.\" -*- coding: UTF-8 -*-
.\"
.\" Author: Tatu Ylonen <ylo@cs.hut.fi>
.\" Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
.\"                    All rights reserved
.\"
.\" As far as I am concerned, the code I have written for this software
.\" can be used freely for any purpose.  Any derived versions of this
.\" software must be clearly marked as such, and if the derived work is
.\" incompatible with the protocol description in the RFC file, it must be
.\" called by a name other than "ssh" or "Secure Shell".
.\"
.\" Copyright (c) 1999,2000 Markus Friedl.  All rights reserved.
.\" Copyright (c) 1999 Aaron Campbell.  All rights reserved.
.\" Copyright (c) 1999 Theo de Raadt.  All rights reserved.
.\"
.\" Redistribution and use in source and binary forms, with or without
.\" modification, are permitted provided that the following conditions
.\" are met:
.\" 1. Redistributions of source code must retain the above copyright
.\"    notice, this list of conditions and the following disclaimer.
.\" 2. Redistributions in binary form must reproduce the above copyright
.\"    notice, this list of conditions and the following disclaimer in the
.\"    documentation and/or other materials provided with the distribution.
.\"
.\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
.\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
.\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
.\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
.\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
.\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
.\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
.\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
.\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
.\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
.\"
.\" $OpenBSD: ssh_config.5,v 1.332 2020/08/11 09:49:57 djm Exp $
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.Dd $Mdocdate: 11 серпня 2020 року $
.Dt SSH_CONFIG 5
.Os
.Sh НАЗВА
.Nm ssh_config
.Nd файл налаштувань клієнта OpenSSH
.Sh ОПИС
.Xr ssh 1
отримує дані налаштувань з наступних джерел у такому порядку:
.Pp
.Bl -enum -offset indent -compact
.It 
параметри командного рядка
.It 
файл налаштувань користувача
.Pq Pa ~/.ssh/config
.It 
загальносистемний файл налаштувань
.Pq Pa /etc/ssh/ssh_config
.El
.Pp
Для кожного параметра буде використано перше отримане значення. Файли
налаштувань містять розділи, розділені специфікаціями
.Cm Host ,
і цей
розділ застосовується лише до вузлів, які відповідають одному із шаблонів,
наведених у специфікації. Узгоджена назва вузла, зазвичай, є назвою,
зазначеною в командному рядку (винятки див. у параметрі
.Cm CanonicalizeHostname ) .
.Pp
Оскільки для кожного параметра використовується перше отримане значення,
більше специфічних для вузла оголошень слід надавати біля початку файлу, а
загальні типові значення — в кінці.
.Pp
Зауважте, що у пакунку Debian для
.Ic openssh-client
у
.Pa /etc/ssh/ssh_config
встановлено деякі параметри, які не є типовими для
.Xr ssh 1 :
.Pp
.Bl -bullet -offset indent -compact
.It 
.Cm Include /etc/ssh/ssh_config.d/*.conf
.It 
.Cm SendEnv No LANG LC_*
.It 
.Cm HashKnownHosts No yes
.It 
.Cm GSSAPIAuthentication No yes
.El
.Pp
Файли
.Pa /etc/ssh/ssh_config.d/*.conf
буде включено на початку
загальносистемного файл налаштувань, тому встановлені там значення
параметрів матимуть пріоритет над встановленими у
.Pa /etc/ssh/ssh_config.
.Pp
Файл містить пари ключове слово-аргумент, по одній у рядку. Рядки, що
починаються з
.Ql # ,
і порожні рядки інтерпретуються як
коментарі. Аргументи можна брати у подвійні лапки
.Pq \&"
для подання
аргументів, що містять пропуски. Параметри налаштувань можна розділяти
пропусками або необов'язковим пропуском і рівно одним
.Ql = ;
останній
формат корисний для уникнення необхідності вводити пропуск у лапки під час
визначення параметрів налаштувань за допомогою параметрів
.Nm ssh ,
.Nm scp
і
.Nm sftp
.Fl o .
.Pp
Можливі ключові слова та їх значення такі (зверніть увагу, що ключові слова
не чутливі до регістру, а аргументи чутливі):
.Bl -tag -width Ds
.It Cm Host
Обмежує подальші оголошення (до наступного ключового слова
.Cm Host
або
.Cm Match )
лише для тих машин, які відповідають одному із шаблонів,
наведених після ключового слова. Якщо надано більше одного шаблону, їх слід
розділити пропусками. Одним
.Ql *
як шаблоном позначають типові глобальні
значення для всіх машин. Машина зазвичай є аргументом
.Ar hostname ,
наведеним у командному рядку (щодо винятків див. ключове слово
.Cm CanonicalizeHostname ) .
.Pp
Елемент шаблону можна заперечувати, додавши до нього знак оклику
.Pq Sq !\& .
Якщо збігається елемент із запереченням, елемент
.Cm Host
нехтується, незалежно від того, чи збігаються інші шаблони в рядку. Тому
заперечні збіги корисні для задання винятків для збігів із підставними
символами.
.Pp
Див.
.Sx PATTERNS
щодо докладнішої інформації про шаблони.
.It Cm Match
Обмежує використання подальших оголошень (до наступного ключового слова
.Cm Host
або
.Cm Match ) ,
лише якщо задоволено умови, зазначені після
ключового слова
.Cm Match .
Умови відповідності задаються за допомогою
одного або кількох критеріїв або єдиного маркера
.Cm all ,
який збігається
завжди. Доступні ключові слова критеріїв:
.Cm canonical ,
.Cm final ,
.Cm exec ,
.Cm host ,
.Cm originalhost ,
.Cm user
і
.Cm localuser .
Критерії
.Cm all
мають з’являтися окремо або відразу після
.Cm canonical
чи
.Cm final .
Інші критерії можна комбінувати
довільно. Усі критерії, крім
.Cm all ,
.Cm canonical
і
.Cm final ,
вимагають аргументу. Критерій можна скасувати, додавши перед ним знак оклику
.Pq Sq !\& .
.Pp
Ключове слово
.Cm canonical
вважається відповідним, лише коли файл
налаштувань повторно аналізується після канонізації назви машини
(див. параметр
.Cm CanonicalizeHostname ) .
Це може бути корисно для
визначення умов, які працюють лише з канонічними назвами машин.
.Pp
Ключове слово
.Cm final
вимагає повторного аналізу налаштувань (незалежно
від того, чи ввімкнено
.Cm CanonicalizeHostname ) ,
і відповідає лише під
час цього останнього проходу. Якщо
.Cm CanonicalizeHostname
увімкнено, то
.Cm canonical
і
.Cm final
під час одного проходу збігаються.
.Pp
Ключове слово
.Cm exec
виконує вказану команду в оболонці
користувача. Якщо команда повертає нульовий стан виходу, то умова вважається
правдивою. Команди, що містять пробіли слід брати у лапки. Аргументи для
.Cm exec
приймають жетони, описані у розділі
.Sx ЖЕТОНИ .
.Pp
Критеріями інших ключових слів мають бути окремими записами або списками,
розділеними комами, і можуть використовувати символи-замінники та
заперечення, описані в розділі
.Sx PATTERNS .
Критерії для ключового слова
.Cm host
відповідають назві цільової машини після будь-якої заміни
параметрами
.Cm Hostname
або
.Cm CanonicalizeHostname .
Ключове слово
.Cm originalhost
збігається з назвою машини, зазначеною в командному
рядку. Ключове слово
.Cm user
відповідає цільовому імені користувача на
віддаленій машині. Ключове слово
.Cm localuser
відповідає імені
локального користувача, який запускає
.Xr ssh 1
(це ключове слово може
бути корисним у загальносистемних файлах
.Nm ) .
.It Cm AddKeysToAgent
Визначає, чи слід автоматично додавати ключі до запущеного
.Xr ssh-agent 1 .
Якщо для цього параметра встановлено значення
.Cm yes ,
і ключ
завантажено з файла, ключ і його пароль буде додано до агента з типовим
строком дії, як за допомогою
.Xr ssh-add 1 .
Якщо для цього параметра
встановлено значення
.Cm ask ,
.Xr ssh 1
потребуватиме підтвердження за
допомогою програми
.Ev SSH_ASKPASS
перед додаванням ключа (див.
.Xr ssh-add 1 ,
щоб дізнатися більше). Якщо для цього параметра встановлено
значення
.Cm confirm ,
доведеться підтверджувати кожне використання ключа
так, наче було вказано параметр
.Fl c
для
.Xr ssh-add 1 .
Якщо для
цього параметра встановлено значення
.Cm no ,
ключі до агента додано не
буде. Крім того, для цього параметра можна вказати інтервал часу з
використанням формату, який описано у розділі
.Sx ФОРМАТИ ЧАСУ
сторінки
підручника
.Xr sshd_config 5 ,
для визначення строку дії ключа в
.Xr ssh-agent 1 ,
по завершенню якого ключ буде автоматично вилучено. Аргументом
має бути
.Cm no
(«ні», типове значення),
.Cm yes
(«так»),
.Cm confirm
(«підтверджувати», до якого можна додати інтервал часу),
.Cm ask
(«питати») або інтервал часу.
.It Cm AddressFamily
Вказує, яку родину адрес використовувати при з'єднанні. Можливі аргументи є
.Cm any
(типовий),
.Cm inet
(вживати лише IPv4) або
.Cm inet6
(вживати лише IPv6).
