लिनक्स / यूनिक्स कमांड: एसएसडीडी

नाम

एसएसडीडी - ओपनएसएसएच एसएसएच डिमन

सार

sshd [- deiqtD46 ] [- b बिट्स ] [- f config_file ] [- g login_grace_time ] [- h host_key_file ] [- k key_gen_time ] [- o विकल्प ] [- p पोर्ट ] [- u len ]

विवरण

एसएसएचडी (एसएसएच डेमन) एसएसएच (1) के लिए डेमॉन प्रोग्राम है । इन कार्यक्रमों के साथ-साथ rlogin को प्रतिस्थापित करें और आरएसएच , और एक असुरक्षित नेटवर्क पर दो अविश्वसनीय मेजबानों के बीच सुरक्षित एन्क्रिप्टेड संचार प्रदान करते हैं। कार्यक्रमों को स्थापित करना और जितना संभव हो सके उपयोग करना आसान है।

sshd वह डिमन है जो ग्राहकों से कनेक्शन के लिए सुनता है। यह आमतौर पर / etc / rc से बूट पर शुरू होता है यह प्रत्येक आने वाले कनेक्शन के लिए एक नया डिमन फोर्क करता है। फोर्कड डिमन्स कुंजी एक्सचेंज, एन्क्रिप्शन, प्रमाणीकरण, कमांड निष्पादन, और डेटा एक्सचेंज को संभालते हैं। एसएसएचडी का यह कार्यान्वयन एक साथ एसएसएच प्रोटोकॉल संस्करण 1 और 2 दोनों का समर्थन करता है।

एसएसएच प्रोटोकॉल संस्करण 1

प्रत्येक होस्ट में होस्ट-विशिष्ट आरएसए कुंजी (आमतौर पर 1024 बिट्स) होस्ट की पहचान करने के लिए उपयोग की जाती है। इसके अतिरिक्त, जब डिमन शुरू होता है, तो यह एक सर्वर आरएसए कुंजी उत्पन्न करता है (आमतौर पर 768 बिट्स)। यह कुंजी आमतौर पर हर घंटे पुन: उत्पन्न होती है यदि इसका उपयोग किया गया है, और डिस्क पर कभी संग्रहित नहीं होता है।

जब भी कोई क्लाइंट डेमॉन को अपने सार्वजनिक होस्ट और सर्वर कुंजी के साथ जोड़ता है। क्लाइंट अपने डेटाबेस के खिलाफ आरएसए होस्ट कुंजी की तुलना करता है ताकि यह सत्यापित किया जा सके कि यह नहीं बदला है। क्लाइंट फिर 256-बिट यादृच्छिक संख्या उत्पन्न करता है। यह मेजबान कुंजी और सर्वर कुंजी दोनों का उपयोग करके इस यादृच्छिक संख्या को एन्क्रिप्ट करता है और सर्वर पर एन्क्रिप्टेड नंबर भेजता है। दोनों पक्ष तब इस यादृच्छिक संख्या को सत्र कुंजी के रूप में उपयोग करते हैं जिसका उपयोग सत्र में सभी आगे संचार को एन्क्रिप्ट करने के लिए किया जाता है। शेष सत्र एक पारंपरिक सिफर, वर्तमान में ब्लोफिश या 3 डीईएस का उपयोग करके एन्क्रिप्ट किया जाता है, जिसमें डिफ़ॉल्ट रूप से 3 डीईएस का उपयोग किया जाता है। क्लाइंट सर्वर द्वारा पेश किए गए लोगों से उपयोग करने के लिए एन्क्रिप्शन एल्गोरिदम का चयन करता है।

अगला, सर्वर और क्लाइंट प्रमाणीकरण संवाद दर्ज करें। ग्राहक .rhosts प्रमाणीकरण का उपयोग करके खुद को प्रमाणीकृत करने का प्रयास करता है, आरएसए होस्ट प्रमाणीकरण, आरएसए चुनौती-प्रतिक्रिया प्रमाणीकरण, या पासवर्ड-आधारित प्रमाणीकरण के साथ संयुक्त .hhosts प्रमाणीकरण

