Provided by: manpages-hu_20010119-5_all 
NÉV
ssh - biztonságos shell kliens (távoli gépre való belépésre szolgáló program)
ÁTTEKINTÉS
ssh [-l login_name] hostname [parancs]
ssh [-a] [-c idea|blowfish|des|3des|arcfour|none] [-e escape_char] [-i identity_fájl]
[-l login_name] [-n] [-k] [-V] [-o opciók] [-p port] [-q] [-P] [-t] [-v] [-x] [-C] [-g]
[-L port:host:hostport] [-R port:host:hostport] hostname [parancs]
LEÍRÁS
Az ssh (Secure Shell) egy program, ami arra való, hogy távoli gépekre jelentkezzünk be
és/vagy parancsokat hajtsunk végre távoli gépeken. Célja az, hogy helyettesítse az
rlogin-t és az rsh-t, és biztonságos (titkosított) kapcsolatot biztosítson két gép között.
X11 kapcsolatokat és tetszőleges TCP/IP portokat szintén lehet a biztonságos csatornára
továbbítani (forwardolni).
Az ssh kapcsolódik és belép a megadott hostname gépre. A felhasználó több módszerrel is
igazolhatja azonosságát.
Előszor is, ha az a gép, amelyről a felhasználó belép fel van sorolva az /etc/hosts.equiv
-ban vagy az /etc/ssh/shosts.equiv -ban a távoli gépen, és a felhasználói nevek
megegyeznek mindkét oldalon, akkor rögtön beengedik. Másodszor, ha a .rhosts vagy a
.shosts fájl ott van a felhasználó home könyvtárában a távoli gépen és tartalmaz egy sort,
amely a kliens gép nevét tartalmazza, a felhasználó beléphet. Az authentikációnak
(authentication - hitelesítés, amikor bizonyítod, hogy az vagy, akinek mondod magad - a
ford. megjegyzése) ezt a formáját általában nem engedélyezi a szerver, mert nem
biztonságos.
A második (és elsődleges) lehetőség az authentikációra az rhosts vagy hosts.equiv módszer,
RSA-alapú gép-authentikációval kombinálva. Ez azt jelenti, hogy a belépés csak akkor
engedélyezett, ha az .rhosts, .shosts, /etc/hosts.equiv, vagy /etc/ssh/shosts.equiv,
megengedi, és ezen kívül a kliens gép kulcsát ellenőrizni lehet (lásd a
$HOME/.ssh/known_hosts és /etc/ssh/ssh_known_hosts -t a FÁJLOK részben). Ez az
authentikációs módszer kizárja az "IP spoofing", "DNS spoofing" és a "routing spoofing"
által kihasznált biztonsági lyukakat. [Megjegyzés a rendszergazdáknak: az
/etc/hosts.equiv, .rhosts, és a rlogin/rsh protokollok általában eredendően nem
biztonságosak és le kell tiltani őket, ha a biztonság fontos szempont.]
Harmadik authentikációs módszerként az ssh támogatja az RSA alapú authentikációt. Az
elrendezés a nyilvános kulcsú kriptográfián alapul: vannak olyan titkosítási rendszerek,
ahol a titkosítás és visszafejtés különböző kulcsok használatával történik, és a
visszafejtéshez használt kulcsot nem lehet a titkosításhoz használt kulcsból
kikövetkeztetni. Az RSA egy ilyen rendszer. Az elgondolás az, hogy minden felhasználó
készít egy nyilvános/privát kulcspárt authentikációs célokra. A szerver tudja a nyilvános
kulcsot, de a privát kulcsot csak a felhasználó ismeri. A $HOME/.ssh/authorized_keys fájl
tartalmazza azokat a nyilvános kulcsokat, amelyekkel be lehet lépni. Amikor a felhasználó
be akar lépni, az ssh program megmondja a szervernek, hogy melyik kulcspárt akarja
authentikációra felhasználni. A szerver ellenőrzi, hogy a kulcs engedélyezve van-e, és ha
igen, akkor úgy teszi próbára a felhasználót (pontosabban az általa futtatott ssh
programot), hogy egy véletlen számot küld el neki, amit a felhasználó nyilvános kulcsával
titkosít. Ezt csak a megfelelő privát kulcs segítségével lehet visszafejteni. Ezután a
felhasználó kliense visszafejti a privát kulcsal, így bebizonyítja, hogy ismeri a a privát
kulcsot anélkül, hogy azt elküldené a szervernek.
Az ssh automatikusan alkalmazza az RSA authentikációs protokollt. A felhasználó az ssh-
keygen(1) futattásával automatikusan létrehozza az ő RSA kulcspárját. Ezzel a privát
kulcs a .ssh/identity -ba kerül, míg a nyilvános kulcs a .ssh/identity.pub -ba, a
felhasználó home könyvtárában. A felhasználónak ezután a saját identity.pub -ját a
.ssh/authorized_keys -ba kell másolnia a home könyvtárában a távoli gépen (az
authorized_keys fájl megfelelt a hagyományos .rhosts fájlnak, és soronként egy kulcsot
tartalmaz, bár a sorok nagyon hosszúak lehetnek). Ezután a felhasználó beléphet, anélkül
hogy a jelszavát megadná. Az RSA authentikáció sokkal biztonságosabb mint az rhosts
authentikáció.
Az RSA authentikáció egy authentikációs közvetítő (agent) segítségével használható a
legkényelmesebben. Lásd az ssh-agent(1) -et további információkért.