.It Cm BatchMode
Якщо встановлено значення
.Cm yes ,
взаємодія з користувачем, як
наприклад, підказки паролю, та запити щодо підтвердження ключа машини, буде
вимкнена. Окрім того, для параметра
.Cm ServerAliveInterval
типово буде
встановлено значення 300 секунд (специфічне для Debian). Цей параметр
корисний в скриптах та інших пакетних завданнях, де немає користувача для
взаємодії
.Xr ssh 1 .
Аргументом має бути
.Cm yes
або
.Cm no
(типовий).
.It Cm BindAddress
Скористатися вказаною адресою на локальній машині, як початковою адресою
з'єднання. Є корисним лише на системах з більш ніж однією адресою.
.It Cm BindInterface
Використати як початкову адресу з'єднання адресу вказаного інтерфейсу на
локальній машині.
.It Cm CanonicalDomains
Якщо увімкнено
.Cm CanonicalizeHostname ,
цей параметр задає список
суфіксів доменів, у яких слід шукати вказаний вузол призначення.
.It Cm CanonicalizeFallbackLocal
Вказує, чи слід переривати роботу внаслідок помилки, якщо спроба перевести
назву вузла у канонічну форму завершується невдало. Якщо вказано типовий
варіант,
.Cm yes ,
буде зроблено спробу виконати пошук неточної назви
вузла за допомогою правил пошуку засобу визначення адрес
системи. Використання значення
.Cm no
призведе до того, що
.Xr ssh 1
негайно завершить роботу, якщо увімкнено
.Cm CanonicalizeHostname
і назву
вузла призначення не буде знайдено у жодному з доменів, які вказано
параметром
.Cm CanonicalDomains .
.It Cm CanonicalizeHostname
Керує тим, чи буде виконано явне перетворення у канонічну форму назв
вузлів. Типовим варіантом,
.Cm no ,
передбачено невиконання будь-яких
перезаписів назв і передання загальносистемному засобу визначення назв
можливостей виконання усіх пошуків назв вузлів. Якщо встановлено значення
.Cm yes ,
для з'єднань, у яких не використовується
.Cm ProxyCommand
або
.Cm ProxyJump ,
.Xr ssh 1
спробує переводити у канонічну форму назви
вузла, які вказано у командному рядку за допомогою суфіксів
.Cm CanonicalDomains
і правил
.Cm CanonicalizePermittedCNAMEs .
Якщо для
.Cm CanonicalizeHostname
встановлено значення
.Cm always ,
переведення
у канонічну форму буде застосовано також і до пропущених через проксі-сервер
з'єднань.
.Pp
Якщо увімкнено цей параметр, файли налаштувань буде оброблено знову з
використанням нової назви призначення для актуалізації будь-яких нових
налаштувань у відповідних інструкціях
.Cm Host
і
.Cm Match .
.It Cm CanonicalizeMaxDots
Визначає максимальну кількість символів крапки, які буде використано у назві
вузла, перш ніж переведення у канонічну форму буде вимкнено. Типовим
значенням є 1, тобто можна використовувати лише одну крапку (приклад:
назва_вузла.піддомен).
.It Cm CanonicalizePermittedCNAMEs
Вказує правила для визначення того, чи слід вказувати після CNAME назви
вузлів у канонічній формі. Правила складаються з одного або декількох
аргументів
.Ar список_доменів_джерела : Ns Ar список_доменів_призначення ,
де
.Ar сипсок_доменів_джерела
є списком взірців доменів, після яких може
бути вказано CNAME у канонічній формі, а
.Ar список_доменів_призначення
є
списком взірців доменів, до яких можливе визначення.
.Pp
Наприклад,
.Qq *.a.example.com:*.b.example.com,*.c.example.com
дозволить
встановлення для назв вузлів, які відповідають взірцю
.Qq *.a.example.com ,
переведення у канонічну форму до назв у доменах
.Qq *.b.example.com
або
.Qq *.c.example.com .
.It Cm CASignatureAlgorithms
Вказує, який алгоритм можна використовувати для підписування сертифікатів
службами сертифікації (CA). Типові значення:
.Bd -literal -offset indent
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
ssh-ed25519,rsa-sha2-512,rsa-sha2-256,ssh-rsa
.Ed
.Pp
.Xr ssh 1
не прийматиме сертифікати вузлів, які підписано алгоритмами,
яких немає у вказаному списку.
.It Cm CertificateFile
Вказує файл, з якого слід читати сертифікат користувача. Для використання
цього сертифіката слід окремо вказати відповідний закритий ключ за допомогою
або інструкції
.Cm IdentityFile ,
або прапорця
.Fl i
команди
.Xr ssh 1 ,
з використанням
.Xr ssh-agent 1 ,
.Cm PKCS11Provider
або
.Cm SecurityKeyProvider .
.Pp
У аргументах
.Cm CertificateFile
можна використовувати символ тильди для
позначення домашнього каталогу користувача, жетони, які описано у розділі
.Sx ЖЕТОНИ
та змінні середовища, як їх описано у розділі
.Sx ЗМІННІ СЕРЕДОВИЩА .
.Pp
У файлах налаштувань можна вказувати декілька файлів сертифікатів; програми
намагатимуться скористатися цими сертифікатами послідовно. Якщо вказати
декілька інструкцій
.Cm CertificateFile ,
сертифікати буде додано до
списку сертифікатів, які використовуватимуться для розпізнавання.
.It Cm ChallengeResponseAuthentication
Визначає, чи слід використовувати розпізнавання виклик-відповідь. Аргументом
цього ключового слова має бути
.Cm yes
(типовий варіант) або
.Cm no .
.It Cm CheckHostIP
Якщо встановлено значення
.Cm yes
(типове значення),
.Xr ssh 1
автоматично шукатиме IP-адресу вузла у файлі
.Pa known_hosts .
Це надасть
програмі змогу визначити, чи було змінено ключ вузла через підміну DNS, і у
процесі обробки додати адреси вузлів призначення у
.Pa ~/.ssh/known_hosts ,
незалежно від значення параметра
.Cm StrictHostKeyChecking .
Якщо для параметра встановлено значення
.Cm no ,
пошук не відбуватиметься.
.It Cm Ciphers
Вказує дозволені шифрування та їхній порядок пріоритетності. Шифрування у
списку слід відокремлювати комами. Якщо вказаний список починається з
символу
.Sq + ,
вказані шифрування буде дописано до типового набору, а не
використано замість нього. Якщо вказаний список починається з символу
.Sq - ,
шифрування (разом із відповідними до вказаних шаблонів) буде вилучено зі
списку, а не використано замість нього. Якщо вказаний список починається з
символу
.Sq ^ ,
шифрування зі списку буде дописано на початку типового
набору.
.Pp
Підтримувані шифрування:
.Bd -literal -offset indent
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
.Ed
.Pp
Типове:
.Bd -literal -offset indent
chacha20-poly1305@openssh.com,
aes128-ctr,aes192-ctr,aes256-ctr,
aes128-gcm@openssh.com,aes256-gcm@openssh.com
.Ed
.Pp
Список доступних шифрувань також можна отримати за допомогою команди
.Qq ssh -Q cipher .
.It Cm ClearAllForwardings
Вказує, що усі переспрямування локальних, віддалених та динамічних портів,
вказані у файлах налаштувань або рядку команди, слід вилучити. Цей параметр,
в основному, призначено для використання з командного рядка
.Xr ssh 1
для
вилучення переспрямувань портів, які встановлено у файлах налаштувань, і
автоматично встановлюється
.Xr scp 1
і
.Xr sftp 1 .
Аргументом має бути
.Cm yes
або
.Cm no
(типове значення).
.It Cm Compression
Визначає, чи слід використовувати стиснення. Аргументом має бути
.Cm yes
або
.Cm no
(типовий варіант).
.It Cm ConnectionAttempts
Вказує кількість спробу (по одній за секунду), які слід виконувати до
завершення роботи. Аргументом має бути ціле число. Може бути корисно у
скриптах, якщо станеться якась помилка. Типовим є значення 1.
.It Cm ConnectTimeout
Встановлює час очікування (у секундах), який буде використано при
встановленні з'єднання із сервером SSH, замість використання типового часу
очікування TCP системи. Цей час очікування буде застосовано і для
встановлення з'єднання і для виконання початкового узгодження з'єднання SSH
і обміну ключами.
.It Cm ControlMaster
Вмикає спільне використання декількох сеансів у межах одного з'єднання
мережі. Якщо встановлено значення
.Cm yes ,
.Xr ssh 1
очікуватиме на
з'єднання на керівному сокеті, який вказано за допомогою аргументу
.Cm ControlPath .
Додаткові сеанси можна з'єднати з цим сокетом за допомогою
того самого
.Cm ControlPath
із встановленим для
.Cm ControlMaster
значенням
.Cm no
(типове значення). У цих сеансах буде зроблено спробу
повторно використати з'єднання мережі основного екземпляра, а не ініціювати
нові з'єднання. Якщо ж використати з'єднання повторно не вдасться через те,
що керівного сокета не існуватиме, або через те, що на ньому не можна буде
очікувати на дані, резервним варіантом буде звичайне встановлення з'єднання.
.Pp
Встановлення для цього параметра значення
.Cm ask
призведе до того, що
.Xr ssh 1
очікуватиме на керівні з'єднання, але потребуватиме
підтвердження за допомогою
.Xr ssh-askpass 1 .
Якщо не вдасться відкрити
.Cm ControlPath ,
.Xr ssh 1
продовжуватиме роботу без з'єднання із
основним екземпляром.
.Pp
Передбачено підтримку переспрямування X11 і
.Xr ssh-agent 1
для цих
ущільнених з'єднань. Втім, переспрямування дисплеїв та агентів буде
переспрямуванням тих елементів, які належать до основного з'єднання, тобто
не можна переспрямовувати декілька дисплеїв або агентів.
