NÉV¶

ssh - biztonságos shell kliens (távoli gépre való belépésre szolgáló program)

ÁTTEKINTÉS¶

ssh [-l login_name] hostname [parancs] ssh [-a] [-c idea|blowfish|des|3des |arcfour|none] [-e escape_char] [-i identity_fájl] [-l login_name] [-n] [-k] [-V] [-o opciók] [-p port] [-q] [-P] [-t] [-v] [-x] [-C] [-g] [-L port:host:hostport] [-R port:host:hostport] hostname [parancs]

LEÍRÁS¶

Az ssh (Secure Shell) egy program, ami arra való, hogy távoli gépekre jelentkezzünk be és/vagy parancsokat hajtsunk végre távoli gépeken. Célja az, hogy helyettesítse az rlogin-t és az rsh-t, és biztonságos (titkosított) kapcsolatot biztosítson két gép között. X11 kapcsolatokat és tetszőleges TCP/IP portokat szintén lehet a biztonságos csatornára továbbítani (forwardolni). Az ssh kapcsolódik és belép a megadott hostname gépre. A felhasználó több módszerrel is igazolhatja azonosságát. Előszor is, ha az a gép, amelyről a felhasználó belép fel van sorolva az /etc/hosts.equiv -ban vagy az /etc/ssh/shosts.equiv -ban a távoli gépen, és a felhasználói nevek megegyeznek mindkét oldalon, akkor rögtön beengedik. Másodszor, ha a .rhosts vagy a .shosts fájl ott van a felhasználó home könyvtárában a távoli gépen és tartalmaz egy sort, amely a kliens gép nevét tartalmazza, a felhasználó beléphet. Az authentikációnak (authentication - hitelesítés, amikor bizonyítod, hogy az vagy, akinek mondod magad - a ford. megjegyzése) ezt a formáját általában nem engedélyezi a szerver, mert nem biztonságos. A második (és elsődleges) lehetőség az authentikációra az rhosts vagy hosts.equiv módszer, RSA-alapú gép-authentikációval kombinálva. Ez azt jelenti, hogy a belépés csak akkor engedélyezett, ha az .rhosts, .shosts, /etc/hosts.equiv , vagy /etc/ssh/shosts.equiv, megengedi, és ezen kívül a kliens gép kulcsát ellenőrizni lehet (lásd a $HOME/.ssh/known_hosts és /etc/ssh/ssh_known_hosts -t a FÁJLOK részben). Ez az authentikációs módszer kizárja az "IP spoofing", "DNS spoofing" és a "routing spoofing" által kihasznált biztonsági lyukakat. [Megjegyzés a rendszergazdáknak: az /etc/hosts.equiv, .rhosts, és a rlogin/rsh protokollok általában eredendően nem biztonságosak és le kell tiltani őket, ha a biztonság fontos szempont.] Harmadik authentikációs módszerként az ssh támogatja az RSA alapú authentikációt. Az elrendezés a nyilvános kulcsú kriptográfián alapul: vannak olyan titkosítási rendszerek, ahol a titkosítás és visszafejtés különböző kulcsok használatával történik, és a visszafejtéshez használt kulcsot nem lehet a titkosításhoz használt kulcsból kikövetkeztetni. Az RSA egy ilyen rendszer. Az elgondolás az, hogy minden felhasználó készít egy nyilvános/privát kulcspárt authentikációs célokra. A szerver tudja a nyilvános kulcsot, de a privát kulcsot csak a felhasználó ismeri. A $HOME/.ssh/authorized_keys fájl tartalmazza azokat a nyilvános kulcsokat, amelyekkel be lehet lépni. Amikor a felhasználó be akar lépni, az ssh program megmondja a szervernek, hogy melyik kulcspárt akarja authentikációra felhasználni. A szerver ellenőrzi, hogy a kulcs engedélyezve van-e, és ha igen, akkor úgy teszi próbára a felhasználót (pontosabban az általa futtatott ssh programot), hogy egy véletlen számot küld el neki, amit a felhasználó nyilvános kulcsával titkosít. Ezt csak a megfelelő privát kulcs segítségével lehet visszafejteni. Ezután a felhasználó kliense visszafejti a privát kulcsal, így bebizonyítja, hogy ismeri a a privát kulcsot anélkül, hogy azt elküldené a szervernek. Az ssh automatikusan alkalmazza az RSA authentikációs protokollt. A felhasználó az ssh-keygen(1) futattásával automatikusan létrehozza az ő RSA kulcspárját. Ezzel a privát kulcs a .ssh/identity -ba kerül, míg a nyilvános kulcs a .ssh/identity.pub -ba, a felhasználó home könyvtárában. A felhasználónak ezután a saját identity.pub -ját a .ssh/authorized_keys -ba kell másolnia a home könyvtárában a távoli gépen (az authorized_keys fájl megfelelt a hagyományos .rhosts fájlnak, és soronként egy kulcsot tartalmaz, bár a sorok nagyon hosszúak lehetnek). Ezután a felhasználó beléphet, anélkül hogy a jelszavát megadná. Az RSA authentikáció sokkal biztonságosabb mint az rhosts authentikáció. Az RSA authentikáció egy authentikációs közvetítő (agent) segítségével használható a legkényelmesebben. Lásd az ssh-agent(1) -et további információkért. Egy negyedik authentikációs módszerként, az ssh támogatja a TIS authentikációs szerveren keresztüli authentikációt. Az elképzelés az, hogy az ssh megkéri a TIS authsrv(8) -et, hogy authentikálja a felhasználót. Előfordulhat, hogy a felhasználói nevek a TIS adatbázisban nem ugyanazok mint a lokákis gépen, például ha a felhasználó egy smartcard -al vagy Digipass-al authentikálja magát. Ebben