लिनक्स / युनिक्स कमान्ड: sshd

नाम

sshd - OpenSSH SSH daemon

सारांश

sshd [- deiqtD46 ] [- b बिट्स ] [- f config_file ] [- g login_grace_time ] [- h host_key_file ] [- केडीई key_gen_time ] [ ओ ओ विकल्प ] [- पोर्ट पोर्ट ] [- len ]

विवरण

sshd (SSH daemon) ssh (1) को लागि डेमन कार्यक्रम हो । यी प्रोग्रामहरू सँगै rlogin बदल्नुहोस् र rsh , र एक असुरक्षित नेटवर्क मा दुई अविश्वसनीय होस्टहरूको बीच सुरक्षित एन्क्रिप्टेड संचार प्रदान गर्नुहोस् । कार्यक्रमहरू स्थापित गर्न र सजिलो प्रयोग गर्न सजिलो हुने उद्देश्य हो।

sshd डेमोन हो जसले ग्राहकहरूबाट जडानहरूको लागि सुन्छ। यो सामान्यतया बुटमा / etc / rc बाट सुरू हुन्छ यो प्रत्येक आगमन सम्बन्धको लागि नयाँ डेमोनलाई फर्काउँछ। फोर्कडे डेमोनले कुञ्जी आदान-प्रदान, एन्क्रिप्शन, प्रमाणीकरण, आदेश निष्पादन, र डेटा एक्सचेंज ह्यान्डल गर्न मद्दत गर्दछ। एसएसडीडीको यो कार्यान्वयन दुवै SSH प्रोटोकल संस्करण 1 र 2 को साथमा समर्थन गर्दछ।

एसएसएच प्रोटोकल संस्करण 1

प्रत्येक होस्टसँग होस्ट-विशिष्ट RSA कुञ्जी (सामान्यतया 1024 बिट्स) होस्ट पहिचान गर्न प्रयोग गरिन्छ। थप रूपमा, डेमोन सुरु हुन्छ जब, यो सर्भर RSA कुञ्जी (सामान्य रूपमा 768 बिट) उत्पन्न गर्दछ। यो कुञ्जी सामान्यतया प्रत्येक घण्टा पुन: उत्पन्न हुन्छ यदि यसलाई प्रयोग गरिएको छ, र कहिले डिस्कमा भण्डारण गरिएको छैन।

जब एक ग्राहकले डेमन जडान गर्दछ यसको सार्वजनिक होस्ट र सर्भर कुञ्जीसँग प्रतिक्रिया। ग्राहकले यसको आफ्नै डेटाबेसको विरुद्ध RSA होस्ट कुञ्जीलाई पुष्टि गर्दछ कि यो परिवर्तन भएको छैन। ग्राहकले 256 बिट अनियमित संख्या उत्पन्न गर्छ। यो होस्ट र कुञ्जी दुवै सर्भर कुञ्जी दुवै प्रयोग गरेर यो अनियमित नम्बर इन्क्रिप्ट गर्दछ र एन्क्रिप्टेड नम्बर सर्भरमा पठाउँदछ। दुबै पक्षले यस अनियमित नम्बरलाई सत्र कुञ्जीको रूपमा प्रयोग गर्दछ जुन सत्रमा सबै संचारहरू इन्क्रिप्ट गर्न प्रयोग गरिन्छ। बाँकी सत्र एक पारंपरिक सिफर प्रयोग गरेर इन्क्रिप्स गरिएको छ, वर्तमानमा ब्लाफिश वा 3DES, 3DES पूर्वनिर्धारित रूपमा प्रयोग गरिँदै। ग्राहकले इन्क्रिप्सन एल्गोरिथ्मलाई सर्भरद्वारा प्रदान गर्नेहरूलाई प्रयोग गर्न चयन गर्दछ।

अर्को, सर्भर र क्लाइन्टले प्रमाणीकरण संवाद प्रविष्ट गर्दछ। ग्राहकले आफैलाई प्रमाणीकरण प्रमाणीकरण प्रयोग गरेर प्रमाणीकरण गर्न प्रयास गर्दछ, RSA होस्ट प्रमाणिकरण, RSA चुनौती-प्रतिक्रिया प्रमाणीकरण, वा पासवर्ड-आधारित प्रमाणीकरण संग संयुक्त प्रमाणीकरण ।