Egy negyedik authentikációs módszerként, az ssh támogatja a TIS authentikációs szerveren
keresztüli authentikációt. Az elképzelés az, hogy az ssh megkéri a TIS authsrv(8) -et,
hogy authentikálja a felhasználót. Előfordulhat, hogy a felhasználói nevek a TIS
adatbázisban nem ugyanazok mint a lokákis gépen, például ha a felhasználó egy smartcard
-al vagy Digipass-al authentikálja magát. Ebben az esetben a felhasználói név az
adatbázisban általában csak az authentikációs eszköz sorozatszámaként ismert. Az
/etc/ssh/sshd_tis.map fájl tartalmazza a lokális felhasználók ás a neki megfelelő TIS
adatbázis-beli nevek közötti leképezést. Ha ez a fájl nem létezik, vagy a felhasználó
nincs benne, akkor az ssh feltételezi, hogy a felhasználói név és a TIS adatbázis-beli név
ugyanaz.
Ha a többi authentikációs módszer meghiúsul, az ssh jelszót kér a felhasználótól. A
jelszót ellenőrzés céljából elküldi a távoli gépre, azonban mivel minden kommunikáció
titkosítva van, a jelszót nem olvashatja el valaki, aki a hálózaton hallgatózik.
Amikor a felhasználó azonosságát elfogadja a szerver, akkor vagy végrehajtja a megadott
parancsot, vagy belép a gépbe, és a felhasználónak egy szokásos shell-t ad a távoli gépen.
Minden, a távoli parancsal vagy shell-el történő kommunikáció automatikusan titkosítva
lesz.
Ha egy pszeudo-terminál volt allokálva (normális login session), a felhasználó kiléphet a
"~." parancs segítségével és felfüggesztheti az ssh -t "~^Z" -vel.
Az összes forwardolt kapcsolatot ki lehet listázni egy "~#" -el, és ha a session a
forwardolt X11 vagy TCP/IP kapcsolatok végetérésére várva blokkol, akkor "~&" -el háttérbe
lehet küldeni (Ezt nem szabad addig hasznélni, amíg a felhasználó shellje aktív, mert
akkor a shell "lógni" fog). Az összes escape-szekvenciát "~?" -el lehet kilistázni.
Egyetlen tilde (~) karaktert "~~" -ként lehet elküldeni (vagy úgy, hogy a tildét a
fentiekben nem említett karakter követi). Az escape karakter csak akkor van különleges
karakterként interpretálva, ha újsort követ. Az escape karaktert meg lehet változtatni a
konfigurációs fájlokban vagy a parancssorban.
Ha az ssh nem foglal le egy pszeudo terminált, akkor a session átlátszó lesz, és lehet
bináris adatok megbízható átvitelére használni. A legtöbb rendszerben az escape karakter
``none'' -ra (semmire) való állítása a sessiont átlátszóvá teszi akkor is, ha egy tty van
használatban.
Egy session akkor ér véget, amikor a parancs végrehajtása vagy a shell a távoli gépen
véget ér, és az összes X11 és TCP/IP kapcsolat lezárult. Az ssh a távoli program kilépési
értékével (exit status) lép ki.
Ha a felhasználó X11-et használ (a DISPLAY környezeti változó be van állítva), az X11
displayhez való kapcsolat automatikusan forwardolódik a távoli géphez, olymódon, hogy
minden a shellből (vagy parancsból) indított X11 program a titkosított csatornán jön át,
az igazi X szerverrel való kapcsolat pedig a lokális gépről jön létre. A felhasználónak
nem kell kézzel beállítania a DISPLAY -t. Az X11 kapcsolatok forwardolásást a
parancssoron vagy a konfigurációs fájlokban lehet beállítani.
Az ssh által beállított DISPLAY a szerver gépre mutat, de zérónál nagyobb display számmal.
Ez azért van, mert az ssh egy "proxy" X szervert állít fel a szerver gépen a kapcsolatok
titkosított csatornán való továbbításához.
Az ssh automatikusan beállítja a szerveren az Xauthority adatokat is. Ehhez egy
véletlenszerű authorizációs cookie-t generál, amit a szerveren tárol az Xauthority-ban,
ellenőrzi, hogy az összes forwardolt kapcsolat ezzel a cookie-val jön-e, és kicseréli őket
az igazi cookie-ra, amikor a kapcsolat megnyílik. Az igazi authentikációs cookie-t soha
nem küldi el a szerver gépre, és semmilyen cookie-t nem küld el titkosítás nélkül.
Ha egy felhasználó egy authentikációs közvetítőt (agent) használ, akkor a közvetítőhöz
való kapcsolatot automatikusan forwardolja a távoli gépre, hacsak ez nincs letiltva a
parancssoron vagy egy konfigurációs fájlban.
Tetszőleges TCP/IP kapcsolatoknak a biztonságos csatornán való forwardolását a
parancssoron vagy egy konfigurációs fájlban lehet megadni. A TCP/IP forwardolásnak egy
lehetséges alkalmazása egy elektronikus pénztárcához való biztonságos kapcsolódás; egy
másik a tűzfalakon való átjutás.