.Pp
Два додаткових параметри забезпечують кон'юнктурне ущільнення: спочатку
спроба скористатися основним з'єднанням, але у резервному випадку створення
з'єднання, якщо його ще не існує. Цими параметрами є такі:
.Cm auto
і
.Cm autoask .
Останній параметр потребує підтвердження, подібно до
параметра
.Cm ask .
.It Cm ControlPath
Вказати шлях до керівного сокета, який використовується для спільного
з'єднання, як це описано у розділі
.Cm ControlMaster
вище, або рядок
.Cm none
для вимикання спільного використання з'єднання. У аргументах
.Cm ControlPath
можна використовувати символ тильди для позначення
домашнього каталогу користувача, жетони, які описано у розділі
.Sx ЖЕТОНИ ,
та змінні середовища, які описано у розділі
.Sx ЗМІННІ СЕРЕДОВИЩА .
Рекомендуємо, щоб будь-які значення
.Cm ControlPath ,
які
використано для кон'юнктурного спільного користування з'єднанням, включали
принаймні %h, %p і %r (або %C), і їх було розташовано у каталозі, який є
непридатним для запису іншими користувачами. Таким чином можна забезпечити
однозначну ідентифікацію спільних з'єднань.
.It Cm ControlPersist
Якщо використано у поєднанні із
.Cm ControlMaster ,
визначає, що основне
з'єднання має лишатися відкритим у фоновому режимі (очікувати на майбутні
з'єднання клієнтів) після того, як початкове клієнтське з'єднання буде
розірвано. Якщо встановлено значення
.Cm no
(типове значення), основне
з'єднання не буде переведено у фоновий режим — його буде розірвано, щойно
буде розірвано початкове клієнтське з'єднання. Якщо встановлено значення
.Cm yes
або 0, основне з'єднання лишатиметься працювати у фоновому режимі
без часових обмежень (аж доки його не буде знищено або розірвано за
допомогою механізмів, подібних до
.Qq ssh -O exit ) .
Якщо встановлено час
у секундах або час у будь-якому форматі, який документовано на сторінці
підручника
.Xr sshd_config 5 ,
фонове основне з'єднання буде автоматично
розірвано, якщо воно лишатиметься бездіяльним (без клієнтських з'єднань)
протягом вказаного періоду часу.
.It Cm DynamicForward
Вказує, що порт TCP на локальній машині буде переспрямовано захищеним
каналом, а протокол програми буде потім використано для визначення, з чим
слід встановлювати з'єднання з віддаленої машини.
.Pp
Аргументом має бути
.Sm off
.Oo Ar bind_address : Oc Ar порт .
.Sm on
IPv6-адреси можна вказувати у квадратних дужках. Типово, локальний порт
прив'язаний відповідно до параметра
.Cm GatewayPorts .
Однак, можна вжити
явну
.Ar bind_address ,
щоб прив'язати з'єднання до потрібної
адреси.
.Ar bind_address
на
.Cm localhost
вказує, що порт слухання
буде прив'язаний лише для локального використання, а порожня адреса або
.Sq *
вказує, що порт буде доступний зі всіх інтерфейсів.
.Pp
У поточній версії передбачено підтримку протоколів SOCKS4 і SOCKS5, а
.Xr ssh 1
працюватиме як сервер SOCKS. Може бути вказано декілька
переспрямувань, а додаткові переспрямування можна вказати у рядку
команди. Переспрямування привілейованих портів може виконувати лише
суперкористувач.
.It Cm EnableSSHKeysign
встановлення для цього параметра значення
.Cm yes
у файлі загальних
клієнтських налаштувань
.Pa /etc/ssh/ssh_config
вмикає використання
допоміжної програми
.Xr ssh-keysign 8
під час виконання
.Cm HostbasedAuthentication .
Аргументом має бути
.Cm yes
або
.Cm no
(типове значення). Цей параметр слід розташовувати у розділі, який не є
специфічним для вузла. Див. сторінку підручника
.Xr ssh-keysign 8 ,
щоб
дізнатися більше.
.It Cm EscapeChar
Встановлює керівний символ (типовим є
.Ql ~ ) .
Крім того, керівний символ
можна вказати у рядку команди. Аргументом має бути одинарний символ
.Ql ^ ,
після якого має бути вказано літеру, або
.Cm none ,
щоб повністю
вимкнути керівний символ (що зробить з'єднання прозорим для двійкових
даних).
.It Cm ExitOnForwardFailure
Визначає, чи має
.Xr ssh 1
розривати з'єднання, якщо програмі не вдасться
налаштувати усі запитані динамічні, тунельовані, локальні та віддалені
переспрямування портів (наприклад, якщо будь-якому з кінців не вдасться
зв'язатися і очікувати на дані на вказаному порту). Зауважте, що
.Cm ExitOnForwardFailure
не стосується з'єднань, створених через
переспрямування портів, і не буде, наприклад, спричиняти вихід з
.Xr ssh 1 ,
якщо спроба з'єднання TCP до кінцевого призначення переспрямування
завершиться невдало. Аргументом може бути
.Cm yes
або
.Cm no
(типове
значення).
.It Cm FingerprintHash
Визначає алгоритм хешування для показу відбитків ключів. Правильними
значеннями є такі:
.Cm md5
і
.Cm sha256
(типовий варіант).
.It Cm ForwardAgent
Вказує, чи з'єднання до агента розпізнавання (якщо таке є) буде
переспрямовано до віддаленої машини. Аргументом може бути
.Cm yes ,
.Cm no
(типове), явний шлях до сокета агента або назва змінної середовища (що
починається з
.Sq $ ) ,
у якій слід шукати шлях.
.Pp
Переспрямування агента треба вмикати обережно Користувачі з можливістю
обходу дозволів файлів на віддаленому вузла (для сокета домену UNIX агента)
можуть отримати доступ до локального агента через переспрямоване
з'єднання. Зловмисники не зможуть отримати матеріали ключів від агента,
однак вони можуть виконати дії з ключами, що дозволить їм пройти
розпізнавання за допомогою профілів, які завантажено до агента.
.It Cm ForwardX11
Визначає, чи буде автоматично переспрямовано захищеним каналом з'єднання X11
і встановлено
.Ev DISPLAY .
Аргументом має бути
.Cm yes
або
.Cm no
(типовий варіант).
.Pp
Слід бути обережним із вмиканням переспрямовування X11. Користувачі з
можливістю обходу дозволу файлів на віддаленому вузлі (для бази даних
уповноважень користувача X11) зможуть доступитися до локального дисплея X11
через переспрямоване з'єднання. Зловмисник зможе виконувати дії, наприклад
стеження за натиснутими клавішами, якщо також увімкнено параметр
.Cm ForwardX11Trusted .
.It Cm ForwardX11Timeout
Встановити час очікування для недовірених переспрямувань X11 використовуючи
формат, описаний в розділі
.Sx TIME FORMATS
в
.Xr sshd_config 5 .
з'єднання X11, отримані
.Xr ssh 1
після цього часу будуть
відхилені. Встановлення
.Cm ForwardX11Timeout
в нуль вимкне обмеження
часу очікування і дозволить переспрямування X11 на весь час
з'єднання. Типовим є вимкнути недовірені переспрямування X11 після 20
хвилин.
.It Cm ForwardX11Trusted
Якщо для цього параметра встановлено значення
.Cm yes ,
(специфічне для
Debian типове значення), віддалені клієнти X11 матимуть повний доступ до
початкового дисплея X11.
.Pp
Якщо параметр встановлено в
.Cm no
(типове значення в основній гілці
розробки) віддалені X11 клієнти будуть розглядатися, як недовірені, і їм
буде заборонено викрадення або фальсифікацію даних, що належать клієнтам
X11. Більше того, жетон
.Xr xauth 1 ,
використаний для сеансу буде мати
строк дії 20 хвилин. Віддаленим клієнтам буде відмовлено в доступі після
цього часу.
.Pp
Щодо повного опису обмежень, які буде накладено на недовірені клієнти,
див. специфікацію розширення SECURITY X11.
.It Cm GatewayPorts
Вказує чи віддаленим машинам дозволено приєднуватися до локальних
переспрямованих портів. Типово,
.Xr ssh 1
прив'язує переспрямування
локальних портів до пристрою зворотного зв'язку (loopback). Це не дозволяє
іншим віддаленим машинам приєднуватися до переспрямованих портів.
.Cm GatewayPorts
можна використовувати, щоб ssh прив'язував переспрямування
локальних портів до шаблонної адреси, таким чином, дозволяючи віддаленим
портам приєднуватися до переспрямованих портів. Аргументом має бути
.Cm yes
або
.Cm no
(типове значення).
.It Cm GlobalKnownHostsFile
Вказує один або декілька відокремлених пробілами записів файлів для бази
даних загальних ключів машин. Типовим є
.Pa /etc/ssh/ssh_known_hosts ,
.Pa /etc/ssh/ssh_known_hosts2 .
.It Cm GSSAPIAuthentication
Визначає, чи дозволено розпізнавання користувачів на основі GSSAPI. Типовим
значенням є
.Cm no
(ні).
.It Cm GSSAPIClientIdentity
Якщо встановлено, задає профіль клієнта GSSAPI, який має використовувати ssh
при встановленні з'єднання із сервером. Типове значення не встановлено, що
означає, що буде використано типовий профіль.
.It Cm GSSAPIDelegateCredentials
Переспрямувати (делегувати) реєстраційні дані на сервер. Типовим значенням є
.Cm no
(ні).
