other languages
other sections
ssh(1) | BSD Genel Komutları Kılavuzu | ssh(1) |
İSİM¶
ssh - OpenSSH SSH istemcisi (uzaktan oturum açma aracı)KULLANIM¶
ssh [ -l kullanıcı ] konakismi | kullanıcı@konakismi [ komut ] ssh [ -afgknqstvxACNTX1246 ] [ -b bağlantı_adresi ] [ -c şifre_belirtimi ] [ -e önceleme_krk ] [ -i kimlik_dosyası ] [ -l kullanıcı ] [ -m mac_belirtimi ] [ -o seçenek ] [ -p port ] [ -F yapılandırma_dosyası ] [ -L yerelport:uzakkonak:uzakkonakportu ] [ -R uzakport:yerelkonak:yerelkonakportu ] [ -D port ] konakismi | kullanıcı@konakismi [ komut ]
AÇIKLAMA¶
ssh (SSH istemci) uzaktaki bir makinada komut çalıştırmak için uzaktaki makinada bir kullanıcı oturumu açmayı sağlayan bir uygulamadır. rlogin ve rsh'ın yerini alması amaçlanmıştır. ssh güvenli olmayan bir ağ üzerindeki güvenilir olmayan iki sistemin şifreli dolayısı ile güvenli iletişim kurmalarını sağlar. X11 bağlantıları ve çeşitli TCP/IP bağlantı portları da güvenli kanal üzerinden iletilebilirler.SSH protokolünün 1. sürümü¶
İlk olarak eğer kullanıcının oturum açtığı sistemin ismi uzaktaki sistemin /etc/hosts.equiv veya /etc/ssh/shosts.equiv dosyalarında bulunuyorsa ve her iki taraftaki kullanıcı isimleri aynı ise, kullanıcın uzak sisteme erişmesine hemen izin verilir. İkinci olarak, eğer .rhosts veya .shosts dosyaları kullanıcının uzaktaki ev dizininde mevcut ise ve istemci makinanın adı ile bu makinadaki kullanıcı adı bu dosyalardan birinde var ise, yine kullanıcın erişmesine izin verilir. Güvenli olmamaması nedeni ile bu çeşit kimlik denetiminin kullanmasına normalde sunucu tarafından izin verilmez.- Sistem yöneticilerine bilgi:
- /etc/hosts.equiv, $HOME/.rhosts ve rlogin/rsh
protokolleri genel olarak güvenli değillerdir ve
güvenliğin gerektiği durumlarda kullanılmamaları
gerekir.
SSH protokolünün 2. sürümü¶
Kullanıcı protokolün 2. sürümünü kullanarak bağlantı kurduğunda benzer kimlik denetimi yöntemleri kullanılır. PreferredAuthentications (tercih edilen kimlik kanıtlamaları) için öntanımlı değerler kullanılarak, istemci öncelikle konak tabanlı kimlik denetimi ile uzaktaki makineye erişmeye çalışır; bu yöntemin başarısız olması durumunda, genel anahtarlı kimlik denetimi yöntemi denenir, bu yöntemin de başarısız olması durumunda son olarak klavye etkileşimli ve parolalı kimlik denetimi yöntemine başvurulur.Oturum ve Uzaktan Yürütme¶
Sunucu, kullanıcının kimliğini onayladığı takdirde ya kullanıcının belirttiği komutu yürütür ya da sistemde oturum açar ve uzak sistemde kullanıcının normal bir kabuğa erişmesini sağlar. Uzakta çalıştırılacak komut ya da kabukla gerçekleştirilen bütün iletişim şifrelenir.Önceleme Karakterleri¶
Sözde uçbirim istenmesi durumunda ssh birçok işlevi bir önceleme karakteri aracılığı ile desteker.- ~.
- Bağlantıyı kes
- ~^Z
- ssh'ı artalanda çalıştır
- ~#
- İletilen bağlantıları listele
- ~&
- İletilen bağlantının ya da X11
oturumlarının sonlandırılmasını beklerken
ssh'ı artalanda çalıştır
- ~?