Rhosts प्रमाणीकरण सामान्य रूप से अक्षम है क्योंकि यह मूल रूप से असुरक्षित है, लेकिन वांछित अगर सर्वर विन्यास फाइल में सक्षम किया जा सकता है। सिस्टम सुरक्षा में सुधार नहीं होता है जब तक कि rshd rlogind और rexecd अक्षम नहीं होते हैं (इस प्रकार पूरी तरह से मशीन में rlogin और rsh अक्षम)।

एसएसएच प्रोटोकॉल संस्करण 2

संस्करण 2 समान रूप से काम करता है: प्रत्येक होस्ट में होस्ट-विशिष्ट कुंजी (आरएसए या डीएसए) होस्ट की पहचान करने के लिए उपयोग किया जाता है। हालांकि, जब डिमन शुरू होता है, तो यह सर्वर कुंजी उत्पन्न नहीं करता है। फॉरवर्ड सुरक्षा एक डिफी-हेलमैन कुंजी समझौते के माध्यम से प्रदान की जाती है। यह महत्वपूर्ण अनुबंध साझा सत्र कुंजी में परिणाम देता है।

शेष सत्र एक सममित सिफर, वर्तमान में 128 बिट एईएस, ब्लोफिश, 3 डीईएस, सीएएसटी 128, आर्कफॉर, 1 9 2 बिट एईएस, या 256 बिट एईएस का उपयोग करके एन्क्रिप्ट किया गया है। क्लाइंट सर्वर द्वारा पेश किए गए लोगों से उपयोग करने के लिए एन्क्रिप्शन एल्गोरिदम का चयन करता है। इसके अतिरिक्त, सत्र अखंडता क्रिप्टोग्राफिक संदेश प्रमाणीकरण कोड (एचएमएसी-शाए 1 या एचएमएसी-एमडी 5) के माध्यम से प्रदान की जाती है।

प्रोटोकॉल संस्करण 2 एक सार्वजनिक कुंजी आधारित उपयोगकर्ता (PubkeyAuthentication) या क्लाइंट होस्ट (होस्टबेस प्रमाणीकरण) प्रमाणीकरण विधि, पारंपरिक पासवर्ड प्रमाणीकरण, और चुनौती-प्रतिक्रिया आधारित विधियों प्रदान करता है।

कमांड निष्पादन और डेटा अग्रेषण

यदि ग्राहक सफलतापूर्वक प्रमाणित करता है, तो सत्र तैयार करने के लिए एक संवाद दर्ज किया जाता है। इस समय ग्राहक एक छद्म-टीटी आवंटित करने, X11 कनेक्शन को अग्रेषित करने, टीसीपी / आईपी कनेक्शन को अग्रेषित करने, या सुरक्षित चैनल पर प्रमाणीकरण एजेंट कनेक्शन को अग्रेषित करने जैसी चीजों का अनुरोध कर सकता है।

अंत में, ग्राहक या तो आदेश के खोल या निष्पादन का अनुरोध करता है। पक्ष फिर सत्र मोड में प्रवेश करते हैं। इस मोड में, कोई भी पक्ष किसी भी समय डेटा भेज सकता है, और ऐसे डेटा को सर्वर के किनारे खोल या कमांड से और क्लाइंट साइड पर उपयोगकर्ता टर्मिनल को अग्रेषित किया जाता है।

जब उपयोगकर्ता प्रोग्राम समाप्त हो जाता है और सभी अग्रेषित X11 और अन्य कनेक्शन बंद कर दिए जाते हैं, तो सर्वर क्लाइंट को कमांड निकास स्थिति भेजता है और दोनों पक्ष बाहर निकलते हैं।

एसएसडीडी को कमांड लाइन विकल्प या कॉन्फ़िगरेशन फ़ाइल का उपयोग करके कॉन्फ़िगर किया जा सकता है। कमांड लाइन विकल्प कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट मान ओवरराइड करते हैं।