az esetben a felhasználói név az adatbázisban általában csak az authentikációs eszköz sorozatszámaként ismert. Az /etc/ssh/sshd_tis.map fájl tartalmazza a lokális felhasználók ás a neki megfelelő TIS adatbázis-beli nevek közötti leképezést. Ha ez a fájl nem létezik, vagy a felhasználó nincs benne, akkor az ssh feltételezi, hogy a felhasználói név és a TIS adatbázis-beli név ugyanaz. Ha a többi authentikációs módszer meghiúsul, az ssh jelszót kér a felhasználótól. A jelszót ellenőrzés céljából elküldi a távoli gépre, azonban mivel minden kommunikáció titkosítva van, a jelszót nem olvashatja el valaki, aki a hálózaton hallgatózik. Amikor a felhasználó azonosságát elfogadja a szerver, akkor vagy végrehajtja a megadott parancsot, vagy belép a gépbe, és a felhasználónak egy szokásos shell-t ad a távoli gépen. Minden, a távoli parancsal vagy shell-el történő kommunikáció automatikusan titkosítva lesz. Ha egy pszeudo-terminál volt allokálva (normális login session), a felhasználó kiléphet a "~." parancs segítségével és felfüggesztheti az ssh -t "~^Z" -vel. Az összes forwardolt kapcsolatot ki lehet listázni egy "~#" -el, és ha a session a forwardolt X11 vagy TCP/IP kapcsolatok végetérésére várva blokkol, akkor "~&" -el háttérbe lehet küldeni (Ezt nem szabad addig hasznélni, amíg a felhasználó shellje aktív, mert akkor a shell "lógni" fog). Az összes escape-szekvenciát "~?" -el lehet kilistázni. Egyetlen tilde (~) karaktert "~~" -ként lehet elküldeni (vagy úgy, hogy a tildét a fentiekben nem említett karakter követi). Az escape karakter csak akkor van különleges karakterként interpretálva, ha újsort követ. Az escape karaktert meg lehet változtatni a konfigurációs fájlokban vagy a parancssorban. Ha az ssh nem foglal le egy pszeudo terminált, akkor a session átlátszó lesz, és lehet bináris adatok megbízható átvitelére használni. A legtöbb rendszerben az escape karakter ``none'' -ra (semmire) való állítása a sessiont átlátszóvá teszi akkor is, ha egy tty van használatban. Egy session akkor ér véget, amikor a parancs végrehajtása vagy a shell a távoli gépen véget ér, és az összes X11 és TCP/IP kapcsolat lezárult. Az ssh a távoli program kilépési értékével (exit status) lép ki. Ha a felhasználó X11-et használ (a DISPLAY környezeti változó be van állítva), az X11 displayhez való kapcsolat automatikusan forwardolódik a távoli géphez, olymódon, hogy minden a shellből (vagy parancsból) indított X11 program a titkosított csatornán jön át, az igazi X szerverrel való kapcsolat pedig a lokális gépről jön létre. A felhasználónak nem kell kézzel beállítania a DISPLAY -t. Az X11 kapcsolatok forwardolásást a parancssoron vagy a konfigurációs fájlokban lehet beállítani. Az ssh által beállított DISPLAY a szerver gépre mutat, de zérónál nagyobb display számmal. Ez azért van, mert az ssh egy "proxy" X szervert állít fel a szerver gépen a kapcsolatok titkosított csatornán való továbbításához. Az ssh automatikusan beállítja a szerveren az Xauthority adatokat is. Ehhez egy véletlenszerű authorizációs cookie-t generál, amit a szerveren tárol az Xauthority-ban, ellenőrzi, hogy az összes forwardolt kapcsolat ezzel a cookie-val jön-e, és kicseréli őket az igazi cookie-ra, amikor a kapcsolat megnyílik. Az igazi authentikációs cookie-t soha nem küldi el a szerver gépre, és semmilyen cookie-t nem küld el titkosítás nélkül. Ha egy felhasználó egy authentikációs közvetítőt (agent) használ, akkor a közvetítőhöz való kapcsolatot automatikusan forwardolja a távoli gépre, hacsak ez nincs letiltva a parancssoron vagy egy konfigurációs fájlban. Tetszőleges TCP/IP kapcsolatoknak a biztonságos csatornán való forwardolását a parancssoron vagy egy konfigurációs fájlban lehet megadni. A TCP/IP forwardolásnak egy lehetséges alkalmazása egy elektronikus pénztárcához való biztonságos kapcsolódás; egy másik a tűzfalakon való átjutás. Az ssh automatikusan fenntart és ellenőriz egy adatbázist, amely tartalmazza az összes olyan gép RSA-alapú azonosítását, amellyel valaha is használva volt. Az adatbázis az .ssh/known_hosts -ban van, a felhasználó home könyvtárában. Ezen kívül az ismert gépeket az /etc/ssh/ssh_known_hosts -ban is leellenőrzi. Minden új gép automatikusan hozzáadódik a felhasználó fájljához. Ha egy gép nyilvános kulcsa megváltozik, az ssh figyelmeztet és megtiltja a jelszóval való belépést, nehogy a felhasználó jelszavát egy "trójai faló" lopja el. Ennek a mechanizmusnak egy másik célja a "középen a támadó" (man-in-the-middle attack) megakadályozása, amely egyébként meghiúsítaná a titkosítást. A StrictHostKeyChecking opciót (lásd az alábbiakban) lehet arra használni, hogy megakadályozzuk az olyan gépre való belépést, amelyeknek a kulcsa nem ismert vagy megváltozott.