- Önceleme karakterlerinin listesini göster
- ~B
- Uzak sisteme sonlandırma iletisi gönder (sadece
uzak sistemin de desteklemesi durumunda SSH protokolünün 2.
sürümü için geçerlidir)
- ~C
- Komut satırı aç (sadece -L ve
-R seçeneklerini kullanarak port iletimi eklemek için
yararlıdır)
- ~R
- Bağlantının anahtarlarının
yenilenmesini iste (sadece uzak sistemin de desteklemesi durumunda SSH
protokolünün 2. sürümü için geçerlidir)
X11 ve TCP İletimi¶
Şayet ForwardX11 değişkeni ``yes'' şeklinde ayarlı ise (ya da aşağıdaki -X ve -x seçeneklerinin tanımlarına bakınız) ve kullanıcı X11 (DISPLAY çevre değişkeni atanmış ise) kullanıyorsa, X11 görüntüye olan bağlantı özdevinimli biçimde uzaktaki sisteme iletilir. Bu sayede kabuktan (ya da komut ile) çalıştırılan herhangi bir X11 programı şifreli kanal boyunca iletilir ve yerel sistemin gerçek X sunucusu ile bağlantısı gerçekleştirilmiş olur. Kullanıcı DISPLAY değişkenini el ile ayarlamamalıdır. X11 bağlantılarının iletilmesi komut satırında ya da yapılandırma dosyaları aracalığı ile ayarlanabilir.Sunucu kimlik denetimi¶
ssh kullanılmış olan bütün ana sistemleri içeren bir veritabanını özdevinimli olarak oluşturur ve denetler. Ana sistem anahtarları kullanıcının ev dizinindeki $HOME/.ssh/known_hosts dosyasında tutulur. Buna ek olarak /etc/ssh/ssh_known_hosts dosyasına da bilinen sistemleri kontrol için özdevinimli olarak başvurulur.- -1
- ssh'yı sadece protokolün 1.
sürümünü kullanmaya zorlar.
- -2
- ssh'yı sadece protokolün 2.
sürümünü kullanmaya zorlar.
- -4
- ssh'yı sadece IPv4 adreslerini kullanmaya
zorlar.
- -6
- ssh'yı sadece IPv6 adreslerini kullanmaya
zorlar.
- -a
- Kimlik denetimi ajanı bağlantı iletimini
iptal eder.
- -A
- Kimlik denetimi ajanı bağlantı iletimini
etkinleştirir. Bu ayrıca yapılandırma dosyasında
da her bir konak için ayrı ayrı belirtilebilir.
- -b bağlantı_adresi
- Çoklu arayüzü olan ya da takma isimli
adresler kullanan sistemlerde iletişimin yapılacağı
arayüzü belirler.
- -c blowfish | 3des | des
- Oturumu şifrelemekte kullanılacak şifreyi
seçer. Öntanımlı değer 3des'dir.
Güvenli olduğuna inanılır. 3des
(üçlü-des) şifreleme-şifre
çözme-şifreleme üçlüsünü 3
farklı anahtarla gerçekleştirir. blowfish
hızlı bir blok şifresidir; çok güvenilirdir ve
3des'ten çok daha hızlıdır. des ise
3des şifrelemeyi desteklemeyen eski protokol 1
gerçeklemeleri ile işbirliktelik adına desteklenir.
Şifreleme ile ilgili zayıflıklarından dolayı
des'in kullanılmaması önemle tavsiye edilir.
- -c şifre_belirtimi
- Ek olarak, protokol 2'de tercih sırasını
belirtmek için virgülle ayrılmış şifreleme
listesi verilebilir. Daha fazla bilgi için yapılandıma
dosyaındaki Ciphers (Şifreler) satırına
bakınız.
- -C
- Bütün verilerin (stdin, stdout, stderr, X11
verileri ve TCP/IP bağlantı verileri)
sıkıştırılmasını sağlar.
Sıkıştırma algoritması gzip(1)'in
kullandığı ile aynıdır.
CompressionLevel(Sıkıştırma Seviyesi)
seçeneği protokolün 1. sürümü için
``seviye'' yi belirler. Modem hatları ve diğer yavaş
bağlantılar için sıkıştırma
kullanılmalıdır, ancak hızlı ağlar için
bu sadece yavaşlamaya neden olacaktır. Öntanımlı
değer yapılandırma dosyalarında her konak için
ayrı ayrı belirtilebilir. ( Compression
[Sıkıştırma] seçeneğine bakınız).
