.\" -*- coding: UTF-8 -*-
.\"
.\" Author: Tatu Ylonen <ylo@cs.hut.fi>
.\" Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
.\"                    All rights reserved
.\"
.\" As far as I am concerned, the code I have written for this software
.\" can be used freely for any purpose.  Any derived versions of this
.\" software must be clearly marked as such, and if the derived work is
.\" incompatible with the protocol description in the RFC file, it must be
.\" called by a name other than "ssh" or "Secure Shell".
.\"
.\" Copyright (c) 1999,2000 Markus Friedl.  All rights reserved.
.\" Copyright (c) 1999 Aaron Campbell.  All rights reserved.
.\" Copyright (c) 1999 Theo de Raadt.  All rights reserved.
.\"
.\" Redistribution and use in source and binary forms, with or without
.\" modification, are permitted provided that the following conditions
.\" are met:
.\" 1. Redistributions of source code must retain the above copyright
.\"    notice, this list of conditions and the following disclaimer.
.\" 2. Redistributions in binary form must reproduce the above copyright
.\"    notice, this list of conditions and the following disclaimer in the
.\"    documentation and/or other materials provided with the distribution.
.\"
.\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
.\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
.\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
.\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
.\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
.\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
.\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
.\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
.\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
.\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
.\"
.\" $OpenBSD: ssh.1,v 1.414 2020/07/15 05:40:05 jmc Exp $
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.Dd $Mdocdate: 15. Juli 2020 $
.Dt SSH 1
.Os
.Sh BEZEICHNUNG
.Nm ssh
.Nd OpenSSH-Client zur Anmeldung in der Ferne
.Sh ÜBERSICHT
.Nm ssh
.Op Fl 46AaCfGgKkMNnqsTtVvXxYy
.Op Fl B Ar Anbindeschnittstelle
.Op Fl b Ar Anbindeadresse
.Op Fl c Ar Chiffrespez
.Op Fl D Oo Ar Anbindeadresse : Oc Ns Ar Port
.Op Fl E Ar Protokolldatei
.Op Fl e Ar Maskierzeichen
.Op Fl F Ar Konfigurationsdatei
.Op Fl I Ar PKCS11
.Op Fl i Ar Identitätsdatei
.Op Fl J Ar Ziel
.Op Fl L Ar Adresse
.Op Fl l Ar Anmeldename
.Op Fl m Ar MAC_Spez
.Op Fl O Ar Steuerbefehl
.Op Fl o Ar Option
.Op Fl p Ar Port
.Op Fl Q Ar Abfrageoption
.Op Fl R Ar Adresse
.Op Fl S Ar Steuerpfad
.Op Fl W Ar Rechner : Ns Ar Port
.Op Fl w Ar lokaler_Tun Ns Op : Ns Ar ferner_Tun
.Ar Ziel
.Op Ar Befehl
.Sh BESCHREIBUNG
.Nm
(SSH-Client) ist ein Programm zum Anmelden an einer fernen Maschine
und zur Ausführung von Befehlen auf fernen Maschinen. Es ist zur
Bereitstellung sicherer, verschlüsselter Kommunikation zwischen zwei nicht
vertrauenswürdigen Rechnern über ein unsicheres Netzwerk
gedacht. X11-Verbindungen, beliebige TCP-Ports und
.Ux Ns -domain
-Sockets
können auch über den sicheren Kanal weitergeleitet werden.
.Pp
.Nm
verbindet sich mit dem angegebenen
.Ar Ziel
und meldet sich dort
an. Das
.Ar Ziel
kann entweder als
.Sm off
.Oo Benutzer @ Oc Rechnername
.Sm on
oder eine URI der Form
.Sm off
.No ssh:// Oo Benutzer @ Oc Rechnername Op : Port
.Sm on
angegeben werden. Der
Benutzer muss seine/ihre Identitität auf der fernen Maschine mittels einer
von mehreren, nachfolgend beschriebenen Methoden nachweisen.
.Pp
Falls ein
.Ar Befehl
angegeben ist, wird dieser auf der fernen Maschine
statt einer Anmelde-Shell ausgeführt.
.Pp
Folgende Optionen stehen zur Verfügung:
.Pp
.Bl -tag -width Ds -compact
.It Fl 4
Erzwingt, dass
.Nm
nur IPv4-Adressen verwendet.
.Pp
.It Fl 6
Erzwingt, dass
.Nm
nur IPv6-Adressen verwendet.
.Pp
.It Fl A
Aktiviert die Weiterleitung von Verbindungen von
Authentifizierungsvermittlern wie
.Xr ssh-agent 1 .
Dies kann in einer
Konfigurationsdatei auch pro-Rechner separat festgelegt werden.
.Pp
Vermittlerweiterleitung sollte mit Vorsicht aktiviert werden. Benutzer, die
auf dem fernen Rechner die Dateiberechtigungen umgehen können (für den
.Ux Ns -domain
-Socket des Vermittlers), können auf den lokalen Vermittler über
die weitergeleitete Verbindung zugreifen. Ein Angreifer kann vom Vermittler
kein Schlüsselmaterial erlangen, allerdings kann er Aktionen unter den
Schlüsseln ausführen, die es ihm ermöglichen, sich unter den im Vermittler
geladenen Identitäten zu authentifizieren. Eine sichere Alternative könnte
die Verwendung eines Sprungrechners sein (siehe
.Fl J ) .
.Pp
.It Fl a
Deaktiviert die Weiterleitung der Authentifizierungsverbindung des
Vermittlers.
.Pp
.It Fl B Ar Anbindeschnittstelle
Bindet an die Adresse aus
.Ar Anbindeschnittstelle
an, bevor versucht
wird, sich mit dem Zielrechner zu verbinden. Dies ist nur auf Systemen mit
mehr als einer Adresse nützlich.
.Pp
.It Fl b Ar Anbindeadresse
Verwendet
.Ar Anbindeadresse
auf der lokalen Maschine als Quelladresse
der Verbindung. Dies ist nur auf Systemen mit mehr als einer Adresse
nützlich.
.Pp
.It Fl C
Erbittet die Komprimierung sämtlicher Daten (einschließlich Stdin, Stdout,
Stderr und über X11, TCP und
.Ux Ns -domain
-Verbindungen weitergeleitete
Daten). Der Kompressionsalgorithmus ist der gleiche, den auch
.Xr gzip 1
nutzt. Die Komprimierung eignet sich für Modemleitungen und andere langsame
Anbindungen, wird die Verbindung aber in schnellen Netzwerken nur
ausbremsen. Der Vorgabewert kann für jeden Rechner separat in den
Konfigurationsdateien eingestellt werden; siehe die Option
.Cm Compression .
.Pp
.It Fl c Ar Chiffrespez
Wählt die Chiffrespezifikation für die Verschlüsselung der Verbindung
aus.
.Ar Chiffrespez
ist eine durch Kommata getrennte Liste von Chiffren,
in der Reihenfolge der Bevorzugung. Siehe das Schlüsselwort
.Cm Ciphers
in
.Xr ssh_config 5
für weitere Informationen.
.Pp
.It Fl D Xo
.Sm off
.Oo Ar Anbindeadresse : Oc
.Ar Port
.Sm on
.Xc
Legt
eine lokale,
.Dq dynamische ,
anwendungsbezogene Port-Weiterleitung
fest. Dazu wird ein Socket bereitgestellt, der auf
.Ar Port
auf der
lokalen Seite auf Anfragen wartet und optional an die angegebene
.Ar Anbindeadresse
angebunden wird. Immer wenn eine Verbindung zu diesem Port
aufgebaut wird, wird diese Verbindung über den sicheren Kanal weitergeleitet
und das Anwendungsprotokoll wird dann verwandt, um zu bestimmen, wohin auf
der fernen Maschine verbunden werden soll. Derzeit werden die SOCKS4- und
SOCKS5-Protokolle unterstützt und
.Nm
wird als SOCKS-Server
auftreten. Nur root kann privilegierte Ports weiterleiten. Dynamische
Portweiterleitungen können auch in der Konfigurationsdatei festgelegt
werden.
.Pp
IPv6-Adressen können durch Angabe der Adresse in eckigen Klammern festgelegt
werden. Nur der Systemadministrator kann privilegierte Ports
weiterleiten. Standardmäßig ist der lokale Port gemäß der Einstellung
.Cm GatewayPorts
angebunden. Allerdings kann eine explizite
.Ar Anbindeadresse
verwandt werden, um die Verbindung an die bestimmte Adresse
anzubinden. Die
.Ar Anbindeadresse
.Dq localhost
zeigt an, dass dieser
Port, auf dem auf Anfragen gewartet werden soll, nur für die lokale
Benutzung angebunden ist, während eine leere Adresse oder
.Sq *
anzeigt,
dass der Port an allen Schnittstellen verfügbar sein soll.
.Pp
.It Fl E Ar Protokolldatei
Hängt Fehlersuchprotokolle an
.Ar Protokolldatei
statt an die
Standardfehlerausgabe an.
