Nav
sshd - OpenSSH SSH daemon
Synopsis
s-sshd [- deiqtD46 ] [- b bits ] [- f config_file ] [- g login_grace_time ] [- h host_key_file ] [- k key_gen_time ] [- o option ] [- p port ] [- u len ]
Terîf
sshd (SSH Daemon) bernameya daemon e ku ssh (1). Tevî van bernameyên rlogîn biguherînin û rsh , û di nav ewlehiya ewlehiyê de di nav mûzeyên du bêbawer de peywendiyên ewlehkirî ewle bînin . Programa armanca wan hêsan e ku hêsanî saz bikin û pêkanîn bi kar tîne.
SSHD daemon e ku ji bo pêwendiyên ji bo mişteriyan dibihîze. Ew bi gelemperî boot dest pê dike / etc / rc Ji bo girêdana her peyda ya nû daemon e. Danûstandinên pêşîn ên danûstendinê ya sereke, şîfre, serdestkirin, darvekirinê, û danûstendina danûstendinê. Ev pêkanîna sshd herdu protokola 1SH û 2'ê protokolê piştgirî dike.
Protokola SSH 1
Her hosteyek mifteya RSA-a key (taybetmendî 1024-bit) heye ku ji bo mêvandar nas bike. Herweha, dema ku daemon dest pê dike, ew pergala RSA (normally 768 bits) pêşkêş dike. Ev kilît bi gelemperî her saet nû ve nûvekirin dema ku ew hatiye bikaranîn, û qet caran li ser dîsk nehate tomarkirin.
Dema ku mişterek daemon ve girêdayî ye, bi rexşeyên gelemperî û kilîtên xwe yên giştî re bersiv dide. Vê mêvandar li dijî databa xwe ya mifteya sereke ya RSA re peyda dike ku ew nehatiye guhertin. Pêvek paşê hejmara hejmara 256-bit random. Ew numreya vê randomê bikar anîna herdu herdu kûreyê mêvandar û kêşeya server bikar tîne û nimreya encrypted ji bo serverê bişîne. Wê herdu alî hejmara vê randomê wekî wekî kurseya rûniştinê bikar tê bikaranîn, ku di civînê de hemî pêwendiyên din de şîfre bikar anîn. Tevahiya rûniştinê bi karanîna kevneşopî ya kevneşopî ye, niha niha bilefish an jî 3dES, bi 3DES ve bi karanîna navekî bi kar tîne. Muwekîlê algorîtmaya şîfreyê hilbijêre ku ji wan re pêşkêş dikin ku ji hêla serverê ve tê pêşkêş kirin.
Piştre, server û muwekîlê danûstendineke nasnameyê bike. Vê mişterî hewce dike ku xwe bi destnîşankirina xweserên xwe yên bikarhêneran bikar bînin.
Guhertina rûrgû bi gelemperî ne, ji ber ku ew ne ewlehî ye, lê dibe ku di pelê veguhastina pelê de bixwaze bibe. Ewlekariya pergalê neyê çêkirin, heger ku rshd rlogind û rexecd are disabled (ji ber vê yekê bi tevahî rlogîn û rş veguhertina makîneyê).
Guhertoya SSH 2
Vebijêrk 2 heman rengî: Her hosta sereke ya taybetî-yê (RSA an DSA) heye ku ji bo mêvandar nas bike. Lêbelê, dema ku daemon de dest pê dike, ew nexşeya pergalê nake. Ewlekariya pêşveçûn ji hêla peymana Diffie-Hellman ve tê dayîn. Vêhevhatina vê kilîtê di encamên sereke de hevbeş encam dide
Tiştên rûniştinê bi karanîna symmetric tê bikaranîn, niha niha 128 bit AES, Blowfish, 3DES, CAST128, Arcfour, AES 192-bit AES, an 256 bit AES. Muwekîlê algorîtmaya şîfreyê hilbijêre ku ji wan re pêşkêş dikin ku ji hêla serverê ve tê pêşkêş kirin. Di heman demê de, yekseriya yekseriyê ji hêla koda sîfreya katalîfografiyê ve tête dayîn (koda hmac-sha1 an hmac-md5).
Protokola Versiyon 2 bikarhênerên sereke yên bingehîn (PubkeyAuthentication) an jî mêvandarê mêvandar (HostbasedAuthentication), rêbazek pejirandina şîfreya kevneşopî, û rêbazên bingehîn-bersîva bersivê dide.