एसएसडीडी अपनी कॉन्फ़िगरेशन फ़ाइल को फिर से चलाता है जब इसे एक हैंगअप सिग्नल प्राप्त होता है, SIGHUP स्वयं को नाम के साथ निष्पादित करके, यानी, / usr / sbin / sshd

विकल्प इस प्रकार हैं:

-बी बिट्स

क्षणिक प्रोटोकॉल संस्करण 1 सर्वर कुंजी (डिफ़ॉल्ट 768) में बिट्स की संख्या निर्दिष्ट करता है।

-d

डिबग मोड। सर्वर सिस्टम लॉग में वर्बोज डीबग आउटपुट भेजता है और खुद को पृष्ठभूमि में नहीं डालता है। सर्वर भी काम नहीं करेगा और केवल एक कनेक्शन को संसाधित करेगा। यह विकल्प केवल सर्वर के लिए डीबगिंग के लिए है। एकाधिक-डी विकल्प डिबगिंग स्तर को बढ़ाते हैं। अधिकतम 3 है।

-e

जब यह विकल्प निर्दिष्ट होता है, तो sshd आउटपुट को सिस्टम लॉग के बजाय मानक त्रुटि में भेज देगा।

-f config_file

कॉन्फ़िगरेशन फ़ाइल का नाम निर्दिष्ट करता है। डिफॉल्ट है / etc / ssh / sshd_config sshd कोई कॉन्फ़िगरेशन फ़ाइल नहीं है, तो शुरू करने से इंकार कर देता है।

-g login_grace_time

ग्राहकों को खुद को प्रमाणीकृत करने के लिए अनुग्रह समय देता है (डिफ़ॉल्ट 120 सेकंड)। यदि ग्राहक इस कई सेकंड के भीतर उपयोगकर्ता को प्रमाणीकृत करने में विफल रहता है, तो सर्वर डिस्कनेक्ट हो जाता है, और बाहर निकलता है। शून्य का मान कोई सीमा इंगित नहीं करता है।

-h host_key_file

एक फ़ाइल निर्दिष्ट करता है जिसमें से एक होस्ट कुंजी पढ़ी जाती है। यह विकल्प दिया जाना चाहिए यदि sshd रूट के रूप में नहीं चलाया जाता है (क्योंकि सामान्य मेजबान कुंजी फ़ाइलें सामान्य रूप से किसी के द्वारा पठनीय नहीं होती हैं)। प्रोटोकॉल संस्करण 1 के लिए डिफ़ॉल्ट / etc / ssh / ssh_host_key है, और / etc / ssh / ssh_host_rsa_key और / etc / ssh / ssh_host_dsa_key प्रोटोकॉल संस्करण 2 के लिए है। विभिन्न प्रोटोकॉल संस्करणों और होस्ट कुंजी के लिए एकाधिक होस्ट कुंजी फ़ाइलें रखना संभव है एल्गोरिदम।

-मैं

निर्दिष्ट करता है कि sshd inetd से चलाया जा रहा है। sshd आमतौर पर inetd से नहीं चलाया जाता है क्योंकि इसे क्लाइंट को प्रतिक्रिया देने से पहले सर्वर कुंजी उत्पन्न करने की आवश्यकता होती है, और इसमें कुछ सेकंड लग सकते हैं। यदि कुंजी हर बार पुनर्जीवित की जाती है तो ग्राहकों को बहुत लंबा इंतजार करना होगा। हालांकि, inetd से sshd का उपयोग कर छोटे कुंजी आकार (उदाहरण के लिए, 512) के साथ संभव हो सकता है।

-k key_gen_time

निर्दिष्ट करता है कि कितनी बार क्षणिक प्रोटोकॉल संस्करण 1 सर्वर कुंजी पुन: उत्पन्न होती है (डिफ़ॉल्ट 3600 सेकंड, या एक घंटा)। कुंजी को पुन: उत्पन्न करने के लिए प्रेरणा अक्सर यह है कि कुंजी कहीं भी संग्रहीत नहीं होती है, और लगभग एक घंटे बाद, मशीन को क्रैक या शारीरिक रूप से जब्त होने पर भी अवरोधित संचार को डिक्रिप्ट करने के लिए कुंजी को पुनर्प्राप्त करना असंभव हो जाता है। शून्य का मान इंगित करता है कि कुंजी कभी पुन: उत्पन्न नहीं होगी।