Az ssh automatikusan fenntart és ellenőriz egy adatbázist, amely tartalmazza az összes
olyan gép RSA-alapú azonosítását, amellyel valaha is használva volt. Az adatbázis az
.ssh/known_hosts -ban van, a felhasználó home könyvtárában. Ezen kívül az ismert gépeket
az /etc/ssh/ssh_known_hosts -ban is leellenőrzi. Minden új gép automatikusan hozzáadódik
a felhasználó fájljához. Ha egy gép nyilvános kulcsa megváltozik, az ssh figyelmeztet és
megtiltja a jelszóval való belépést, nehogy a felhasználó jelszavát egy "trójai faló"
lopja el. Ennek a mechanizmusnak egy másik célja a "középen a támadó" (man-in-the-middle
attack) megakadályozása, amely egyébként meghiúsítaná a titkosítást. A
StrictHostKeyChecking opciót (lásd az alábbiakban) lehet arra használni, hogy
megakadályozzuk az olyan gépre való belépést, amelyeknek a kulcsa nem ismert vagy
megváltozott.
OPCÍÓK
-a Megtiltja az authentikációs közvetítő (agent) forwardolását. Ezt egy gépektől
függő módon a konfigurációs fájlban is meg lehet adni.
-c idea|des|3des|blowfish|arcfour|none
A session titkosításának a módját adja meg. Az idea az alapértelmezett.
Biztonságosnak tartják. A des az adattitkosítási szabvány (data encryption
standard), de feltörhető a kormányzatok, nagyobb vállalatok és a fontosabb
bűnüldoző szervek által. A 3des (triple-des) egy titkosítás-visszafejtés-titkosítás
három különboző kulcsal. Valószínűleg biztonságosabb mint a DES. Ez az
alapértelmezett, ha valamelyik oldal nem támogatja az IDEA-t. A blowfish Bruce
Schneier által kitalált titkosítási algoritmus, ami 128 bites kulcsokat használ.
Az arcfour egy 1995-ben az Usenet News-ben publikált algoritmus. Úgy tartják, hogy
ez ugyanaz mint az RSA Data Security által használt RC4 titkosítás (az RC4 az RSA
Data Security bejegyzett védjegye). Ez a jelenleg támogatott leggyorsabb
algoritmus. none esetén egyáltalán nincs titkosítás - ezt csak hibakeresésre
szánták, és a kapcsolat nem biztonságos.
-e ch|^ch|none
Beállítja a pty-vel rendelkező session-ök számára az escape karaktert
(alapértelmezett: ~). Ez csak a sor elején számít escape karakternek. A pont
által követett escape karakter bezárja a kapcsolatot, a control-Z által követve
felfüggeszti a kapcsolatot, és önmaga által követve egyszer küldi el az escape
karaktert. A karakternek a ´none´ -ra való állítása letilt minden escape-t és
teljesen átlászóvá teszi a session-t.
-f A háttérbe teszi az ssh -t az authentikáció befejezése és a forwardolások
létrehozása után. Ez hasznos ha az ssh jelszót vagy jelmondatot (passphrase) kér,
de a felhasználó a háttérben akarja futtatni. Szkriptekben is hasznos lehet. Ez az
opció a -n opciót is magában foglalja. A távoli gépeken levő X11 programok
elindításának az ajánlott módja valami "ssh -f gép xterm" szerű.
-i identity_fájl
Megadja, hogy melyik fájlból legyen kiolvasva a privát kulcs az RSA
authentikációhoz. Az alapértelmezett a .ssh/identity a felhasználó home
könyvtárában. Identity fájlokat gépektől függő módon a konfigurációs fájlokban is
meg lehet adni. Lehetséges több -i opciót is megadni (és a konfigurációs fájlokban
is lehet több privát kulcs).
-k Letiltja a kerberos ticket-ek forwardolását. Ezt szintén meg lehet adni gépektől
függő módon a konfigurációs fájlokban is.
-l login_name
Meghatározza, hogy milyen felhasználói néven lépjen be a távoli gépre. Ezt szintén
meg lehet adni gépektől függő módon a konfigurációs fájlokban is.
-n A /dev/null -ból irányítja át a stdin-t (vagyis gyakorlatilag megakadályozza a
stdin-ról való olvasást) Ezt használni kell, amikor az ssh a háttérben fut. Egy
szokásos trükk ezt a távoli gépen levő X11 programok futtatására használni.
Például "ssh -n shadows.cs.hut.fi emacs &" egy emacs-ot indít el a
shadows.cs.hut.fi -n, és a X11 kapcsolat automatikusan forwardolódik a titkosított
csatornán. Az ssh program a háttérbe kerül. (Ez nem működik, ha az ssh -nak
jelszóra vagy jelmondatra van szüksége; erre lásd az -f opciót.)
-o 'opciók'
Ezt arra lehet használni, hogy a konfigurációs fájlok formátumában adjunk meg
opciókat. Ez olyan opciók esetén hasznos, amelyeknek nincs külön parancssoron
használható flag-jük. Az így megadott opcióknak ugyanaz a formátumuk mint egy
konfigurációs fájl-beli sornak.
-p port
Megadja, hogy a távoli gép melyik portjára csatlakozzunk. Ezt szintén meg lehet
adni gépektől függő módon a konfigurációs fájlokban is.
-q Csendes (quiet) üzemmód. Ilyenkor a figyelmeztetések és a diagnosztikai üzenetek
nem íródnak ki, csak a végzetes hibák.
-P Nem privilégizált portot használ. Ilyenkor nem tudod az rhosts vagy a rsarhosts
authentikációt használni, de át tud menni olyan tűzfalakon, amelyek nem engednek át
privilégizált forrás-portról induló csomagokat.
-t Kényszeríti a pseudo-tty lefoglalást. Ezt például távoli gépeken futó
képernyő-alapú programok futtatására lehet használni (például amelyek menüket
használnak).