रेजेस प्रमाणीकरण सामान्य रूपमा अक्षम गरिएको छ किनभने यो मौलिक असुरक्षित हो, तर यदि सर्भर विन्यास फाइलमा सक्षम हुन सक्छ। प्रणाली सुरक्षा सुधारिएको छैन जब सम्म rshd rlogind र rexecd अक्षम पारिएको छ (यसैले rlogin र rsh मेनुमा पूर्ण रूपमा असक्षम गर्दै)।

एसएसएच प्रोटोकल संस्करण 2

संस्करण 2 समान काम गर्दछ: प्रत्येक होस्टसँग होस्ट-विशिष्ट कुञ्जी (RSA वा DSA) होस्ट पहिचान गर्न प्रयोग गरिएको छ। यद्यपि, जब डेमन सुरु हुन्छ, यसले सर्भर कुञ्जी उत्पन्न गर्दैन। फर्वार्ड सुरक्षा Diffie-Hellman प्रमुख सम्झौता मार्फत प्रदान गरिएको छ। यस कुञ्जी सम्झौताले साझेदारी सत्र कुञ्जीमा परिणाम गर्दछ।

बाँकीको सत्र सममितिक सिफर प्रयोग गरेर इन्क्रिप्स गरिएको छ, हाल 128 बिट एईएस, ब्लाफिश, 3DES, CAST128, आकफोर, 192 बिट एईएस, वा 256 बिट एईएस। ग्राहकले इन्क्रिप्सन एल्गोरिथ्मलाई सर्भरद्वारा प्रदान गर्नेहरूलाई प्रयोग गर्न चयन गर्दछ। थप रूपमा, सत्र अखंडता क्रिप्टोग्राफिक सन्देश प्रमाणीकरण कोड (एचएमएसी-sha1 वा hmac-md5) मार्फत प्रदान गरिएको छ।

प्रोटोकल संस्करण 2 सार्वजनिक कुञ्जी आधारित प्रयोगकर्ता (PubkeyAuthentication) वा क्लाइन्ट होस्ट (होस्टबेसनअल्ट प्रमाणीकरण) प्रमाणीकरण विधि, पारंपरिक पासवर्ड प्रमाणिकरण, र चुनौती-प्रतिक्रिया आधारित विधि प्रदान गर्दछ।

आदेश कार्यान्वयन र डाटा फर्वार्डिङ

यदि ग्राहकले सफलतापूर्वक आफैलाई प्रमाणित गर्दछ भने, सत्र तयार गर्नका लागि एक संवाद प्रविष्टि गरिएको छ। यस समयमा क्लाइन्टले केहि चीजहरू जस्तै पेसो-टिटी, X11 जडान फर्वार्ड गर्ने, टीसीपी / आईपी जडान फर्वार्ड गर्ने, वा सुरक्षित च्यानलमा प्रमाणिकरण एजेन्ट जडान फर्वार्ड गर्नका लागि अनुरोध गर्न सक्दछ।

अन्तमा, ग्राहकले शेल वा आदेशको कार्यान्वयन अनुरोध गर्दछ। त्यसपछि त्यसपछि सत्र मोड प्रविष्ट गर्नुहोस्। यस मोडमा, कुनै पनि समयमा डेटाले कुनै पनि समयमा पठाउन सक्दछ, र यस्तो डेटा सर्भरमा शेल वा आदेशबाट / र ग्राहक पक्षमा प्रयोगकर्ता टर्मिनललाई फर्वार्ड गरिएको छ।

जब प्रयोगकर्ता प्रोग्राम समाप्त हुन्छ र सबै X11 लाई फर्वार्ड गरियो र अन्य जडान बन्द गरिएको छ, सर्भरले ग्राहक बाहिरको आदेश र दुवै पक्षबाट बाहिर निस्कन्छ।

sshd कन्फिगरेसन कमान्ड विकल्पहरू वा कन्फिगरेसन फाइल प्रयोग गरेर कन्फिगर गर्न सकिन्छ। कन्फिगरेसन फाइलमा निर्दिष्ट आदेश-लाइन विकल्प ओवरराइड मानहरू।

sshd यसको कन्फिगरेसन फाइल हो जब यसलाई एक ह्याङ्गअप सिग्नल प्राप्त गर्दछ, SIGHUP को नामले यसलाई कार्यान्वयन गरेर, जस्तै, / usr / sbin / sshd