Fermandariya Daxistinê û Pêşveçûnê
Ger mirovekî bi serkeftî bixweber xwe rast e, diyalogek ji bo amadekirina rûniştinê tê de ket. Di vê demê de dê mişterî dikare tiştên wekî pisud-tty, pêşvekirina X11 girêdan, pêşniyazkirina TCP / IP-an girêdanek danûstendvanek peywendîdar li ser kanalek ewle ewleh bikin.
Di dawiyê de, muwekîlê an jî an germ an darvekirinê daxwaz dikin. Piştre paşde pêdivî ye. Di vê modê de, an jî dibe ku di heman demê de agahdariya daneyên xwe bişîne, û ew agahiyên ji hêla sermayeyê an ji hêla serverê ve tête, û şîfreya bikarhêner li ser muwekîlê.
Dema ku bernameya bikarhêner tête kirin û hemî X11 pêşve kirin û girêdanên din ve hatibûn girtin, server ji derveyî derveyî fermandarê ji muwekîlê û herdu aliyan ve bişîne.
sshd bi karûbarên command-rêz an pelê veguhastin bikar bîne. Vebijêrkên rêz-rêzên nirxên li ser pelê danûstandinên taybet diyar kirin.
sshd riya pelê xwe veguhastin dema ku ew nîşekek veşartî ye, SIGHUP bi xwe bi navê wî re dest pê dike, wekî, wekî, / usr / sbin / sshd
Vebijêrk wek vê yekê ye:
-b bits
Numreya pelê di navnîşa protokola 1-ê devera (768 dakil) de hejmara bîteyan diyar dike.
-d
Modûya Debug Pêşkêşkêşana debugê ji bo pergala pergala pergala devkî bişîne û bi xwe di paşê paşê de nexweşî. Server jî dê kar nekin û tenê wê pêvajoyek pêvajoyê bike. Vebijêrk tenê ji bo ji bo pêşkêşkirina serverê veguhestin. Vebijêrkên piranî -delezên asta dravî zêde dike. Herî zêde 3.
-e
Dema ku ev bijarte diyar e, sshd dê di derheqê pergala pergalê de çewtiyê standardê bişîne.
-f configuration_file
Navê navnîşê pelê veguhestîne. Default default / etc / ssh / sshd_config sshd dest pê dike ku eger pelê sazkirinê tune.
-g login_grace_time
Gelek dilsoz ji bo mişteriyên ku xwe bi destnîşan bikin (120 secsal default). Heke ku mişterî bikar nake ku bikarhênera vê çend-sêlan de bikarhênerê piştrast bike, server jixwe vekişîne, û jê vekişîne. Nirxa nîvê sînor tune.
-h host_key_file
Pelê ku kîjan kovara mêvandar dixwîne, diyar dike. Vê vebijêra vê sûdê divê sshd wekî root nabe ku (pelên pelên key-hostên normal-ê-ê bi hêla kesek lê nayê veşartin ne) ne. Guhertoya / ê / ssh / ssh_host_key ji bo protokola 1, û / etc / ssh / ssh_host_rsa_key û / etc / ssh / hsh_host_dsa_key ji bo protokola 2 / ê / ssh_host_dsa_key e. algorîtmê
-ez
Di navnîşan de diyar kir ku sshd ji zindanê veguherîne. SSHD bi gelemperî nayê hesibandin, ji ber ku ew hewce dike ku pêdivî ye ku berî ku ew dikare bikarhênerê bide bersiv bike, û dibe ku bi deh-sisiyan re bibin. Dê ku dê kengê her tim dema nû ve hatî nûkirin, Mirovan dê pir dirêj bimînin. Lêbelê, bi sizesên sereke yên piçûk (nimûne, 512) bikar tînin ku sSHD ji wan re nehêle dibe.
-k key_gen_time
Di navnîşan de çend caran protokola ephemeral 1 keybê veguherî ye (bêtir 3600 çirke, an an saetekê). Ji bo veguhastina ji bo nûkirina nûçeyê pir caran pir girîng e ku key karekî din jîverû ye, û piştî nêzîkî saetekê, ew nikare bibe ku kilît ji bo danûstandinên veguherî yên ku li ser makîneyê vekişandin an jî fîzîkî ve hatî rakirin. Nirxê sîvik nîşan dide ku key dê qet caran nû ve nûvekirin.
-o option
Ji bo pelan di pelê danûstandinan de bi karanîna alternatîfan bidin bikar anîn. Ev ji bo ji bo ala command-line cuda ye ku bijartên taybetî diyar dikin.