-v Bőbeszédő (verbose) üzemmód. Ilyenkor az ssh debugging üzeneteket ír ki a
működéséről. Ez a kapcsolatfelépítéssel, authentikációval és a konfigurációval
kapcsolatos problémák hibakeresésénél hasznos.
-V Csak kiírja a verziószámot és kilép.
-g Megengedi, hogy távoli gépek lokális port-forwardoló portokra kapcsolódjanak.
Alapértelmezés szerint csak a localhostról lehet a lokálisan lekötött (bind)
portokra csatlakozni.
-x Letiltja az X11 forwardolást. Ezt szintén meg lehet adni gépektől függő módon a
konfigurációs fájlokban is.
-C Az összes adat (beleértve a stdin-t, stdout-ot, stderr-t és a forwardolt X11 és
TCP/IP kapcsolatokat) tömörítve lesz. A tömörítési algoritmus ugyanaz mint a gzip
által használt, és a "szintjét" a CompressionLevel opcióval (lásd alább) lehet
beállítani. A tömörítés hasznos modemvonalakon és egyéb lassú kapcsolatok esetén,
de a gyors hálózatok esetén csak lassítani fogja a dolgokat. Ezt szintén meg lehet
adni gépektől függő módon a konfigurációs fájlokban is, lásd a Compress opciót
alább.
-L port:host:hostport
Forwardol egy adott portot a lokális (kliens) gépről egy távoli gépre. Ez úgy
működik, hogy lefoglal egy socket-et, hogy a port -on várakozzon (listen) a lokális
oldalon, és valahányszor egy kapcsolat jön erre a portra, azt a biztonságos
csatornán keresztül forwardolja, és a host:hostport -re a távoli gépről lép be. A
port-forwardolást a konfigurációs fájlban is specifikálni lehet. Csak a root
forwardolhat privilégizált portokat.
-R port:host:hostport
Forwardol egy adott portot a távoli (szerver) gépről egy lokális gépre. Ez úgy
működik, hogy lefoglal egy socket-et, hogy a port -on várakozzon (listen) a távoli
oldalon, és valahányszor egy kapcsolat jön erre a portra, azt a biztonságos
csatornán keresztül forwardolja, és a host:hostport -re a lokális gépről lép be. A
port-forwardolást a konfigurációs fájlban is specifikálni lehet. A távoli gépen
rootként kell belépnünk, ha privilégizált portokat akarunk forwardolni.
KONFIGURÁCIÓS FÁJLOK
Az ssh a következő forrásokból veszi a konfigurácós adatait (ebben a sorrendben):
parancssorbeli opciók, felhasználó konfigurációs fájlai ($HOME/.ssh/config), és a
renszerszintű konfigurációs fájl (/etc/ssh/ssh_config). Minden paraméter az így kapott
első értéket kapja. A konfigurációs fájlok "Host" specifikációk által behatárolt részeket
tartalmaznak, és egy adott rész csak azokra a gépekre vonatkozik, amelyek illeszkednek a
specifikációban megadott mintára. A parancssoron megadott gépnév kerül illesztésre.
Mivel minden paraméter az első értéket kapja, az inkább egy adott gépre specifikus
deklarációkat a fájl elején érdemes megadni, az általánosabb default-okat pedig a végén.
A konfigurációs fájlnak a következő formátuma van:
Az üres sorok és a ´#´ -el kezdődő sorok megjegyzések.
Egyébként pedig egy sor formátuma "kulcsszó argumentumok" vagy "kulcsszó =
argumentumok". A lehetséges kulcsszavakat és a jelentésüket lásd az alábbiakban
(megjegyzés: a konfigurációs fájlokban különbség van a kisbetű és a nagybetű
közott, de a kulcsszavaknál ez nem számít):
Host Az ezt követő deklarációkat korlátozza, hogy csak a kulcsszó után következő mintára
illeszkedő gépnevekre legyen érvényes (egészen a következő Host kulcsszóig). A ´*´
és a ´?´ wildcard-ként használható a mintákban. Ha a minta egyetlen ´*´ -ből áll,
akkor az az összes gépre vonatkozó globális defaultot jelent. A gépnév ilyenkor a
parancssoron megadott hostname argumentum (vagyis a név nincs kanonikus alakba
hozva az illeszkedésvizsgálat előtt).
BatchMode
Ha ez "yes" -re van állítva, akkor a jelszó/jelmondat megkérdezése letiltódik. Ezt
akkor hasznos, ha szkriptekből vagy egyéb automatizált eszközökből hívod, és nincs
felhasználó, aki megadhatná a jelszót. Az argumentum "yes" vagy "no" kell legyen.
Cipher Meghatározza a session titkosításához használat módszert. Jelenleg az idea, des,
3des, blowfish, arcfour és none vannal támogatva. A alapértelmezett az "idea"
(vagy a "3des" ha az "idea"-t nem támogatja mindkét gép). A "none" esetén nincs
titkosítás - ezt csak hibakeresésre szabad használni, mert ilyenkor a kapcsolat nem
biztonságos.
ClearAllForwardings
Kitörli az összes forwardolást, miután beolvasta az összes konfigurációs fájlt, és
a parancssort is. Ez arra jó, hogy a konfigurációs fájlokban található
forwardolásokat letiltsd, amikor egy második kapcsolatot akarsz létrehozni egy
olyan géppel, amelynek a konfigurációs fájlában a forwardolás be van állítva. Az
scp ezt alapértelmezés szerint beállítja, így működni fog még akkor is, ha a
konfigurációs fájban forwardolások vannak beállítva.