विकल्पहरू निम्नानुसार छन्:

-b बिटहरू

एथेमर प्रोटोकॉल संस्करण 1 सर्भर कुञ्जी (डिफल्ट 768) मा बिट्सको संख्या निर्दिष्ट गर्दछ।

-d

डिबग मोड। सर्भरले प्रणाली लगमा verbose डिबग आउटपुट पठाउँछ र आफैले पृष्ठभूमिमा राख्दैन। सर्भरले पनि काम गर्दैन र केवल एक जडान प्रक्रिया गर्नेछ। यो विकल्प केवल सर्भरको लागि डिबगिङको लागी होईन। बहु-डी विकल्प डिबगिङ तह बढाउँदछ। अधिकतम 3 हो।

-e

जब यो विकल्प निर्दिष्ट गरिएको छ, sshd ले आउटपुट प्रणाली लगको सट्टा मानक त्रुटिमा पठाउनेछ।

-f कन्फिगरेसन_फाइल

विन्यास फाइलको नाम निर्दिष्ट गर्दछ। पूर्वनिर्धारित / आदि / ssh / sshd_config sshd सुरुआत गर्न इन्कार गर्न यदि त्यहाँ कन्फिगरेसन फाइल छैन।

-g login_grace_time

ग्राहकहरूलाई आफैले प्रमाणिकरण गर्न अनुग्रह समय दिन्छ (पूर्वनिर्धारित 120 सेकेन्ड)। यदि ग्राहकले यस धेरै सेकेण्ड भित्र प्रयोगकर्ता प्रमाणिकरण गर्न असफल भएमा, सर्भर बिच्छेदन, र बाहिर निस्कन्छ। शून्यको मानले कुनै सीमा संकेत गर्दैन।

-h होस्ट_key_file

एक होस्ट कुञ्जी पढेको फाइलबाट निर्दिष्ट गर्दछ। यो विकल्प दिइएको छ यदि sshd रूटको रूपमा चलिरहेको छैन (सामान्य होस्ट कुञ्जी फाईलहरूको रूपमा सामान्य रूपमा कुनै पनि तर रूट द्वारा पठनीय छैन)। प्रोटोकल संस्करणको लागि पूर्वनिर्धारित / आदि / ssh / ssh_host_key को लागि प्रोटोकल संस्करण 1, र / etc / ssh / ssh_host_rsa_key र / etc / ssh / hsh_host_key र / etc / ssh / host_dsa_key को प्रोटोकल संस्करण। यो सम्भव छ कि फरक प्रोटोकॉल संस्करणहरूको लागि बहु होस्ट फाइलहरू र होस्ट कुञ्जी एल्गोरिदम।

-i

एसएसडीडी इन्सेटडीबाट चलिरहेको छ निर्दिष्ट गर्दछ। sshd सामान्यतया निष्क्रिय गरिएको छैन किनकि यसले सर्भर कुञ्जी उत्पन्न गर्नु अघि ग्राहकलाई प्रतिक्रिया दिन सक्दछ, र यसले दसौं सेकेन्ड लिन सक्छ। यदि कुञ्जी हरेक समय पुन: उत्पन्न भएको भए ग्राहकहरूलाई धेरै लामो पर्खनुपर्छ। यद्यपि, सानो कुञ्जी आकारहरू (उदाहरणका लागि, 512) प्रयोग गरिएको सेएसडीडीबाट प्रयोग गर्न सकिने सम्भावना हुन सक्छ।

-k key_gen_time

निर्दिष्ट गर्दछ कि प्रायः प्रोटोकल संस्करण 1 सर्भर कुञ्जी पुन: उत्पन्न गरिएको छ (पूर्वनिर्धारित 3600 सेकेन्ड, वा एक घण्टा)। कुञ्जी प्रायः पुन: पुनर्जन्मको लागि उत्प्रेरणा प्रायः कहीं पनि भण्डारण छैन, र लगभग एक घन्टा पछि, यो डिस्क्रिप्टिङ इन्टरनेटको लागि कुञ्जी पुन: प्राप्ति गर्न मिल्दो हो भने मेनु वा शारीरिक रूपमा भत्किएको भए पनि। शून्यको मानले संकेत गर्दछ कि कुञ्जी फेरि पुनर्जीवित हुनेछैन।