.Pp
.It Fl e Ar Maskierzeichen
Setzt das Maskierzeichen für die Sitzung mit einem PTY (Vorgabe:
.Ql ~ ) .
Das Maskierzeichen wird nur am Anfang einer Zeile erkannt. Das
Maskierzeichen, gefolgt von einem Punkt
.Pq Ql \&. ,
schließt die
Verbindung; gefolgt von einem Strg-Z, suspendiert es die Verbindung und
gefolgt von sich selbst, sendet es einmalig das Maskierzeichen. Durch Setzen
des Zeichens auf
.Dq none
wird Maskierung deaktiviert und die Sitzung
vollkommen transparent.
.Pp
.It Fl F Ar Konfigurationsdatei
Legt eine alternative, benutzerbezogene Konfigurationsdatei fest. Falls eine
Konfigurationsdatei auf der Befehlszeile angegeben ist, wird die systemweite
Konfigurationsdatei
.Pq Pa /etc/ssh/ssh_config
ignoriert. Die Vorgabe für
die benutzerbezogene Konfigurationsdatei ist
.Pa ~/.ssh/config .
Wird sie
auf
.Dq none
gesetzt, dann wird keine Konfigurationsdatei eingelesen.
.Pp
.It Fl f
Erbittet von
.Nm ,
sich vor der Befehlsausführung in den Hintergrund zu
schieben. Dies ist nützlich, falls
.Nm
nach Passwörtern oder Passphrasen
fragen wird, der Benutzer es aber im Hintergrund ausgeführt haben
möchte. Dies impliziert
.Fl n .
Die empfohlene Art, X11-Programme auf
einem fernen Rechner zu starten, ist etwas der Art nach
.Ic ssh -f host xterm .
.Pp
Falls die Konfigurationsoption
.Cm ExitOnForwardFailure
auf
.Dq yes
gesetzt ist, dann wird ein Client, der mit
.Fl f
gestartet wurde, darauf
warten, dass alle fernen Port-Weiterleitungen erfolgreich etabliert wurden,
bevor er sich in den Hintergrund schiebt.
.Pp
.It Fl G
Führt dazu, dass
.Nm
nach der Auswertung der Blöcke
.Cm Host
und
.Cm Match
seine Konfiguration anzeigt und sich beendet.
.Pp
.It Fl g
Erlaubt es fernen Rechnern, sich mit lokal weitergeleiteten Ports zu
verbinden. Wird dies auf einer multiplexten Verbindung verwandt, dann muss
diese Option beim Master-Prozess eingesetzt werden.
.Pp
.It Fl I Ar PKCS11
Gibt die dynamische PKCS#11-Bibliothek an, die
.Nm
für die Kommunikation
mit einem PKCS#11-Token verwenden soll, der Schlüssel für die
Benutzerauthentifizierung bereitstellt.
.Pp
.It Fl i Ar Identitätsdatei
Wählt eine Datei, aus der die Identität (der private Schlüssel) für
asymmetrische Authentifizierung gelesen wird. Die Vorgabe ist
.Pa ~/.ssh/id_dsa ,
.Pa ~/.ssh/id_ecdsa ,
.Pa ~/.ssh/id_ecdsa_sk ,
.Pa ~/.ssh/id_ed25519 ,
.Pa ~/.ssh/id_ed25519_sk
und
.Pa ~/.ssh/id_rsa .
Identitätsdateien können auch auf einer rechnerbezogenen
Basis in der Konfigurationsdatei festgelegt werden. Es ist auch möglich,
mehrere Optionen
.Fl i
(und mehrere in Konfigurationsdateien festgelegte
Identitäten) einzusetzen. Falls keine Zertifikate explizit durch die
Direktive
.Cm CertificateFile
angegeben sind, wird
.Nm
versuchen, die
Zertifikatsinformationen aus dem Dateinamen zu laden, der durch Anhängen von
.Pa -cert.pub
an die Identitätsdateinamen ermittelt wird.
.Pp
.It Fl J Ar Ziel
Verbindet sich zum Zielrechner, indem
.Nm
zuerst eine Verbindung zu dem
in
.Ar Ziel
angegebenen Sprungrechner aufbaut und dann dort eine
TCP-Weiterleitung zum endgültigen Ziel etabliert. Mehrere Sprungrechner
können durch Kommata getrennt angegeben werden. Dies ist eine Abkürzung für
die Verwendung der Konfigurationsdirektive
.Cm ProxyJump .
Beachten Sie,
dass auf der Befehlszeile übergebene Konfigurationsdirektiven sich im
Allgemeinen auf den Zielrechner und nicht den angegebenen Sprungrechner
beziehen. Verwenden Sie
.Pa ~/.ssh/config ,
um Konfiguration für den
Sprungrechner anzugeben.
.Pp
.It Fl K
Aktiviert GSSAPI-basierte Authentifizierung und Weiterleitung (Delegierung)
von GSSAPI-Anmeldedaten an den Server.
.Pp
.It Fl k
Deaktiviert Weiterleitung (Delegierung) von GSSAPI-Anmeldedaten an den
Server.
.Pp
.It Fl L Xo
.Sm off
.Oo Ar Anbindeadresse : Oc
.Ar Port : Rechner : Rechnerport
.Sm on
.Xc
.It Fl L Xo
.Sm off
.Oo Ar Anbindeadresse : Oc
.Ar Port : fernes_Socket
.Sm on
.Xc
.It Fl L Xo
.Sm off
.Ar lokales_Socket : Rechner : Rechnerport
.Sm on
.Xc
.It Fl L Xo
.Sm off
.Ar lokales_Socket : Rechner
.Sm on
.Xc
Gibt an, dass
Verbindungen zu dem angegebenen TCP-Port oder Unix-Socket auf dem lokalen
(Client-)Rechner an den angegeben Rechner und Port oder Unix-Socket auf der
fernen Seite weitergeleitet werden soll. Dies funktioniert durch Zuweisung
eines Ports, der entweder auf einen TCP-
.Ar Port
auf der lokalen Seite,
optional an die angegebene
.Ar Anbindeadresse
angebunden, oder auf einem
Unix-Socket auf Anfragen wartet. Immer wenn eine Verbindung zu dem lokalen
Port oder Socket erfolgt, wird die Verbindung über den sicheren Kanal
weitergeleitet und es erfolgt entweder eine Verbindung zu dem Port des
.Ar Rechners
.Ar Rechnerport
oder zum dem Unix-Socket
.Ar fernes_Socket
auf der fernen Maschine.
.Pp
Port-Weiterleitung kann auch in der gesamten Konfigurationsdatei festgelegt
werden. Nur der Systemadministrator kann privilegierte Ports
weiterleiten. Durch Einschließen der Adresse in eckige Klammern können
IPv6-Adressen angegeben werden.
.Pp
Standardmäßig ist der lokale Port gemäß der Einstellung
.Cm GatewayPorts
angebunden. Allerdings kann eine explizite
.Ar Anbindeadresse
verwandt
werden, um die Verbindung an eine bestimmte Adresse anzubinden. Wird
.Dq localhost
als
.Ar Anbindeadresse
verwandt, zeigt dies an, dass der Port,
an dem auf Anfragen gewartet wird, nur lokal eingesetzt werden soll, während
eine leere Adresse oder
.Sq *
anzeigt, dass der Port von allen
Schnittstellen aus verfügbar sein soll.
.Pp
.It Fl l Ar Anmeldename
Gibt den Benutzernamen an, unter dem die Anmeldung in der fernen Maschine
erfolgen soll. Dies kann auch rechnerbezogen in der Konfigurationsdatei
festgelegt werden.
.Pp
.It Fl M
Bringt den
.Nm
-Client in den
.Dq master
-Modus für die gemeinsame
Benutzung von Verbindungen. Durch mehrere Optionen
.Fl M
wird
.Nm
in
den
.Dq master
-Modus gebracht, es wird aber eine Bestätigung mit
.Xr ssh-askpass 1
vor jeder Aktion verlangt, die den Multiplexing-Zustand
ändert (z.B. Öffnen einer neuen Sitzung). Lesen Sie die Beschreibung von
.Cm ControlMaster
in
.Xr ssh_config 5
für Details.
.Pp
.It Fl m Ar MAC_Spez
Eine Kommata-getrennte Liste von MAC-
(Nachrichtenauthentifizierungscodes-)Algorithmen, in der Reihenfolge der
Präferenz angegeben. Siehe das Schlüsselwort
.Cm MAC
für weitere
Informationen.
.Pp
.It Fl N
Führt keinen Befehl in der Ferne aus. Dies ist nützlich, wenn nur Ports
weitergeleitet werden.