- -D port
- Yerel "özdevimli" uygulama seviyesinde port
iletimini belirtir. Yerel tarafta portu dinlemek üzere bir soket
ayrılır. Bu port ile ne zaman bir bağlantı kurulsa,
bağlantı güvenli kanal üzerinden iletilir ve uzak
sistemde nereye bağlanılacağı uygulama protokolü
kullanılarak belirlenir. Şu anda SOCKS4 ve SOCKS5 protokolleri
desteklenmektedir. ssh bir SOCKS sunucusu olarak davranır.
Sadece yetkili kullanıcı (root) ayrıcalıklı
portları iletebilir. Özdevimli port iletimleri
yapılandırma dosyasında da belirtilebilir.
- -e krk | ^krk | none
- pty'li bir oturum için önceleme karakterini
ayarlar (öntanımlı: ' ~'). Önceleme karakteri
sadece bir satırının başında ise
tanınabilir. Önceleme karakterini nokta (' .') takip
ederse bağlantı sonlandırılır; control-Z takip
ederse bağlantı askıya alınır; ' ~' takip
ederse önceleme karakteri bir kez gönderilir. Karakteri ``none''
şeklinde ayarlamak öncelemleri iptal eder ve oturumu tamamen
saydam yapar.
- -f
- Komut yürütülmeden hemen önce
ssh'nın arkaplanda çalışmasını
sağlar. Bu ssh'nın kullanıcı ya da anahtar
parolası sorması gerektiği ancak
kullanıcının bu işlemin arkaplanda
yapılmasını istediği durumlarda yararlıdır.
Bu seçenek -n seçeneğinin de uygulanmasını
sağlar. X11 programları uzak konakta
çalıştırırken komutun şöyle
çağrılması tavsiye edilir: ssh -f konakismi
xterm.
- -F yapılandırma_dosyası
- Kullanıcının kendine özgü
yapılandırma dosyasını belirtmek içindir.
Şayet komut satırında bir
yapılandırma_dosyası verilirse, sistemin
yapılandırma dosyası (/etc/ssh/ssh_config) görmezden
gelinir. $HOME/.ssh/config dosyası kullanıcının
öntanımlı yapılandırma dosyasıdır.
- -g
- Uzak konakların iletilen yerel portlara
bağlanmasına izin verir.
- -i kimlik_dosyası
- RSA ya da DSA kimlik doğrulamaları için
kullanılacak olan kimlik dosyasını (dolayısıyla
gizli anahtarı) belirtir. Protokolün 1. sürümü
için varsayılan dosya $HOME/.ssh/identity dosyasıdır.
$HOME/.ssh/id_rsa ve $HOME/.ssh/id_dsa ise protokolün 2.
sürümü için öntanımlı dosyalardır.
Kimlik dosyaları her bir konak için ayrı ayrı
yapılandırma dosyasında da belirtilebilir. -i
seçeneğinin birden fazla kullanılması
mümkündür (ve yapılandırma dosyalarında
birden fazla kimlik tanımlamak da).
- -I akıllıkart_aygıtı
- Kullanılacak olan akıllıkart
aygıtını belirtir. Belirtilen aygıt
kullanıcının RSA gizli anahtarının bulunduğu
akıllıkart ile iletişim için kullanılan
aygıt olmalıdır.
- -k
- Kerberos biletlerinin ve AFS dizgeciklerinin iletimini
iptal eder. Bu ayrıca yapılandırma dosyasında her
konak için ayrı ayrı belirtilebilir.
- -l kullanıcı_ismi
- Uzak sistemde oturum açmak için kullanılacak
kullanıcı adını belirtir. Bu yine
yapılandırma dosyasında her bir konak için ayrı
ayrı belirtilebilir.