OPCÍÓK¶

-a

Megtiltja az authentikációs közvetítő (agent) forwardolását. Ezt egy gépektől függő módon a konfigurációs fájlban is meg lehet adni.

-c idea|des|3des|blowfish|arcfour|none

A session titkosításának a módját adja meg. Az idea az alapértelmezett. Biztonságosnak tartják. A des az adattitkosítási szabvány (data encryption standard), de feltörhető a kormányzatok, nagyobb vállalatok és a fontosabb bűnüldoző szervek által. A 3des (triple-des) egy titkosítás-visszafejtés-titkosítás három különboző kulcsal. Valószínűleg biztonságosabb mint a DES. Ez az alapértelmezett, ha valamelyik oldal nem támogatja az IDEA-t. A blowfish Bruce Schneier által kitalált titkosítási algoritmus, ami 128 bites kulcsokat használ. Az arcfour egy 1995-ben az Usenet News-ben publikált algoritmus. Úgy tartják, hogy ez ugyanaz mint az RSA Data Security által használt RC4 titkosítás (az RC4 az RSA Data Security bejegyzett védjegye). Ez a jelenleg támogatott leggyorsabb algoritmus. none esetén egyáltalán nincs titkosítás - ezt csak hibakeresésre szánták, és a kapcsolat nem biztonságos.

-e ch|^ch|none

Beállítja a pty-vel rendelkező session-ök számára az escape karaktert (alapértelmezett: ~). Ez csak a sor elején számít escape karakternek. A pont által követett escape karakter bezárja a kapcsolatot, a control-Z által követve felfüggeszti a kapcsolatot, és önmaga által követve egyszer küldi el az escape karaktert. A karakternek a ´none´ -ra való állítása letilt minden escape-t és teljesen átlászóvá teszi a session-t.

-f

A háttérbe teszi az ssh -t az authentikáció befejezése és a forwardolások létrehozása után. Ez hasznos ha az ssh jelszót vagy jelmondatot (passphrase) kér, de a felhasználó a háttérben akarja futtatni. Szkriptekben is hasznos lehet. Ez az opció a -n opciót is magában foglalja. A távoli gépeken levő X11 programok elindításának az ajánlott módja valami "ssh -f gép xterm" szerű.

-i identity_fájl

Megadja, hogy melyik fájlból legyen kiolvasva a privát kulcs az RSA authentikációhoz. Az alapértelmezett a .ssh/identity a felhasználó home könyvtárában. Identity fájlokat gépektől függő módon a konfigurációs fájlokban is meg lehet adni. Lehetséges több -i opciót is megadni (és a konfigurációs fájlokban is lehet több privát kulcs).

-k

Letiltja a kerberos ticket-ek forwardolását. Ezt szintén meg lehet adni gépektől függő módon a konfigurációs fájlokban is.

-l login_name

Meghatározza, hogy milyen felhasználói néven lépjen be a távoli gépre. Ezt szintén meg lehet adni gépektől függő módon a konfigurációs fájlokban is.

-n

A /dev/null -ból irányítja át a stdin-t (vagyis gyakorlatilag megakadályozza a stdin-ról való olvasást) Ezt használni kell, amikor az ssh a háttérben fut. Egy szokásos trükk ezt a távoli gépen levő X11 programok futtatására használni. Például "ssh -n shadows.cs.hut.fi emacs &" egy emacs-ot indít el a shadows.cs.hut.fi -n, és a X11 kapcsolat automatikusan forwardolódik a titkosított csatornán. Az ssh program a háttérbe kerül. (Ez nem működik, ha az ssh -nak jelszóra vagy jelmondatra van szüksége; erre lásd az -f opciót.)

-o 'opciók'

Ezt arra lehet használni, hogy a konfigurációs fájlok formátumában adjunk meg opciókat. Ez olyan opciók esetén hasznos, amelyeknek nincs külön parancssoron használható flag-jük. Az így megadott opcióknak ugyanaz a formátumuk mint egy konfigurációs fájl-beli sornak.

-p port

Megadja, hogy a távoli gép melyik portjára csatlakozzunk. Ezt szintén meg lehet adni gépektől függő módon a konfigurációs fájlokban is.

-q

Csendes (quiet) üzemmód. Ilyenkor a figyelmeztetések és a diagnosztikai üzenetek nem íródnak ki, csak a végzetes hibák.

-P

Nem privilégizált portot használ. Ilyenkor nem tudod az rhosts vagy a rsarhosts authentikációt használni, de át tud menni olyan tűzfalakon, amelyek nem engednek át privilégizált forrás-portról induló csomagokat.

-t

Kényszeríti a pseudo-tty lefoglalást. Ezt például távoli gépeken futó képernyő-alapú programok futtatására lehet használni (például amelyek menüket használnak).

-v

Bőbeszédő (verbose) üzemmód. Ilyenkor az ssh debugging üzeneteket ír ki a működéséről. Ez a kapcsolatfelépítéssel, authentikációval és a konfigurációval kapcsolatos problémák hibakeresésénél hasznos.