-o विकल्प

विन्यास फाइलमा प्रयोग गरिएको ढाँचामा विकल्पहरू दिन प्रयोग गर्न सकिन्छ। यो विकल्प निर्दिष्ट गर्नका लागि उपयोगी छ जसको लागि कुनै फरक आदेश-लाइन झण्डा छैन।

-p पोर्ट

जडानको लागि सर्भरले (डिफल्ट 22) लाई सुरू भएको पोर्टलाई निर्दिष्ट गर्दछ। एकाधिक पोर्ट विकल्पहरू अनुमति दिइएको छ। कन्फिगरेसन फाइलमा निर्दिष्ट गरिएका बंदरगाहहरू जब आदेश-लाइन पोर्ट निर्दिष्ट गरिएको बेलामा अनदेखा गरिन्छ।

-q

शान्त मोड। प्रणाली लगमा केही पनि पठाइएको छैन। सामान्यतया सुरु, प्रमाणीकरण, र प्रत्येक जडान को समापन लग रहे हो।

-t

परीक्षण मोड। केवल कन्फिगरेसन फाइलको वैधता जाँच गर्नुहोस् र कुञ्जीहरूको विवेक। यो sshd सुचारू रूपमा अद्यावधिक गर्न उपयोगी छ किनकि कन्फिगरेसन विकल्पहरू परिवर्तन हुन सक्छ।

-u लेन

यो विकल्प टाढा होस्ट नाम राख्ने utmp संरचनामा फिल्डको आकार निर्दिष्ट गर्न प्रयोग गरिन्छ। यदि समाधान गरिएको होस्ट नाम लीन भन्दा लामो छ भने बिचलित दशमलव मान यसको प्रयोग गरिने छ। यसले होस्टहरूलाई धेरै लामो होस्ट नामहरूमा अनुमति दिन्छ जुन यो क्षेत्र अझै पनि विशिष्ट पहिचान भएको छ। निर्दिष्ट गर्दै - u0 ले इंगित गर्दछ कि केवल dotted दशमलव ठेगाना utmp फाइल मा राख्नु पर्छ। - u0 पनि एसएसडी को डीएनएस अनुरोध गर्न को लागी रोकन को लागी प्रयोग गरे सम्म सम्म कि प्रमाणीकरण तंत्र या कन्फिगरेसन को आवश्यकता हो। प्रमाणीकरण प्रणाली जो डीएनएस को आवश्यकता हुन सक्छ RhostsAuthentication RhostsRSAAuthentication HostbasedAuthentication र कुंजी फाइल मा = पैटर्न-सूची विकल्प को उपयोग गरेर शामिल हो। कन्फिगरेसन विकल्पहरू जुन DNS चाहिन्छ, समावेश गर्दछ USER @ HOST ढाँचा प्रयोग गरी AllowUsers वा DenyUsers मा

-D

जब यो विकल्प तोकिएको छ sshd detach हुनेछ र डेमोन भएन। यसले एसएसडीको सजिलो निगरानी दिन्छ

-4

बलहरू IPv4 ठेगानाहरू मात्र प्रयोग गर्न sshd ।

-6

बलहरू IPv6 ठेगानाहरू मात्र प्रयोग गर्न sshd ।

कन्फिगरेसन फाइल

sshd ले कन्फिगरेसन डेटा पढ्दछ / etc / ssh / sshd_config (वा फाइलसँग निर्दिष्ट गरिएको - फर्म रेखामा f )। फाइल ढाँचा र कन्फिगरेसन विकल्पहरू sshd_config5 मा वर्णन गरिएको छ।

लगइन प्रक्रिया

जब प्रयोगकर्ता सफलतापूर्वक लग इन गर्दछ, sshd ले निम्न गर्दछ:

1. यदि लगइन टिटीमा छ, र कुनै आदेश निर्दिष्ट गरिएको छैन, अन्तिम लगइन समय र / etc / motd प्रिन्ट गर्नुहोस् (जब कन्फिगरेसन फाइलमा वा $ HOME /। हर्षलगइनमा Sx FILES खण्ड हेर्नुहोस्)।
2. यदि लगइन टिटीमा छ भने रेकर्ड लगइन समय।
3. यदि यो अवस्थित छ भने / आदि / नोलोलिन जाँच गर्दछ, विषयवस्तु प्रिन्ट गर्नुहोस् र रित्त गर्दछ (जड नभएसम्म)।
4. सामान्य प्रयोगकर्ता विशेषाधिकारहरूसँग चलिरहेको परिवर्तनहरू।
5. आधारभूत वातावरण सेटअप गर्दछ।
6. $ HOME / .एसएसएस / वातावरण पढ्छ भने यो अवस्थित छ र प्रयोगकर्ताले तिनीहरूको वातावरण परिवर्तन गर्न अनुमति दिएको छ। PermitUserEnvironment विकल्प sshd_config5 मा हेर्नुहोस्।
7. प्रयोगकर्ताको गृह डाइरेक्टरीमा परिवर्तन।
8. यदि $ HOME / .ssh / rc अवस्थित छ भने, यो चलाउँछ; अरू यदि / etc / ssh / sshrc अवस्थित छ भने, यो चलाउँछ; अन्यथा xauth चलाउँछ। `` Rc '' फाइलहरू X11 प्रमाणिकरण प्रोटोकल र मानक इनपुटमा कुकीहरू दिइन्छ।
9. प्रयोगकर्ताको शेल वा आदेश चलाउँछ।

Authorized_Keys फाइल ढाँचा

$ HOME / .ssh / authorized_keys पूर्वनिर्धारित फाइल हो जसले RSA प्रमाणीकरण प्रोटोकॉल संस्करण 1 मा र सार्वजनिक कुञ्जी प्रमाणिकरण (PubkeyAuthentication) प्रोटोकॉल संस्करणमा अनुमति दिन्छ जुन सार्वजनिक कुञ्जीहरू सूचीबद्ध गर्दछ 2. प्राधिकृतकेडीईफाइल वैकल्पिक फाइल निर्दिष्ट गर्न प्रयोग गर्न सकिन्छ।

फाइलको प्रत्येक रेखामा एक कुञ्जी समावेश छ (खाली रेखाहरू र `# 'सँग सुरु हुने लाइनहरू टिप्पणीको रूपमा उपेक्षित छन्)। प्रत्येक आरएसएस सार्वजनिक कुञ्जीमा निम्न क्षेत्रहरू, स्पेसहरूद्वारा विभाजित हुन्छन्: विकल्पहरू, बिट्स, घटक, मोड्युल, टिप्पणी। प्रत्येक प्रोटोकल संस्करण 2 सार्वजनिक कुञ्जी समावेश छ: विकल्पहरू, कुञ्जीपाटी, बेस 64 इन्कोडेड कुञ्जी, टिप्पणी। विकल्प फिल्ड वैकल्पिक छ; यसको उपस्थिति निर्धारित हुन्छ कि रेखा एक नम्बरको साथ सुरु हुन्छ वा होइन (विकल्प फिल्ड कहिल्यै नम्बरसँग सुरु हुँदैन)। बिट्सहरू, घटक, मोड्युल र टिप्पणी फिल्डले RSA कुञ्जी प्रोटोकल संस्करण 1 को लागि दिन्छ; टिप्पणी फिल्ड कुनै पनि चीजको लागि प्रयोग गरिएको छैन (तर कुञ्जी पहिचान गर्न प्रयोगकर्ताको लागि सुविधाजनक हुन सक्छ)। प्रोटोकल संस्करण 2 को कुञ्जीपाटी `` ssh-dss '' वा `` ssh-rsa '' हो