- -L yerelport:uzakkonak:uzakkonakportu
- Belirtilen yerel portun uzak konaktaki porta iletilmesi
için kullanılır. Bunu sağlamak için yerel
sistemde bir soket yerelport portunu dinlemeye başlar ve bu
porta bağlantı isteği geldiğinde, bağlantı
güvenli kanaldan iletilerek uzakkonak üzerindeki
uzakkonakportuna bir bağlantı gerçekleştirilir.
Port iletimi, yapılandırma dosyasında da belirtilebilir.
Sadece yetkili kullanıcı (root) ayrıcaklı
portları iletebilir. IPv6 adresler için farklı bir
sözdizimi kullanılır:
yerelport/uzakkonak/uzakkonakportu.
- -m mac_belirtimi
- Protokolün 2. sürümünde ayrıca
tercih sırasına göre virgüllerle
ayrılmış MAC (message authentication code - ileti kimlik
denetimi kodu) algoritmaları belirtilebilir. Daha fazla bilgi
için MACs anahtar sözcüğüne
bakınız.
- -n
- /dev/null'u standart girdiye yöneltir (yani standart
girdiden okuma yapılması engellenir). ssh artalanda
çalışıyorsa bu seçenek kullanılmak
zorundadır. Uzak sistemde X11 programları
çalıştırılırken bu seçenek çok
kullanılır. Örneğin, ssh -n shadows.cs.hut.fi emacs
& komutu shadows.cs.hut.fi konağında emacs
uygulamasını başlatacaktır ve X11
bağlantısı özdevinimli olarak şifreli kanal
üzerinden iletilecektir. ssh artalana yerleştirilecektir.
(Ancak ssh'nın kullanıcı ya da anahtar parolası
gerektirmesi durumunda bu çalışmayacaktır; ayrıca
-f seçeneğine de bakınız.)
- -N
- Bir uzak komut çalıştırmaz. Bu sadece
port iletimi için yararlıdır (sadece protokolün 2.
sürümünde).
- -o seçenek
- Yapılandırma dosyasındaki biçime uygun
seçenekler belirtmek için kullanılabilir. Kendisine
özel komut satırı seçeneği olmayan
yapılandırma seçeneklerini belirtmek için
kullanılabilir. Aşağıda sıralanan
seçeneklere ait tüm ayrıntılar ve alabilecekleri
olası değerler için ssh_config(5)'e başvurunuz.
AddressFamily (Adres Ailesi) BatchMode (Toplu İş Kipi) BindAddress (Bağlantı Adresi) ChallengeResponseAuthentication (Kimlik Sorma/Yanıtlama Yöntemi) CheckHostIP (Konak IP Denetimi) Cipher (Şifre) Ciphers (Şifreler) ClearAllForwardings (Bütün İletimleri Temizle) Compression (Sıkıştırma) CompressionLevel (Sıkıştırma Seviyesi) ConnectionAttempts (Bağlantı Denemeleri) ConnectionTimeout (Bağlantı Zaman Aşımı) DynamicForward (Özdevimli İletim) EscapeChar (Önceleme Karakteri) ForwardAgent (İletim Ajanı) ForwardX11 (X11 İletimi) ForwardX11Trusted (Güvenilir X11 İletimi) GatewayPorts (Ağ Geçidi Portları) GlobalKnownHostsFile (Genel Bilinen Konaklar Dosyası) GSSAPIAuthentication (GSSAPI Kimlik Denetimi) GSSAPIDelegateCredentials (GSSAPI Yetkilendirme Tanıtımları) Host (Konak) HostbasedAuthentication (Konak Tabanlı Kimlik Denetimi) HostKeyAlgorithms (Konak Anahtarı Algoritmaları) HostKeyAlias (Konak Anahtarı Takma Adları) HostName (Konak Adı) IdentityFile (Kimlik Dosyası) LocalForward (Yerel İletim) LogLevel (Günlükleme Düzeyi) MACs (İleti Kimlik Denetimi Kodları) NoHostAuthenticationForLocalhost (Yerel Konak İçin Kimlik Denetimi Yapma) NumberOfPasswordPrompts (Parola İsteme Adedi) PasswordAuthentication (Parolalı Kimlik Denetimi) Port PreferredAuthentications (Tercih Edilen Kimlik Denetimi Yöntemleri) Protocol (Protokol) ProxyCommand (Vekil Komutu) PubkeyAuthentication (Genel Anahtarlı Kimlik Denetimi) RemoteForward (Uzak İletim) RhostsRSAAuthentication (RSA tabanlı Rhosts Kimlik Denetimi) RSAAuthentication (RSA Kimlik Denetimi) ServerAliveInterval (Sunucu Canlılık Aralığı) ServerAliveCountMax (Canlı Sunucu En Çok Mesaj Sayısı) SmartcardDevice (Akıllı Kart Aygıtı) StrictHostKeyChecking (Mutlak Konak Anahtarı Denetimi) TCPKeepAlive (TCP Canlı Tutma) UsePrivilegedPort (Ayrıcalıklı Port Kullan) User (Kullanıcı) UserKnownHostsFile (Kullanıcının Bilinen Konakları Dosyası) VerifyHostKeyDNS (Uzak Konak Anahtarının Doğruluğunun DNS ile Sağlanması) XAuthLocation (XAuth'un Tam Yolu)
- -p port
- Uzak konaktaki bağlantı portu.