.Pp
.It Fl n
Leitet Stdin nach
.Pa /dev/null
um (tätsächlich wird des Lesen von Stdin
verhindert). Dies muss verwandt werden, wenn
.Nm
im Hintergrund
ausgeführt wird. Ein häufiger Trick ist, dies beim Einsatz von
X11-Programmen auf einer fernen Maschine zu verwenden. Beispielsweise wird
.Ic ssh -n shadows.cs.hut.fi emacs &
einen Emacs auf shadows.cs.hut.fi
starten und die X11-Verbindung wird automatisch über einen verschlüsselten
Kanal weitergeleitet. Das Programm
.Nm
wird in den Hintergrund
geschoben. (Dies funktioniert nicht, falls
.Nm
nach einem Passwort oder
einer Passphrase fragen muss, siehe auch die Option
.Fl f . )
.Pp
.It Fl O Ar Steuerbefehl
Steuert einen aktiven Master-Prozess für Verbindungs-Multiplexing. Wird die
Option
.Fl O
angegeben, dann wird das Argument
.Ar Steuerbefehl
interpretiert und an den Master-Prozess übergeben. Gültige Befehle sind:
.Dq check
(prüfen, ob der Master-Prozess läuft),
.Dq forward
(Weiterleitungen ohne Befehlsausführung erbitten),
.Dq cancel
(Weiterleitungen abbrechen),
.Dq exit
(den Master zum Beenden auffordern)
und
.Dq stop
(den Master bitten, keine weiteren
Multiplexing-Anforderungen zu akzeptieren).
.Pp
.It Fl o Ar Option
Kann zur Angabe von Optionen, die wie in der Konfigurationsdatei formatiert
sind, verwandt werden. Dies ist nützlich, um Optionen anzugeben, für die es
keinen separaten Befehlszeilenschalter gibt. Für vollständige Details über
die nachfolgend aufgeführten Optionen und ihre möglichen Werte siehe
.Xr ssh_config 5 .
.Pp
.Bl -tag -width Ds -offset indent -compact
.It AddKeysToAgent
.It AddressFamily
.It BatchMode
.It BindAddress
.It CanonicalDomains
.It CanonicalizeFallbackLocal
.It CanonicalizeHostname
.It CanonicalizeMaxDots
.It CanonicalizePermittedCNAMEs
.It CASignatureAlgorithms
.It CertificateFile
.It ChallengeResponseAuthentication
.It CheckHostIP
.It Ciphers
.It ClearAllForwardings
.It Compression
.It ConnectionAttempts
.It ConnectTimeout
.It ControlMaster
.It ControlPath
.It ControlPersist
.It DynamicForward
.It EscapeChar
.It ExitOnForwardFailure
.It FingerprintHash
.It ForwardAgent
.It ForwardX11
.It ForwardX11Timeout
.It ForwardX11Trusted
.It GatewayPorts
.It GlobalKnownHostsFile
.It GSSAPIAuthentication
.It GSSAPIKeyExchange
.It GSSAPIClientIdentity
.It GSSAPIDelegateCredentials
.It GSSAPIKexAlgorithms
.It GSSAPIRenewalForcesRekey
.It GSSAPIServerIdentity
.It GSSAPITrustDns
.It HashKnownHosts
.It Host
.It HostbasedAuthentication
.It HostbasedKeyTypes
.It HostKeyAlgorithms
.It HostKeyAlias
.It Hostname
.It IdentitiesOnly
.It IdentityAgent
.It IdentityFile
.It IPQoS
.It KbdInteractiveAuthentication
.It KbdInteractiveDevices
.It KexAlgorithms
.It LocalCommand
.It LocalForward
.It LogLevel
.It MACs
.It Match
.It NoHostAuthenticationForLocalhost
.It NumberOfPasswordPrompts
.It PasswordAuthentication
.It PermitLocalCommand
.It PKCS11Provider
.It Port
.It PreferredAuthentications
.It ProxyCommand
.It ProxyJump
.It ProxyUseFdpass
.It PubkeyAcceptedKeyTypes
.It PubkeyAuthentication
.It RekeyLimit
.It RemoteCommand
.It RemoteForward
.It RequestTTY
.It SendEnv
.It ServerAliveInterval
.It ServerAliveCountMax
.It SetEnv
.It StreamLocalBindMask
.It StreamLocalBindUnlink
.It StrictHostKeyChecking
.It TCPKeepAlive
.It Tunnel
.It TunnelDevice
.It UpdateHostKeys
.It User
.It UserKnownHostsFile
.It VerifyHostKeyDNS
.It VisualHostKey
.It XAuthLocation
.El
.Pp
.It Fl p Ar Port
Port, zu dem beim fernen Rechner verbunden werden soll. Dies kann
rechnerbasiert in der Konfigurationsdatei festgelegt werden.
.Pp
.It Fl Q Ar Abfrageoption
Fragt
.Nm
nach den für die festgelegte Version 2 unterstützten
Algorithmen. Die verfügbaren Funktionalitäten sind:
.Ar cipher
(unterstützte symmetrische Chiffren),
.Ar cipher-auth
(unterstützte
symmetrische Chiffren, die authentifizierte Verschlüsselung unterstützen),
.Ar help
(die für den Einsatz mit dem Schalter
.Fl Q
unterstützten
Abfrageausdrücke),
.Ar mac
(unterstützte Nachrichtenintegritätscodes),
.Ar kex
(Schlüssel-Austauschalgorithmen),
.Ar kex-gss
(GSSAPI-Schlüssel-Austauschalgorithmen),
.Ar key
(Schlüsseltypen),
.Ar key-cert
(Zertifikatsschlüsseltypen),
.Ar key-plain
(nicht-Zertifikatsschlüsseltypen),
.Ar key-sig
(alle Schlüsseltypen und
Signaturalgorithmen),
.Ar Protokollversion
(unterstützte
SSH-Protokollversionen) und
.Ar sig
(unterstützte
Signaturalgorithmen). Alternativ kann jedes Schlüsselwort aus
.Xr ssh_config 5
und
.Xr sshd_config 5 ,
das eine Algorithmenliste
akzeptiert, als ein Alias für die entsprechende Abfrageoption verwandt
werden.
.Pp
.It Fl q
Stiller Modus. Damit werden die meisten Warnungen und Diagnosemeldungen
unterdrückt.
.Pp
.It Fl R Xo
.Sm off
.Oo Ar Anbindeadresse : Oc
.Ar Port : Rechner : Rechnerport
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Oo Ar Anbindeadresse : Oc
.Ar Port : lokales_Socket
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Ar fernes_Socket : Rechner : Rechnerport
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Ar fernes_Socket : lokales_Socket
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Oo Ar Anbindeadresse : Oc
.Ar Port
.Sm on
.Xc
Gibt
an, dass Verbindungen zum dem angegebenen TCP-Port oder Unix-Socket auf dem
fernen Rechner (Server) an die lokale Seite weitergeleitet werden sollen.
.Pp
Dazu wird auf der fernen Seite ein Socket bereitgestellt, das entweder auf
einem TCP-
.Ar Port
oder einem Unix-Socket auf Anfragen wartet. Immer wenn
eine Verbindung zu diesem Port oder Unix-Socket aufgebaut wird, wird sie
über den sicheren Kanal weitergeleitet und eine weitere Verbindung erstellt,
die zu einem expliziten Ziel führt (angegeben durch den Port
.Rechnerport
auf dem
.Ar Rechner
oder
.Ar lokales_Socket ) .
Falls kein Ziel genannt
wurde, arbeitet
.Nm
als SOCKS4/5-Proxy und leitet die Verbindungen zu den
Zielen weiter, die vom entfernten SOCKS-Client erbeten werden.
.Pp
Port-Weiterleitungen können auch in der Konfigurationsdatei festgelegt
werden. Privilegierte Ports können nur nach Anmeldung als root auf der
fernen Maschine weitergeleitet werden. Durch Einschluss der Adresse in
eckige Klammern können IPv6-Adressen angegeben werden.
.Pp
Standardmäßig werden TCP-Ports auf dem Server, an denen auf Anfragen
gewartet wird, nur an die Loopback-Schnittstelle gebunden. Dies kann durch
Angabe einer
.Ar Anbindeadresse
außer Kraft gesetzt werden. Eine leere
.Ar Anbindeadresse
oder die Adresse
.Ql *
zeigt an, dass das ferne
Socket auf allen Schnittstellen auf Anfragen warten soll. Die Angabe einer
fernen
.Ar Anbindeadresse
wird nur erfolgreich sein, falls die Option
.Cm GatewayPorts
des Servers aktiviert ist (siehe
.Xr sshd_config 5 ) .
.Pp
Falls das Argument
.Ar Port
.Ql 0
ist, dann wird der Port, an dem auf
Anfragen gewartet wird, dynamisch auf dem Server zugewiesen und zur Laufzeit
dem Client mitgeteilt. Wird dies zusammen mit
.Ic -O forward
eingesetzt,
dann wird der zugewiesene Port auf die Standardausgabe geschrieben.
.Pp
.It Fl S Ar Steuerpfad
Gibt den Ort eines Steuer-Sockets für die gemeinsame Verwendung von
Verbindungen oder die Zeichenkette
.Dq none
an, um die gemeinsame
Verwendung von Verbindungen zu deaktivieren. Lesen Sie die Beschreibung von
.Cm ControlPath
und
.Cm ControlMaster
in
.Xr ssh_config 5
für
Details.
.Pp
.It Fl s
Kann dazu verwandt werden, um das Starten eines Subsystems auf dem fernen
System zu erbitten. Subsysteme ermöglichen die Verwendung von SSH als
sicheren Transport für andere Anwendungen (z.B.\&
.Xr sftp 1 ) .
