat kliens részét jelzi. Ez  a  változó  három  space-el  határolt  értéket
              tartalmaz: kliens ip-cím, kliens portszám és szerver portszám.

       SSH_ORIGINAL_COMMAND
              Ez   az  eredeti  parancssor  kényszerített  parancsfuttatás  esetén.   Arra  lehet
              használni, hogy elérd az argumentumokat stb. a túloldalról.

       SSH_TTY
              Ez a jelenlegi shellel vagy parancsal társított tty nevére  (egy  eszközhöz  vezető
              útvonalra) van állítva. Ha a jelenlegi session-nak nincs tty-je, ez a változó nincs
              beálítva.

       TZ     Az időzóna (timezone) változó a jelenlegi időzónát jelzi, ha az be volt  állítva  a
              démon indításakor. (A démon átadja ezt az értéket az új kapcsolatoknak.)

       USER   A belépett felhasználó neve.

       Ezeken  kívül az ssh elolvassa az /etc/environment és $HOME/.ssh/environment, fájlokat, és
       VÁLTOZÓNÉV=érték  formátumú  sorokat  ad  a  környezethez.   Egyes  rendszereken   további
       mechanizmusok  is  létezhetnek a környezet beállítására, így például az /etc/default/login
       Solaris-on.

FÁJLOK

       $HOME/.ssh/known_hosts
              Olyan gépek kulcsai,  amelyikbe  a  felhasználó  belépett  (és  nincsenek  benne  a
              /etc/ssh/ssh_known_hosts -ban). Lásd még az sshd kézikönyvlapot.

       $HOME/.ssh/random_seed
              A  véletlenszám-generátor  inicializálásához  használt  fájl.   Ez  a  fájl  fontos
              adatokat tartalmaz, a felhasználónak legyen írási/olvasási  joga  rá,  de  másoknak
              semmi.  Ez  a  fájl  akkor  keletkezik,  amikor  egy  program  első  ízben  fut, és
              automatikusan változik.  A felhasználónak sohasem kell elolvasnia vagy  módódítania
              ezt a fájlt.

       $HOME/.ssh/identity
              A  felhasználó  RSA  authentikációs  identitását  tartalmazza.   Ez  a  fájl fontos
              adatokat tartalmaz, a felhasználónak legyen írási/olvasási  joga  rá,  de  másoknak
              semmi.   Ennek  a  kulcsnak a generálásákor egy jelmondatot is meg lehet adni, ez a
              jelmondat arra használható, hogy ennek a fájlnak az érzékeny részét  titkosítsa  az
              IDEA segítségével

       $HOME/.ssh/identity.pub
              Az  authentikációra  használt  nyilvános  kulcsot  tartalmazza  (az  identitás-fájl
              nyilvános  részét   olvasható   formában)   ennek   a   fájlnak   a   tartalmát   a
              $HOME/.ssh/authorized_keys fájlhoz kell hozzáadni minden olyan gépen, amelyikre RSA
              authentikáció segítségével akarsz belépni.  Ez a fájl nem érzékeny,  és  lehet  (de
              nem  szükségszerű)  mindenki  által  olvashatóvá  tenni.   Ezt  a  fájlt  soha  nem
              használják automatikusan, és nincs is  szükség  rá,  csak  a  felhasználó  kényelme
              kedvéért van ott.

       $HOME/.ssh/config
              Ez a konfigurációs fájl a felhasználóra jellemző beállításokat tartalmazza.  A fájl
              formátuma a fentiekben  van  leírva.  Ezt  a  fájlt  az  ssh  kliensek  használják.
              Általában   ez  a  fájl  nem  tartalmaz  érzékeny  információkat,  de  az  ajánlott
              jogosultságok írás/olvasás a felhasználónak, és semmi jog másoknak.

       $HOME/.ssh/authorized_keys
              Azokat az RSA kulcsokat tartalmazza, amelyek használhatók arra, hogy segítségével e
              felhasználóként   be   lehessen   lépni.  Ennek  a  fájlnak  a  formátuma  az  sshd
              kézikönyvlapban van leírva.  Legegyszerűbb esetben a formátum ugyanaz mint  a  .pub
              identitás fájlok esetén.

              Ez a fájl nem tartalmaz nagyon érzékeny információkat, de az ajánlott jogosultságok
              írás/olvasás a felhasználónak, és semmi jog másoknak.

       /etc/ssh/ssh_known_hosts
              Az ismert gépek kulcsainak rendszerszintű listája. Ezt a fájlt  a  rendszergazdának
              kell   elkészítenie,   hogy   a  hálózaton  belüli  összes  gép  nyilvános  kulcsát
              tartalmazza.  Ennek a fájlnak mindenki által  olvashatónak  kell  lennie.   Ha  egy
              gépnek több neve is van, akkor az összes ilyen gépnevet fel kell sorolni, vesszővel
              elválasztva.  A formátumot az sshd kézikönyvlap írja le.

              Belépéskor a kanonikus gépnév (amit a nameserver  visszaad)  az,  amit  az  sshd  a
              kliens  gép identitásának a megállapítására használ belépéskor; a többi névre azért
              van szükség, mert az  ssh  nem  konvertálja  a  felhasználó  által  megadott  nevet
              kanonikus  névvé,  mielőtt  egy  kulcsot  ellenőrizne,  mivel egyébként valaki, aki
              hozzáfér a nameserver-hez, átverhetné a gép-authentikációt.

