लिनक्स / यूनिक्स कमांड के बारे में सब कुछ: एसएसडीडी

नाम

sshd - ओपनएसएसएच एसएसएच डिमन

सार

sshd -deiqtD46 -ख बिट्स -च config_file -जी login_grace_time -ज host_key_file -कश्मीर key_gen_time -ओ विकल्प -पी बंदरगाह -यू लेन

विवरण

sshd (एसएसएच डेमन) एसएसएच (1) के लिए डेमॉन प्रोग्राम है। इन कार्यक्रमों को एक साथ बदल दिया rlogin तथा RSH, और एक असुरक्षित नेटवर्क पर दो अविश्वसनीय होस्टों के बीच सुरक्षित एन्क्रिप्टेड संचार प्रदान करते हैं। कार्यक्रमों को स्थापित करना और जितना संभव हो सके उपयोग करना आसान है।

sshd वह डिमन है जो ग्राहकों से कनेक्शन के लिए सुनता है। यह आमतौर पर / etc / rc से बूट पर शुरू होता है यह प्रत्येक आने वाले कनेक्शन के लिए एक नया डिमन फोर्क करता है। फोर्कड डिमन्स कुंजी एक्सचेंज, एन्क्रिप्शन, प्रमाणीकरण, कमांड निष्पादन, और डेटा एक्सचेंज को संभालते हैं। इसका कार्यान्वयनsshd एक साथ एसएसएच प्रोटोकॉल संस्करण 1 और 2 दोनों का समर्थन करता है।

एसएसएच प्रोटोकॉल संस्करण 1

प्रत्येक होस्ट में होस्ट-विशिष्ट आरएसए कुंजी (आमतौर पर 1024 बिट्स) होस्ट की पहचान करने के लिए उपयोग की जाती है। इसके अतिरिक्त, जब डिमन शुरू होता है, तो यह एक सर्वर आरएसए कुंजी उत्पन्न करता है (आमतौर पर 768 बिट्स)। यह कुंजी आमतौर पर हर घंटे पुन: उत्पन्न होती है यदि इसका उपयोग किया गया है, और डिस्क पर कभी संग्रहित नहीं होता है।

जब भी कोई क्लाइंट डेमॉन को अपने सार्वजनिक होस्ट और सर्वर कुंजी के साथ जोड़ता है। क्लाइंट अपने डेटाबेस के खिलाफ आरएसए होस्ट कुंजी की तुलना करता है ताकि यह सत्यापित किया जा सके कि यह नहीं बदला है। क्लाइंट फिर 256-बिट यादृच्छिक संख्या उत्पन्न करता है। यह मेजबान कुंजी और सर्वर कुंजी दोनों का उपयोग करके इस यादृच्छिक संख्या को एन्क्रिप्ट करता है और सर्वर पर एन्क्रिप्टेड नंबर भेजता है। दोनों पक्ष तब इस यादृच्छिक संख्या को सत्र कुंजी के रूप में उपयोग करते हैं जिसका उपयोग सत्र में सभी आगे संचार को एन्क्रिप्ट करने के लिए किया जाता है। शेष सत्र एक पारंपरिक सिफर, वर्तमान में ब्लोफिश या 3 डीईएस का उपयोग करके एन्क्रिप्ट किया जाता है, जिसमें डिफ़ॉल्ट रूप से 3 डीईएस का उपयोग किया जाता है। क्लाइंट सर्वर द्वारा पेश किए गए लोगों से उपयोग करने के लिए एन्क्रिप्शन एल्गोरिदम का चयन करता है।

अगला, सर्वर और क्लाइंट प्रमाणीकरण संवाद दर्ज करें। ग्राहक .rhosts प्रमाणीकरण का उपयोग करके खुद को प्रमाणीकृत करने का प्रयास करता है, आरएसए होस्ट प्रमाणीकरण, आरएसए चुनौती-प्रतिक्रिया प्रमाणीकरण, या पासवर्ड-आधारित प्रमाणीकरण के साथ संयुक्त .hhosts प्रमाणीकरण।

Rhosts प्रमाणीकरण सामान्य रूप से अक्षम है क्योंकि यह मूल रूप से असुरक्षित है, लेकिन वांछित अगर सर्वर विन्यास फाइल में सक्षम किया जा सकता है। जब तक सिस्टम सुरक्षा में सुधार नहीं हुआ हैrshdrlogind और rexecd अक्षम हैं (इस प्रकार पूरी तरह से मशीन में rlogin और rsh अक्षम)।