Compression
Meghatározza hogy legyen-e tömörítés használva. Az argumentum "yes" vagy "no" kell
legyen.
CompressionLevel
Meghatározza a tömörítés szintjét, ha a tömörítés engedélyezve van. Az argumentum
egy 1 (gyors) és 9 (lassú, de a legjobb) közötti szám kell legyen. Az
alapértelmezett szint 6, ami jó a legtöbb alkalmazás szempotjából. Ezeknek az
értékeknek a jelentése ugyanaz, mint a GNU GZIP esetén.
ConnectionAttempts
Meghatározza, hogy hányszor próbálkozzon (másodpercenként egyszer), mielőtt az rsh-
val próbálkozna, vagy kilépne. Az argumentum egy egész szám kell legyen. Ez hasznos
lehet szkriptekben, ha a kapcsolatfelvétel néha nem sikerül.
EscapeChar
Beállítja az escape karaktert (az alapértelmezett: ~). Az escape karaktert a
parancssoron is be lehet állítani. Az argumentum egy betű által követett ´^´ kell
legyen, vagy ``none'', hogy az escape karaktert teljesen letiltsuk (és így a
kapcsolatot átlátszóvá tegyük a bináris adatok számára)
FallBackToRsh
Meghatározza, hogy ha az ssh kapcsolat nem sikerül "connection refused" hiba miatt
(amit valószínüleg az okoz, hogy a másik gépen nem fut az sshd ), akkor az rsh
legyen-e használva automatikusan helyette (egy megfelelő figyelmeztetés után, mely
szerint a session nem lesz titkosítva). Az argumentum "yes" vagy "no" kell legyen.
ForwardAgent
Meghatározza, hogy egy authentikációs közvetítővel való kapcsolat (ha van)
forwardolva legyen-e a távoli gépre. Az argumentum "yes" vagy "no" kell legyen.
ForwardX11
Meghatározza , hogy az X11 kapcsolatok automatikusan át legyenek-e irányítva a
biztonságos csatornára a DISPLAY beállításával egyidejűleg. Az argumentum "yes"
vagy "no" kell legyen.
GatewayPorts
Meghatározza, hogy távoli gépek kapcsolódhatnak-e a lokálisan forwardolt portokra.
Az argumentum "yes" vagy "no" kell legyen.
GlobalKnownHostsFile
Meghatározza, hogy a /etc/ssh/ssh_known_hosts helyett melyik fájl legyen használva.
HostName
Meghatátozza annak a gépnek az igazi nevét, amelyikre be akarunk lépni. Ez arra
jó, hogy rövidített neveket használjunk. A default a parancssoron megadott név. A
numerikus IP címek szintén engedélyezve vannak (a parancssoron is, és a HostName
specifikációkban is).
IdentityFile
Meghatározza, hogy a felhasználó RSA authentikációs kulcsa melyik fájlból legyen
kiolvasva (az alapértelmezett az .ssh/identity a felhasználó home könyvtárában).
Ezenkívül egy esetleges authentikációs közvetítő által megadott identitások is
felhasználódnak. A fájl neve tertalmazhatja a tildét, hogy a felhasználó home
könyvtárát jelezze. Több identitás-fájlt is meg lehet adni a konfigurációs
fájlokban, ilyenkor ezek az adott sorrendben lesznek kipróbálva.
KeepAlive
Meghatározza, hogy a rendszer küldjön-e "maradj élve" (keepalive) üzeneteket a
túloldalnak. Ha küld, akkor a kapcsolat megszünése, vagy a gépek egyikének a
meghalása megfelelően észlelődik. Ugyanakkor ez azt is jelenti, hogy a kapcsolatok
megszakadnak akkor is ha a hálózat csak ideiglenesen nem működik, és van aki ezt
idegesítőnek tartja.
A alapértelmezett az hogy "yes" (küldjön ilyeneket), és a kliens észre fogja venni
ha a szerver vagy a hálózat lehal. Ez fontos a scriptekben, és sok felhasználó
szintén szereti.
A keepalives-ek letiltásához ezt az értéket "no"-ra kell állítani mind a szerver,
mind a kliens konfigurációs fájljaiban.
KerberosAuthentication
Meghatározza, hogy legyen-e Kerberos V5 authentikáció használva.
KerberosTgtPassing
Meghatározza, hogy legyen-e egy Kerberos V5 TGT a szervernek elküldve.
LocalForward
Azt állítja be, hogy egy lokális TCP/IP port forwardolva legyen a biztonságos
csatornán keresztül a megadott gép megadott portjára. Az első argumentum egy
portszám kell legyen, a második meg egy gép:port. Egyszerre több forwardolást is
be lehet állítani, és további forwardolásokat lehet a parancssoron hozzáadni.
Privilégizált portokat csak a root forwadolhat.
NumberOfPasswordPrompts
Meghatározza, hogy az ssh hányszor kérje el a jelszót mielőtt feladná. Mivel a
szerver szintén limitálja a próbálkozások számát (jelenleg 5 a maximum), ezért
hatástalan ennél nagyobb értékre állítani. Az alapértelmezett érték egy.
PasswordAuthentication
Meghatározza legyen-e jelszó-authentikáció használva. Az argumentum "yes" vagy
"no" kell legyen.
PasswordPromptHost
Meghatározza, hogy benne legyen-e a távoli gép neve a jelszó promptban. Az
argumentum "yes" vagy "no" kell legyen.