.It Cm GSSAPIKeyExchange
Визначає, чи може бути використано обмін ключами на основі GSSAPI. При
використанні обміну ключів GSSAPI на сервері не обов'язково має бути ключ
вузла. Типовим є значення
.Dq no .
.It Cm GSSAPIRenewalForcesRekey
Якщо встановлено значення
.Dq yes ,
оновлення реєстраційних даних GSSAPI
клієнта призведе до примусового повторного обміну ключам у з'єднанні
ssh. Якщо сервер виявиться сумісним із цією можливістю, оновлені
реєстраційні дані буде делеговано сеансу на сервері.
.Pp
Буде виконано перевірки з метою забезпечення передавання реєстраційних даних
лише при відповідності нових реєстраційних даних старим на вихідному клієнті
і наявності старого набору у кеші сервера-отримувача.
.Pp
Типовим значенням є
.Dq no
(ні).
.Pp
Щоб це спрацювало, на сервері має бути увімкнено, а також використано
клієнтом,
.Cm GSSAPIKeyExchange .
.It Cm GSSAPIServerIdentity
Якщо встановлено, задає профіль сервера GSSAPI, на який має очікувати ssh
при встановленні з'єднання із сервером. Типове значення не встановлено, що
означає, що очікуваний профіль сервера GSSAPI буде визначено із назви вузла
сервера.
.It Cm GSSAPITrustDns
Встановіть значення
.Dq yes ,
щоб позначити, що DNS є надійним для
безпечного перетворення назви вузла, з яким встановлюється з'єднання, у
канонічну форму. Якщо значенням є
.Dq no ,
назву вузла, яку введено у
командному рядку, буде передано без змін бібліотеці GSSAPI. Типовим
значенням є
.Dq no .
.It Cm GSSAPIKexAlgorithms
Список алгоритмів обміну ключами, які пропонуються для обміну ключами
GSSAPI. Можливі значення:
.Bd -literal -offset 3n
gss-gex-sha1-,
gss-group1-sha1-,
gss-group14-sha1-,
gss-group14-sha256-,
gss-group16-sha512-,
gss-nistp256-sha256-,
gss-curve25519-sha256-
.Ed
.Pp
Типовим набором є
.Dq gss-group14-sha256-,gss-group16-sha512-,gss-nistp256-sha256-,gss-curve25519-sha256-,gss-gex-sha1-,gss-group14-sha1- .
Цей параметр стосується лише з'єднань із використанням GSSAPI.
.It Cm HashKnownHosts
Вказує, що
.Xr ssh 1
має хешувати назви та адреси машин, коли додаємо їх
в
.Pa ~/.ssh/known_hosts .
Ці хешовані назви можна використовувати
звичайним чином в
.Xr ssh 1
та
.Xr sshd 8 ,
але вони візуально не
розкривають інформацію ідентифікації, якщо розкрито вміст файлу. Типовим є
.Cm no .
Зауважте, що вже наявні назви та адреси у відомих файлах машин не
буде конвертовано автоматично, але їх можна хешувати вручну за допомогою
.Xr ssh-keygen 1 .
Використання цього параметра може зашкодити
використанню можливостей, подібних до доповнення за Tab, які покладаються на
можливість читання нехешованих назв вузлів з
.Pa ~/.ssh/known_hosts .
.It Cm HostbasedAuthentication
Визначає, чи слід намагатися скористатися розпізнаванням на основі rhosts із
розпізнаванням на основі відкритого ключа. Аргументом має бути
.Cm yes
або
.Cm no
(типовий варіант).
.It Cm HostbasedKeyTypes
Визначає типи ключів, які буде використано для розпізнавання на основі
вузлів. Типи у списку слід відокремлювати комами. Якщо список починається з
символу
.Sq + ,
вказані типи буде дописано до типового набору, а не
використано замість нього. Якщо вказаний список починатиметься з символу
.Sq - ,
типи (разом із тими, які відповідають вказаним шаблонам) буде
вилучено з типового набору, а не використано замість нього. Якщо вказаний
список починатиметься з символу
.Sq ^ ,
типи буде дописано на початку
типового набору. Типовим значенням цього параметра є таке:
.Bd -literal -offset 3n
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
ssh-ed25519-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-rsa-cert-v01@openssh.com,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ecdsa-sha2-nistp256@openssh.com,
ssh-ed25519,sk-ssh-ed25519@openssh.com,
rsa-sha2-512,rsa-sha2-256,ssh-rsa
.Ed
.Pp
Для визначення списку підтримуваних типів ключів можна скористатися
параметром
.Fl Q
команди
.Xr ssh 1 .
.It Cm HostKeyAlgorithms
Визначає алгоритми обчислення ключів вузла, якими має користуватися клієнт
за пріоритетом. Крім того, якщо список починається з символу
.Sq + ,
вказані типи буде дописано до типового набору, а не використано замість
нього. Якщо вказаний список починатиметься з символу
.Sq - ,
типи (разом
із тими, які відповідають вказаним шаблонам) буде вилучено з типового
набору, а не використано замість нього. Якщо вказаний список починатиметься
з символу
.Sq ^ ,
типи буде дописано на початку типового набору. Типовим
значенням цього параметра є таке:
.Bd -literal -offset 3n
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
ssh-ed25519-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-rsa-cert-v01@openssh.com,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ecdsa-sha2-nistp256@openssh.com,
ssh-ed25519,sk-ssh-ed25519@openssh.com,
rsa-sha2-512,rsa-sha2-256,ssh-rsa
.Ed
.Pp
Якщо ключі вузла є відомими для вузла призначення, це типове значення буде
змінено з метою пріоритетного використання алгоритмів ключів вузла.
.Pp
Список доступних типів ключів можна також отримати за допомогою команди
.Qq ssh -Q HostKeyAlgorithms .
.It Cm HostKeyAlias
Визначає альтернативу, яку має бути використано замість справжньої назви
вузла при пошуку або збереженні ключа вузла до файлів бази даних ключів
вузла і перевірці сертифікатів вузла.  Цей параметр корисний для тунелювання
з'єднань SSH та користування декількома запущеними серверами на одному
вузлі.
.It Cm Hostname
Визначає справжню назву вузла для входу. Можна скористатися для визначення
псевдонімів або скорочень для вузлів. В аргументах
.Cm Hostname
можна
використовувати жетони, які описано у розділі
.Sx ЖЕТОНИ .
Також можна
використовувати числові IP-адреси (у рядку команди і у специфікаціях
.Cm Hostname ) .
Типовою є назва, яку задано у рядку команди.
.It Cm IdentitiesOnly
Визначає, що
.Xr ssh 1
має використовувати лише налаштований профіль
розпізнавання і файли сертифікатів (або типові файли, або файли, які явним
чином налаштовано у файлах
.Nm
або передано у рядку команди
.Xr ssh 1 ) ,
навіть якщо у
.Xr ssh-agent 1 ,
.Cm PKCS11Provider
або
.Cm SecurityKeyProvider
передбачено більше профілів. Аргументом до цього
ключового слова має бути
.Cm yes
або
.Cm no
(типове значення). Цей
параметр призначено для випадків, коли ssh-agent пропонує багато різних
профілів.
.It Cm IdentityAgent
Вказує сокет
.Ux Ns -domain ,
який використовують для обміну даними з
агентом розпізнавання.
.Pp
Цей параметр перевизначає змінну середовища
.Ev SSH_AUTH_SOCK .
Ним можна
скористатися для вибору певного агента. Встановлення назви сокета
.Cm none
вимикає використання агента розпізнавання. Якщо вказано рядок
.Qq SSH_AUTH_SOCK
розташування сокета буде прочитано зі змінної середовища
.Ev SSH_AUTH_SOCK .
В інших випадках, якщо вказана значення починається з
символу
.Sq $ ,
його буде оброблено як змінну середовища, яка містить
розташування сокета.
.Pp
У аргументах
.Cm IdentityAgent
можна використовувати символ тильди для
позначення домашнього каталогу користувача, жетони, які описано у розділі
.Sx ЖЕТОНИ
та змінні середовища, як їх описано у розділі
.Sx ЗМІННІ СЕРЕДОВИЩА .
.It Cm IdentityFile
Визначає файл, з якого буде прочитано профіль розпізнавання користувача у
форматі DSA, ECDSA, збереженого засобом розпізнавання ECDSA, Ed25519,
збереженого засобом розпізнавання Ed25519 або RSA. Типовими файлами є
.Pa ~/.ssh/id_rsa ,
.Pa ~/.ssh/id_ecdsa ,
.Pa ~/.ssh/id_ecdsa_sk ,
.Pa ~/.ssh/id_ed25519 ,
.Pa ~/.ssh/id_ed25519_sk
і
.Pa ~/.ssh/id_rsa .
Крім
того, усі профілі, які представлено агентом розпізнавання, буде використано
для розпізнавання, якщо не встановлено
.Cm IdentitiesOnly .
Якщо не було
явним чином не встановлено сертифікати за допомогою
.Cm CertificateFile ,
.Xr ssh 1
спробує завантажити дані сертифіката з файла із назвою, яку
буде утворено дописуванням
.Pa -cert.pub
до шляху до вказаного
.Cm IdentityFile .
.Pp
У аргументах
.Cm IdentityFile
можна використовувати синтаксичні
конструкції із тильдою для визначення домашнього каталогу користувача або
жетони, які описано у розділі
.Sx ЖЕТОНИ .
.Pp
У файлах налаштувань можна вказувати декілька файлів профілів; програма
послідовно спробує скористатися усіма профілями послідовно. Якщо буде
використано декілька інструкцій
.Cm IdentityFile ,
профілі буде додано до
списку профілів, які пробуватиме програма (ця поведінка відрізняється від
поведінки інших інструкцій налаштовування).