Das
Subsystem wird als der ferne Befehl angegeben.
.Pp
.It Fl T
Deaktiviert Pseudo-Terminal-Zuweisung.
.Pp
.It Fl t
Erzwingt Pseudo-Terminal-Zuweisung. Dies kann zur Ausführung mehrerer, auf
Screen-basierter Programme auf fernen Maschinen verwandt werden. Dies kann
zur Implementierung von beispielsweise Menü-Diensten sehr nützlich
sein. Mehrere Optionen
.Fl t
erzwingen die TTY-Zuweisung, selbst wenn
.Nm
kein lokales TTY hat.
.Pp
.It Fl V
Zeigt die Versionnummer an und beendet sich.
.Pp
.It Fl v
Ausführlicher Modus. Führt dazu, dass
.Nm
Fehlersuchmeldungen über seinen
Fortschritt ausgibt. Dies ist für die Fehlersuche bei Verbindungs-,
Authentifizierungs- und Konfigurationsproblemen hilfreich. Mehrere Optionen
.Fl v
erhöhen die Ausführlichkeit. Das Maximum ist 3.
.Pp
.It Fl W Ar Rechner : Ns Ar Port
Erbittet, dass die Standardein- und -ausgabe auf dem Client an
.Ar Rechner
auf
.Ar Port
über den sicheren Kanal weitergeleitet
wird. Impliziert
.Fl N ,
.Fl T ,
.Cm ExitOnForwardFailure
und
.Cm ClearAllForwardings ,
allerdings können diese in der Konfigurationsdatei
oder mittels der Befehlszeilenoptionen
.Fl o
außer Kraft gesetzt werden.
.Pp
.It Fl w Xo
.Ar lokaler_Tun Ns Op : Ns Ar ferner_Tun
.Xc
Erbittet
Tunnelgerät-Weiterleitung mit den angegebenen
.Xr tun 4
-Geräten zwischen
dem Client
.Pq Ar lokaler_Tun
und dem Server
.Pq Ar ferner_Tun .
.Pp
Die Geräte können über numerische Kennungen oder das Schlüsselwort
.Dq any ,
das das nächste verfügbare Tunnelgerät verwendet, angegeben
werden. Falls
.Ar ferner_Tun
nicht angegeben ist, ist die Vorgabe
.Dq any .
Siehe auch die Direktiven
.Cm Tunnel
und
.Cm TunnelDevice
in
.Xr ssh_config 5 .
.Pp
Falls die Direktive
.Cm Tunnel
nicht gesetzt ist, wird sie auf den
Standard-Tunnel-Modus (
.Dq point-to-point )
gesetzt. Falls ein anderer
.Cm Tunnel
-Weiterleitungsmodus gewünscht ist, kann er vor
.Fl w
angegeben werden.
.Pp
.It Fl X
Aktiviert X11-Weiterleitung. Dies kann auch rechnerbezogen in der
Konfigurationsdatei festgelegt werden.
.Pp
X11-Weiterleitung sollte mit Vorsicht aktiviert werden. Benutzer, die auf
dem fernen Rechner die Dateiberechtigungen umgehen können (für die
X-Autorisierungs-Datenbank), können durch die weitergeleitete Verbindung auf
das lokale X11-Display zugreifen. Ein Angreifer könnte dann in der Lage
sein, Aktivitäten wie die Überwachung der Eingabe durchzuführen.
.Pp
Aus diesem Grund unterliegt X11-Weiterleitung standardmäßig den
X11-SECURITY-Erweiterungen. Bitte lesen Sie für weitere Informationen die
Beschreibung der Option
.Nm
.Fl Y
und der Direktive
.Cm ForwardX11Trusted
in
.Xr ssh_config 5 .
.Pp
(Debian-spezifisch: X11-Weiterleitung unterliegt derzeit standardmäßig nicht
den Einschränkungen der X11-SECURITY-Erweiterungen, da derzeit zu viele
Programme in diesem Modus abstürzen. Setzen Sie die Option
.Cm ForwardX11Trusted
auf
.Dq no ,
um das von den Originalautoren
beabsichtigte Verhalten wiederherzustellen. Dies kann sich abhängig von den
Verbesserungen bei den Clients in der Zukunft ändern.)
.Pp
.It Fl x
Deaktiviert X11-Weiterleitung.
.Pp
.It Fl Y
Aktiviert vertrauenswürdige X11-Weiterleitung. Vertrauenswürdige
X11-Weiterleitungen unterliegen nicht den Maßnahmen der
X11-SECURITY-Erweiterungen.
.Pp
(Debian-spezifisch: In der Standardkonfiguration ist diese Option zu
.Fl X
äquivalent, da wie oben beschrieben
.Cm ForwardX11Trusted
standardmäßig
.Dq yes
ist. Setzen Sie die Option
.Cm ForwardX11Trusted
auf
.Dq no ,
um das von den Originalautoren beabsichtigte Verhalten
wiederherzustellen. Dies kann sich abhängig von den Verbesserungen bei den
Clients in der Zukunft ändern.)
.Pp
.It Fl y
Sendet mittels des Systemmoduls
.Xr syslog 3
Protokollinformationen. Standardmäßig werden diese Informationen auf die
Stderr gesandt.
.El
.Pp
.Nm
kann zusätzliche Konfigurationsdaten aus einer benutzerbezogenen
Konfigurationsdatei und der systemweiten Konfigurationsdatei erhalten. Das
Dateiformat und die Konfigurationsoptionen sind in
.Xr ssh_config 5
beschrieben.
.Sh AUTHENTIFIZIERUNG
Der OpenSSH-SSH-Client unterstützt SSH-Protokoll 2.
.Pp
Die für die Authentifizierung unterstützten Methoden sind: GSSAPI-basierte
Authentifzierung, Rechner-basierte Authentifizierung, asymmetrische
Authentifizierung, Challenge-Response-Authentifizierung und
Passwort-Authentifzierung. Die Authentifizierungsmethoden werden in der oben
angegebenen Reihenfolge versucht, diese kann aber durch
.Cm PreferredAuthentications
geändert werden.
.Pp
Rechner-basierte Authentifizierung arbeitet wie folgt: Falls die Maschine,
bei der sich der Benutzer anmeldet, in
.Pa /etc/hosts.equiv
oder
.Pa /etc/ssh/shosts.equiv
auf der fernen Maschine aufgeführt ist, der Benutzer
nicht root ist und die Benutzernamen auf beiden Seiten übereinstimmen, oder
falls die Dateien
.Pa ~/.rhosts
oder
.Pa ~/.shosts
in dem
Home-Verzeichnis des Benutzers auf der fernen Maschine existieren und eine
Zeile enthalten, die den Namen der Client-Maschine und den Namen des
Benutzers auf dieser Maschine enthält, wird der Benutzer für die Anmeldung
in Betracht gezogen. Zusätzlich
.Em muss
der Server in der Lage sein, den
Rechner-Schlüssel des Clients zu überprüfen (siehe die nachfolgende
Beschreibung von
.Pa /etc/ssh/ssh_known_hosts
und
.Pa ~/.ssh/known_hosts ) ,
damit die Anmeldung erlaubt wird. Diese
Authentifzierungsmethode schließt Sicherheitslücken aufgrund von Fälschungen
der IP, des DNS und des Routings. [Hinweis an den Administrator:
.Pa /etc/hosts.equiv ,
.Pa ~/.rhosts
und das Rlogin-/Rsh-Protokoll im
Allgemeinen sind von Natur aus unsicher und sollten deaktiviert werden,
falls Sicherheit gewünscht ist.]
.Pp
Asymmetrische Authentifizierung funktioniert wie folgt: Das Schema basiert
auf asymmetrischer Kryptographie unter Verwendung von Kryptosystemen, bei
denen Ver- und Entschlüsselung mittels getrennter Schlüssel erfolgt und es
undurchführbar ist, den Entschlüsselungsschlüssel aus dem
Verschlüsselungsschlüssel abzuleiten. Die Idee ist, dass jeder Benutzer ein
öffentliches/privates Schlüsselpaar für Authentifizierungszwecke
erstellt. Der Server kennt den öffentlichen Schlüssel und nur der Benutzer
kennt den privaten Schlüssel.
.Nm
implementiert automatisch ein
asymmetrisches Authentifzierungsprotokoll und verwendet entweder den DSA-,
ECDSA-, Ed25519- oder den RSA-Algorithmus. Der Abschnitt HISTORY von
.Xr ssl 8
enthält eine kurze Erörterung der DSA- und RSA-Algorithmen.
.nh
Auf nicht-OpenBS-Systemen, siehe:
.hy
http://www.openbsd.org/cgi\-bin/man.cgi?query=ssl&sektion=8#HISTORY)
.Pp
Die Datei
.Pa ~/.ssh/authorized_keys
führt die öffentlichen Schlüssel
auf, die für die Anmeldung erlaubt sind. Wenn sich der Benutzer anmeldet,
teilt das
.Nm
-Programm dem Server das Schlüsselpaar mit, das es für die
Authentifizierung verwenden möchte. Der Client weist nach, dass er Zugriff
auf den privaten Schlüssel hat und der Server prüft, dass der entsprechende
öffentliche Schlüssel authorisiert ist, das Konto zu akzeptieren.