Yapılandırma dosyasında her bir konak için ayrı
ayrı belirtilebilir.
- -q
- Sessizlik kipi. Bütün uyarı ve tanı
iletilerinin gizlenmesini sağlar. Sadece onarılamaz hatalar
gösterilir. Şayet ikinci bir -q verilirse onarılamaz
hatalar da gösterilmez.
- -R uzakport:yerelkonak:yerelkonakportu
- Belirtilen uzak portun yerel konaktaki porta iletilmesi
için kullanılır. Bunu sağlamak için uzak sistemde
bir soket uzakport portunu dinlemeye başlar ve bu porta
bağlantı isteği geldiğinde, bağlantı
güvenli kanaldan iletilerek yerelkonak üzerindeki
yerelkonakportuna bir bağlantı
gerçekleştirilir. Port iletimi, yapılandırma
dosyasında da belirtilebilir. Sadece yetkili kullanıcı
(root) ayrıcaklı portları iletebilir. IPv6 adresler
için farklı bir sözdizimi kullanılır:
uzakport/yerelkonak/yerelkonakportu.
- -s
- Uzak konakta bir altsistemi çağırmak
amacıyla kullanılabilir. Altsistemler, diğer
uygulamaların (örn. sftp) güvenli
taşınmasını sağlayan SSH2 protokolünün
bir özelliğidir. Altsistem uzak komut olarak belirtilir.
- -t
- Sözde-tty ayırmayı zorlar. Bu uzak sistemde
ekran tabanlı herhangi bir uygulamaların
çalıştırılmasında kullanılabilir.
Örnek olarak menü hizmetlerinin gerçekleştirilmesinde
bu çok yararlı olabilir. Çok sayıda -t
seçeneği ssh'nın yerel tty'si olmasa bile bir tty
ayrılmasını sağlar.
- -T
- Sözde-tty ayırmayı iptal eder.
- -v
- Ayrıntı kipi. ssh'nın
çalışması esnasındaki hata ayıklama
iletilerinin gösterilmesini sağlar. Bağlantı, kimlik
denetimi ve yapılandırma sorunlarındaki hataları
ayıklamada bu seçenek çok faydalıdır. Çok
sayıda -v seçeneği ayrıntı seviyesini
artırır. En fazla üç tane olabilir.
- -V
- Sürüm numarasını gösterir ve
çıkar.
- -x
- X11 iletimini iptal eder.
- -X
- X11 iletimini etkinleştirir. Bu her bir konak
için ayrı ayrı yapılandırma dosyasında
belirtilebilir.
- -Y
- Güvenilir X11 iletimini etkinleştirir.
YAPILANDIRMA DOSYALARI¶
ssh yapılandırma verilerini her kullanıcıya özel ayrı birer yapılandırma dosyasından ve de sistemin yapılandırma dosyasından alabilir. Dosya biçimi ve yapılandırma seçenekleri ssh_config(5)'de açıklanmaktadır.ORTAM DEĞİŞKENLERݶ
ssh normalde aşağıdaki çevre değişkenlerini ayarlar:- DISPLAY
- DISPLAY değişkeni X11 sunucusunun konumunu
gösterir. ssh bu değişkene özdevinimli
biçimde ``konak_adı:n'' biçiminde değer atar. Burada
konak_adı kabuğun çalıştığı
sistemi işaret ederken n de n >= 1 şartını
sağlayan bir tamsayıya karşılık gelir. ssh
bu özel değeri X11 bağlantılarını
güvenli kanal üzerinden iletmede kullanır.