ध्यान दिनुहोस् कि यो फाइलमा पङ्क्तिहरू प्राय: धेरै सय बाइट्स लामो हुन्छन् (किनभने सार्वजनिक कुञ्जी इन्कोडिङको साइज)। तपाईँ तिनीहरूलाई टाइप गर्न चाहनुहुन्न; बरु, पहिचान प्रतिलिपि गर्नुहोस्। pb id_dsa.pub वा id_rsa.pub फाइल र यसलाई सम्पादन गर्नुहोस्।

sshd कम्तिमा कम्तिमा 1 9 एस प्रोटोकल 1 र प्रोटोकल 768 बिट्सको प्रोटोकलको लागि आरएसए कुञ्जी मोडुलस साइज लागू गर्दछ।

विकल्पहरू (यदि वर्तमान) अल्पविराम विभाजित विकल्प निर्दिष्टीकरणहरू समावेश हुन्छन्। डबल उद्धरणहरू भित्र बाहेक कुनै स्थानहरू अनुमति छैन। निम्न विकल्प निर्दिष्टीकरणहरू समर्थित छन् (ध्यान दिनुहोस् कि विकल्प कुञ्जीशब्दहरू केस-अपमानजनक छन्):

बाट = ढाँचा सूची

निर्दिष्ट गर्दछ कि सार्वजनिक कुञ्जी प्रमाणिकरणको अलावा, रिमोट होस्टको कन्नेनिकल नाम अल्पविराम-विभाजित सूचीमा रहेको ढाँचा (`* 'र`?' को रूपमा wildcards को रूपमा सेवा गर्नुपर्छ)। सूचीले तिनीहरूलाई '!' सँग पूर्वनिर्धारित गरेर नराम्रो ढाँचाहरू समावेश गर्न सक्छ। ; यदि क्यानोनिकल होस्ट नाम एक नापिएको ढाँचासँग मेल खान्छ, कुञ्जी स्वीकार्य छैन। यस विकल्पको उद्देश्य वैकल्पिक रूपमा वृद्धि गर्नका लागि: आफ्नै द्वारा सार्वजनिक कुञ्जी प्रमाणीकरण सञ्जाल वा नाम सर्भर वा कुनै पनि (तर कुञ्जी) मा भरोसा गर्दैन; तथापि, यदि कसैले कसैलाई कुञ्जी चोरी गर्छ भने, कुञ्जी इन्ट्रिडेरलाई विश्वमा कहीं पनि लगइन गर्न अनुमति दिन्छ। यस अतिरिक्त विकल्पले चोरी कुञ्जी र अधिक कठिन प्रयोग गर्दछ (नाम सर्भरहरू र / वा मार्गहरू मात्र कुञ्जीको अलावा सम्झौता हुन पर्दछ)।

कमांड = आदेश

जब यो कुञ्जी प्रमाणीकरणको लागि प्रयोग गरिन्छ तब आदेश क्रियान्वित गरिन्छ निर्दिष्ट गर्दछ। प्रयोगकर्ताद्वारा (यदि कुनै) द्वारा आपूर्ति गरिएको आदेश बेवास्ता गरिन्छ। यदि ग्राहकले pty अनुरोध गर्दछ भने आदेश एक pty मा चलाइएको छ; अन्यथा यो बिना टाटा चलाईन्छ। यदि 8-बिट सफा च्यानल आवश्यक छ भने, कसैले pty अनुरोध गर्नुपर्दैन वा कुनै-pty निर्दिष्ट गर्नु पर्दैन एक बोलीलाई ब्याकस्ल्याशसँग उद्धरण गरेर आदेशमा समावेश गर्न सकिन्छ। यो विकल्प निश्चित सार्वजनिक कुञ्जीहरूलाई सीमित गर्न एक विशेष अपरेसन सञ्चालन गर्न उपयोगी हुन सक्छ। एउटा उदाहरण एउटा कुञ्जी हुन सक्छ जुन रिमोट जगेडाहरूलाई अनुमति दिन्छ तर अरू केही पनि छैन। ध्यान दिनुहोस् कि ग्राहकले टीसीपी / आईपी र / वा X11 फर्वार्डिङ निर्दिष्ट गर्न सक्दछ जबसम्म उनी स्पष्ट रूपमा निषेधित छन्। ध्यान दिनुहोस् कि यो विकल्प शेल, कमान्ड वा सबसिस्टम निष्पादनमा लागू हुन्छ।