PasswordPromptLogin
Meghatározza, hogy benne legyen-e a távoli login név a jelszó promptban. Az
argumentum "yes" vagy "no" kell legyen.
Port Meghatározza, hogy a távoli gépen milyen porton probálkozzon. A default 22.
ProxyCommand
Meghatározza, hogy milyen parancs segítségével kapcsolódjunk egy szerverre. A
parancs-string a sor végéig tart, a /bin/sh hajtja végre. A parancs-stringben a %h
helyére a szerver gép neve kerül, %p helyére pedig a portszám. A parancs szinte
bármi lehet, a stdin-ről kell olvasnia, és a stdout-re írnia. Végül egy valamilyen
gépen futó sshd szerverre kell kapcsolódnia, vagy "sshd -i" -t kell futtatnia
valahol. A gép-kulcs kezelése a szerver gép HostName-ja segítségével (aminak a
defaultja a felhasználó által beírt név) történik. (Megjegyzés: az ssh -t lehet
úgy konfigurálni, hogy a SOCKS rendszert támogassa: ehhez fordításkor a --with-
socks4 vagy --with-socks5 opciókat kell megadni).
RemoteForward
Azt állítja be, hogy egy távoli TCP/IP port forwardolva legyen a biztonságos
csatornán keresztül a megadott lokális gép megadott portjára. Az első argumentum
egy portszám kell legyen, a második meg egy gép:port. Egyszerre több forwardolást
is be lehet állítani, és további forwardolásokat lehet a parancssoron hozzáadni.
Privilégizált portokat csak a root forwadolhat.
RhostsAuthentication
Meghatározza, hogy az rhosts authentikáció ki legyen-e próbálva. Megjegyzés: ez a
deklaráció csak a kliens viselkedését befolyásolja, és a biztonságra semmi hatása
nincs. Az rhosts authentikációval való próbálkozás letiltása csökkentheti az
authentikációs időt lassú kapcsolatok esetén, ha az rhosts authentikáció nincs
használatban. A legtöbb szerver nem engedélyezi az az rhosts authentikációt, mert
az nem biztonságos (lásd RhostsRSAAuthentication) Az argumentum "yes" vagy "no"
kell legyen.
RhostsRSAAuthentication
Meghatározza, hogy az RSA gép-authentikációval kombinált rhosts authentikáció ki
legyen-e próbálva. Ez az elsődleges authentikációs módszer a legtöbb esetben. Az
argumentum "yes" vagy "no" kell legyen.
RSAAuthentication
Meghatározza, hogy az RSA authentikáció ki legyen-e próbálva. Az argumentum "yes"
vagy "no" kell legyen. Az RSA authentikáció csak akkor lesz megpróbálva, ha egy
identity fájl létezik, vagy ha egy authentikációs közvetítő fut.
StrictHostKeyChecking
Ha ez a flag "yes" - re van állítva, akkor az ssh soha nem fogja a gép-kulcsokat a
$HOME/.ssh/known_hosts fájlhoz automatikusan hozzáadni, és megtagadja, hogy olyan
gépekre lépjen be, amelyeknek a kulcsa megváltozott. Ez maximális védelmet nyújt a
trójai faló típusú támadások ellen. Ugyanakkor eléggé idegesítő tud lenni, ha
nincs egy jó /etc/ssh/ssh_known_hosts fájlod installálva és gyakran próbálsz új
gépekre kapcsolódni. Gyakorlatilag ez az opció arra kényszeríti a felhasználót,
hogy kézzel adja hozzá az összes új gépet. Általában "ask"-ra állítják ezt az
opciót, és az új gépek automatikusan hozzáadódnak az ismert gépeket tartalmazó
fájlhoz, miután a felhasználó megerősítette, hogy valóban ezt akarja. Ha ez "no"-ra
van állítva, akkor az új gépek automatikusan adódnak hozzá az ismert gépeket
tartalmazó fájlhoz. Az ismert gépek kulcsai minden esetben automatikusan
ellenőrizve lesznek. Az argumentum "yes", "no" vagy "ask" kell legyen.
TISAuthentication
Meghatározza, hogy megpróbálkozzunk-e TIS authentikációval. Az argumentum "yes"
vagy "no" kell legyen.
UsePrivilegedPort
Meghatározza, hogy használjunk-e privilégizált portokat, amikor a másik oldalhoz
hozzákapcsolódunk. Az alapértelmezett az, hogy "yes", ha az rhosts authentikációk
engedélyezve vannak.
User Meghatározza, hogy milyen felhasználóként lépjen be. Ez akkor lehet hasznos, ha a
különböző gépeken más-más a felhasználói neved, és nem akarod azzal veszíteni az
időt, hogy a parancssoron adod meg a felhasználói nevet.
UserKnownHostsFile
Meghatározza, hogy a $HOME/.ssh/known_hosts helyett milyen fájlt használjunk.
UseRsh Meghatározza, hogy egy adott gépre rögtön az rlogin/rsh legyen-e használva.
Előfordulhat, hogy egy gép egyáltalán nem támogatja az ssh protokollt. Ilyenkor ssh
rögtön elindítja az rsh -t. Az összes többi opció (kivéve a HostName-t) ignorálva
lesz. Az argumentum "yes" vagy "no" kell legyen.
XAuthLocation
Meghatározza a elérési utat a xauth programhoz.