-p port
Pargala ku pêşkêşî ji bo girêdanên (22-nîqaş) de guhdar dike portê diyar dike. Vebijêrkên pir portê têne destûr kirin. Portsên ku di pelgeya danûstendinê de diyar kirin, nebawer dibin ku dema porta kargerê diyar kirin.
-q
Mode baş. Heta tu pergalê pergalê nehatiye şandin. Bi gelemperî destpêkê, pejirandin, û dawîkirina her pêwendiyê tête kirin.
-t
Modela Testê Tenê rastiya kontrolkirina pelê û paqijkirina pelên kilîtan kontrol bikin. Ev ji bo nûvekirina sshd ji bo guhertina vebijarkên karûbar dikare guhertin e.
-u len
Vebijêrk tê bikaranîn ku pîvana pevçûnê di nav devera utmp de diyar kir ku navnîşa dûr a dûr e. Heke navê navnîşa hostelê dirêjtirîn ji hêla lîma dêjeya dotted hatiye dê bêtir bikar anîn. Ev pêdivî ye ku navên mêvandanên pir mêvandar ên ku vê qadê bi hêsanî ne diyar e. Diyar kirin - u0 nîşan dide ku tenê navnîşên dêjeyên dotted divê divê pelê utmp. - U0 jî ji bo pêşniyarên sshd ji daxwazên DNS re nekin ku heta ku tewra mekanîzmayê an jî sazkirinê bi destûr re hewce dike. Mîkrofîzma ku destnîşan dike ku DNS hewce ye ku RhostsAuthentication RhostsAuthentication HostbasedAuthentication û di nav pelê pelê de kilîteya lîsteyê de bikar tîne. Vebijêrkên veguhastin ku DNS hewce ye ku di navnîşana USER @ HOST de di AllowUsers an DenyUsersan de bikar tînin
-D
Dema ku ev bijareya ku sshd diyar e ku diyar nakin û daemon be. Ev çavdêriya sshd hêsanî dide
-4
Hêzên SSH -ê tenê navnîşanên IPv4 bikar bînin.
-6
Hêzên sshd bi tenê bikarhênerên IPv6 bikar bînin.
Pelê veguherîn
sshd daneyên danûstandinê ji / etc / ssh / sshd_config (yan pelê bi xuyakirinê - f li ser rêza xuyakirin) xwendin. Hilbijêre pelan û veguhastina pelan di sshd_config5 de tê gotin.
Pêvajoya Têketinê
Dema ku bikarhêner bi serketî ve têketin, sshd ev e:
- Heke têketinê li ser tilê ye, û nemaze nehatiye diyarkirin, dawîn nîşan bide dema / / û / motdê nîşan bide (eger di pelê danûstandinê de an jî ji hêla $ HOME / .hushlogin ve girêdayî beşa SX FILES) bibînin.
- Heke têketinê li ser tilî ye, qeydkirina demjimêr têkeve.
- Eger hebe heye, kontrolên / rûpela / nologîn / binivîse (heke root).
- Guhertinên bi destûra bikarhênerên normal ên vebigere.
- Hawirdorê bingehîn dike.
- HOME $ HOME / .ssh / hawîrdanê heger heye heye û bikarhêner bikar anîn ku hawirdora xwe biguherînin. See PermitUserEnvironment in sshd_config5.
- Guhertinên ji bo rêveberiya malê ya bikarhêner.
- Ger $ HOME / .ssh / rc heye; din eger / etc / ssh / sshrc heye, wê rêve dike; din jî xauth dike. Fîlên `` rc '' protokola x11 bi destnîşankirina pejirandinê û kodî standard in.
- Şel an birêvebirê bikar anîn.
Formed_Keys Format Format
$ HOME / .ssh / authorized_keys pelên pelûbar e ku lîsteyên RSA yên ku ji bo protokola 1 û protokola sereke ya PubkeyAuthentication) di belgeya protokola ya protokola 2-ê de tête destnîşankirin tête lîstekirin.