-o विकल्प

विन्यास फाइल में इस्तेमाल प्रारूप में विकल्प देने के लिए इस्तेमाल किया जा सकता है। यह उन विकल्पों को निर्दिष्ट करने के लिए उपयोगी है जिनके लिए कोई अलग कमांड लाइन ध्वज नहीं है।

-पी पोर्ट

उस पोर्ट को निर्दिष्ट करता है जिस पर सर्वर कनेक्शन के लिए सुनता है (डिफ़ॉल्ट 22)। एकाधिक बंदरगाह विकल्पों की अनुमति है। कमांड लाइन पोर्ट निर्दिष्ट होने पर कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट पोर्ट को अनदेखा कर दिया जाता है।

-q

शांत तरीका। सिस्टम लॉग में कुछ भी नहीं भेजा जाता है। आम तौर पर प्रत्येक कनेक्शन की शुरुआत, प्रमाणीकरण और समाप्ति लॉग होती है।

आयकर

परीक्षण विधि। केवल कॉन्फ़िगरेशन फ़ाइल और कुंजी की सैनिटी की वैधता की जांच करें। एसएसडी विश्वसनीय रूप से अद्यतन करने के लिए यह उपयोगी है क्योंकि कॉन्फ़िगरेशन विकल्प बदल सकते हैं।

-यू लेन

इस विकल्प का उपयोग utmp संरचना में फ़ील्ड के आकार को निर्दिष्ट करने के लिए किया जाता है जिसमें दूरस्थ होस्ट नाम होता है। यदि हल किया गया होस्ट नाम लैन से लंबा है तो बिंदीदार दशमलव मान का उपयोग इसके बजाय किया जाएगा। यह मेजबानों को बहुत लंबे होस्ट नामों के साथ अनुमति देता है जो इस फ़ील्ड को ओवरफ्लो करने के लिए अभी भी विशिष्ट रूप से पहचाने जाते हैं। निर्दिष्ट - u0 इंगित करता है कि केवल डॉट किए गए दशमलव पते को utmp फ़ाइल में रखा जाना चाहिए। - u0 का उपयोग एसएसडीडी को DNS अनुरोध करने से रोकने के लिए भी किया जाता है जब तक कि प्रमाणीकरण तंत्र या कॉन्फ़िगरेशन की आवश्यकता न हो। प्रमाणीकरण तंत्र जिन्हें DNS की आवश्यकता हो सकती है उनमें RhostsAuthentication RhostsRSA प्रमाणीकरण Hostbased प्रमाणीकरण और एक कुंजी फ़ाइल में से = पैटर्न-सूची विकल्प का उपयोग करना शामिल है। कॉन्फ़िगरेशन विकल्प जिन्हें DNS की आवश्यकता होती है उनमें AllowUsers या DenyUsers में USER @ HOST पैटर्न का उपयोग करना शामिल है

डी

जब यह विकल्प निर्दिष्ट होता है तो sshd अलग नहीं होगा और एक डेमॉन नहीं बनता है। यह एसएसडीडी की आसान निगरानी की अनुमति देता है

-4

एसएसडीडी केवल आईपीवी 4 पते का उपयोग करने के लिए मजबूर करता है।

-6

एसएसडीडी केवल आईपीवी 6 पते का उपयोग करने के लिए मजबूर करता है।

विन्यास फाइल

sshd / etc / ssh / sshd_config (या कमांड लाइन पर f - f निर्दिष्ट फ़ाइल) से कॉन्फ़िगरेशन डेटा पढ़ता है। Sshd_config5 में फ़ाइल प्रारूप और कॉन्फ़िगरेशन विकल्प वर्णित हैं।