KÖRNYEZET
Az ssh normális esetben a következő környezeti változókat állítja be:
DISPLAY
A DISPLAY változó az X11 szerver helyére utal. Ezt az ssh automatikusan egy
"gépnév:n" alakra állítja be, ahol a gépnév annak a gépnek a neve, ahol a shell
fut, és n egy >= 1 egész szám. Az ssh ezt arra használja, hogy az X11
kapcsolatokat a biztonságos csatornán forwadolja. Jobb, ha a felhasználó nem
állítja be maga a DISPLAY-t expliciten, mert ez azt eredményezi, hogy az X11
kapcsolat nem lesz biztonságos. (és a felhasználó kénytelen lesz magának bemásolni
a szükséges authorizációs cookie-kat).
HOME A felhasználó home könyvtára.
LOGNAME
Az USER szinonimája - az olyan rendszerekkel való kompatibilitás céljából, amelyek
ezt a változót használják.
MAIL A felhasználó mailbox-a.
PATH Egy olyan alapértelmezett PATH-ra van beállítva, amelyet fordítás közben lehet
megadni az ssh -nak, vagy egyes rendszerekben az /etc/environment -ban vagy az
/etc/default/login -ban.
SSH_AUTH_SOCK
Ha létezik, arra van használva, hogy egy olyan unix-domain sockethez vezető path-ot
jelezzen, ami egy authentikációs közvetítővel (avgy lokális megfelelőjével) való
kapcsolathoz kell.
SSH_CLIENT
A kapcsolat kliens részét jelzi. Ez a változó három space-el határolt értéket
tartalmaz: kliens ip-cím, kliens portszám és szerver portszám.
SSH_ORIGINAL_COMMAND
Ez az eredeti parancssor kényszerített parancsfuttatás esetén. Arra lehet
használni, hogy elérd az argumentumokat stb. a túloldalról.
SSH_TTY
Ez a jelenlegi shellel vagy parancsal társított tty nevére (egy eszközhöz vezető
útvonalra) van állítva. Ha a jelenlegi session-nak nincs tty-je, ez a változó nincs
beálítva.
TZ Az időzóna (timezone) változó a jelenlegi időzónát jelzi, ha az be volt állítva a
démon indításakor. (A démon átadja ezt az értéket az új kapcsolatoknak.)
USER A belépett felhasználó neve.
Ezeken kívül az ssh elolvassa az /etc/environment és $HOME/.ssh/environment, fájlokat, és
VÁLTOZÓNÉV=érték formátumú sorokat ad a környezethez. Egyes rendszereken további
mechanizmusok is létezhetnek a környezet beállítására, így például az /etc/default/login
Solaris-on.
FÁJLOK
$HOME/.ssh/known_hosts
Olyan gépek kulcsai, amelyikbe a felhasználó belépett (és nincsenek benne a
/etc/ssh/ssh_known_hosts -ban). Lásd még az sshd kézikönyvlapot.
$HOME/.ssh/random_seed
A véletlenszám-generátor inicializálásához használt fájl. Ez a fájl fontos
adatokat tartalmaz, a felhasználónak legyen írási/olvasási joga rá, de másoknak
semmi. Ez a fájl akkor keletkezik, amikor egy program első ízben fut, és
automatikusan változik. A felhasználónak sohasem kell elolvasnia vagy módódítania
ezt a fájlt.
$HOME/.ssh/identity
A felhasználó RSA authentikációs identitását tartalmazza. Ez a fájl fontos
adatokat tartalmaz, a felhasználónak legyen írási/olvasási joga rá, de másoknak
semmi. Ennek a kulcsnak a generálásákor egy jelmondatot is meg lehet adni, ez a
jelmondat arra használható, hogy ennek a fájlnak az érzékeny részét titkosítsa az
IDEA segítségével
$HOME/.ssh/identity.pub
Az authentikációra használt nyilvános kulcsot tartalmazza (az identitás-fájl
nyilvános részét olvasható formában) ennek a fájlnak a tartalmát a
$HOME/.ssh/authorized_keys fájlhoz kell hozzáadni minden olyan gépen, amelyikre RSA
authentikáció segítségével akarsz belépni. Ez a fájl nem érzékeny, és lehet (de
nem szükségszerű) mindenki által olvashatóvá tenni. Ezt a fájlt soha nem
használják automatikusan, és nincs is szükség rá, csak a felhasználó kényelme
kedvéért van ott.
$HOME/.ssh/config
Ez a konfigurációs fájl a felhasználóra jellemző beállításokat tartalmazza. A fájl
formátuma a fentiekben van leírva. Ezt a fájlt az ssh kliensek használják.
Általában ez a fájl nem tartalmaz érzékeny információkat, de az ajánlott
jogosultságok írás/olvasás a felhasználónak, és semmi jog másoknak.
$HOME/.ssh/authorized_keys
Azokat az RSA kulcsokat tartalmazza, amelyek használhatók arra, hogy segítségével e
felhasználóként be lehessen lépni. Ennek a fájlnak a formátuma az sshd
kézikönyvlapban van leírva. Legegyszerűbb esetben a formátum ugyanaz mint a .pub
identitás fájlok esetén.
Ez a fájl nem tartalmaz nagyon érzékeny információkat, de az ajánlott jogosultságok
írás/olvasás a felhasználónak, és semmi jog másoknak.
/etc/ssh/ssh_known_hosts
Az ismert gépek kulcsainak rendszerszintű listája. Ezt a fájlt a rendszergazdának
kell elkészítenie, hogy a hálózaton belüli összes gép nyilvános kulcsát
tartalmazza. Ennek a fájlnak mindenki által olvashatónak kell lennie. Ha egy
gépnek több neve is van, akkor az összes ilyen gépnevet fel kell sorolni, vesszővel
elválasztva. A formátumot az sshd kézikönyvlap írja le.