Kullanıcı DISPLAY değişkenini doğrudan kendisi
ayarlamamalıdır, çünkü bu X11
bağlantılarını güvensiz hale getirir (ve
ayrıca kullanıcının gerekli olan yetkilendirme
çerezlerini el ile kopyalamasını gerektirir).
- HOME
- Kullanıcının ev dizininin yolu bu
değişkene atanır.
- LOGNAME
- USER değişkeni ile aynıdır; bu
değişkeni kullanan sistemlerle uyumluluk için
tanımlanır.
- Kullanıcının posta kutusunun yolu bu
değişkene atanır.
- PATH
- ssh derlenirken belirtilen gibi
öntanımlı PATH'a ayarlanır.
- SSH_ASKPASS
- Şayet ssh bir anahtar parolası
gerektiriyorsa, bunu mevcut uçbirimden okur (eğer
uçbirimden çalıştırılıyorsa).
Diğer taraftan ssh bir uçbirimden
çalıştırılmıyor fakat DISPLAY ve SSH_ASKPASS
değişkenleri ayarlanmış iseler, ssh,
SSH_ASKPASS tarafından belirtilen uygulamayı
çalıştırır ve anahtar parolayı okumak
için bir X11 penceresi açar. Bu özellikle ssh bir
.Xsession ya da ilgili betik tarafından
çağırılıyorsa yararlıdır. (Burada
dikkat edilmesi gereken bu yöntemin çalışması
için bazı sistemlerde girdilerin /dev/null'dan
yönlendirilmesi gerektiğidir.)
- SSH_AUTH_SOCK
- Ajanla iletişimde kullanılacak Unix-alan
soketinin yolunu belirtir.
- SSH_CONNECTION
- Bağlantının kurulduğu istemci ve
sunucuyu belirtir. Değişken boşluk ile birbirinden
ayrılmış 4 değerden oluşur: istemci ip-adresi,
istemci portu, sunucu ip-adresi ve sunucu portu.
- SSH_ORIGINAL_COMMAND
- Zorunlu bir komutun
çalıştırılması durumunda özgün
komut satırını içerir. Bu özgün
argümanların özütlenmesinde kullanılabilir.
- SSH_TTY
- Yürürlükteki kabuk ya da komutla
ilişkili olan tty'nin adı (aygıt yolu) bu
değişkene atanır. Yürürlükteki oturum tty'ye
sahip değilse, bu değişkene bir atama yapılmaz.
- TZ
- Zaman Dilimi değişkeni; o anki zaman dilimini
işaret etmesi için ayarlanır (şayet artalan
süreci başlatıldığında ayarlandı ise).
Yani, artalan süreci yeni bağlantılara bu değeri
aktarır.
- USER
- Oturum açan kullanıcı adı olarak
ayarlanır.
İLGİLİ DOSYALAR¶
- $HOME/.ssh/known_hosts
- Kullanıcının oturum
açtığı /etc/ssh/ssh_known_hosts dosyasında
kayıtlı olmayan bütün konakların
anahtarlarını kaydeder. Bakınız, sshd(8).
- $HOME/.ssh/identity, $HOME/.ssh/id_dsa, $HOME/.ssh/id_rsa
- Kullanıcının kimlik denetim kimliğini
içerirler. Sırasıyla protokol 1 RSA, protokol 2 DSA ve
protokol 2 RSA'ye karşılık gelirler. Bu dosyalar
duyarlı veri içerirler ve bu sebeple kimlik sahibi
haricindekilerin erişim hakkı olmamalıdır. Şayet
özel anahtar dosyası diğer kullanıcıların
erişimine açıksa, ssh'nın bu dosyayı
kullanmayı reddedeceğini unutmayın. Gizli anahtarı
oluştururken bir anahtar parolası belirtilebilir ve anahtar
parolası bu dosyanın duyarlı kısmını 3DES
algoritması ile şifrelemede kullanılır.