-V

Csak kiírja a verziószámot és kilép.

-g

Megengedi, hogy távoli gépek lokális port-forwardoló portokra kapcsolódjanak. Alapértelmezés szerint csak a localhostról lehet a lokálisan lekötött (bind) portokra csatlakozni.

-x

Letiltja az X11 forwardolást. Ezt szintén meg lehet adni gépektől függő módon a konfigurációs fájlokban is.

-C

Az összes adat (beleértve a stdin-t, stdout-ot, stderr-t és a forwardolt X11 és TCP/IP kapcsolatokat) tömörítve lesz. A tömörítési algoritmus ugyanaz mint a gzip által használt, és a "szintjét" a CompressionLevel opcióval (lásd alább) lehet beállítani. A tömörítés hasznos modemvonalakon és egyéb lassú kapcsolatok esetén, de a gyors hálózatok esetén csak lassítani fogja a dolgokat. Ezt szintén meg lehet adni gépektől függő módon a konfigurációs fájlokban is, lásd a Compress opciót alább.

-L port:host:hostport

Forwardol egy adott portot a lokális (kliens) gépről egy távoli gépre. Ez úgy működik, hogy lefoglal egy socket-et, hogy a port -on várakozzon (listen) a lokális oldalon, és valahányszor egy kapcsolat jön erre a portra, azt a biztonságos csatornán keresztül forwardolja, és a host:hostport -re a távoli gépről lép be. A port-forwardolást a konfigurációs fájlban is specifikálni lehet. Csak a root forwardolhat privilégizált portokat.

-R port:host:hostport

Forwardol egy adott portot a távoli (szerver) gépről egy lokális gépre. Ez úgy működik, hogy lefoglal egy socket-et, hogy a port -on várakozzon (listen) a távoli oldalon, és valahányszor egy kapcsolat jön erre a portra, azt a biztonságos csatornán keresztül forwardolja, és a host:hostport -re a lokális gépről lép be. A port-forwardolást a konfigurációs fájlban is specifikálni lehet. A távoli gépen rootként kell belépnünk, ha privilégizált portokat akarunk forwardolni.

 

KONFIGURÁCIÓS FÁJLOK¶

Az ssh a következő forrásokból veszi a konfigurácós adatait (ebben a sorrendben): parancssorbeli opciók, felhasználó konfigurációs fájlai ( $HOME/.ssh/config), és a renszerszintű konfigurációs fájl ( /etc/ssh/ssh_config). Minden paraméter az így kapott első értéket kapja. A konfigurációs fájlok "Host" specifikációk által behatárolt részeket tartalmaznak, és egy adott rész csak azokra a gépekre vonatkozik, amelyek illeszkednek a specifikációban megadott mintára. A parancssoron megadott gépnév kerül illesztésre. Mivel minden paraméter az első értéket kapja, az inkább egy adott gépre specifikus deklarációkat a fájl elején érdemes megadni, az általánosabb default-okat pedig a végén. A konfigurációs fájlnak a következő formátuma van:

Az üres sorok és a ´#´ -el kezdődő sorok megjegyzések.

Egyébként pedig egy sor formátuma "kulcsszó argumentumok" vagy "kulcsszó = argumentumok". A lehetséges kulcsszavakat és a jelentésüket lásd az alábbiakban (megjegyzés: a konfigurációs fájlokban különbség van a kisbetű és a nagybetű közott, de a kulcsszavaknál ez nem számít):

 

Host

Az ezt követő deklarációkat korlátozza, hogy csak a kulcsszó után következő mintára illeszkedő gépnevekre legyen érvényes (egészen a következő Host kulcsszóig). A ´*´ és a ´?´ wildcard-ként használható a mintákban. Ha a minta egyetlen ´*´ -ből áll, akkor az az összes gépre vonatkozó globális defaultot jelent. A gépnév ilyenkor a parancssoron megadott hostname argumentum (vagyis a név nincs kanonikus alakba hozva az illeszkedésvizsgálat előtt).

 

BatchMode

Ha ez "yes" -re van állítva, akkor a jelszó/jelmondat megkérdezése letiltódik. Ezt akkor hasznos, ha szkriptekből vagy egyéb automatizált eszközökből hívod, és nincs felhasználó, aki megadhatná a jelszót. Az argumentum "yes" vagy "no" kell legyen.

 

Cipher

Meghatározza a session titkosításához használat módszert. Jelenleg az idea, des, 3des, blowfish, arcfour és none vannal támogatva. A alapértelmezett az "idea" (vagy a "3des" ha az "idea"-t nem támogatja mindkét gép). A "none" esetén nincs titkosítás - ezt csak hibakeresésre szabad használni, mert ilyenkor a kapcsolat nem biztonságos.

 

ClearAllForwardings

Kitörli az összes forwardolást, miután beolvasta az összes konfigurációs fájlt, és a parancssort is. Ez arra jó, hogy a konfigurációs fájlokban található forwardolásokat letiltsd, amikor egy második kapcsolatot akarsz létrehozni egy olyan géppel, amelynek a konfigurációs fájlában a forwardolás be van állítva. Az scp ezt alapértelmezés szerint beállítja, így működni fog még akkor is, ha a konfigurációs fájban forwardolások vannak beállítva.