.Pp
.Cm IdentityFile
можна використовувати у поєднанні із
.Cm IdentitiesOnly
для вибору, які профілі в агенті буде запропоновано під час
розпізнавання.
.Cm IdentityFile
може бути також використано у поєднанні
із
.Cm CertificateFile
з метою надання будь-якого сертифіката, який також
потрібен для розпізнавання за допомогою профілю.
.It Cm IgnoreUnknown
Визначає список взірців невідомих параметрів, які має бути проігноровано,
якщо їх буде виявлено при обробці налаштувань. Цим можна скористатися для
придушення повідомлень про помилки, якщо у
.Nm
використано параметри, які
не розпізнає
.Xr ssh 1 .
Рекомендуємо розташовувати
.Cm IgnoreUnknown
на початку файла налаштувань, оскільки його не буде застосовано до невідомих
параметрів, які трапляться у файлі перед ним.
.It Cm Include
Включити вказані файли налаштувань. Можна вказати декілька шляхів, а кожен
зі шляхів може містити шаблони
.Xr glob 7
і, для налаштувань користувача,
оболонкоподібні посилання
.Sq ~
на домашній каталог користувача. Шаблони
буде розгорнуто і оброблено у лексичному порядку. Файли без абсолютних
шляхів мають бути у
.Pa ~/.ssh ,
якщо їх включено у файлі налаштувань
користувача, або у
.Pa /etc/ssh ,
якщо їх включено із загальносистемного
файла налаштувань. Інструкцією
.Cm Include
можна скористатися у блоках
.Cm Match
і
.Cm Host
для виконання умовного включення.
.It Cm IPQoS
Визначає тип служби IPv4 або клас DSCP для з'єднань. Прийнятними значеннями
є
.Cm af11 ,
.Cm af12 ,
.Cm af13 ,
.Cm lowdelay ,
.Cm af22 ,
.Cm af23 ,
.Cm af31 ,
.Cm af32 ,
.Cm af33 ,
.Cm af41 ,
.Cm af42 ,
.Cm af43 ,
.Cm cs0 ,
.Cm throughput ,
.Cm cs2 ,
.Cm cs3 ,
.Cm cs4 ,
.Cm cs5 ,
.Cm cs6 ,
.Cm cs7 ,
.Cm ef ,
.Cm le ,
.Cm lowdelay ,
.Cm throughput ,
.Cm reliability ,
числове значення або
.Cm none ,
якщо слід скористатися типовим значенням для операційної системи. Цей
параметр може приймати один або два аргументи, які слід відокремити
пробілом. Якщо вказано один аргумент, його буде використано як пакетний клас
безумовно. Якщо вказано два аргументи, перший буде автоматично вибрано для
інтерактивних сеансів, а другий — для неінтерактивних. Типовим є значення
.Cm lowdelay
для інтерактивних сеансів і
.Cm throughput
для
неінтерактивних сеансів.
.It Cm KbdInteractiveAuthentication
Визначає, чи слід використовувати інтерактивного розпізнавання за допомогою
клавіатури Аргументом цього ключового слова має бути
.Cm yes
(типовий
варіант) або
.Cm no .
.It Cm KbdInteractiveDevices
Визначає список способів, якими слід користуватися у інтерактивному
розпізнаванні за допомогою клавіатури. Якщо вказано декілька способів, їхні
записи слід відокремлювати комами. Типовим є використання наданого сервером
списку. Список способів залежить від можливостей сервера. Для сервера
OpenSSH це може бути нуль або більше записів
.Cm bsdauth
та
.Cm pam .
.It Cm KexAlgorithms
Визначає доступні алгоритми KEX (обміну ключами) за порядком
пріоритетності. Алгоритми у списку слід відокремлювати комами. Якщо список
починається з символу
.Sq + ,
вказані способи буде дописано до типового
набору, а не використано замість нього. Якщо вказаний список починатиметься
з символу
.Sq - ,
способи (разом із тими, які відповідають вказаним
шаблонам) буде вилучено з типового набору, а не використано замість
нього. Якщо вказаний список починатиметься з символу
.Sq ^ ,
алгоритми
буде дописано на початку типового набору. Типове значення:
.Bd -literal -offset indent
curve25519-sha256,curve25519-sha256@libssh.org,
ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
diffie-hellman-group-exchange-sha256,
diffie-hellman-group16-sha512,
diffie-hellman-group18-sha512,
diffie-hellman-group14-sha256
.Ed
.Pp
Список доступних алгоритмів обміну ключами можна також отримати за допомогою
команди
.Qq ssh -Q kex .
.It Cm LocalCommand
Визначає команду, яку слід виконати на локальній машині після успішного
з'єднання з сервером. Рядок команди поширюється до кінця рядка. Його буде
виконано за допомогою командної оболонки користувача. В аргументах
.Cm LocalCommand
можна використовувати жетони, які описано у розділі
.Sx ЖЕТОНИ .
.Pp
Команда працює синхронно і не має доступу до сеансу
.Xr ssh 1 ,
який її
породив. Цим не можна скористатися для інтерактивних команд.
.Pp
Цю інструкцію буде проігноровано, якщо не було увімкнено
.Cm PermitLocalCommand .
.It Cm LocalForward
Визначає те, що порт TCP на локальній машині має бути переспрямовано
захищеним каналом до вказаного вузла і порту з віддаленої машини. Перший
аргумент визначає засіб очікування на дані, тим може бути
.Sm off
.Oo Ar адреса_прив'язки : Oc Ar порт
.Sm on
або шлях до сокета домену
UNIX. Другим аргументом є призначення. Його можна записати у форматі
.Ar вузол : Ns Ar порт_вузла
або як шлях до сокета домену UNIX, якщо на
віддаленому вузлі передбачено підтримку відповідних сокетів.
.Pp
Адреси IPv6 може бути вказано за допомогою взяття адрес у квадратні
дужки. Можна вказати декілька переспрямувань, а додаткові переспрямування
можна вказати у рядку команди. Переспрямування на привілейовані порти може
вказувати лише суперкористувач. Типово, локальний порт буде прив'язано
відповідно до параметра
.Cm GatewayPorts .
Втім, можна скористатися явним
.Ar bind_address
для прив'язування з'єднання до вказаної адреси. Аргумент
.Ar bind_address
.Cm localhost
вказує на те, що порт очікування даних
буде пов'язано лише із локальним використанням, а порожня адреса або
.Sq *
вказує на те, що порт має бути доступним з усіх інтерфейсів. У шляхах до
сокета домену UNIX можна використовувати жетони, які описано у розділі
.Sx ЖЕТОНИ
і змінні середовища, які описано у розділі
.Sx ЗМІННІ СЕРЕДОВИЩА .
.It Cm LogLevel
Задає рівень докладності, який буде використано при журналюванні повідомлень
від
.Xr ssh 1 .
Можливі значення: QUIET, FATAL, ERROR, INFO, VERBOSE,
DEBUG, DEBUG1, DEBUG2 і DEBUG3. Типовим значенням є INFO. DEBUG і DEBUG1 є
еквівалентними. DEBUG2 і DEBUG3 задають вищі рівні докладності виведених
даних.
.It Cm MACs
Визначає алгоритми MAC (message authentication code або коду розпізнавання
повідомлень) за порядком пріоритетності. Алгоритм MAC буде використано для
захисту цілісності даних. Алгоритми у списку слід відокремлювати
комами. Якщо список починається з символу
.Sq + ,
вказані алгоритми буде
дописано до типового набору, а не використано замість нього. Якщо вказаний
список починатиметься з символу
.Sq - ,
алгоритми (разом із тими, які
відповідають вказаним шаблонам) буде вилучено з типового набору, а не
використано замість нього. Якщо вказаний список починатиметься з символу
.Sq ^ ,
алгоритми буде дописано на початку типового набору.
.Pp
Записи алгоритмів, які містять
.Qq -etm ,
визначають обчислення MAC після
шифрування (encrypt-then-mac). Такі алгоритми вважаються безпечнішими і є
рекомендованими до використання.
.Pp
Типове:
.Bd -literal -offset indent
umac-64-etm@openssh.com,umac-128-etm@openssh.com,
hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,
hmac-sha1-etm@openssh.com,
umac-64@openssh.com,umac-128@openssh.com,
hmac-sha2-256,hmac-sha2-512,hmac-sha1
.Ed
.Pp
Список доступних алгоритмів MAC можна також отримати за допомогою команди
.Qq ssh -Q mac .
.It Cm NoHostAuthenticationForLocalhost
Вимкнути розпізнавання вузла для локального вузла (адрес петльового
інтерфейсу (loopback)). Аргументом до цього ключового слова має бути
.Cm yes
або
.Cm no
(типовий варіант).
.It Cm NumberOfPasswordPrompts
Визначає кількість спроб введення пароля, перш ніж система припинить
спроби. Аргументом цього ключового слова має бути ціле число. Типовим
значенням є 3.
.It Cm PasswordAuthentication
Визначає, чи слід використовувати розпізнавання за паролем. Аргументом цього
ключового слова має бути
.Cm yes
(типовий варіант) або
.Cm no .
.It Cm PermitLocalCommand
Дозволити виконання локальних команд за допомогою параметра
.Ic LocalCommand
або керівної послідовності
.Ic !\& Ns Ar command
в
.Xr ssh 1 .
Аргументом має бути
.Cm yes
або
.Cm no
(типовий варіант).