लॉगिन प्रक्रिया

जब कोई उपयोगकर्ता सफलतापूर्वक लॉग इन करता है, तो sshd निम्न करता है:

  1. अगर लॉगिन एक tty पर है, और कोई आदेश निर्दिष्ट नहीं किया गया है, तो अंतिम लॉगिन समय और / etc / motd प्रिंट करता है (जब तक कि कॉन्फ़िगरेशन फ़ाइल में या $ HOME / .hushlogin द्वारा रोकें Sx FILES अनुभाग देखें)।
  2. अगर लॉगिन एक tty पर है, तो लॉगिन समय रिकॉर्ड करें।
  3. चेक / etc / nologin अगर यह मौजूद है, सामग्री और quits प्रिंट (जब तक रूट)।
  4. सामान्य उपयोगकर्ता विशेषाधिकारों के साथ चलाने के लिए परिवर्तन।
  5. बुनियादी वातावरण सेट करता है।
  6. यदि यह मौजूद है तो $ HOME / .ssh / पर्यावरण पढ़ता है और उपयोगकर्ताओं को उनके पर्यावरण को बदलने की अनुमति है। Sshd_config5 में PermitUserEnvironment विकल्प देखें।
  7. उपयोगकर्ता की होम निर्देशिका में परिवर्तन।
  8. अगर $ HOME / .ssh / rc मौजूद है, तो इसे चलाता है; अन्यथा यदि / etc / ssh / sshrc मौजूद है, तो इसे चलाता है; अन्यथा xauth चलाता है। 'आरसी' फाइलों को एक्स 11 प्रमाणीकरण प्रोटोकॉल और मानक इनपुट में कुकी दी जाती है।
  9. उपयोगकर्ता के खोल या कमांड चलाता है।

Authorized_Keys फ़ाइल प्रारूप

$ HOME / .ssh / valid_keys एक डिफ़ॉल्ट फ़ाइल है जो प्रोटोकॉल संस्करण 1 में सार्वजनिक कुंजी प्रमाणीकरण (PubkeyAuthentication) के लिए प्रोटोकॉल संस्करण 2 में आरएसए प्रमाणीकरण के लिए अनुमति देने वाली सार्वजनिक कुंजी सूचीबद्ध करता है। प्राधिकृत KeysFile का उपयोग वैकल्पिक फ़ाइल निर्दिष्ट करने के लिए किया जा सकता है।

फ़ाइल की प्रत्येक पंक्ति में एक कुंजी होती है (रिक्त रेखाएं और रेखाएं '#' से शुरू होती हैं जिन्हें टिप्पणियों के रूप में अनदेखा किया जाता है)। प्रत्येक आरएसए सार्वजनिक कुंजी में निम्नलिखित फ़ील्ड होते हैं, जो रिक्त स्थान से अलग होते हैं: विकल्प, बिट्स, एक्सपोनेंट, मॉड्यूलस, टिप्पणी। प्रत्येक प्रोटोकॉल संस्करण 2 सार्वजनिक कुंजी में निम्न शामिल हैं: विकल्प, कीटाइप, बेस 64 एन्कोडेड कुंजी, टिप्पणी। विकल्प फ़ील्ड वैकल्पिक है; इसकी उपस्थिति इस बात से निर्धारित होती है कि रेखा किसी संख्या से शुरू होती है या नहीं (विकल्प फ़ील्ड कभी संख्या से शुरू नहीं होती है)। बिट्स, एक्सपोनेंट, मॉड्यूलस और टिप्पणी फ़ील्ड प्रोटोकॉल संस्करण 1 के लिए आरएसए कुंजी देते हैं; टिप्पणी फ़ील्ड का उपयोग किसी भी चीज़ के लिए नहीं किया जाता है (लेकिन उपयोगकर्ता को कुंजी की पहचान करने के लिए सुविधाजनक हो सकता है)। प्रोटोकॉल संस्करण 2 के लिए कीटाइप `` ssh-dss '' या `ssh-rsa 'है