- $HOME/.ssh/identity.pub, $HOME/.ssh/id_dsa.pub, $HOME/.ssh/id_rsa.pub
- Kimlik denetiminde kullanılacak genel anahtarı
içerirler (kimlik dosyasının okunabilir biçimdeki
genele açık olan kısmı). $HOME/.ssh/identity.pub'un
içeriği kullanıcının protokol sürüm 1
RSA kimlik denetimini kullanmak istediği bütün
sistemlerdeki $HOME/.ssh/authorized_keys dosyasına eklenmelidir.
$HOME/.ssh/id_dsa.pub ve $HOME/.ssh/id_rsa.pub dosyalarının
içerikleri kullanıcının protokol sürüm 2
DSA/RSA kimlik denetimini kullanmak istediği bütün
sistemlerdeki $HOME/.ssh/authorized_keys dosyasına eklenmelidir. Bu
dosyalar duyarlı değillerdir ve herkes tarafından
okunabilirler (fakat gerekmemektedir). Bu dosyalar hiçbir zaman
özdevinimli biçimde kullanılmamalıdır ve
kullanılmaları da gerekmez. Bu dosyalar sadece
kullanıcının rahatlığı için
oluşturulur.
- $HOME/.ssh/config
- Kullanıcıya özel yapılandırma
dosyası. Dosyanın biçimi ve yapılandırma
seçenekleri ssh_config(5)'de açıklanmaktadır.
- $HOME/.ssh/authorized_keys
- Ev dizini sahibinin oturum açması için
kullanılan açık anahtarları (RSA/DSA) listeler. Dosya
biçimi sshd(8) kılavuz sayfasında
açıklanmaktadır. En basit biçimiyle dosya .pub kimlik
dosyaları ile aynı biçimdedir. Bu dosya çok
duyarlı değildir, ancak tavsiye edilen izinler
kullanıcı için okuma/yazma hakları ve diğer
kullanıcılar için ise erişim hakkının
olmamasıdır.
- /etc/ssh/ssh_known_hosts
- Bilinen konakların anahtarlarını listeleyen
sistem dosyası. Bu dosya sistem yöneticisi tarafından
hazırlanmalıdır ve örgütleşimdeki
bütün konakların genel anahtarları dosyaya
eklenmelidir. Dosya izinleri herkes tarafından okunabilecek
şekilde ayarlanmalıdır. Dosya her satırda belirtilecek
şekilde genel anahtarları şu biçimde içerir
(alanlar birbirinden boşluk ile ayrılırlar): sistem
adı, açık anahtar ve yorum alanı (zorunlu değil).
Şayet aynı makina için farklı isimler
kullanılırsa, bütün bu isimler virgülle
ayrılacak şekilde listelenmelidir. Biçim hakkında
detaylı bilgiyi sshd(8) kılavuz sayfasında
bulabilirsiniz.
- /etc/ssh/ssh_config
- Sistem yapılandırma dosyası. Dosyanın
biçimi ve yapılandırma seçenekleri
ssh_config(5)'de açıklanmaktadır.
- /etc/ssh/ssh_host_key, /etc/ssh/ssh_host_dsa_key, /etc/ssh/ssh_host_rsa_key
- Bu üç dosya sistem anahtarlarının
özel kısmını içerirler ve
RhostsRSAAuthentication ve HostbasedAuthentication için
kullanılırlar. Şayet RhostsRSAAuthentication
yöntemi protokolün 1. sürümü için
kullanılıyor ise, ssh root yetkileriyle (setuid root)
çalışmalıdır, zira sistem anahtarı sadece
root tarafından okunabilir. Protokolün 2. sürümü
için ise, ssh, HostbasedAuthentication için sistem
anahtarlarına erişimde ssh-keysign(8)'ı
kullanır. Bu sayede bu kimlik denetimi yöntemi
kullanıldığında ssh'nın root yetkileriyle
çalışması zorunluluğu ortadan kalkar.
Öntanımlı olarak, ssh root yetkileriyle
çalışmaz.