.Pp
Der Server kann den Client über Fehler informieren, die eine erfolgreiche
asymmetrische Authentifizierung verhindern, nachdem die Authentifizierung
mit einer anderen Methode erfolgreich war. Diese Fehler können durch Erhöhen
des
.Cm LogLevel
auf
.Cm DEBUG
oder höher (z.B. durch die Verwendung
des Schalters
.Fl v )
eingesehen werden.
.Pp
Der Benutzer erstellt sein/ihr Schlüsselpaar durch Ausführung von
.Xr ssh-keygen 1 .
Dadurch wird der private Schlüssel in
.Pa ~/.ssh/id_dsa
(DSA),
.Pa ~/.ssh/id_ecdsa
(ECDSA),
.Pa ~/.ssh/id_ecdsa_sk
(Authentifikator-basierende ECDSA),
.Pa ~/.ssh/id_ed25519
(Ed25519),
.Pa ~/.ssh/id_ed25519_sk
(Authentifikator-basierende Ed25519) oder
.Pa ~/.ssh/id_rsa
(RSA) und speichert den öffentlichen Schlüssel in
.Pa ~/.ssh/id_dsa.pub
(DSA),
.Pa ~/.ssh/id_ecdsa.pub
(ECDSA),
.Pa ~/.ssh/id_ecdsa_sk.pub
(Authentifikator-basierende ECDSA),
.Pa ~/.ssh/id_ed25519.pub
(Ed25519),
.Pa ~/.ssh/id_ed25519_sk.pub
(Authentifikator-basierende Ed25519) oder
.Pa ~/.ssh/id_rsa.pub
(RSA) im
Home-Verzeichnis des Benutzers. Der Benutzer sollte dann seinen öffentlichen
Schlüssel nach
.Pa ~/.ssh/authorized_keys
in seinem/ihrem
Home-Verzeichnis auf der fernen Maschinen kopieren. Die Datei
.Pa authorized_keys
entspricht der konventionellen Datei
.Pa ~/.rhosts
und
enthält einen Schlüssel pro Zeile, die allerdings sehr lang sein
kann. Danach kann sich der Benutzer ohne Angabe eines Passworts anmelden.
.Pp
Eine Variation der asymmetrischen Authentifizierung ist in der Form der
Zertifikatsauthentifizierung verfügbar: Statt eines Satzes von
öffentlichen/privaten Schlüsseln werden signierte Zertifikate verwandt. Dies
hat den Vorteil, das einer einzelnen, vertrauenswürdigen Stelle anstatt
vieler Paare von öffentlichen/privaten Schlüsseln vertraut werden
kann. Siehe den Abschnitt ZERTIFIKATE in
.Xr ssh-keygen 1
für weitere
Informationen.
.Pp
Der bequemste Weg, asymmetrische oder Zertifikats-Authentifizierung zu
verwenden, kann über einen Authentifizierungs-Vermittler sein. Siehe
.Xr ssh-agent 1
und (optional) die Direktive
.Cm AddKeysToAgent
in
.Xr ssh_config 5
für weitere Informationen.
.Pp
Challenge-Response-Authentifizierung funktioniert wie folgt: Der Server
sendet einen beliebigen
.Qq Challenge
-Text und erbittet eine
Antwort. Beispiele für Challenge-Response sind
.Bx
-Authentifizierung
(siehe
.Xr login.conf 5 )
und PAM (einige
.Pf nicht- Ox
-Systeme).
.Pp
Am Ende, wenn auch die anderen Authentifizierungsmethoden fehlgeschlagen
sein sollten, bittet
.Nm
den Benutzer um seinem Passwort. Das Passwort
wird an den fernen Rechner zur Überprüfung gesandt. Da aber sämtliche
Kommunikation verschlüsselt ist, kann das Passwort von jemanden, der am
Netzwerk mitliest, nicht gesehen werden.
.Pp
.Nm
verwaltet und überprüft automatisch eine Datenbank, die
Identifikationen für alle Rechner enthalten, mit denen es bisher verwandt
wurde. Rechnerschlüssel werden in
.Pa ~/.ssh/known_hosts
im
Home-Verzeichnis des Benutzers gespeichert. Zusätzlich wird die Datei
.Pa /etc/ssh/ssh_known_hosts
auf bekannte Rechner überprüft. Jeder neue Rechner
wird automatisch zu der Datei des Benutzers hinzugefügt. Falls sich die
Identifikation eines Rechners jemals ändert, warnt
.Nm
und deaktiviert
Passwort-Authentifizierung, um Server-Fälschung oder
man-in-the-middle-Angriffe zu vermeiden, die andernfalls zum Umgehen der
Verschlüsselung verwandt werden könnten. Die Option
.Cm StrictHostKeyChecking
kann zum Steuern von Anmeldungen an Maschinen, deren
Rechnerschlüssel neu ist oder sich geändert hat, verwandt werden.
.Pp
Wenn die Benutzeridentität vom Server akzeptiert wurde, führt der Server
entweder die übergebenen Befehle in einer nichtinteraktiven Sitzung aus
oder, falls kein Befehl angegeben wurde, meldet er sich bei der Maschine an
und übergibt dem Benutzer eine normale Shell als interaktive
Sitzung. Sämtliche Kommunikation mit dem fernen Befehl oder der Shell wird
automatisch verschlüsselt.
.Pp
Falls eine interaktive Sitzung erbeten wird, wird
.Nm
standardmäßig nur
dann ein Pseudo-Terminal (PTY) für die interaktive Sitzung erbitten, wenn
der Client auch eines hat. Die Schalter
.Fl T
und
.Fl t
können dazu
verwandt werden, dieses Verhalten außer Kraft zu setzen.
.Pp
Falls ein Pseudo-Terminal zugewiesen wurde, kann der Benutzer die
nachfolgend dargestellten Maskierungszeichen verwenden.
.Pp
Falls kein Pseudo-Terminal reserviert wurde, ist die Sitzung transparent und
kann zur zuverlässigen Übertragung beliebiger binärer Daten verwandt
werden. Auf den meisten Systemen wird die Sitzung auch durch Setzen des
Maskierzeichens auf
.Dq none
transparent, selbst wenn ein TTY verwandt
wird.
.Pp
Die Sitzung wird beendet, wenn sich der Befehl oder die Shell auf der fernen
Maschine beendet und alle X11- und TCP-Sitzungen geschlossen wurden.
.Sh MASKIERZEICHEN
Wenn ein Pseudo-Terminal erbeten wurde, unterstützt
.Nm
eine Reihe von
Funktionen durch die Anwendung eines Maskierzeichens.
.Pp
Eine einzelne Tilde kann mittels
.Ic ~~
gesandt werden oder indem der
Tilde ein Zeichen folgt, das sich von den im Folgenden genannten
unterscheidet. Das Maskierzeichen muss immer einem Zeilenumbruch folgen, um
als besonders interpretiert zu werden. Das Maskierzeichen kann in
Konfigurationsdateien mittels der Konfigurationsdirektive
.Cm EscapeChar
oder auf der Befehlszeile mit der Option
.Fl e
geändert werden.
.Pp
Die unterstützten Maskierungen (es wird die Vorgabe
.Ql ~
angenommen)
sind:
.Bl -tag -width Ds
.It Cm ~.
Verbindung trennen.
.It Cm ~^Z
.Nm
in den Hintergrund schieben.
.It Cm ~#
Weitergeleitete Verbindungen auflisten.
.It Cm ~&
.Nm
beim Abmelden in den Hintergrund schieben, wenn auf die Beendigung
weitergeleiteter / X11-Sitzungen gewartet wird.
.It Cm ~?
Eine Liste von Maskierzeichen anzeigen.
.It Cm ~B
Einen BREAK an das ferne System senden (nur nützlich, wenn die Gegenstelle
das unterstützt).
.It Cm ~C
Eine Befehlzeile öffnen. Derzeit erlaubt dies das Hinzufügen von
Port-Weiterleitungen mittels der (oben beschriebenen) Optionen
.Fl L ,
.Fl R
und
.Fl D .
Es erlaubt auch den Abbruch bestehender
Port-Weiterleitungen mit
.Sm off
.Fl KL Oo Ar Anbindeadresse : Oc Ar Port
.Sm on
für lokale,
.Sm off
.Fl KR Oo Ar Anbindeadresse : Oc Ar Port
.Sm on
für ferne und
.Sm off
.Fl KD Oo Ar Anbindeadresse : Oc Ar Port
.Sm on
für dynamische Port-Weiterleitungen.
.Ic !\& Ns Ar Befehl
erlaubt es dem Benutzer, einen lokalen Befehl auszuführen, falls die
Option
.Ic PermitLocalCommand
in
.Xr ssh_config 5
aktiviert
ist. Grundlegende Hilfe ist mit der Option
.Fl h
verfügbar.