Her cureya pelê yek key (lênêrîn û rêzên ku bi destpêkê `# 've tête xuya kirin nayê dîtin). Her cûreyek giştî ya RSA di bin zeviyên jêr de pêk tê, bi cihên cuda veşartî: alternatîf, bît, berbiçav, modulus, şirove. Her protokola versiyon 2 ya kûreyek gelemperî hene: navnîşan, keytype, base64 encoded key, şîrove. Hilbijêre zevî alternatîf e; Pêwîstiya wê tête diyar kirin ku ew bi heya hejmarek bi dest pê dike an na (nexşeya alternatîf qet car bi hejmarek bi dest pê dike). Bits, berbiçav, modulus û şîrovekirinên şexsî ji bo protokola 1 ya protokola RSA dide; qada şirove tiştek ji bo tiştek nayê bikaranîn (lê dibe ku ji bo bikarhênerên sereke nas bike). Ji bo protokola 2 - keytype `` ssh-dss '' an `` ssh-rsa '' ye
Têbigirin ku di vê pelê de pelên gelemperî bi sed sedîte bi dirêj (ji ber qaîdeya qaîdeya gelemperî). Tu naxwazin wan li wan binivîse; bila, pelê nasname.pub id_dsa.pub an pelê id_rsa.pub bikî û biguherînin.
sshd ji bo protokola 1 û protokola 2-768 bîteyên protokola herî kêm herî kêm RSA ya RSA tê kontrol dike.
Vebijêrkên (heke ku niha) ji navnîşên cuda yên kozayê vekirî hene. Ne cihek destûr têne, lê bila di nav du quotan de. Hilbijêre jêrîn taybetmendiyên piştgirî têne kirin (bîr nekin ku klavyeyên bijartî yên neheq-nezagonî ye):
ji = pirtûka nimûne
Di nav deverên sereke yên sereke de, navnîşa mayonî ya di lîsteya cûda-cudahî de (`* 'û`?' Divê bi wildcards re xizmet bikin). Di lîsteyê de dikarin binçavkirinên ku ji hêla `! ' ; Heke ku navê mêvîkî ya canonîk a rûpela negatorî bi hev re digire, key nayê qebûl kirin. Armanca vê bijare ye ku alternatîf bi zêdebûna ewlehiyê ye: Destnîşana sereke ya bixwe bixwe ne network navek an jî navên navên xwe bawer nakin an jî tiştek lê lê ye; Lêbelê, heger kesek kesek kûçik vedixwe, key destûra destûr dide ku ji derveyî cîhanê re têkevin. Ev alternatîf bi kar tîne zehfek zehmet e ku bikarhêneran (navên navên / û rêwerek divê bi tenê bi key) peyda bibin.
emrê = command
Heke diyar dike ku ev key-ê ji bo belgeyê tête darizandin. Fermana ku ji hêla bikarhênerê vekirî (eger kesek) tê xuya kirin. Dema ku mişterî pty pêdivî bixwaze emrê biryara pty dişîne; Wekî din bêyî ku ew bêyî ku diçin. Heke kanala 8-bit paqij e, hewce ne ku pty pêdivî bike an na-pty diyar bike A quote dikare di nav fermandarê de bi paşê vegotinê ve tête nivîsandin. Vebijêrk ev dikare bibe ku kêşeyên gelemperî sînor bike ku tenê operasyonek taybet be. Dibe ku mînakek dikare bibe kilîtek ku destûrên dûr dûr destûr dide lê tiştek din. Têbînî ku muwekîlê dikare TCP / IP û / an X11 pêşniyar dike ku ew zelal eşkere ne. Têbigere ku vê bijareyê li ser êlekê, birêvek an perestiya sabotîk tê bikaranîn.
hawirdora = NAME = nirx
Di navnîşanê de tête navnîşa ku girêdayî vê keyeyê têketinê ve girêdayî ye. Hûrgelên hawirdorê ev rê ve rêbazên din ên hawirdora hawirdora dakêşî ava dikin. Vebijêrkên pir ji vî rengî têne destûr kirin. Enerjiya hawirdorê bi rêkûpêk hate qedexekirin û ji hêla PermitUserEnvironment ve tê kontrolkirin. Vebijêrk Bikaranîna Bikaranîna Login çalak e.
no-port-forwarding
Dema ku ev kilît ji bo piştrastkirinê tê bikaranîn. Piştre pêşniyarên pargîdaniyê ji hêla muwekîlê dê çewtiyek vedigere. Ev dikare bikar anîn, wek nimûne, di çarçoveya rêveberiya fermana .
no-x11-forwarding
Dema ku ev kilît ji bo piştrastkirinê tê bikaranîn Wê daxwazên pêşî X11 ji aliyê muwekîlê dê çewtiyek vedigerin.
no-agent-forwarding
Dema ku ev kilît ji bo piştrastkirinê tê bikaranîn, pêşniyarê belaşkirina belaşbaran.
no-pty
Tty dabeşkirina qedexekirin (daxwaza daxwaza pty pispor dê têkevine).
permitopen = host: port
Limit local `` ssh -L '' port forwarding like this ku ew tenê bi mêvandar û portê ve girêdayî ye. Navnîşên IPv6 dikare bi syntaxek alternatîf werin diyar kirin: mêvandar / port vebijêrkên Multiple permitopen dikarin ji hêla commas ve têne vekirî têne bicihkirin. Naveroka nimûne tune ku li ser hostehên navnîşan têne çêkirin, ew divê domên navendî yan navnîşan be.