- $HOME/.rhosts
- Bu dosya .rhosts kimlik denetiminde erişim izni olan
konak/kullanıcı çiftlerini listeler. (Dikkat: Bu dosya
ayrıca rlogin ve rsh tarafından da
kullanıldığından kullanımı güvenli
değildir.) Dosyanın her satırında birbirinden
boşluk ile ayrılmış bir konak adı (isim
sunucuları tarafından sağlanan kurallı ad
biçiminde) ve bu konakta geçerli kullanıcı adı
bulunur. Bazı makinalarda bu dosyanın erişim
haklarının herkes tarafından okunacak şekilde
düzenlenmiş olması gerekmektedir (şayet
kullanıcının ana dizini NFS bölümünde ise;
çünkü sshd(8) bu dosyayı root olarak okur).
Ayrıca bu dosyanın sahibi kullanıcı olmalı ve
hiçbir kimsenin bu dosyaya yazma hakkı bulunmamalıdır.
Birçok makina için tavsiye edilen erişim yetkileri,
kullanıcı için okuma/yazma hakkı ve diğerleri
için ise erişimin olmamasıdır.
- $HOME/.shosts
- Aynı .rhosts'un kullanıldığı
şekilde kullanılır. Bu dosyanın bulunmasının
amacı .rhosts kimlik denetiminin sadece ssh ile
kullanılmasını, rlogin ya da rsh(1) ile
kullanılmamasını sağlamaktır.
- /etc/hosts.equiv
- Bu dosya .rhosts kimlik denetiminde kullanılır.
Her satırda kurallı sistem adlarını içerecek
şekilde düzenlenir (Biçim hakkında
ayrıntılı bilgi sshd(8) kılavuz sayfasında
bulunabilir). Şayet istemci konak bu dosyada bulunuyorsa, istemci ve
sunucu kullanıcı adları aynı olması
şartı ile erişime izin verilir. Ayrıca RSA sistem
kimlik denetimi normalde gereklidir. Bu dosyaya sadece root
yazabilmelidir.
- /etc/ssh/shosts.equiv
- Aynı /etc/hosts.equiv gibi işlem görür.
ssh kullanarak erişimin sağlandığı ancak
rsh/rlogin'in kullanılmaması gerektiği
durumlarda faydalıdır.
- /etc/ssh/sshrc
- Bu dosyadaki komutlar kullanıcı oturum
açtığında kullanıcının kabuğu (ya
da komut) çalıştırılmadan hemen önce
ssh tarafından çalıştırılır.
Daha arıntılı bilgi için sshd(8) kılavuz
sayfasına bakınız.
- $HOME/.ssh/rc
- Bu dosyadaki komutlar kullanıcı oturum
açtığında kullanıcının kabuğu (ya
da komut) çalıştırılmadan hemen önce
ssh tarafından çalıştırılır.
Daha arıntılı bilgi için sshd(8) kılavuz
sayfasına bakınız.
- $HOME/.ssh/environment
- Ortam değişkenlerinin ek
tanımlarını içerir. Yukarıdaki ORTAM
DEĞİŞKENLERİ bölümüne
bakınız.
ÇIKIŞ DURUMU¶
ssh uzak komutun çıkış durumu ile ya da hata olmuş ise 255 ile sonlanır.İLGİLİ BELGELER¶
gzip(1), rsh(1), scp(1), sftp(1), ssh-add(1), ssh-agent(1), ssh-keygen(1), telnet(1), hosts.equiv(5), ssh_config(5), sshd_config(5), ssh-keysign(8), sshd(8).YAZARLAR¶
OpenSSH, Tatu Ylonen'in özgün ve özgür ssh 1.2.12 sürümünün bir türevidir. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt ve Dug Song birçok yazılım hatasını ortadan kaldırmışlar, yeni özellikler eklemişler ve OpenSSH'ı oluşturmuşlardır. Markus Friedl SSH protokolünün 1.5 ve 2.0 sürümü desteği için katkıda bulunmuştur.ÇEVİREN¶
Emin İslam Tatlı <eminislam (at) web.de>, Ağustos 200425 Eylül 1999 | BSD |