       /etc/ssh/ssh_config
              A rendszerszintű konfigurációs fájl. Ez a fájl defaultokat specifikál olyan értékek
              számára,  amelyek  nincsenek  a  felhasználó  konfigurációs  fájljában,  vagy olyan
              felhasználóknak, akiknek nincs konfigurációs fájljuk.   Ennek  a  fájlnak  mindenki
              által olvashatónak kell lennie.

       $HOME/.rhosts
              Ez  a  fájl  az  .rhosts  authentikáció  során  van  használva, mégpedig arra, hogy
              felsorolja azokat a gép/felhasználó párokat, amelyeknek a belépés engedélyezve van.
              (Megjegyzés:  ezt  a  fájlt használja az rlogin és az rsh is, ezért használatuk nem
              számít biztonságosnak) A fájl minden sora tartalmaz egy gépnevet (abban a kanonikus
              formában,  ahogy  a  nameserverek  adják),  utána  pedig egy azon a gépen található
              felhasználó  felhasználói  nevét,  vesszővel  elválasztva.   Ennek  a   fájlnak   a
              felhasználó  tulajdonában  kell  lennie, és nem szabad másoknak is írási jogot adni
              rá.

              Megjegyzés: alapértelmezés szerint az sshd sikeres RSA  gép-authentikációt  igényel
              mielőtt  megengedné az .rhosts authentikációt. Ha egy szerver géped nem tartalmazza
              egy   kliens   gép   kulcsát   az   /etc/ssh/ssh_known_hosts   -ben,    akkor    az
              $HOME/.ssh/known_hosts  -be  is  teheted.   A  legegyszerűbb módja ennek az, hogy a
              szerverről belépsz a kliensre, ekkor a kliens gép kulcsa automatikusan  hozzáadódik
              a $HOME/.ssh/known_hosts -hoz.

       $HOME/.shosts
              Ezt  a  fájlt  pontosan ugyanúgy kell használni mint a .rhosts -t.  Csak azért van,
              hogy képes legyél az rhosts authentikációt használni az  ssh  -val,  anélkül,  hogy
              megenged az rlogin-t vagy az rsh-t.

       /etc/hosts.equiv
              Ez  a  fájl  az  .rhosts  authentikáció  során van használva.  Kanonikus gépneveket
              tartalmaz,  soronként  egyet   (a   formátum   teljes   leírását   lásd   az   sshd
              kézikönyvlapban).   Ha egy kliens gép benne van ebben a fájlban, és a login nevek a
              szerveren és a kliensen megegyeznek, akkor  a  belépés  automatikusan  engedélyezve
              lesz.  Ezen  kívül sikeres RSA gép-authentikációra is szükség van normális esetben.
              Ennek a fájlnak csak a root által kell írhatónak lennie.

       /etc/ssh/shosts.equiv
              Ez a fájl pontosan úgy van feldolgozva, mint a  /etc/hosts.equiv.   Arra  jó,  hogy
              megengedje az ssh belépéseket, de megtiltsa az rsh/rlogin belépéseket.

       /etc/ssh/sshrc
              Az  ebben  a fájlban található parancsok akkor hajtódnak végre az ssh által, amikor
              felhasználó belép, közvetlenül azelőtt, hogy a felhasználó shellje (vagy  parancsa)
              elindulna.  Lásd az sshd kézikönyvlapot további információkért.

       $HOME/.ssh/rc
              Az  ebben  a  fájlban  található  parancsok akkor lesznek végrehajtva az ssh által,
              amikor felhasználó belép, közvetlenül azelőtt, hogy  a  felhasználó  shellje  (vagy
              parancsa) elindulna.  Lásd az sshd kézikönyvlapot további információkért.

INSTALLÁLÁS

       Az  ssh  általában  suid  rootként  van  felinstallálva.  A  root  jogokra  csak az rhosts
       authentikáció miatt van szüksége (Az rhosts authentikáció azt igényli,  hogy  a  kapcsolat
       egy  privilégizált  portról  kezdeményeződjön,  és  ilyen  portot csak root jogokkal lehet
       lefoglalni) Ezen  kívül  képesnek  kell  lennie  arra,  hogy  a  /etc/ssh/ssh_host_key  -t
       elolvassa,  hogy RSA gép authentikációt tudjon használni.  Lehetséges az ssh -t root jogok
       nélkül használni, de akkor az rhosts authentikációt nem lehet használni.  Az  ssh  eldobja
       az összes extra jogot, amint a kapcsolat a távoli géppel létrejött.

       Mindent  megtettünk  azért,  hogy az ssh biztonságos legyen.  Ha ennek ellenére biztonsági
       problémát találsz, kérjük rögtön értesíts minket az <ssh-bugs@cs.hut.fi> címen.

SZERZŐ

       Tatu Ylonen <ylo@ssh.fi>

       Az újabb verziókról, levelezési listákról, és a többi kapcsolódó témáról az ssh  WWW  home
       page-n, a http://www.cs.hut.fi/ssh címen találsz információt.

LÁSD MÉG

       sshd(8),   ssh-keygen(1),   ssh-agent(1),   ssh-add(1),  scp(1),  make-ssh-known-hosts(1),
       rlogin(1), rsh(1), telnet(1)

MAGYAR FORDÍTÁS

       Balázs-Csíki László <bcsl@elender.hu>