.It Cm ~R
Neue Schlüsselaushandlung der Verbindung erbitten (nur nützlich, wenn die
Gegenstelle das unterstützt).
.It Cm ~V
Verringert die Ausführlichkeit von
.Pq Ic LogLevel ,
wenn Fehler auf die
Standardfehlerausgabe geschrieben werden.
.It Cm ~v
Erhöht die Ausführlichkeit von
.Pq Ic LogLevel ,
wenn Fehler auf die
Standardfehlerausgabe geschrieben werden.
.El
.Sh TCP-WEITERLEITUNG
Die Weiterleitung von beliebigen TCP-Verbindungen über einen sicheren Kanal
kann entweder auf der Befehlszeile angegeben oder in einer
Konfigurationsdatei festgelegt werden. Eine mögliche Anwendung der
TCP-Weiterleitung ist die sichere Verbindung zu einem E-Mail-Server, eine
andere das Durchtunneln von Firewalls.
.Pp
Im nachfolgenden Beispiel wird eine verschlüsselte Verbindung für einen
IRC-Client betrachtet, obwohl der IRC-Server, zu dem die Verbindung
aufgebaut wird, direkt keine verschlüsselte Kommunikation unterstützt. Dies
funktioniert wie folgt: der Benutzer verbindet sich mit dem fernen Rechner
mittels
.Nm
und gibt dabei die Ports an, die für das Weiterleiten der
Verbindung verwandt werden sollen. Danach ist es möglich, das Programm lokal
zu starten und
.Nm
wird die Verbindung zum fernen Server verschlüsseln
und weiterleiten.
.Pp
Das nachfolgende Beispiel tunnelt eine IRC-Sitzung vom Client zu einem
IRC-Server auf
.Dq server.example.com ,
tritt Kanal
.Dq #users
bei,
verwendet den Nicknamen
.Dq pinky
und den Standard-IRC-Port 6667:
.Bd -literal -offset 4n
$ ssh -f -L 6667:localhost:6667 server.example.com sleep 10
$ irc -c '#users' pinky IRC/127.0.0.1
.Ed
.Pp
Die Option
.Fl f
schiebt
.Nm
in den Hintergrund und der ferne Befehl
.Dq sleep 10
wird angegeben, um eine bestimmte Zeitspanne (im Beispiel 10
Sekunden) für das Starten des Programms, das den Tunnel benutzen wird, zu
erlauben. Falls innerhalb der angegebenen Zeit keine Verbindungen erfolgen,
wird sich
.Nm
beenden.
.Sh X11-WEITERLEITUNG
Falls die Variable
.Cm ForwardX11
auf
.Dq yes
gesetzt ist (siehe oben
für die Beschreibung der Optionen
.Fl X ,
.Fl x
und
.Fl Y )
und der
Benutzer X11 verwendet (die Umgebungsvariable
.Ev DISPLAY
ist gesetzt),
dann wird die Verbindung zum X11-Display automatisch an die ferne Seite
weitergeleitet. Dies erfolgt dergestalt, dass alle von der Shell (oder dem
Befehl) gestarteten Programme durch den verschlüsselten Kanal geleitet und
die Verbindung zum dem echten X-Server von der lokalen Maschine ausgeht. Der
Benutzer sollte
.Ev DISPLAY
nicht manuell setzen. Die Weiterleitung von
X11-Verbindungen kann auf der Befehlszeile oder in Konfigurationsdateien
konfiguriert werden.
.Pp
Der durch
.Nm
gesetzte Wert für
.Ev DISPLAY
wird auf die
Server-Maschine zeigen, aber mit einer Displaynummer, die größer als Null
ist. Dies ist normal und passiert, da
.Nm
einen
.Dq proxy
-X-Server auf
der Server-Maschine für die Weiterleitung der Verbindungen über den
verschlüsselten Kanal erstellt.
.Pp
.Nm
wird auch automatisch Xauthority-Daten auf der Server-Maschine
einrichten. Zu diesem Zweck wird es ein zufälliges Autorisierungs-Cookie
erstellen, dies in Xauthority auf dem Server speichern und überprüfen, dass
alle weitergeleiteten Verbindungen dieses Cookie tragen und dieses dann
durch das echte Cookie ersetzen, wenn die Verbindung geöffnet wird. Das
echte Authentifizierungs-Cookie wird niemals an den Server gesandt (und
keine Cookies werden im Klartext gesandt).
.Pp
Falls die Variable
.Cm ForwardAgent
auf
.Dq yes
gesetzt ist (siehe die
Beschreibung der Optionen
.Fl A
und
.Fl a
weiter oben) und der
Benutzer einen Authentifizierungsvermittler verwendet, wird die Verbindung
zum Vermittler automatisch zur fernen Seite weitergeleitet.
.Sh RECHNERSCHLÜSSEL ÜBERPRÜFEN
Bei der erstmaligen Verbindung zu einem Server wird dem Benutzer ein
Fingerabdruck des öffentlichen Schlüssels des Servers angezeigt (außer die
Option
.Cm StrictHostKeyChecking
wurde deaktiviert). Fingerabdrücke
können mittels
.Xr ssh-keygen 1
ermittelt werden:
.Pp
.Dl $ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
.Pp
Falls der Fingerabdruck bereits bekannt ist, kann er verglichen und der
Schlüssel akzeptiert oder zurückgewiesen werden. Falls nur veraltete (MD5)
Fingerabdrücke für den Server verfügbar sind, kann die Option
.Fl E
von
.Xr ssh-keygen 1
verwandt werden, um den Fingerabdruck-Algorithmus zum
Vergleichen herunterzustufen.
.Pp
Da es schwierig ist, Rechnerschlüssel nur durch Anschauen von
Fingerabdruck-Zeichenketten zu vergleichen, wird auch der visuelle Vergleich
mittels
.Em Random Art
(ASCII-Visualisierung) unterstützt. Wird die
Option
.Cm VisualHostKey
auf
.Dq yes
gesetzt, dann wird bei jeder
Anmeldung an einem Server eine kleine ASCII-Graphik angezeigt, unabhängig
davon, ob die Sitzung selbst interaktiv ist oder nicht. Indem der Benutzer
das vom Rechner verwandte Muster lernt, kann er leicht herausfinden, wenn
sich der Rechnerschlüssel geändert hat und ein komplett anderes Muster
angezeigt wird. Da diese Muster aber nicht eindeutig sind, wird ein Muster,
das einem Muster aus der Erinnerung ähnlich sieht, nur eine gute
Wahrscheinlichkeit dafür geben, dass der Rechnerschlüssel unverändert ist,
kein garantierter Beweis.
.Pp
Um zusammen mit der zufälligen Kunst die Fingerabdrücke für alle bekannten
Rechner anzuzeigen, kann folgender Befehl verwandt werden:
.Pp
.Dl $ ssh-keygen -lv -f ~/.ssh/known_hosts
.Pp
Falls ein Fingerabdruck unbekannt ist, ist eine alternative Methode zur
Überprüfung verfügbar: Durch DNS-bestätigte SSH-Fingerabdrücke. Ein
zusätzlicher Ressourcendatensatz (RR), SSHFP, wird zu einer Zonendatei
hinzugefügt und der verbindende Client ist in der Lage, den Fingerabdruck
mit dem angebotenen zu vergleichen.
.Pp
In diesem Beispiel findet eine Verbindung eines Clients mit einem Server
.Dq host.example.com
statt. Die SSHFP-Ressourcendatensätze sollten zuerst
zu der Zonendatei für host.example.com hinzugefügt werden:
.Bd -literal -offset indent
$ ssh-keygen -r host.example.com.
.Ed
.Pp
Die Ausgabezeilen müssen zur der Zonendatei hinzugefügt werden. So
überprüfen Sie, ob die Zone auf Fingerabdruckanfragen antwortet:
.Pp
.Dl $ dig -t SSHFP host.example.com
.Pp
Schießlich verbindet sich der Client:
.Bd -literal -offset indent
$ ssh -o "VerifyHostKeyDNS ask" host.example.com
[…]
Matching host key fingerprint found in DNS.
Are you sure you want to continue connecting (yes/no)?
.Ed
.Pp
Lesen Sie die Option
.Cm VerifyHostKeyDNS
in
.Xr ssh_config 5
für
weitere Informationen.
.Sh SSH-BASIERTE VIRTUELLE PRIVATE NETZWERKE
.Nm
unterstützt „Virtual Private Network“- (VPN-)Tunneln mittels des
.Xr tun 4
-Netzwerk-Pseudogerätes. Damit wird es möglich, zwei Netzwerke
sicher zu verbinden. Die Konfigurationsoption
.Cm PermitTunnel
von
.Xr sshd_config 5
steuert, ob und falls ja auf welcher Stufe (Layer 2- oder
3-Verkehr) der Server dies unterstützt.