ध्यान दें कि इस फ़ाइल में रेखाएं आमतौर पर कई सौ बाइट लंबी होती हैं (सार्वजनिक कुंजी एन्कोडिंग के आकार की वजह से)। आप उन्हें टाइप नहीं करना चाहते हैं; इसके बजाय, पहचान.pub id_dsa.pub या id_rsa.pub फ़ाइल कॉपी करें और इसे संपादित करें।

sshd प्रोटोकॉल 1 के लिए न्यूनतम आरएसए कुंजी मॉड्यूलस आकार और 768 बिट्स के प्रोटोकॉल 2 कुंजी लागू करता है।

विकल्प (यदि मौजूद हैं) में अल्पविराम से अलग विकल्प विनिर्देश शामिल हैं। डबल कोट्स को छोड़कर, किसी भी स्थान की अनुमति नहीं है। निम्न विकल्प विनिर्देश समर्थित हैं (ध्यान दें कि विकल्प कीवर्ड केस-असंवेदनशील हैं):

से = पैटर्न-सूची

निर्दिष्ट करता है कि सार्वजनिक कुंजी प्रमाणीकरण के अतिरिक्त, रिमोट होस्ट का कैनोलिक नाम पैटर्न (`* 'और`?' वाइल्डकार्ड के रूप में कार्य करने वाली अल्पविराम से अलग सूची में मौजूद होना चाहिए)। सूची में '!' के साथ उपसर्ग करके नकारात्मक पैटर्न भी शामिल हो सकते हैं ; यदि कैनोलिक होस्ट नाम किसी नकारात्मक पैटर्न से मेल खाता है, तो कुंजी स्वीकार नहीं की जाती है। इस विकल्प का उद्देश्य वैकल्पिक रूप से सुरक्षा में वृद्धि करना है: स्वयं द्वारा सार्वजनिक कुंजी प्रमाणीकरण नेटवर्क या नाम सर्वर या कुछ भी (लेकिन कुंजी) पर भरोसा नहीं करता है; हालांकि, अगर कोई भी कुंजी चुरा लेता है, तो कुंजी घुसपैठिया को दुनिया में कहीं से भी लॉग इन करने की अनुमति देती है। यह अतिरिक्त विकल्प चोरी की कुंजी का उपयोग करना अधिक कठिन बनाता है (नाम सर्वर और / या राउटर को केवल कुंजी के अतिरिक्त समझौता करना होगा)।

आदेश = आदेश

निर्दिष्ट करता है कि जब भी इस कुंजी का प्रमाणीकरण के लिए उपयोग किया जाता है तो आदेश निष्पादित किया जाता है। उपयोगकर्ता द्वारा प्रदान की गई आदेश (अगर कोई है) को अनदेखा किया जाता है। अगर ग्राहक एक पीटीआई का अनुरोध करता है तो आदेश एक पीटीआई पर चलाया जाता है; अन्यथा यह बिना किसी tty के चलाया जाता है। यदि 8-बिट क्लीन चैनल की आवश्यकता है, तो किसी को पीटीई का अनुरोध नहीं करना चाहिए या उसे निर्दिष्ट करना चाहिए कि कोई-पीटीआई ए कोट को बैकस्लैश के साथ उद्धृत करके कमांड में शामिल किया जा सकता है। यह विकल्प कुछ सार्वजनिक कुंजी को केवल एक विशिष्ट ऑपरेशन करने के लिए प्रतिबंधित करने के लिए उपयोगी हो सकता है। एक उदाहरण एक कुंजी हो सकती है जो दूरस्थ बैकअप को अनुमति देती है लेकिन कुछ भी नहीं। ध्यान दें कि क्लाइंट टीसीपी / आईपी और / या एक्स 11 फॉरवर्डिंग निर्दिष्ट कर सकता है जब तक कि वे स्पष्ट रूप से प्रतिबंधित न हों। ध्यान दें कि यह विकल्प खोल, कमांड या उपप्रणाली निष्पादन पर लागू होता है।