.It Cm PKCS11Provider
Вказує, яким надавачем PKCS#11 слід скористатися або, якщо вказано
.Cm none ,
визначає, що не слід користуватися жодним (типова
поведінка). Аргументом до цього ключового слова є шлях до бібліотеки
спільного користування PKCS#11, якою має користуватися
.Xr ssh 1
для
обміну даними з жетоном PKCS#11, який надає ключі для розпізнавання
користувачів.
.It Cm Port
Визначає номер порту, на якому слід встановити з'єднання із віддаленим
вузлом. Типовим значенням є 22.
.It Cm PreferredAuthentications
Визначає порядок, у якому клієнт має пробувати скористатися способами
розпізнавання. У цей спосіб можна наказати клієнту віддавати перевагу
якомусь одному способу (наприклад,
.Cm keyboard-interactive )
над іншим
способом (наприклад
.Cm password ) .
Типове значення:
.Bd -literal -offset indent
gssapi-with-mic,hostbased,publickey,
keyboard-interactive,password
.Ed
.It Cm ProxyCommand
Визначає команду, яку слід використовувати для встановлення з'єднання із
сервером. Рядок команди займає увесь рядок. Його буде виконано за допомогою
інструкції
.Ql exec
командної оболонки користувача для уникнення затримок
процесу оболонки.
.Pp
У аргументах
.Cm ProxyCommand
можна використовувати жетони, які описано у
розділі
.Sx ЖЕТОНИ .
Командою може бути будь-що. Команда має читати зі
стандартного джерела вхідних даних і записувати дані до стандартного
виведення. Нарешті, вона має встановлювати з'єднання із сервером
.Xr sshd 8 ,
який запущено на тій самій машині, або виконувати десь
.Ic sshd -i .
Керування ключами вузла буде виконано з використанням
.Cm Hostname
вузла, з яким встановлюється з'єднання (типовою назвою є назва, яку введено
користувачем з клавіатури). Встановлення для команди значення
.Cm none
повністю вимикає цей параметр. Зауважте,
.Cm CheckHostIP
є недоступним
для з'єднань за допомогою команди проксі-сервера.
.Pp
Ця інструкція корисна у поєднанні із
.Xr nc 1
і його підтримкою
проксі-серверів. Наприклад, вказана нижче конструкція призведе до
встановлення з'єднання з використанням проксі-сервера HTTP з адресою
192.0.2.0:
.Bd -literal -offset 3n
ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p
.Ed
.It Cm ProxyJump
Визначає один або декілька проміжних проксі-серверів у форматі або
.Xo
.Sm off
.Op Ar користувач No @
.Ar вузол
.Op : Ns Ar порт
.Sm on ,
або у форматі адреси ssh
.Xc .
Можна вказати список із відокремлених
комами записів проксі-серверів. Відвідування записів списку відбуватиметься
послідовно. Встановлення цього параметра призведе до того, що
.Xr ssh 1
встановлюватиме з'єднання із вузлом призначення, спершу встановивши
з'єднання
.Xr ssh 1
із вказаним вузлом
.Cm ProxyJump ,
потім
встановивши переспрямування TCP до остаточного призначення.
.Pp
Зауважте, що цей параметр конкурує із параметром
.Cm ProxyCommand
— той,
який буде вказано першим, запобігатиме використанню усіх наступних
екземплярів цих параметрів.
.Pp
Зауважте також, що налаштування для вузла призначення (вказаного або за
допомогою командного рядка, або за допомогою файла налаштувань) загалом буде
застосовано до вузлів переходу.
.Pa ~/.ssh/config
має бути використано,
якщо певні налаштування потрібні для вузлів переходу.
.It Cm ProxyUseFdpass
Визначає, що
.Cm ProxyCommand
передасть з'єднаний дескриптор файла назад
.Xr ssh 1 ,
замість продовження виконання та передавання даних. Типовим
значенням є
.Cm no .
.It Cm PubkeyAcceptedKeyTypes
Визначає типи ключів, які буде використано для розпізнавання за відкритим
ключем. Типи у списку слід відокремлювати комами. Якщо вказаний список
починається з символу
.Sq + ,
вказані типи ключів буде дописано до
типового набору, а не використано замість нього. Якщо вказаний список
починатиметься з символу
.Sq - ,
типи ключів (разом із тими, які
відповідають вказаним шаблонам) буде вилучено з типового набору, а не
використано замість нього. Якщо вказаний список починатиметься з символу
.Sq ^ ,
типи ключів буде дописано на початку типового набору. Типовим
значенням цього параметра є таке:
.Bd -literal -offset 3n
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
ssh-ed25519-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-rsa-cert-v01@openssh.com,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ecdsa-sha2-nistp256@openssh.com,
ssh-ed25519,sk-ssh-ed25519@openssh.com,
rsa-sha2-512,rsa-sha2-256,ssh-rsa
.Ed
.Pp
Список доступних типів ключів можна також отримати за допомогою команди
.Qq ssh -Q PubkeyAcceptedKeyTypes .
.It Cm PubkeyAuthentication
Визначає, чи слід намагатися скористатися розпізнаванням за відкритим
ключем. Аргументом цього ключового слова має бути
.Cm yes
(типовий
варіант) або
.Cm no .
.It Cm RekeyLimit
Визначає максимальний об'єм даних, які може бути передано до повторного
узгодження ключа сеансу, також можна вказати максимальний час, який може
минути до моменту потреби у повторному узгодженні ключа сеансу. Перший
аргумент слід вказувати у байтах із можливим використанням суфіксів
.Sq K ,
.Sq M
та
.Sq G
для кілобайтів, мегабайтів та гігабайтів,
відповідно. Типовими значеннями є
.Sq 1G
та
.Sq 4G ,
залежно від
способу шифрування. Необов'язкове друге значення слід вказувати у
секундах. Можна використовувати будь-які одиниці, які документовано у
розділі «ФОРМАТИ ЧАСУ» сторінки підручника з
.Xr sshd_config 5 .
Типовим
значенням
.Cm RekeyLimit
є
.Cm default none
(немає), що означає, що
повторне узгодження ключа відбуватиметься після надсилання або отримання
типового для шифрування об'єму даних, а обмеження за часом для повторного
обміну ключами накладено не буде.
.It Cm RemoteCommand
Визначає команду, яку слід виконати на віддаленій машині після успішного
з'єднання з сервером. Рядок команди поширюється до кінця рядка. Його буде
виконано за допомогою командної оболонки користувача. В аргументах
.Cm RemoteCommand
можна використовувати жетони, які описано у розділі
.Sx ЖЕТОНИ .
.It Cm RemoteForward
Визначає, що порт TCP на віддаленій машині буде переспрямовано захищеним
каналом. Віддалений порт може бути або переспрямовано на вказаний вузол і
порт з локальної машини, або він може працювати як проксі-сервер SOCKS 4/5,
який уможливлює для віддаленого клієнта з'єднання із довільними
призначеннями з локальної машини. Першим аргументом є специфікація
очікування на дані. Можливі значення —
.Sm off
.Oo Ar адреса_прив'язки : Oc Ar порт
.Sm on
або, якщо на віддаленому вузлі передбачено підтримку
відповідної можливості, шлях до сокета домену UNIX. Якщо відбувається
переспрямування до певного призначення, другим аргументом має бути
.Ar вузол : Ns Ar порт_вузла
або шлях до сокета домену UNIX. В усіх інших
випадках, якщо не вказано аргументи призначення, віддалене переспрямування
буде встановлено як проксі-сервер SOCKS.
.Pp
Адреси IPv6 може бути вказано за допомогою взяття адрес у квадратні
дужки. Можна вказати декілька переспрямувань, а додаткові переспрямування
можна вказати у рядку команди. Переспрямування на привілейовані порти може
вказувати лише користувач root на віддаленій машині. У шляхах до сокета
домену UNIX можна використовувати жетони, які описано у розділі
.Sx ЖЕТОНИ
і змінні середовища, які описано у розділі
.Sx ЗМІННІ СЕРЕДОВИЩА .
.Pp
Якщо аргументом
.Ar порт
є 0, порт очікування даних буде виділено на
сервері динамічним чином, а клієнта буде повідомлено про нього вже під час
роботи з'єднання.
.Pp
Якщо
.Ar адресу_прив'язки
не вказано, типовою поведінкою буде
прив'язування лише до адрес петльового (loopback) інтерфейсу. Якщо значенням
.Ar адреси_прив'язки
є
.Ql *
або порожній рядок, переспрямування
очікуватиме на дані на усіх інтерфейсах. Визначення віддаленої
.Ar адреси_прив'язки
буде успішним лише тоді, коли увімкнено параметр
.Cm GatewayPorts
сервера (див.
.Xr sshd_config 5 ) .
.It Cm RequestTTY
Визначає, чи слід надсилати запит щодо псевдо-tty для сеансу. Аргументом
може бути одне з таких значень:
.Cm no
(ніколи не надсилати запит щодо
TTY),
.Cm yes
(завжди надсилати запит щодо TTY, якщо стандартним джерелом
вхідних даних є TTY),
.Cm force
(завжди надсилати запит щодо TTY) або
.Cm auto
(завжди надсилати запит щодо TTY при відкритті сеансу входу до
системи). Цей параметр віддзеркалює прапорці
.Fl t
і
.Fl T
для
.Xr ssh 1 .
.It Cm RevokedHostKeys
Визначає відкликані відкриті ключів вузла. У використанні ключів зі списку у
цьому файлі для розпізнавання за вузлом буде відмовлено. Зауважте, що якщо
цього файла не існує або його вміст непридатний до читання, у розпізнаванні
за вузлом буде відмовлено для усіх вузлів. Ключі можна вказати у форматі
текстового файла, по одному ключу на рядок, або у форматі списку відкликання
ключів OpenSSH (KRL), який створено
.Xr ssh-keygen 1 .
