.\" -*- coding: UTF-8 -*- .\" $OpenBSD: ssh-agent.1,v 1.72 2020/06/22 05:52:05 djm Exp $ .\" .\" Author: Tatu Ylonen .\" Copyright (c) 1995 Tatu Ylonen , Espoo, Finland .\" All rights reserved .\" .\" As far as I am concerned, the code I have written for this software .\" can be used freely for any purpose. Any derived versions of this .\" software must be clearly marked as such, and if the derived work is .\" incompatible with the protocol description in the RFC file, it must be .\" called by a name other than "ssh" or "Secure Shell". .\" .\" Copyright (c) 1999,2000 Markus Friedl. All rights reserved. .\" Copyright (c) 1999 Aaron Campbell. All rights reserved. .\" Copyright (c) 1999 Theo de Raadt. All rights reserved. .\" .\" Redistribution and use in source and binary forms, with or without .\" modification, are permitted provided that the following conditions .\" are met: .\" 1. Redistributions of source code must retain the above copyright .\" notice, this list of conditions and the following disclaimer. .\" 2. Redistributions in binary form must reproduce the above copyright .\" notice, this list of conditions and the following disclaimer in the .\" documentation and/or other materials provided with the distribution. .\" .\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR .\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES .\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. .\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, .\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT .\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, .\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY .\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT .\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF .\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .Dd $Mdocdate: 22. Juni 2020 $ .Dt SSH-AGENT 1 .Os .Sh BEZEICHNUNG .Nm ssh-agent .Nd OpenSSH-Authentifizierungsvermittler .Sh ÜBERSICHT .Nm ssh-agent .Op Fl c | s .Op Fl \&Dd .Op Fl a Ar Bindungsadresse .Op Fl E Ar Fingerabdruck-Hash .Op Fl P Ar erlaubte_Anbieter .Op Fl t Ar Lebensdauer .Nm ssh-agent .Op Fl a Ar Bindungsadresse .Op Fl E Ar Fingerabdruck-Hash .Op Fl P Ar erlaubte_Anbieter .Op Fl t Ar Lebensdauer .Ar Befehl Op Ar Arg … .Nm ssh-agent .Op Fl c | s .Fl k .Sh BESCHREIBUNG .Nm ist ein Programm zum Halten privater Schlüssel, die für asymmetrische Authentifizierung verwandt werden. Mittels Umgebungsvariablen kann der Vermittler gefunden und automatisch zur Authentifizierung verwandt werden, wenn mittels .Xr ssh 1 eine Anmeldung auf anderen Maschinen erfolgt. .Pp Folgende Optionen stehen zur Verfügung: .Bl -tag -width Ds .It Fl a Ar Bindungsadresse Bindet den Vermittler an das .Ux Ns -domain -Socket .Ar Bindungsadresse . Die Vorgabe ist .Pa $TMPDIR/ssh-XXXXXXXXXX/agent.\*(LtPPID\*(Gt . .It Fl c Erstellt C-Shell-Befehle auf die .Dv Standardausgabe . Dies ist die Vorgabe, falls .Ev SHELL so aussieht, dass es eine Csh-artige Shell ist. .It Fl D Vordergrundmodus. Ist diese Option angegeben, wird .Nm kein »fork« durchführen. .It Fl d Fehlersuchmodus. Ist diese Option angegeben, wird .Nm kein »fork« durchführen und Fehlersuchinformationen auf die Standardfehlerausgabe schreiben. .It Fl E Ar Fingerabdruck-Hash Gibt den bei der Anzeige von Schlüssel-Fingerabdrücken zu verwendenden Hash-Algorithmus an. Gültige Optionen sind »md5« und »sha256«. Die Vorgabe ist »sha256«. .It Fl k Tötet den derzeitigen Vermittler (angegeben in der Umgebungsvariablen .Ev SSH_AGENT_PID ) . .It Fl P Ar erlaubte_Anbieter Gibt eine Musterliste von akzeptierbaren Pfaden für PKCS#11-Anbieter- und dynamischen FIDO-Authentifikator-Mittelschicht-Bibliotheken an, die mit der Option .Fl S oder .Fl s von .Xr ssh-add 1 verwandt werden dürfen. Bibliotheken, die nicht auf die Musterliste passen, werden abgelehnt. Siehe MUSTER in .Xr ssh_config 5 für eine Beschreibung der Musterlisten-Syntax. Die Standard-Musterliste ist »/usr/lib/*,/usr/local/lib/*«. .It Fl s Erstellt Bourne-Shell-Befehle auf die .Dv Standardausgabe . Dies ist die Vorgabe, falls .Ev SHELL nicht nach einer Csh-artigen Shell aussieht. .It Fl t Ar Lebensdauer Setzt einen Vorgabewert für die maximale Lebensdauer von in dem Vermittler hinzugefügten Identitäten fest. Die Lebensdauer kann in Sekunden oder in einem in .Xr sshd_config 5 spezifizierten Dateiformat angegeben