पर्यावरण = नाम = मूल्य

निर्दिष्ट करता है कि इस कुंजी का उपयोग करते समय लॉग इन करते समय स्ट्रिंग को पर्यावरण में जोड़ा जाना है। पर्यावरण चर इस तरह से अन्य डिफ़ॉल्ट पर्यावरण मूल्यों को ओवरराइड सेट करते हैं। इस प्रकार के कई विकल्पों की अनुमति है। पर्यावरण प्रसंस्करण डिफ़ॉल्ट रूप से अक्षम है और PermitUserEnvironment विकल्प के माध्यम से नियंत्रित किया जाता है। UseLogin सक्षम होने पर यह विकल्प स्वचालित रूप से अक्षम हो जाता है।

कोई बंदरगाह अग्रेषण

जब यह कुंजी प्रमाणीकरण के लिए उपयोग की जाती है तो फोर्बिड्स टीसीपी / आईपी अग्रेषण। क्लाइंट द्वारा कोई पोर्ट अग्रेषित अनुरोध एक त्रुटि लौटाएगा। इसका उपयोग किया जा सकता है, उदाहरण के लिए, कमांड विकल्प के संबंध में।

नो-X11 अग्रेषण

फोर्बिड्स एक्स 11 अग्रेषण जब इस कुंजी का प्रमाणीकरण के लिए उपयोग किया जाता है। क्लाइंट द्वारा कोई भी X11 आगे अनुरोध एक त्रुटि लौटाएगा।

कोई एजेंट अग्रेषण

प्रमाणीकरण के लिए इस कुंजी का उपयोग होने पर फोर्बिड्स प्रमाणीकरण एजेंट अग्रेषण।

कोई Pty

टीटी आवंटन रोकता है (एक पीटी आवंटित करने का अनुरोध असफल हो जाएगा)।

permitopen = host: port

स्थानीय `` ssh -L ' पोर्ट अग्रेषण को सीमित करें जैसे कि यह केवल निर्दिष्ट होस्ट और पोर्ट से कनेक्ट हो। आईपीवी 6 पते को वैकल्पिक सिंटैक्स के साथ निर्दिष्ट किया जा सकता है: होस्ट / पोर्ट एकाधिक परमिट विकल्प विकल्पों को अल्पविराम से अलग किया जा सकता है। निर्दिष्ट होस्टनामों पर कोई पैटर्न मिलान नहीं किया जाता है, वे शाब्दिक डोमेन या पते होना चाहिए।

उदाहरण

1024 33 12121 ... 312314325 ylo@foo.bar

= "*। niksula.hut.fi,! pc.niksula.hut.fi" 1024 35 23 ... 2334 ylo @ niksula

कमांड = "डंप / होम", नो-पीटीआई, नो-पोर्ट-फॉरवर्डिंग 1024 33 23 ... 2323 backup.hut.fi

permitopen = "10.2.1.55:80", permitopen = "10.2.1.56:25" 1024 33 23 ... 2323

Ssh_Known_Hosts फ़ाइल स्वरूप

/ Etc / ssh / ssh_known_hosts और $ HOME / .ssh / known_hosts फ़ाइलों में सभी ज्ञात होस्टों के लिए होस्ट सार्वजनिक कुंजी होती है। वैश्विक फ़ाइल व्यवस्थापक (वैकल्पिक) द्वारा तैयार की जानी चाहिए, और प्रति-उपयोगकर्ता फ़ाइल स्वचालित रूप से बनाए रखा जाता है: जब भी उपयोगकर्ता अज्ञात होस्ट से कनेक्ट होता है तो इसकी कुंजी प्रति-उपयोगकर्ता फ़ाइल में जोड़ दी जाती है।

इन फ़ाइलों में प्रत्येक पंक्ति में निम्नलिखित फ़ील्ड हैं: होस्टनाम, बिट्स, एक्सपोनेंट, मॉड्यूलस, टिप्पणी। खेतों को रिक्त स्थान से अलग किया जाता है।