Nimûne
1024 33 12121 ... 312314325 ylo@foo.bar
ji = "*. niksula.hut.fi,! pc.niksula.hut.fi" 1024 35 23 ... 2334 ylo @ niksula
ferman = "dump / malê", no-pty, no-port-pêşniyar 1024 33 23 ... 2323 backup.hut.fi
permitopen = "10.2.1.55:80", permitopen = "10.2.1.56:25" 1024 33 23 ... 2323
Ssh_Known_Hosts File Format
The / etc / ssh / ssh_known_hosts û $ HOME / .ssh / known_hosts pelan ji bo hemû hosteyên naskirî mifteyên giştî hene. Pelana gerdûnî ji hêla rêveberê vekirî (amade kirin) amadekirin (û pelê per-user bixweber bixweber xuya dike: Dema ku bikarhêner ji mêveya nasnameyek nenas ve girêdayî ye.
Her line di van pelên van pelan de hene: navnîşên navnîşan, bît, berbiçav, modulus, şîrove. Zeviyên bi cihan têne veşartin.
Navnîşan lîsteya lîstikên cuda yên celebên ('*' û '?' Wekî çalakvanên bêdeng hene); her şêweyek, bi riya, li dijî navê navxweyî ya canonîkî (dema ku mişterî dipejirîne) bi navê an bikarhênerê bikarhêner-pêşkêşkirî (dema ku pêşkêşkirina serverek). Pîrek dikare ji hêla `! ' ji bo negatoriyê nîşan bide: ger ku navnîşê navnîşek nermalek negel dike, ew qebûl nakin (bi vî awayî) jî heke heke li ser xuyek din.
Bits, pispor û modulus ji rasterastên RSA re têne girtin; Ew dikarin bêne qebûlkirin, ji bo /etc/ssh/ssh_host_key.pub Navnîşa nirxandina alternatîf li dawiya rêza berdewamê berdewam dike û nayê bikaranîn.
Lines bi destpêkê `# 'û rêzikên vala binivîse wekî nerazîbûn.
Dema ku belgeya mêvandariyê didin, pejirandin heke hema ku heya ku heya ku pêdivî ye ku kûrek baş be. Ji ber vê yekê ew eşkere ne (ne pêşniyaz kirin) ku ji bo navên heman pelan an çend kêşeyên mêvandar hene hene. Vê gavê navekî kurt ên navên domên cuda yên di pelê de têne çêkirin. Dibe ku pelên agahdariyên nakokî hene; Daxuyanî pejirandin eger agahdariya rastdar ji hêla pelê ve were dîtin.
Têbînî ku di nav van pelan de bi gelemperî bi sedan kesan pir dirêj in, û hûn nexwestin ku di destên mêvandar de bi destê dest binivîsin. Bêguman, ew ji hêla lîberyek an jî ji hêla /etc/ssh/ssh_host_key.pub hilberînin û navên navnîşên li pêşê ve zêde kirin.
Nimûne
closenet, ..., 130.233.208.41 1024 37 159 ... 93 closenet.hut.fi cvs.openbsd.org, 199.185.137.3 ssh-rsa AAAA1234 ..... =Her weha bibînin
scp (1), sftp (1), ssh (add), ssh-add1, ssh-key1, ssh-keygen1, log.conf5, moduli (5), sshd_config5, sftp-server8
T. Ylonen T. Kivinen M. Saarinen T. Rinne S. Lehtinen "Saziya Parastina SSH Protokola" pêşniyaz-ietf-secsh-architecture-12.txt Çile 2002
M. Friedl N. Provos WA Simpson "Daneya Diffie-Hellman Ji bo Parastina Parastinê ya SSH veguhastin" draft-ietf-secsh-dh-group-02.txt Çile 2002
Girîng: Mirovekî meriv ( % mêr ) bikar bînin ku hûn çawa dibînin ku emrê çawa di komputerê de tê bikaranîn.