Щоб дізнатися
більше про KRL, ознайомтеся із розділом «СПИСКИ ВІДКЛИКАННЯ КЛЮЧІВ» на
сторінці підручника
.Xr ssh-keygen 1 .
.It Cm SecurityKeyProvider
Задає шлях до бібліотеки, яку буде використано при завантаженні будь-яких
ключів FIDO на боці засобу розпізнавання. Перевизначає типове використання
вбудованої підтримки HID USB.
.Pp
Якщо вказане значення починається із символу
.Sq $ ,
його буде оброблено
як змінну середовища, що містить шлях до бібліотеки.
.It Cm SendEnv
Визначає, які змінні з локального
.Xr environ 7 ,
має бути надіслано на
сервер. На сервері має бути реалізовано підтримку цього, а сервер має бути
налаштовано на прийняття цих змінних середовища. Зауважте, що змінну
середовища
.Ev TERM
буде надіслано завжди, коли буде надіслано запит щодо
псевдотермінала, оскільки він потрібен за протоколом. Зверніться до розділу
щодо
.Cm AcceptEnv
на сторінці підручника
.Xr sshd_config 5 ,
щоб
дізнатися про те, як налаштувати сервер. Змінні слід вказувати за назвою,
яка може містити символи-замінники. Змінні середовища слід відокремлювати
пробілами або ділити між декількома інструкціями
.Cm SendEnv .
.Pp
Див.
.Sx PATTERNS
щодо докладнішої інформації про шаблони.
.Pp
Можна вилучити раніше встановлені назви змінних
.Cm SendEnv
додаванням до
взірців префікса
.Pa - .
Типовою поведінкою є відмова у надсиланні
будь-яких змінних середовища.
.It Cm ServerAliveCountMax
Встановлює кількість повідомлень підтримання зв'язку (див. нижче), які може
бути надіслано поспіль без отримання
.Xr ssh 1
повідомлень-відповідей від
сервера. Якщо буде досягнуто порогового значення під час надсилання
повідомлень підтримання зв'язку на сервер, ssh розірве з'єднання із
сервером, перервавши сеанс зв'язку. Важливо зауважити, що використання
повідомлень підтримання зв'язку із сервером значно відрізняється від
.Cm TCPKeepAlive
(нижче). Повідомлення підтримання зв'язку буде надіслано
шифрованим каналом, а отже, їх не можна буде підробити. Повідомлення
підтримання зв'язку TCP, які вмикає
.Cm TCPKeepAlive ,
можна
підробити. Механізм підтримання зв'язку із сервером є важливим, якщо робота
клієнта або сервера залежить від інформації щодо того, чи є з'єднання
працездатним.
.Pp
Типовим значенням є 3. Якщо, наприклад, для
.Cm ServerAliveInterval
(див. нижче) встановлено значення 15, а для
.Cm ServerAliveCountMax
залишено типове значення, якщо сервер перестає відповідати, ssh розірве
з'єднання за приблизно 45 секунд.
.It Cm ServerAliveInterval
Встановлює час очікування у секундах, після якого, якщо не було отримано
дані з сервера,
.Xr ssh 1
надсилатиме повідомлення шифрованим каналом із
запитом щодо відповіді від сервера. Типове значення 0 вказує на те, що ці
повідомлення не буде надіслано на сервер. Іншим варіантом типового значення
є 300, якщо встановлено значення параметра
.Cm BatchMode
(специфічно для
Debian). Альтернативами для сумісності у Debian для цього параметра є
.Cm ProtocolKeepAlives
та
.Cm SetupTimeOut .
.It Cm SetEnv
Безпосередньо визначити одну або декілька змінних середовища та їхній вміст,
який буде надіслано на сервер. Подібно до
.Cm SendEnv ,
сервер має бути
приготовано для прийняття змінної середовища.
.It Cm StreamLocalBindMask
Встановлює вісімкову маску режиму створення файла
.Pq umask ,
яку буде
використано при створенні файла сокета домену UNIX для переспрямовування
локальних або віддалених портів. Цей параметр використовується лише для
переспрямовування портів до файла сокета домену UNIX.
.Pp
Типовим значенням є 0177. Його використання призводить до створення файла
сокета домену UNIX, який є придатним до читання і запису лише від імені
власника. Зауважте, що підтримку режиму доступу до файлів сокетів домену
UNIX передбачено не в усіх операційних системах.
.It Cm StreamLocalBindUnlink
Визначає, чи слід вилучати наявний файл сокета домену UNIX для
переспрямування локального або віддаленого порту перед створенням
нового. Якщо файл сокета вже існує, і
.Cm StreamLocalBindUnlink
не було
увімкнено,
.Nm ssh
не зможе переспрямувати порт до файла сокета домену
UNIX. Цей параметр використовують лише для переспрямування портів до файла
сокета домену UNIX.
.Pp
Аргументом має бути
.Cm yes
або
.Cm no
(типовий варіант).
.It Cm StrictHostKeyChecking
Якщо для цього прапорця встановлено значення
.Cm yes ,
.Xr ssh 1
ніколи
не додаватиме ключі вузла до файла
.Pa ~/.ssh/known_hosts
і відмовлятиме
у з'єднанні із вузлами, ключі яких змінено. Таким чином можна досягти
максимального захисту від атак із проміжною підміною (MITM). Втім, це може
призвести до зайвих проблем, якщо супровід файла
.Pa /etc/ssh/ssh_known_hosts
є неналежним або якщо часто виникає потреба у
встановленні з'єднання із новими вузлами. Використання цього параметра
примушуватиме користувача до додавання нових вузлів вручну.
.Pp
Якщо для цього прапорця встановлено значення
.Dq accept-new ,
ssh
автоматично додаватиме нові ключів вузлів до файла відомих вузлів
користувача, але не дозволятиме встановлення з'єднань із вузлами, ключі яких
було змінено. Якщо для цього прапорця встановлено значення
.Dq no
або
.Dq off ,
ssh автоматично додаватиме ключі до файлів відомих вузлів
користувача і дозволятиме з'єднання з вузлами зі зміненими ключами вузлів з
певними обмеженнями. Якщо для цього прапорця встановлено значення
.Cm ask
(типове значення), нові ключів вузлів буде додано до файлів відомих вузлів
користувача лише після підтвердження з боку користувача щодо того, що ця дія
є бажаною, а ssh відмовлятиметься встановлювати з'єднання з вузлами, ключі
яких було змінено. В усіх випадках буде виконано автоматичну перевірку
ключів відомих вузлів.
.It Cm SyslogFacility
Надає допоміжний код, який буде використано при записуванні повідомлень від
.Xr ssh 1
до журналу. Можливі значення: DAEMON, USER, AUTH, LOCAL0,
LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Типовим є значення
USER.
.It Cm TCPKeepAlive
Визначає, чи має система надсилати повідомлення підтримання зв'язку TCP на
інший бік з'єднання. Якщо їх буде надіслано, про розірвання з'єднання або
аварійне завершення роботи однієї з машин буде повідомлено належним
чином. Використання цього параметра призводитиме лише до використання
повідомлень підтримання зв'язку TCP (а не до використання підтримання
зв'язку на рівні ssh), тому повідомлення про непрацездатність з'єднання
надходитиме дуже довго. Через це, варто також скористатися параметром
.Cm ServerAliveInterval .
Втім, це означає, що з'єднання буде розірвано при
тимчасовій непрацездатності маршруту, і для декого це може бути
неприйнятним.
.Pp
Типовим значенням є
.Cm yes
(для надсилання повідомлень підтримання
зв'язку TCP), а клієнт отримуватиме повідомлення, якщо мережа або віддалений
вузол стануть непрацездатними. Це важливо у скриптах, а також корисно для
багатьох користувачів.
.Pp
Щоб вимкнути повідомлення підтримання зв'язку TCP, слід встановити значення
.Cm no .
Див. також
.Cm ServerAliveInterval ,
щоб дізнатися більше про
повідомлення підтримання зв'язку на рівні протоколів.
.It Cm Tunnel
Надіслати запит щодо переспрямування пристроїв
.Xr tun 4
між клієнтом і
сервером. Аргументом має бути
.Cm yes ,
.Cm point-to-point
(шар 3),
.Cm ethernet
(шар 2) або
.Cm no
(типовий варіант). Якщо вказати
.Cm yes ,
буде надіслано запит щодо типового режиму тунелювання, яким є
.Cm point-to-point .
.It Cm TunnelDevice
Визначає пристрої
.Xr tun 4 ,
які слід відкрити на
.Pq Ar local_tun
клієнта і
.Pq Ar remote_tun
сервера.
.Pp
Аргументом має бути
.Sm off
.Ar локальний_тунель Op : Ar віддалений_тунель
.Sm on .
Пристрої слід вказувати у форматі числових
ідентифікаторів або ключового слова
.Cm any ,
яке вказує на те, що слід
використовувати наступний доступний пристрій тунелювання. Якщо
.Ar віддалений_тунель
не вказано, типовим значенням буде
.Cm any .
Типовим
значенням є
.Cm any:any .
.It Cm UpdateHostKeys
Визначає, чи має
.Xr ssh 1
приймати сповіщення щодо додаткових ключів
вузла від сервера, які надіслано після завершення розпізнавання, і додавати
їх до
.Cm UserKnownHostsFile .
Аргументом має бути
.Cm yes ,
.Cm no
або
.Cm ask .