होस्टनाम पैटर्न की एक अल्पविराम से अलग सूची ('*' और '?' अधिनियम वाइल्डकार्ड के रूप में हैं); प्रत्येक पैटर्न, बदले में, कैनोलिक होस्ट नाम (क्लाइंट को प्रमाणीकृत करते समय) या उपयोगकर्ता द्वारा प्रदान किए गए नाम (सर्वर को प्रमाणित करते समय) के विरुद्ध मेल किया जाता है। एक पैटर्न पहले भी हो सकता है '!' अस्वीकृति को इंगित करने के लिए: यदि मेजबान का नाम किसी नकारात्मक पैटर्न से मेल खाता है, तो यह स्वीकार नहीं किया जाता है (उस पंक्ति से) भले ही यह लाइन पर एक और पैटर्न से मेल खाता हो।

बिट्स, एक्सपोनेंट, और मॉड्यूलस सीधे आरएसए होस्ट कुंजी से लिया जाता है; उन्हें प्राप्त किया जा सकता है, उदाहरण के लिए, /etc/ssh/ssh_host_key.pub से वैकल्पिक टिप्पणी फ़ील्ड लाइन के अंत तक जारी है, और इसका उपयोग नहीं किया जाता है।

`# 'से शुरू होने वाली रेखाएं और रिक्त रेखाओं को टिप्पणियों के रूप में अनदेखा किया जाता है।

मेजबान प्रमाणीकरण करते समय, प्रमाणीकरण स्वीकार किया जाता है यदि किसी मिलान लाइन में उचित कुंजी है। इस प्रकार एक ही नाम के लिए कई लाइनें या अलग मेजबान कुंजी रखने के लिए अनुमत (लेकिन अनुशंसित नहीं) है। यह अनिवार्य रूप से तब होगा जब फ़ाइल में विभिन्न डोमेन से होस्ट नामों के छोटे रूपों को रखा जाता है। यह संभव है कि फाइलों में विरोधाभासी जानकारी हो; प्रमाणीकरण स्वीकार किया जाता है अगर वैध जानकारी किसी भी फ़ाइल से मिल सकती है।

ध्यान दें कि इन फ़ाइलों में रेखाएं आमतौर पर सैकड़ों वर्ण लंबी होती हैं, और आप निश्चित रूप से मेजबान कुंजी को हाथ से टाइप नहीं करना चाहते हैं। इसके बजाय, उन्हें एक स्क्रिप्ट द्वारा उत्पन्न करें या /etc/ssh/ssh_host_key.pub लेकर और सामने के होस्ट नाम जोड़कर।

उदाहरण

closenet, ..., 130.233.208.41 1024 37 15 9 ... 93 closenet.hut.fi cvs.openbsd.org, 199.185.137.3 एसएसएच-आरएसए एएएए 1234 ..... =

यह भी देखें

एसपीपी (1), एसएफटीपी (1), एसएसएच (1), एसएसएच-एड 1, एसएसएच-एजेंट 1, एसएसएच-कीजेन 1, login.conf5, मॉडुलि (5), sshd_config5, sftp-server8

टी। यलोलेन टी। किविनेन एम। सारेनिन टी। रिने एस लेहतिन "एसएसएच प्रोटोकॉल आर्किटेक्चर" ड्राफ्ट-आईईटीएफ-सेकश-आर्किटेक्चर -12.txt जनवरी 2002 प्रगति सामग्री में काम करता है

एम। फ्रेडल एन प्रोवो डब्ल्यूए सिम्पसन "एसएसएच ट्रांसपोर्ट लेयर प्रोटोकॉल के लिए डिफी-हेलमैन ग्रुप एक्सचेंज" ड्राफ्ट-आईईटीएफ-सेकेश-डीएच-ग्रुप-एक्सचेंज-02.txt जनवरी 2002 प्रगति सामग्री में काम करता है

महत्वपूर्ण: यह देखने के लिए मैन कमांड ( % man ) का उपयोग करें कि आपके विशेष कंप्यूटर पर कमांड का उपयोग कैसे किया जाता है।