 

Compression

Meghatározza hogy legyen-e tömörítés használva. Az argumentum "yes" vagy "no" kell legyen.

 

CompressionLevel

Meghatározza a tömörítés szintjét, ha a tömörítés engedélyezve van. Az argumentum egy 1 (gyors) és 9 (lassú, de a legjobb) közötti szám kell legyen. Az alapértelmezett szint 6, ami jó a legtöbb alkalmazás szempotjából. Ezeknek az értékeknek a jelentése ugyanaz, mint a GNU GZIP esetén.

 

ConnectionAttempts

Meghatározza, hogy hányszor próbálkozzon (másodpercenként egyszer), mielőtt az rsh-val próbálkozna, vagy kilépne. Az argumentum egy egész szám kell legyen. Ez hasznos lehet szkriptekben, ha a kapcsolatfelvétel néha nem sikerül.

 

EscapeChar

Beállítja az escape karaktert (az alapértelmezett: ~). Az escape karaktert a parancssoron is be lehet állítani. Az argumentum egy betű által követett ´^´ kell legyen, vagy ``none'', hogy az escape karaktert teljesen letiltsuk (és így a kapcsolatot átlátszóvá tegyük a bináris adatok számára)

 

FallBackToRsh

Meghatározza, hogy ha az ssh kapcsolat nem sikerül "connection refused" hiba miatt (amit valószínüleg az okoz, hogy a másik gépen nem fut az sshd ), akkor az rsh legyen-e használva automatikusan helyette (egy megfelelő figyelmeztetés után, mely szerint a session nem lesz titkosítva). Az argumentum "yes" vagy "no" kell legyen.

 

ForwardAgent

Meghatározza, hogy egy authentikációs közvetítővel való kapcsolat (ha van) forwardolva legyen-e a távoli gépre. Az argumentum "yes" vagy "no" kell legyen.

 

ForwardX11

Meghatározza , hogy az X11 kapcsolatok automatikusan át legyenek-e irányítva a biztonságos csatornára a DISPLAY beállításával egyidejűleg. Az argumentum "yes" vagy "no" kell legyen.

 

GatewayPorts

Meghatározza, hogy távoli gépek kapcsolódhatnak-e a lokálisan forwardolt portokra. Az argumentum "yes" vagy "no" kell legyen.

 

GlobalKnownHostsFile

Meghatározza, hogy a /etc/ssh/ssh_known_hosts helyett melyik fájl legyen használva.

 

HostName

Meghatátozza annak a gépnek az igazi nevét, amelyikre be akarunk lépni. Ez arra jó, hogy rövidített neveket használjunk. A default a parancssoron megadott név. A numerikus IP címek szintén engedélyezve vannak (a parancssoron is, és a HostName specifikációkban is).

 

IdentityFile

Meghatározza, hogy a felhasználó RSA authentikációs kulcsa melyik fájlból legyen kiolvasva (az alapértelmezett az .ssh/identity a felhasználó home könyvtárában). Ezenkívül egy esetleges authentikációs közvetítő által megadott identitások is felhasználódnak. A fájl neve tertalmazhatja a tildét, hogy a felhasználó home könyvtárát jelezze. Több identitás-fájlt is meg lehet adni a konfigurációs fájlokban, ilyenkor ezek az adott sorrendben lesznek kipróbálva.

 

KeepAlive

Meghatározza, hogy a rendszer küldjön-e "maradj élve" (keepalive) üzeneteket a túloldalnak. Ha küld, akkor a kapcsolat megszünése, vagy a gépek egyikének a meghalása megfelelően észlelődik. Ugyanakkor ez azt is jelenti, hogy a kapcsolatok megszakadnak akkor is ha a hálózat csak ideiglenesen nem működik, és van aki ezt idegesítőnek tartja.

 

A alapértelmezett az hogy "yes" (küldjön ilyeneket), és a kliens észre fogja venni ha a szerver vagy a hálózat lehal. Ez fontos a scriptekben, és sok felhasználó szintén szereti.

 

A keepalives-ek letiltásához ezt az értéket "no"-ra kell állítani mind a szerver, mind a kliens konfigurációs fájljaiban.

 

KerberosAuthentication

Meghatározza, hogy legyen-e Kerberos V5 authentikáció használva.

 

KerberosTgtPassing

Meghatározza, hogy legyen-e egy Kerberos V5 TGT a szervernek elküldve.

 

LocalForward

Azt állítja be, hogy egy lokális TCP/IP port forwardolva legyen a biztonságos csatornán keresztül a megadott gép megadott portjára. Az első argumentum egy portszám kell legyen, a második meg egy gép:port. Egyszerre több forwardolást is be lehet állítani, és további forwardolásokat lehet a parancssoron hozzáadni. Privilégizált portokat csak a root forwadolhat.

 

NumberOfPasswordPrompts

 

Meghatározza, hogy az ssh hányszor kérje el a jelszót mielőtt feladná. Mivel a szerver szintén limitálja a próbálkozások számát (jelenleg 5 a maximum), ezért hatástalan ennél nagyobb értékre állítani. Az alapértelmezett érték egy.

 

PasswordAuthentication

Meghatározza legyen-e jelszó-authentikáció használva. Az argumentum "yes" vagy "no" kell legyen.

 

PasswordPromptHost

Meghatározza, hogy benne legyen-e a távoli gép neve a jelszó promptban. Az argumentum "yes" vagy "no" kell legyen.