За допомогою цього параметра можна наказати системі вивчати
альтернативні ключі вузлів для сервера і підтримувати штатну ротацію ключів
шляхом надання серверу дозволу надсилати відкриті ключі-замінники до того,
як старі буде вилучено. Додаткові ключі вузлів буде прийнято, лише якщо
ключ, який використано для розпізнавання вузла вже був довіреним або явно
прийнятим користувачем.
.Pp
Типово,
.Cm UpdateHostKeys
увімкнено, якщо користувачем не перевизначено
типовий параметр
.Cm UserKnownHostsFile .
В інших випадках для
.Cm UpdateHostKeys
буде встановлено значення
.Cm ask .
.Pp
Якщо для
.Cm UpdateHostKeys
встановлено значення
.Cm ask ,
програма
проситиме користувача підтвердити внесення змін до файла
known_hosts. Підтвердження у поточній версії є несумісними з
.Cm ControlPersist ,
отже, їх буде вимкнено, якщо його буде увімкнено.
.Pp
У поточній версії, підтримку розширення протоколу
.Qq hostkeys@openssh.com ,
яке буде використано для інформування клієнта щодо
усіх ключів вузлів сервера, передбачено лише у
.Xr sshd 8
з OpenSSH 6.8 і
новіших версій.
.It Cm User
Визначає користувача, від імені його слід увійти до системи. Це може бути
корисним, якщо на різних машинах буде використано різних користувачів. Це
запобігатиме проблемам із запам'ятовуванням імен користувачів для командного
рядка.
.It Cm UserKnownHostsFile
Визначає один або декілька відокремлених пробілами файлів, якими слід
скористатися для бази даних ключів вузлів користувача. У кожній назві файла
можна використовувати тильду для позначення домашнього каталогу користувача,
жетони, описані у розділі
.Sx ЖЕТОНИ ,
та змінні середовища, які описано у
розділі
.Sx ЗМІННІ СЕРЕДОВИЩА .
Типовими файлами є
.Pa ~/.ssh/known_hosts ,
.Pa ~/.ssh/known_hosts2 .
.It Cm VerifyHostKeyDNS
Визначає, чи слід перевіряти віддалений ключ за допомогою записів ресурсів
DNS і SSHFP. Якщо для цього параметра встановлено значення
.Cm yes ,
клієнт неявним чином довірятиме ключам, які відповідають захищеному відбитку
від DNS. Незахищені відбитки буде оброблено так, наче для параметра
встановлено значення
.Cm ask .
Якщо для цього параметра встановлено
значення
.Cm ask ,
буде показано дані щодо відповідності відбитка, але
користувачеві доведеться підтверджувати нові ключі вузлів відповідно до
параметра
.Cm StrictHostKeyChecking .
Типовим значенням є
.Cm no .
.Pp
Див. також
.Sx ПЕРЕВІРКА КЛЮЧІВ ВУЗЛА
in
.Xr ssh 1 .
.It Cm VisualHostKey
Якщо для цього прапорця встановлено значення
.Cm yes ,
окрім рядка
відбитка при вході і для невідомих ключів вузла буде показано графічне
представлення символами ASCII відбитка ключа віддаленого вузла. Якщо для
цього прапорця буде встановлено значення
.Cm no
(типовий варіант) при
вході до системи не буде виведено рядків відбитка, а для невідомих ключів
вузлів буде виведено лише рядок відбитка.
.It Cm XAuthLocation
Задає повний шлях до програми
.Xr xauth 1 .
Типовим значенням є
.Pa /usr/bin/xauth .
.El
.Sh ВЗІРЦІ
.Em Взірець
складається з нуля або більшої кількості символів, які не є
пробілами,
.Sq *
(символ, який є замінником нуля або більшої кількості
довільних символів) або
.Sq ?\&
(символу-замінника, який відповідає
одному довільному символу). Наприклад, щоб задати набір оголошень для
будь-якого вузла у наборі доменів
.Qq .co.uk ,
можна скористатися таким
взірцем:
.Pp
.Dl Host *.co.uk
.Pp
Вказаний нижче взірець відповідає будь-яким вузлом у діапазоні мережі
192.168.0.[0-9]:
.Pp
.Dl Host 192.168.0.?
.Pp
.Em Список взірців
— список відокремлених комами взірців. Взірці у
списках взірців можна інвертувати додавши перед ними знак оклику
.Pq Sq !\& .
Наприклад, щоб уможливити використання ключів з будь-якого місця в
організації, окрім буфера
.Qq dialup ,
можна скористатися таким записом (в
authorized_keys):
.Pp
.Dl from=\(dq!*.dialup.example.com,*.example.com\(dq
.Pp
Зауважте, що інвертована відповідність ніколи не дасть сама собою
позитивного результату. Наприклад, спроба встановлення відповідності запису
.Qq host3
за вказаним нижче списком взірців:
.Pp
.Dl from=\(dq!host1,!host2\(dq
.Pp
Вирішенням є включення запису, який дасть позитивну відповідність, наприклад
шаблона:
.Pp
.Dl from=\(dq!host1,!host2,*\(dq
.Sh ЖЕТОНИ
У аргументах до деяких ключових слів може бути використано жетони, які буде
розгорнуто під час роботи програм:
.Pp
.Bl -tag -width XXXX -offset indent -compact
.It %%
Буквально
.Sq % .
.It \&%C
Хеш-сума %l%h%p%r.
.It %d
Домашній каталог локального користувача.
.It %h
Назва віддаленого вузла.
.It %i
Ідентифікатор локального користувача.
.It %k
Альтернатива ключа вузла, якщо вказано; в інших випадках, назва початкового
віддаленого вузла, як задано у рядку команди.
.It %L
Назва локального вузла.
.It %l
Назва локального вузла, включно із назвою домену.
.It %n
Назва початкового віддаленого вузла, як задано у рядку команди.
.It %p
Віддалений порт.
.It %r
Ім'я віддаленого користувача.
.It \&%T
Призначений локальний інтерфейс мережі
.Xr tun 4
або
.Xr tap 4 ,
якщо
було надіслано запит щодо переспрямування тунелю, або
.Qq NONE
в інших
випадках.
.It %u
Ім'я локального користувача.
.El
.Pp
.Cm CertificateFile ,
.Cm ControlPath ,
.Cm IdentityAgent ,
.Cm IdentityFile ,
.Cm LocalForward ,
.Cm Match exec ,
.Cm RemoteCommand ,
.Cm RemoteForward
і
.Cm UserKnownHostsFile
приймають жетони %%, %C,
%d, %h, %i, %L, %l, %n, %p, %r і %u.
.Pp
.Cm Hostname
приймає жетони %% і %h.
.Pp
.Cm LocalCommand
приймає усі жетони.
.Pp
.Cm ProxyCommand
приймає жетони %%, %h, %n, %p і %r.
.Sh ЗМІННІ СЕРЕДОВИЩА
Аргументи до деяких ключових слів може бути розгорнуто під час виконання зі
змінних середовища на боці клієнта, взявши їх у
.Ic ${} ,
наприклад,
.Ic ${HOME}/.ssh
вказуватиме на каталог .ssh у теці користувача. Якщо вказаної
змінної середовища не існує, буде повернуто повідомлення про помилку, а
значення цього ключового слова буде проігноровано.
.Pp
У ключових словах
.Cm CertificateFile ,
.Cm ControlPath ,
.Cm IdentityAgent ,
.Cm IdentityFile
та
.Cm UserKnownHostsFile
передбачено
підтримку змінних середовища. У ключових словах
.Cm LocalForward
і
.Cm RemoteForward
підтримку змінних середовища передбачено лише для шляхів до
сокетів домену UNIX.
.Sh ФАЙЛИ
.Bl -tag -width Ds
.It Pa ~/.ssh/config
Це користувацький файл конфігурації. Формат цього файла описано вище. Цей
файл використовує клієнт SSH. Оскільки потенційна зміна файла є небезпечною,
файл слід захистити суворим обмеженням прав доступу: читання/запис для
користувача і заборона запису для інших. Можливий доступ до запису для
групи, але лише якщо у групі є лише один користувач.
.It Pa /etc/ssh/ssh_config
Загальносистемний файл налаштувань. У цьому файлі записано типові значення
для параметрів, які не визначено у файлі налаштувань користувача, і для тих
користувачів, у яких немає файлів налаштувань. Цей файл має бути доступним
на читання для усіх користувачів.
.El
.Sh ДИВ. ТАКОЖ
.Xr ssh 1
.Sh АВТОРИ
.An -nosplit
OpenSSH походить від початкового і вільного випуску ssh
12.12, автором якого є Tatu Ylonen.
.An Aaron Campbell , Bob Beck , Markus Friedl ,
.An Niels Provos , Theo de Raadt
and
.An Dug Song
усунули
багато вад, додали нові можливості та створили OpenSSH.
.An Markus Friedl
зробив внесок у підтримку версій протоколу SSH 1.5 і 2.0.
.Pp
.Sh ПЕРЕКЛАД
Український переклад цієї сторінки посібника виконано
lxlalexlxl <lxlalexlxl@ukr.net>,
Yuri Chornoivan <yurchor@ukr.net>
і
Andriy Rysin <arysin@gmail.com>
.
.Pp
Цей переклад є безкоштовною документацією; будь ласка, ознайомтеся з умовами
.Lk https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License Version 3 .
НЕ НАДАЄТЬСЯ ЖОДНИХ ГАРАНТІЙ.
.Pp
Якщо ви знайшли помилки у перекладі цієї сторінки підручника, будь ласка, надішліть електронний лист до списку листування перекладачів:
.Mt trans-uk@lists.fedoraproject.org
.Me .