Belépéskor a kanonikus gépnév (amit a nameserver visszaad) az, amit az sshd a
kliens gép identitásának a megállapítására használ belépéskor; a többi névre azért
van szükség, mert az ssh nem konvertálja a felhasználó által megadott nevet
kanonikus névvé, mielőtt egy kulcsot ellenőrizne, mivel egyébként valaki, aki
hozzáfér a nameserver-hez, átverhetné a gép-authentikációt.
/etc/ssh/ssh_config
A rendszerszintű konfigurációs fájl. Ez a fájl defaultokat specifikál olyan értékek
számára, amelyek nincsenek a felhasználó konfigurációs fájljában, vagy olyan
felhasználóknak, akiknek nincs konfigurációs fájljuk. Ennek a fájlnak mindenki
által olvashatónak kell lennie.
$HOME/.rhosts
Ez a fájl az .rhosts authentikáció során van használva, mégpedig arra, hogy
felsorolja azokat a gép/felhasználó párokat, amelyeknek a belépés engedélyezve van.
(Megjegyzés: ezt a fájlt használja az rlogin és az rsh is, ezért használatuk nem
számít biztonságosnak) A fájl minden sora tartalmaz egy gépnevet (abban a kanonikus
formában, ahogy a nameserverek adják), utána pedig egy azon a gépen található
felhasználó felhasználói nevét, vesszővel elválasztva. Ennek a fájlnak a
felhasználó tulajdonában kell lennie, és nem szabad másoknak is írási jogot adni
rá.
Megjegyzés: alapértelmezés szerint az sshd sikeres RSA gép-authentikációt igényel
mielőtt megengedné az .rhosts authentikációt. Ha egy szerver géped nem tartalmazza
egy kliens gép kulcsát az /etc/ssh/ssh_known_hosts -ben, akkor az
$HOME/.ssh/known_hosts -be is teheted. A legegyszerűbb módja ennek az, hogy a
szerverről belépsz a kliensre, ekkor a kliens gép kulcsa automatikusan hozzáadódik
a $HOME/.ssh/known_hosts -hoz.
$HOME/.shosts
Ezt a fájlt pontosan ugyanúgy kell használni mint a .rhosts -t. Csak azért van,
hogy képes legyél az rhosts authentikációt használni az ssh -val, anélkül, hogy
megenged az rlogin-t vagy az rsh-t.
/etc/hosts.equiv
Ez a fájl az .rhosts authentikáció során van használva. Kanonikus gépneveket
tartalmaz, soronként egyet (a formátum teljes leírását lásd az sshd
kézikönyvlapban). Ha egy kliens gép benne van ebben a fájlban, és a login nevek a
szerveren és a kliensen megegyeznek, akkor a belépés automatikusan engedélyezve
lesz. Ezen kívül sikeres RSA gép-authentikációra is szükség van normális esetben.
Ennek a fájlnak csak a root által kell írhatónak lennie.
/etc/ssh/shosts.equiv
Ez a fájl pontosan úgy van feldolgozva, mint a /etc/hosts.equiv. Arra jó, hogy
megengedje az ssh belépéseket, de megtiltsa az rsh/rlogin belépéseket.
/etc/ssh/sshrc
Az ebben a fájlban található parancsok akkor hajtódnak végre az ssh által, amikor
felhasználó belép, közvetlenül azelőtt, hogy a felhasználó shellje (vagy parancsa)
elindulna. Lásd az sshd kézikönyvlapot további információkért.
$HOME/.ssh/rc
Az ebben a fájlban található parancsok akkor lesznek végrehajtva az ssh által,
amikor felhasználó belép, közvetlenül azelőtt, hogy a felhasználó shellje (vagy
parancsa) elindulna. Lásd az sshd kézikönyvlapot további információkért.
INSTALLÁLÁS
Az ssh általában suid rootként van felinstallálva. A root jogokra csak az rhosts
authentikáció miatt van szüksége (Az rhosts authentikáció azt igényli, hogy a kapcsolat
egy privilégizált portról kezdeményeződjön, és ilyen portot csak root jogokkal lehet
lefoglalni) Ezen kívül képesnek kell lennie arra, hogy a /etc/ssh/ssh_host_key -t
elolvassa, hogy RSA gép authentikációt tudjon használni. Lehetséges az ssh -t root jogok
nélkül használni, de akkor az rhosts authentikációt nem lehet használni. Az ssh eldobja
az összes extra jogot, amint a kapcsolat a távoli géppel létrejött.
Mindent megtettünk azért, hogy az ssh biztonságos legyen. Ha ennek ellenére biztonsági
problémát találsz, kérjük rögtön értesíts minket az <ssh-bugs@cs.hut.fi> címen.
SZERZŐ
Tatu Ylonen <ylo@ssh.fi>
Az újabb verziókról, levelezési listákról, és a többi kapcsolódó témáról az ssh WWW home
page-n, a http://www.cs.hut.fi/ssh címen találsz információt.
LÁSD MÉG
sshd(8), ssh-keygen(1), ssh-agent(1), ssh-add(1), scp(1), make-ssh-known-hosts(1),
rlogin(1), rsh(1), telnet(1)
MAGYAR FORDÍTÁS
Balázs-Csíki László <bcsl@elender.hu>