 

PasswordPromptLogin

Meghatározza, hogy benne legyen-e a távoli login név a jelszó promptban. Az argumentum "yes" vagy "no" kell legyen.

 

Port

Meghatározza, hogy a távoli gépen milyen porton probálkozzon. A default 22.

 

ProxyCommand

Meghatározza, hogy milyen parancs segítségével kapcsolódjunk egy szerverre. A parancs-string a sor végéig tart, a /bin/sh hajtja végre. A parancs-stringben a %h helyére a szerver gép neve kerül, %p helyére pedig a portszám. A parancs szinte bármi lehet, a stdin-ről kell olvasnia, és a stdout-re írnia. Végül egy valamilyen gépen futó sshd szerverre kell kapcsolódnia, vagy "sshd -i" -t kell futtatnia valahol. A gép-kulcs kezelése a szerver gép HostName-ja segítségével (aminak a defaultja a felhasználó által beírt név) történik. (Megjegyzés: az ssh -t lehet úgy konfigurálni, hogy a SOCKS rendszert támogassa: ehhez fordításkor a --with-socks4 vagy --with-socks5 opciókat kell megadni).

 

RemoteForward

Azt állítja be, hogy egy távoli TCP/IP port forwardolva legyen a biztonságos csatornán keresztül a megadott lokális gép megadott portjára. Az első argumentum egy portszám kell legyen, a második meg egy gép:port. Egyszerre több forwardolást is be lehet állítani, és további forwardolásokat lehet a parancssoron hozzáadni. Privilégizált portokat csak a root forwadolhat.

 

RhostsAuthentication

Meghatározza, hogy az rhosts authentikáció ki legyen-e próbálva. Megjegyzés: ez a deklaráció csak a kliens viselkedését befolyásolja, és a biztonságra semmi hatása nincs. Az rhosts authentikációval való próbálkozás letiltása csökkentheti az authentikációs időt lassú kapcsolatok esetén, ha az rhosts authentikáció nincs használatban. A legtöbb szerver nem engedélyezi az az rhosts authentikációt, mert az nem biztonságos (lásd RhostsRSAAuthentication) Az argumentum "yes" vagy "no" kell legyen.

 

RhostsRSAAuthentication

Meghatározza, hogy az RSA gép-authentikációval kombinált rhosts authentikáció ki legyen-e próbálva. Ez az elsődleges authentikációs módszer a legtöbb esetben. Az argumentum "yes" vagy "no" kell legyen.

 

RSAAuthentication

Meghatározza, hogy az RSA authentikáció ki legyen-e próbálva. Az argumentum "yes" vagy "no" kell legyen. Az RSA authentikáció csak akkor lesz megpróbálva, ha egy identity fájl létezik, vagy ha egy authentikációs közvetítő fut.

 

StrictHostKeyChecking

Ha ez a flag "yes" - re van állítva, akkor az ssh soha nem fogja a gép-kulcsokat a $HOME/.ssh/known_hosts fájlhoz automatikusan hozzáadni, és megtagadja, hogy olyan gépekre lépjen be, amelyeknek a kulcsa megváltozott. Ez maximális védelmet nyújt a trójai faló típusú támadások ellen. Ugyanakkor eléggé idegesítő tud lenni, ha nincs egy jó /etc/ssh/ssh_known_hosts fájlod installálva és gyakran próbálsz új gépekre kapcsolódni. Gyakorlatilag ez az opció arra kényszeríti a felhasználót, hogy kézzel adja hozzá az összes új gépet. Általában "ask"-ra állítják ezt az opciót, és az új gépek automatikusan hozzáadódnak az ismert gépeket tartalmazó fájlhoz, miután a felhasználó megerősítette, hogy valóban ezt akarja. Ha ez "no"-ra van állítva, akkor az új gépek automatikusan adódnak hozzá az ismert gépeket tartalmazó fájlhoz. Az ismert gépek kulcsai minden esetben automatikusan ellenőrizve lesznek. Az argumentum " yes", " no" vagy "ask" kell legyen.

 

TISAuthentication

Meghatározza, hogy megpróbálkozzunk-e TIS authentikációval. Az argumentum "yes" vagy "no" kell legyen.

 

UsePrivilegedPort

Meghatározza, hogy használjunk-e privilégizált portokat, amikor a másik oldalhoz hozzákapcsolódunk. Az alapértelmezett az, hogy "yes", ha az rhosts authentikációk engedélyezve vannak.

 

User

Meghatározza, hogy milyen felhasználóként lépjen be. Ez akkor lehet hasznos, ha a különböző gépeken más-más a felhasználói neved, és nem akarod azzal veszíteni az időt, hogy a parancssoron adod meg a felhasználói nevet.

 

UserKnownHostsFile

Meghatározza, hogy a $HOME/.ssh/known_hosts helyett milyen fájlt használjunk.

 

UseRsh

Meghatározza, hogy egy adott gépre rögtön az rlogin/rsh legyen-e használva. Előfordulhat, hogy egy gép egyáltalán nem támogatja az ssh protokollt. Ilyenkor ssh rögtön elindítja az rsh -t. Az összes többi opció (kivéve a HostName-t) ignorálva lesz. Az argumentum "yes" vagy "no" kell legyen.

 

XAuthLocation

Meghatározza a elérési utat a xauth programhoz.