werden. Eine für eine Identität mit .Xr ssh-add 1 angegebene Lebensdauer setzt diesen Wert außer Kraft. Ohne diese Option ist die maximale Lebensdauer standardmäßig »für immer«. .It Ar Befehl Op Ar Arg … Wenn ein Befehl (und optionale Argumente) übergeben werden, wird dieser als Unterprozess des Vermittlers ausgeführt. Der Vermittler beendet sich automatisch, wenn der auf der Befehlszeile übergebene Befehl sich beendet. .El .Pp Es gibt zwei grundsätzliche Arten, den Vermittler einzurichten. Die erste ist beim Start der X-Sitzung, wobei alle anderen Fenster und Programme als Kind des Programms .Nm gestartet werden. Der Vermittler startet einen Befehl, unter dem seine Umgebungsvariablen exportiert werden, beispielsweise .Cm ssh-agent xterm & . Wenn sich der Befehl beendet, beendet sich auch der Vermittler. .Pp Die zweite Methode wird für Anmeldesitzungen verwandt. Wenn .Nm gestartet wird, gibt es die Shell-Befehle aus, die benötigt werden, um seine Umgebungsvariablen zu setzen, die wieder in der aufrufenden Shell ausgewertet werden können. Beispiel: .Cm eval `ssh-agent -s` . .Pp In beiden Fällen schaut sich .Xr ssh 1 diese Umgebungsvariablen an und verwendet sie, um eine Verbindung zum Vermittler aufzubauen. .Pp Der Vermittler hat anfänglich keine privaten Schlüssel. Schlüssel werden mittels .Xr ssh-add 1 oder durch .Xr ssh 1 , wenn .Cm AddKeysToAgent in .Xr ssh_config 5 gesetzt ist, hinzugefügt. In .Nm können mehrere Identitäten gleichzeitig gespeichert werden und .Xr ssh 1 wird diese automatisch verwenden, falls vorhanden. Mittels .Xr ssh-add 1 werden auch Schlüssel aus .Nm entfernt und darin befindliche Schlüssel abgefragt. .Pp Verbindungen zu .Nm können von weiteren fernen Rechnern mittels der Option .Fl A von .Xr ssh 1 weitergeleitet werden (lesen Sie aber die dort dokumentierten Warnungen), wodurch die Notwendigkeit des Speicherns von Authentifizierungsdaten auf anderen Maschinen vermieden wird. Authentifizierungs-Passphrasen und private Schlüssel werden niemals über das Netz übertragen: die Verbindung zu dem Vermittler wird über ferne SSH-Verbindungen weitergeleitet und das Ergebnis wird dem Anfragenden zurückgeliefert, wodurch der Benutzer überall im Netzwerk auf sichere Art Zugriff auf seine Identitäten hat. .Sh UMGEBUNGSVARIABLEN .Bl -tag -width SSH_AGENT_PID .It Ev SSH_AGENT_PID Wenn .Nm startet, speichert es den Namen der Prozesskennung (PID) des Vermittlers in dieser Variablen. .It Ev SSH_AUTH_SOCK Wenn .Nm startet, erstellt es einen .Ux Ns -domain -Socket und speichert seinen Pfadnamen in dieser Variablen. Darauf kann nur der aktuelle Benutzer zugreifen, aber dies kann leicht von root oder einer anderen Instanz des gleichen Benutzers missbraucht werden. .El .Pp Unter Debian ist .Nm mit gesetztem set-group-id-Bit installiert, um zu verhindern, dass .Xr ptrace 2 -Angriffe privates Schlüsselmaterial abfragen. Dies hat den Nebeneffekt, das der Laufzeit-Linker bestimmte Umgebungsvariablen entfernt, die Auswirkungen auf die Sicherheit für set-id-Programme haben könnten, einschließlich .Ev LD_PRELOAD , .Ev LD_LIBRARY_PATH und .Ev TMPDIR . Falls Sie eine dieser Umgebungsvariablen setzen müssen, müssen Sie das in dem durch Ssh-agent ausgeführten Programm machen. .Sh DATEIEN .Bl -tag -width Ds .It Pa $TMPDIR/ssh-XXXXXXXXXX/agent. Die .Ux Ns -domain -Sockets, die die Verbindung zum Authentifizierungsvermittler enthalten. Diese Sockets sollten nur durch den Eigentümer lesbar sein. Die Sockets sollten automatisch entfernt werden, wenn sich der Vermittler beendet. .El .Sh SIEHE AUCH .Xr ssh 1 , .Xr ssh-add 1 , .Xr ssh-keygen 1 , .Xr ssh_config 5 , .Xr sshd 8 .Sh AUTOREN .An -nosplit OpenSSH ist eine Ableitung der ursprünglichen und freien SSH-1.2.12-Veröffentlichung durch .An Tatu Ylonen . .An Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt und .An Dug Song entfernten viele Fehler, fügten neue Funktionalitäten wieder hinzu und erstellten OpenSSH. .An Markus Friedl steuerte die Unterstützung für SSH-Protokollversion 1.5 und 2.0 bei. .SH ÜBERSETZUNG Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Übersetzung ist Freie Dokumentation; lesen Sie die .UR https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License Version 3 .UE oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die .MT debian-l10n-german@\:lists.\:debian.\:org Mailingliste der Übersetzer .ME .