वातावरण = NAME = मूल्य

यो कुञ्जी प्रयोग गर्दा लगइन गर्दा वातावरणमा थपिने स्ट्रिङ हो। वातावरण चरले यस तरिकालाई अन्य पूर्वनिर्धारित वातावरण मानहरू ओभरराइड गर्दछ। यस प्रकारका बहु विकल्पहरूलाई अनुमति दिइएको छ। पूर्वनिर्धारित रूपमा वातावरण प्रसोधन अक्षम गरिएको छ र PermitUserEnvironment विकल्पको माध्यमद्वारा नियन्त्रण गरिएको छ। यदि प्रयोगलगइन सक्षम छ भने यो विकल्प स्वचालित रूपमा असक्षम गरिएको छ।

नो-पोर्ट-फर्वार्डिङ

जब यो कुञ्जी प्रमाणीकरणको लागि प्रयोग गरिन्छ जब फोर्ब्स TCP / IP फर्वार्डिङ। ग्राहक द्वारा कुनै पनि पोर्ट फर्वार्ड अनुरोधहरू त्रुटि फिर्ता हुनेछ। यो प्रयोग हुन सक्छ, जस्तै, आदेश विकल्पको सम्बन्धमा।

no-x11-forwarding

जब यो कुञ्जी प्रमाणीकरणको लागि प्रयोग गरिन्छ जब फोर्ब्स X11 फर्वार्डिङ। ग्राहक द्वारा कुनै पनि X11 फर्वार्ड अनुरोधहरू त्रुटि फर्काउँछ।

no-agent-forwarding

जब यो कुञ्जी प्रमाणीकरणको लागि प्रयोग गरिन्छ प्रयोगको लागि प्रमाणिकरण एजेन्टर फर्वार्डिङ।

no-pty

टिटी आवंटनलाई रोक्छ (pty आवंटित गर्ने अनुरोध असफल हुनेछ)।

परमिट खोल = होस्ट: पोर्ट

स्थानीय `` ssh -L '' पोर्ट फर्वार्डिंग लाई सीमित गर्नुहोस् जस्तै कि यो केवल निर्दिष्ट होस्ट र पोर्टसँग जडान हुन सक्छ। IPv6 ठेगानाहरू वैकल्पिक सिन्ट्याक्ससँग निर्दिष्ट गर्न सकिन्छ: होस्ट / पोर्ट एकाधिक परमिट खोल्ने विकल्पहरू अल्पविरामद्वारा विभाजित हुन सक्छ। निर्दिष्ट होस्टनाममा कुनै ढाँचा मिल्दो प्रदर्शन गरिएको छैन, तिनीहरू शाब्दिक डोमेन वा ठेगाना हुनुपर्छ।

उदाहरणहरु

1024 33 12121 ... 312314325 ylo@foo.bar

बाट = "*। niksula.hut.fi,! pc.niksula.hut.fi" 1024 35 23 ... 2334 ylo @ niksula

कमांड = "डम्प / होम", नो-पीटीटी, नो-पोर्ट-फर्वार्डिङ 1024 33 23 ... 2323 बैकअप.हट.fi

परमिट खोल = "10.2.1.55:80", परमिट खोल = "10.2.1.56:25" 1024 33 23 ... 2323

Ssh_Known_Hosts फाइल ढाँचा

/ Etc / ssh / ssh_known_hosts र $ HOME / .ssh / known_hosts फाइलहरू सबै ज्ञात होस्टहरूको लागि होस्ट सार्वजनिक कुञ्जी समावेश गर्दछ। विश्वव्यापी फाईल व्यवस्थापक (वैकल्पिक) द्वारा तयार हुनुपर्छ, र प्रति-प्रयोगकर्ता फाइल स्वत: राखिएको छ: जब पनि प्रयोगकर्ताले अज्ञात होस्टबाट जडान गर्दछ यो कुञ्जी प्रति प्रयोगकर्ता फाइलमा थपिएको छ।

यी फाइलहरूमा प्रत्येक रेखाले निम्न फिल्डहरू समावेश गर्दछ: होस्टनामहरू, बिट्स, घटक, मोड्युल, टिप्पणी। क्षेत्र रिक्त स्थानहरूद्वारा विभाजित छन्।