 

KÖRNYEZET¶

Az ssh normális esetben a következő környezeti változókat állítja be:

DISPLAY

A DISPLAY változó az X11 szerver helyére utal. Ezt az ssh automatikusan egy "gépnév:n" alakra állítja be, ahol a gépnév annak a gépnek a neve, ahol a shell fut, és n egy >= 1 egész szám. Az ssh ezt arra használja, hogy az X11 kapcsolatokat a biztonságos csatornán forwadolja. Jobb, ha a felhasználó nem állítja be maga a DISPLAY-t expliciten, mert ez azt eredményezi, hogy az X11 kapcsolat nem lesz biztonságos. (és a felhasználó kénytelen lesz magának bemásolni a szükséges authorizációs cookie-kat).

HOME

A felhasználó home könyvtára.

LOGNAME

Az USER szinonimája - az olyan rendszerekkel való kompatibilitás céljából, amelyek ezt a változót használják.

MAIL

A felhasználó mailbox-a.

PATH

Egy olyan alapértelmezett PATH-ra van beállítva, amelyet fordítás közben lehet megadni az ssh -nak, vagy egyes rendszerekben az /etc/environment -ban vagy az /etc/default/login -ban.

SSH_AUTH_SOCK

Ha létezik, arra van használva, hogy egy olyan unix-domain sockethez vezető path-ot jelezzen, ami egy authentikációs közvetítővel (avgy lokális megfelelőjével) való kapcsolathoz kell.

SSH_CLIENT

A kapcsolat kliens részét jelzi. Ez a változó három space-el határolt értéket tartalmaz: kliens ip-cím, kliens portszám és szerver portszám.

SSH_ORIGINAL_COMMAND

Ez az eredeti parancssor kényszerített parancsfuttatás esetén. Arra lehet használni, hogy elérd az argumentumokat stb. a túloldalról.

SSH_TTY

Ez a jelenlegi shellel vagy parancsal társított tty nevére (egy eszközhöz vezető útvonalra) van állítva. Ha a jelenlegi session-nak nincs tty-je, ez a változó nincs beálítva.

TZ

Az időzóna (timezone) változó a jelenlegi időzónát jelzi, ha az be volt állítva a démon indításakor. (A démon átadja ezt az értéket az új kapcsolatoknak.)

USER

A belépett felhasználó neve.

Ezeken kívül az ssh elolvassa az /etc/environment és $HOME/.ssh/environment, fájlokat, és VÁLTOZÓNÉV=érték formátumú sorokat ad a környezethez. Egyes rendszereken további mechanizmusok is létezhetnek a környezet beállítására, így például az /etc/default/login Solaris-on.

FÁJLOK¶

$HOME/.ssh/known_hosts

Olyan gépek kulcsai, amelyikbe a felhasználó belépett (és nincsenek benne a /etc/ssh/ssh_known_hosts -ban). Lásd még az sshd kézikönyvlapot.

$HOME/.ssh/random_seed

A véletlenszám-generátor inicializálásához használt fájl. Ez a fájl fontos adatokat tartalmaz, a felhasználónak legyen írási/olvasási joga rá, de másoknak semmi. Ez a fájl akkor keletkezik, amikor egy program első ízben fut, és automatikusan változik. A felhasználónak sohasem kell elolvasnia vagy módódítania ezt a fájlt.

$HOME/.ssh/identity

A felhasználó RSA authentikációs identitását tartalmazza. Ez a fájl fontos adatokat tartalmaz, a felhasználónak legyen írási/olvasási joga rá, de másoknak semmi. Ennek a kulcsnak a generálásákor egy jelmondatot is meg lehet adni, ez a jelmondat arra használható, hogy ennek a fájlnak az érzékeny részét titkosítsa az IDEA segítségével

$HOME/.ssh/identity.pub

Az authentikációra használt nyilvános kulcsot tartalmazza (az identitás-fájl nyilvános részét olvasható formában) ennek a fájlnak a tartalmát a $HOME/.ssh/authorized_keys fájlhoz kell hozzáadni minden olyan gépen, amelyikre RSA authentikáció segítségével akarsz belépni. Ez a fájl nem érzékeny, és lehet (de nem szükségszerű) mindenki által olvashatóvá tenni. Ezt a fájlt soha nem használják automatikusan, és nincs is szükség rá, csak a felhasználó kényelme kedvéért van ott.

$HOME/.ssh/config

Ez a konfigurációs fájl a felhasználóra jellemző beállításokat tartalmazza. A fájl formátuma a fentiekben van leírva. Ezt a fájlt az ssh kliensek használják. Általában ez a fájl nem tartalmaz érzékeny információkat, de az ajánlott jogosultságok írás/olvasás a felhasználónak, és semmi jog másoknak.

$HOME/.ssh/authorized_keys

Azokat az RSA kulcsokat tartalmazza, amelyek használhatók arra, hogy segítségével e felhasználóként be lehessen lépni. Ennek a fájlnak a formátuma az sshd kézikönyvlapban van leírva. Legegyszerűbb esetben a formátum ugyanaz mint a .pub identitás fájlok esetén.

 

Ez a fájl nem tartalmaz nagyon érzékeny információkat, de az ajánlott jogosultságok írás/olvasás a felhasználónak, és semmi jog másoknak.

/etc/ssh/ssh_known_hosts

Az ismert gépek kulcsainak rendszerszintű listája. Ezt a fájlt a rendszergazdának kell elkészítenie, hogy a hálózaton belüli összes gép nyilvános kulcsát tartalmazza. Ennek a fájlnak mindenki által olvashatónak kell lennie. Ha egy gépnek több neve is van, akkor az összes ilyen gépnevet fel kell sorolni, vesszővel elválasztva. A formátumot az sshd kézikönyvlap írja le.