.Pp
Das folgende Beispiel würde das Client-Netzwerk 10.0.50.0/24 mit dem fernen
Netzwerk 10.0.99.0/24 unter Verwendung einer Punkt-zu-Punkt-Verbindung von
10.1.1.1 nach 10.1.1.2 verbinden, vorausgesetzt, dass der auf dem Gateway zu
dem fernen Netzwerk laufende SSH-Server, auf 192.168.1.15, dies erlauben
würde:
.Pp
Auf dem Client:
.Bd -literal -offset indent
# ssh -f -w 0:1 192.168.1.15 true
# ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
# route add 10.0.99.0/24 10.1.1.2
.Ed
.Pp
Auf dem Server:
.Bd -literal -offset indent
# ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252
# route add 10.0.50.0/24 10.1.1.1
.Ed
.Pp
Der Client-Zugriff kann mittels der nachfolgend beschriebenen Datei
.Pa /root/.ssh/authorized_keys
und der Server-Option
.Cm PermitRootLogin
feiner gesteuert werden. Der folgende Eintrag würde Verbindungen auf dem
.Xr tun 4
-Gerät 1 von Benutzer
.Dq jane
und auf dem Tun-Gerät 2 von
Benutzer
.Dq john
erlauben, falls
.Cm PermitRootLogin
auf
.Dq forced-commands-only
gesetzt ist:
.Bd -literal -offset 2n
tunnel="1",command="sh /etc/netstart tun1" ssh-rsa … jane
tunnel="2",command="sh /etc/netstart tun2" ssh-rsa … john
.Ed
.Pp
Da eine SSH-basierte-Installation einen ordentlichen Aufwand verursacht,
könnte sie mehr für temporäre Installationen, wie für drahtlose VPNs,
geeignet sein. Dauerhafte VPNs werden besser durch Werkzeuge wie
.Xr ipsecctl 8
und
.Xr isakmpd 8
bereitgestellt.
.Sh UMGEBUNGSVARIABLEN
.Nm
setzt normalerweise die folgenden Umgebungsvariablen:
.Bl -tag -width SSH_ORIGINAL_COMMAND
.It Ev DISPLAY
Die Variable
.Ev DISPLAY
zeigt den Ort des X11-Servers an. Sie wird von
.Nm
automatisch gesetzt, um auf einen Wert der Form
.Dq Rechnername:n
zu zeigen, wobei
.Dq Rechnername
den Rechnernamen anzeigt, auf dem die
Shell läuft und
.Sq n
eine Ganzzahl \*(Ge 1 ist.
.Nm
verwendet diesen
besonderen Wert, um X11-Verbindungen über den sicheren Kanal
weiterzuleiten. Der Benutzer sollte normalerweise
.Ev DISPLAY
nicht
explizit setzen, da dies zu einer unsicheren X11-Verbindung führen wird (und
verlangt, dass der Benutzer sämtliche Autorisierungs-Cookies manuell
kopiert).
.It Ev HOME
Wird auf den Pfad zum Home-Verzeichnis des Benutzers gesetzt.
.It Ev LOGNAME
Synonym für
.Ev USER ;
wird zur Kompatibilität mit Systemen, die diese
Variable verwenden, gesetzt.
.It Ev MAIL
Wird auf den Pfad zu dem Postfach des Benutzers gesetzt.
.It Ev PATH
Wird auf den Standard-
.Ev PATH
gesetzt, wie er bei der Kompilierung von
.Nm
festgelegt wurde.
.It Ev SSH_ASKPASS
Falls
.Nm
eine Passphrase benötigt, so wird diese aus dem aktuellen
Terminal gelesen, falls es von einem Terminal gestartet wurde. Falls
.Nm
kein Terminal zugeordnet ist, aber
.Ev DISPLAY
und
.Ev SSH_ASKPASS
gesetzt sind, dann wird es das durch
.Ev SSH_ASKPASS
festgelegte Programm
ausführen und ein X11-Fenster öffnen, um die Passphrase einzulesen. Dies ist
insbesondere nützlich, wenn
.Nm
von einer
.Pa .xsession
oder einem
zugehörigen Skript aufgerufen wird. (Beachten Sie, dass Sie auf einigen
Maschinen die Eingabe von
.Pa /dev/null
umleiten müssen, damit dieses
funktioniert.)
.It Ev SSH_ASKPASS_REQUIRE
Erlaubt genauere Kontrolle über die Verwendung eines Programms zur Abfrage
von Passwörtern. Falls diese Variable auf
.Dq never
gesetzt ist, dann
wird
.Nm
niemals versuchen, ein solches Programm zu verwenden. Falls sie
auf
.Dq prefer
gesetzt ist, dann wird
.Nm
es vorziehen, das Programm
zur Abfrage von Passwörtern statt einem TTY zu verwenden, wenn Passwörter
erbeten werden. Falls diese Variable schließlich auf
.Dq force
gesetzt
ist, dann wird das Programm zur Abfrage von Passwörtern für alle Passphrasen
verwandt, unabhängig davon, ob
.Ev DISPLAY
gesetzt ist.
.It Ev SSH_AUTH_SOCK
Kennzeichnet den Pfad eines zur Kommunikation mit dem Vermittler verwandten
.Ux Ns -domain
-Sockets.
.It Ev SSH_CONNECTION
Identifiziert die Client- und Server-Enden der Verbindung. Die Variable
enthält vier durch Leerzeichen getrennte Werte: Client-IP-Adresse,
Client-Port-Nummer, Server-IP-Adresse und Server-Port-Nummer.
.It Ev SSH_ORIGINAL_COMMAND
Diese Variable enthält die ursprüngliche Befehlszeile, falls ein erzwungener
Befehl ausgeführt wird. Sie kann zum Herauslösen der ursprünglichen
Argumente verwandt werden.
.It Ev SSH_TTY
Dies ist auf den Namen des TTY (Pfad zu dem Gerät) gesetzt, das der
aktuellen Shell oder dem Befehl zugeordnet ist. Falls die aktuelle Sitzung
über kein TTY verfügt, ist diese Variable nicht gesetzt.
.It Ev SSH_TUNNEL
Optional durch
.Xr sshd 8
gesetzt, um den zugewiesenen
Schnittstellennamen zu enthalten, falls vom Client die Weiterleitung von
Tunneln erbeten wurde.
.It Ev SSH_USER_AUTH
Optional durch
.Xr sshd 8
gesetzt. Diese Variable kann einen Pfadnamen zu
einer Datei enthalten, die die Authentifizierungsmethoden enthält, die
erfolgreich verwandt wurden, als die Sitzung etabliert wurde, einschließlich
aller verwandten öffentlichen Schlüssel.
.It Ev TZ
Diese Variable wird gesetzt, um die aktuelle Zeitzone anzuzeigen, falls sie
gesetzt war, als der Deamon gestartet wurde (d.h. der Daemon gibt den Wert
an neue Verbindungen weiter).
.It Ev USER
Wird auf den Namen des angemeldeten Benutzers gesetzt.
.El
.Pp
Zusätzlich liest
.Nm
.Pa ~/.ssh/environment
und fügt Zeilen im Format
.Dq VARIABLENNAME=Wert
zu der Umgebung hinzu, falls die Datei existiert
und Benutzer ihre Umgebung ändern dürfen. Für weitere Informationen siehe
die Option
.Cm PermitUserEnvironment
in
.Xr sshd_config 5 .
.Sh DATEIEN
.Bl -tag -width Ds -compact
.It Pa ~/.rhosts
Diese Datei wird für Rechner-basierte Authentifizierung (siehe oben)
verwandt. Auf einigen Maschinen muss diese Datei für alle schreibbar sein,
falls das Home-Verzeichnis des Benutzers sich auf einer NFS-Partition
befindet, da
.Xr sshd 8
sie als root einliest. Zusätzlich muss diese
Datei dem Benutzer gehören und darf für keinen anderen Schreibberechtigung
haben. Die empfohlenen Berechtigungen für die meisten Maschinen ist
Lesen/Schreiben für den Benutzer und kein Zugriff für andere.
.Pp
.It Pa ~/.shosts
Die Datei wird genau auf die gleiche Art wie
.Pa .rhosts
verwandt,
erlaubt aber Rechner-basierte Authentifizierung, ohne Anmeldungen mittels
Rlogin/Rsh zu ermöglichen.
.Pp
.It Pa ~/.ssh/
Das Verzeichnis ist der Standardort für alle benutzerspezifischen
Konfigurations- und Authentifizierungsinformationen. Es gibt keine
allgemeine Anforderung, sämtliche Informationen in diesem Verzeichnis geheim
zu halten, aber die empfohlenen Berechtigungen sind
Lesen/Schreiben/Ausführen für den Benutzer und kein Zugriff für andere.
.Pp
.It Pa ~/.ssh/authorized_keys
Listet die öffentlichen Schlüssel (DSA, ECDSA, Ed25519, RSA) auf, die zur
Anmeldung als Benutzer verwandt werden können. Das Format dieser Datei ist
in der Handbuchseite
.Xr sshd 8
beschrieben. Diese Datei ist nicht sehr
sensitiv, aber die empfohlenen Berechtigungen sind Lesen/Schreiben für den
Benutzer und kein Zugriff für andere.