होस्टनामहरू अल्पविराम-विभाजित सूचीका ढाँचाहरू हुन् ('*' र '?' 'Wildcards को रूपमा कार्य गर्नुहोस्); प्रत्येक ढाँचा, बारीमा, क्यानोनिकल होस्ट नामको विरुद्धमा (ग्राहकको प्रमाणिकरण गर्दा) वा प्रयोगकर्ता द्वारा प्रदान गरिएको नामको विरुद्ध (सर्वर प्रमाणिकरण गर्दा)। एक ढाँचा पनि `! 'बाट पनि हुन सक्छ। नकारात्मक संकेत दिनुहोस्: यदि होस्ट नामले नराम्रो ढाँचासँग मेल खान्छ, त्यो स्वीकृत छैन (त्यस लाइनद्वारा) तापनि यो रेखामा अर्को ढाँचा मिलाएको छ।

बिट्स, घटक, र मोड्युल आरएसए होस्ट कुञ्जीबाट सीधै लिन सकिन्छ; उनी प्राप्त गर्न सकिन्छ, उदाहरणका लागि, बाट /etc/ssh/ssh_host_key.pub वैकल्पिक टिप्पणी फिल्ड रेखाको अन्त्यमा जारी छ, र प्रयोग गरिएको छैन।

`# 'सँग सुरु हुने लाइनहरू र खाली रेखाहरू टिप्पणीको रूपमा बेवास्ता गरिएका छन्।

होस्ट प्रमाणीकरण प्रदर्शन गर्दा, प्रमाणीकरण स्वीकार गरिन्छ यदि कुनै मेल खाने रेखा उचित कुञ्जी छ भने। यसैले त्यहि नामहरूका लागि धेरै रेखाहरू वा फरक होस्ट कुञ्जीहरू लिन अनुमति दिन्छ (तर सिफारिस गरिएको छैन)। यो अविश्वसनीय हुन्छ जब विभिन्न डोमेनबाट होस्ट नामहरूको छोटो रूप फाइलमा राखिन्छ। सम्भव छ कि फाईलहरूले विवादित जानकारी समावेश गर्दछ; प्रमाणीकरण स्वीकृत छ भने वैध जानकारी फाइलबाट फेला पार्न सकिन्छ।

ध्यान दिनुहोस् कि यी फाईलहरूमा रेखाहरू सामान्यतया सयौं क्यारेक्टरहरू छन्, र तपाइँ निश्चित रूपमा हातले होस्ट कुञ्जीहरूमा टाइप गर्न चाहनुहुन्न। बरु, उनीहरूलाई लिपिद्वारा वा उत्पन्न गर्दै /etc/ssh/ssh_host_key.pub र अगाडि होस्ट नामहरू थप्दै।

उदाहरणहरु

closenet, ..., 130.233.208.41 1024 37 159 ... 93 closenet.hut.fi cvs.openbsd.org, 199.185.137.3 ssh-rsa AAAA1234 ..... =

यो पनि हेर्नुहोस्

एसपीपी (1), sftp (1), ssh (1), ssh-add1, ssh-agent1, ssh-keygen1, login.conf5, moduli (5), sshd_config5, sftp-server8

टी। युलोनन टी। किविनन एम। सरिनन टी। रनी एस लेहटेनन " एसएसए प्रो प्रोटोकल वास्तुकला" ड्राफ्ट-आईसेट-सेक्स-आर्किटेक्चर-12.txt जनवरी 2002 प्रगति सामाग्री मा काम गर्दछ

एम। फ्रिडल एन प्रोटोस वा सिम्पसन "डफी-हेल्लम्यान ग्रुप एक्सचेंज एसएसएच ट्राभर्स लेयर प्रोटोकलका लागि एक्सचेन्ज" ड्राफ्ट-आईेटफ-सेकश-डी-समूह-एक्सचेन्ज-02.txt जनवरी 2002 प्रगतिशील सामाग्रीमा काम गर्दछ।

महत्वपूर्ण: तपाईको विशेष कम्प्युटरमा आदेश कसरी प्रयोग गरिन्छ भनेर हेर्नको लागि मानिसको आदेश ( % मानिस ) प्रयोग गर्नुहोस्।