Belépéskor a kanonikus gépnév (amit a nameserver visszaad) az, amit az sshd a kliens gép identitásának a megállapítására használ belépéskor; a többi névre azért van szükség, mert az ssh nem konvertálja a felhasználó által megadott nevet kanonikus névvé, mielőtt egy kulcsot ellenőrizne, mivel egyébként valaki, aki hozzáfér a nameserver-hez, átverhetné a gép-authentikációt.

/etc/ssh/ssh_config

A rendszerszintű konfigurációs fájl. Ez a fájl defaultokat specifikál olyan értékek számára, amelyek nincsenek a felhasználó konfigurációs fájljában, vagy olyan felhasználóknak, akiknek nincs konfigurációs fájljuk. Ennek a fájlnak mindenki által olvashatónak kell lennie.

$HOME/.rhosts

Ez a fájl az .rhosts authentikáció során van használva, mégpedig arra, hogy felsorolja azokat a gép/felhasználó párokat, amelyeknek a belépés engedélyezve van. (Megjegyzés: ezt a fájlt használja az rlogin és az rsh is, ezért használatuk nem számít biztonságosnak) A fájl minden sora tartalmaz egy gépnevet (abban a kanonikus formában, ahogy a nameserverek adják), utána pedig egy azon a gépen található felhasználó felhasználói nevét, vesszővel elválasztva. Ennek a fájlnak a felhasználó tulajdonában kell lennie, és nem szabad másoknak is írási jogot adni rá.

Megjegyzés: alapértelmezés szerint az sshd sikeres RSA gép-authentikációt igényel mielőtt megengedné az .rhosts authentikációt. Ha egy szerver géped nem tartalmazza egy kliens gép kulcsát az /etc/ssh/ssh_known_hosts -ben, akkor az $HOME/.ssh/known_hosts -be is teheted. A legegyszerűbb módja ennek az, hogy a szerverről belépsz a kliensre, ekkor a kliens gép kulcsa automatikusan hozzáadódik a $HOME/.ssh/known_hosts -hoz.

$HOME/.shosts

Ezt a fájlt pontosan ugyanúgy kell használni mint a .rhosts -t. Csak azért van, hogy képes legyél az rhosts authentikációt használni az ssh -val, anélkül, hogy megenged az rlogin-t vagy az rsh-t.

/etc/hosts.equiv

Ez a fájl az .rhosts authentikáció során van használva. Kanonikus gépneveket tartalmaz, soronként egyet (a formátum teljes leírását lásd az sshd kézikönyvlapban). Ha egy kliens gép benne van ebben a fájlban, és a login nevek a szerveren és a kliensen megegyeznek, akkor a belépés automatikusan engedélyezve lesz. Ezen kívül sikeres RSA gép-authentikációra is szükség van normális esetben. Ennek a fájlnak csak a root által kell írhatónak lennie.

/etc/ssh/shosts.equiv

Ez a fájl pontosan úgy van feldolgozva, mint a /etc/hosts.equiv. Arra jó, hogy megengedje az ssh belépéseket, de megtiltsa az rsh/rlogin belépéseket.

/etc/ssh/sshrc

Az ebben a fájlban található parancsok akkor hajtódnak végre az ssh által, amikor felhasználó belép, közvetlenül azelőtt, hogy a felhasználó shellje (vagy parancsa) elindulna. Lásd az sshd kézikönyvlapot további információkért.

$HOME/.ssh/rc

Az ebben a fájlban található parancsok akkor lesznek végrehajtva az ssh által, amikor felhasználó belép, közvetlenül azelőtt, hogy a felhasználó shellje (vagy parancsa) elindulna. Lásd az sshd kézikönyvlapot további információkért.

 

INSTALLÁLÁS¶

Az ssh általában suid rootként van felinstallálva. A root jogokra csak az rhosts authentikáció miatt van szüksége (Az rhosts authentikáció azt igényli, hogy a kapcsolat egy privilégizált portról kezdeményeződjön, és ilyen portot csak root jogokkal lehet lefoglalni) Ezen kívül képesnek kell lennie arra, hogy a /etc/ssh/ssh_host_key -t elolvassa, hogy RSA gép authentikációt tudjon használni. Lehetséges az ssh -t root jogok nélkül használni, de akkor az rhosts authentikációt nem lehet használni. Az ssh eldobja az összes extra jogot, amint a kapcsolat a távoli géppel létrejött. Mindent megtettünk azért, hogy az ssh biztonságos legyen. Ha ennek ellenére biztonsági problémát találsz, kérjük rögtön értesíts minket az <ssh-bugs@cs.hut.fi> címen.

SZERZŐ¶

Tatu Ylonen <ylo@ssh.fi> Az újabb verziókról, levelezési listákról, és a többi kapcsolódó témáról az ssh WWW home page-n, a http://www.cs.hut.fi/ssh címen találsz információt.

LÁSD MÉG¶

sshd(8), ssh-keygen(1), ssh-agent(1), ssh-add(1), scp(1), make-ssh-known-hosts(1), rlogin(1), rsh(1), telnet(1)

MAGYAR FORDÍTÁS¶

Balázs-Csíki László <bcsl@elender.hu>