.Pp
.It Pa ~/.ssh/config
Dies ist die benutzerbezogene Konfiguration. Das Dateiformat und die
Konfigurationsoptionen sind in
.Xr ssh_config 5
beschrieben. Aufgrund der
Missbrauchsmöglichkeit müssen die Berechtigungen der Datei sehr streng sein:
Lesen/Schreiben für den Benutzer und kein Schreibzugriff für andere. Sie
kann für die Gruppe schreibbar sein, solange die in Frage stehende Gruppe
nur den Benutzer enthält.
.Pp
.It Pa ~/.ssh/environment
Enthält zusätzliche Definitionen für Umgebungsvariablen; siehe
.Sx UMGEBUNGSVARIABLEN ,
oben.
.Pp
.It Pa ~/.ssh/id_dsa
.It Pa ~/.ssh/id_ecdsa
.It Pa ~/.ssh/id_ecdsa_sk
.It Pa ~/.ssh/id_ed25519
.It Pa ~/.ssh/id_ed25519_sk
.It Pa ~/.ssh/id_rsa
Enthält den privaten Schlüssel für die Authentifizierung. Diese Datei
enthält sensitive Daten und sollte nur durch den Benutzer lesbar sein, aber
andere sollten nicht drauf zugreifen können
(lesen/schreiben/ausführen).
.Nm
wird eine Datei mit einem privaten
Schlüssel ignorieren, falls andere darauf zugreifen können. Es ist bei der
Erstellung des Schlüssels möglich, eine Passphrase festzulegen, die zur
Verschlüsselung des sensitiven Anteils dieser Datei mittels AES-128 verwandt
wird.
.Pp
.It Pa ~/.ssh/id_dsa.pub
.It Pa ~/.ssh/id_ecdsa.pub
.It Pa ~/.ssh/id_ecdsa_sk.pub
.It Pa ~/.ssh/id_ed25519.pub
.It Pa ~/.ssh/id_ed25519_sk.pub
.It Pa ~/.ssh/id_rsa.pub
Enthält den öffentlichen Schlüssel für die Authentifizierung. Diese Dateien
sind nicht sensitiv und können (müssen aber nicht) von jedem lesbar sein.
.Pp
.It Pa ~/.ssh/known_hosts
Enthält eine Liste von Rechnerschlüsseln für alle Rechner, bei denen sich
der Benutzer angemeldet hat und die nicht bereits in der systemweiten Liste
der bekannten Rechnerschlüssel sind. Siehe
.Xr sshd 8
für weitere Details
über das Format dieser Datei.
.Pp
.It Pa ~/.ssh/rc
Befehle in dieser Datei werden durch
.Nm
ausgeführt, wenn sich der
Benutzer anmeldet, genau bevor die Shell (oder der Befehl) des Benutzers
gestartet wird. Lesen Sie die Handbuchseite
.Xr sshd 8
für weitere
Informationen.
.Pp
.It Pa /etc/hosts.equiv
Diese Datei ist für rechnerbasierte Authentifizierung (siehe oben). Sie
sollte nur durch Root beschreibbar sein.
.Pp
.It Pa /etc/ssh/shosts.equiv
Die Datei wird genau auf die gleiche Art wie
.Pa hosts.equiv
verwandt,
erlaubt aber Rechner-basierte Authentifizierung, ohne Anmeldungen mittels
Rlogin/Rsh zu ermöglichen.
.Pp
.It Pa /etc/ssh/ssh_config
Systemweite Konfigurationsdatei. Das Dateiformat und die
Konfigurationsoptionen werden in
.Xr ssh_config 5
beschrieben.
.Pp
.It Pa /etc/ssh/ssh_host_key
.It Pa /etc/ssh/ssh_host_dsa_key
.It Pa /etc/ssh/ssh_host_ecdsa_key
.It Pa /etc/ssh/ssh_host_ed25519_key
.It Pa /etc/ssh/ssh_host_rsa_key
Diese Dateien enthalten den privaten Anteil der Rechnerschlüssel und werden
für rechnerbasierte Authentifizierung verwandt.
.Pp
.It Pa /etc/ssh/ssh_known_hosts
Systemweite Liste der bekannten Rechnerschlüssel. Diese Datei sollte vom
Systemadministrator erstellt werden, um die Rechnerschlüssel aller Maschinen
der Organisation zu enthalten. Sie sollte von allen lesbar sein. Siehe
.Xr sshd 8
für weitere Details über das Format dieser Datei.
.Pp
.It Pa /etc/ssh/sshrc
Befehle in dieser Datei werden durch
.Nm
ausgeführt, wenn sich der
Benutzer anmeldet, genau bevor die Shell (oder der Befehl) des Benutzers
gestartet wird. Lesen Sie die Handbuchseite
.Xr sshd 8
für weitere
Informationen.
.El
.Sh EXIT-STATUS
.Nm
beendet sich mit dem Exit-Status des fernen Befehls oder mit 255,
falls ein Fehler aufgetreten ist.
.Sh SIEHE AUCH
.Xr scp 1 ,
.Xr sftp 1 ,
.Xr ssh-add 1 ,
.Xr ssh-agent 1 ,
.Xr ssh-argv0 1 ,
.Xr ssh-keygen 1 ,
.Xr ssh-keyscan 1 ,
.Xr tun 4 ,
.Xr ssh_config 5 ,
.Xr ssh-keysign 8 ,
.Xr sshd 8
.Sh STANDARDS
.Rs
.%A S. Lehtinen
.%A C. Lonvick
.%D Januar 2006
.%R RFC 4250
.%T Die zugewiesenen Protokollnummern der Secure Shell (SSH)
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D Januar 2006
.%R RFC 4251
.%T Die Architektur des Protokolls der Secure Shell (SSH)
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D Januar 2006
.%R RFC 4252
.%T Das Authentifizierungsprotokoll der Secure Shell (SSH)
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D Januar 2006
.%R RFC 4253
.%T Das Transportebenenprotokoll der Secure Shell (SSH)
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D Januar 2006
.%R RFC 4254
.%T Das Verbindungsprotokoll der Secure Shell (SSH)
.Re
.Pp
.Rs
.%A J. Schlyter
.%A W. Griffin
.%D Januar 2006
.%R RFC 4255
.%T Verwendung von DNS zur sicheren Veröffentlichung von Fingerabdrücken von Schlüsseln der Secure Shell (SSH)
.Re
.Pp
.Rs
.%A F. Cusack
.%A M. Forssen
.%D Januar 2006
.%R RFC 4256
.%T Generische Nachrichtenaustausch-Authentifizierung für das Secure-Shell-Protokoll (SSH)
.Re
.Pp
.Rs
.%A J. Galbraith
.%A P. Remaker
.%D Januar 2006
.%R RFC 4335
.%T Die Sitzungsaufbrech-Erweiterungen der Secure Shell (SSH)
.Re
.Pp
.Rs
.%A M. Bellare
.%A T. Kohno
.%A C. Namprempre
.%D Januar 2006
.%R RFC 4344
.%T Die Transportebenen-Verschlüsselungsmodi der Secure Shell (SSH)
.Re
.Pp
.Rs
.%A B. Harris
.%D Januar 2006
.%R RFC 4345
.%T Verbesserte Arcfour-Modi für das Transportebenen-Protokoll der Secure Shell (SSH)
.Re
.Pp
.Rs
.%A M. Friedl
.%A N. Provos
.%A W. Simpson
.%D März 2006
.%R RFC 4419
.%T Diffie-Hellman Gruppen-Austausch für das Transportebenen-Protokoll der Secure Shell (SSH)
.Re
.Pp
.Rs
.%A J. Galbraith
.%A R. Thayer
.%D November 2006
.%R RFC 4716
.%T Das Format der öffentlichen Schlüssel der Secure Shell (SSH)
.Re
.Pp
.Rs
.%A D. Stebila
.%A J. Green
.%D Dezember 2009
.%R RFC 5656
.%T Integration der Elliptische-Kurven-Algorithmen in die Transportebene der Secure Shell
.Re
.Pp
.Rs
.%A A. Perrig
.%A D. Song
.%D 1999
.%O International Workshop on Cryptographic Techniques and E-Commerce (CrypTEC '99)
.%T Hash-Darstellung: eine neue Technik zur Verbesserung von Sicherheit in der realen Welt
.Re
.Sh AUTOREN
OpenSSH ist eine Ableitung der ursprünglichen und freien
SSH-1.2.12-Veröffentlichung durch
.An Tatu Ylonen .
.An Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt
und
.An Dug Song
entfernten viele Fehler, fügten neuere Funktionalitäten wieder hinzu und
erstellten OpenSSH.
.An Markus Friedl
steuerte die Unterstützung für
SSH-Protokollversion 1.5 und 2.0 bei.

.SH ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von
Helge Kreutzmann <debian@helgefjell.de>
erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die
.UR https://www.gnu.org/licenses/gpl-3.0.html
GNU General Public License Version 3
.UE
oder neuer bezüglich der
Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden,
schicken Sie bitte eine E-Mail an die
.MT debian-l10n-german@\:lists.\:debian.\:org
Mailingliste der Übersetzer
.ME .