एसएसएच प्रोटोकॉल संस्करण 2

संस्करण 2 समान रूप से काम करता है: प्रत्येक होस्ट में होस्ट-विशिष्ट कुंजी (आरएसए या डीएसए) होस्ट की पहचान करने के लिए उपयोग किया जाता है। हालांकि, जब डिमन शुरू होता है, तो यह सर्वर कुंजी उत्पन्न नहीं करता है। फॉरवर्ड सुरक्षा एक डिफी-हेलमैन कुंजी समझौते के माध्यम से प्रदान की जाती है। यह महत्वपूर्ण अनुबंध साझा सत्र कुंजी में परिणाम देता है।

शेष सत्र एक सममित सिफर, वर्तमान में 128 बिट एईएस, ब्लोफिश, 3 डीईएस, सीएएसटी 128, आर्कफॉर, 1 9 2 बिट एईएस, या 256 बिट एईएस का उपयोग करके एन्क्रिप्ट किया गया है। क्लाइंट सर्वर द्वारा पेश किए गए लोगों से उपयोग करने के लिए एन्क्रिप्शन एल्गोरिदम का चयन करता है। इसके अतिरिक्त, सत्र अखंडता क्रिप्टोग्राफिक संदेश प्रमाणीकरण कोड (एचएमएसी-शाए 1 या एचएमएसी-एमडी 5) के माध्यम से प्रदान की जाती है।

प्रोटोकॉल संस्करण 2 एक सार्वजनिक कुंजी आधारित उपयोगकर्ता (PubkeyAuthentication) या क्लाइंट होस्ट (होस्टबेस प्रमाणीकरण) प्रमाणीकरण विधि, पारंपरिक पासवर्ड प्रमाणीकरण, और चुनौती-प्रतिक्रिया आधारित विधियों प्रदान करता है।

कमांड निष्पादन और डेटा अग्रेषण

यदि ग्राहक सफलतापूर्वक प्रमाणित करता है, तो सत्र तैयार करने के लिए एक संवाद दर्ज किया जाता है। इस समय ग्राहक एक छद्म-टीटी आवंटित करने, X11 कनेक्शन को अग्रेषित करने, टीसीपी / आईपी कनेक्शन को अग्रेषित करने, या सुरक्षित चैनल पर प्रमाणीकरण एजेंट कनेक्शन को अग्रेषित करने जैसी चीजों का अनुरोध कर सकता है।

अंत में, ग्राहक या तो आदेश के खोल या निष्पादन का अनुरोध करता है। पक्ष फिर सत्र मोड में प्रवेश करते हैं। इस मोड में, कोई भी पक्ष किसी भी समय डेटा भेज सकता है, और ऐसे डेटा को सर्वर के किनारे खोल या कमांड से और क्लाइंट साइड पर उपयोगकर्ता टर्मिनल को अग्रेषित किया जाता है।

जब उपयोगकर्ता प्रोग्राम समाप्त हो जाता है और सभी अग्रेषित X11 और अन्य कनेक्शन बंद कर दिए जाते हैं, तो सर्वर क्लाइंट को कमांड निकास स्थिति भेजता है और दोनों पक्ष बाहर निकलते हैं।

sshd कमांड लाइन विकल्प या कॉन्फ़िगरेशन फ़ाइल का उपयोग करके कॉन्फ़िगर किया जा सकता है। कमांड लाइन विकल्प कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट मान ओवरराइड करते हैं।

sshd जब यह एक हैंगअप सिग्नल प्राप्त करता है तो इसकी कॉन्फ़िगरेशन फ़ाइल को दोहराता है,उच्छ्वास करो नाम के साथ खुद को निष्पादित करके इसे शुरू किया गया था, यानी, / usr / sbin / sshd

विकल्प इस प्रकार हैं:

बी बिट्स

क्षणिक प्रोटोकॉल संस्करण 1 सर्वर कुंजी (डिफ़ॉल्ट 768) में बिट्स की संख्या निर्दिष्ट करता है।

-d

डिबग मोड। सर्वर सिस्टम लॉग में वर्बोज डीबग आउटपुट भेजता है और खुद को पृष्ठभूमि में नहीं डालता है। सर्वर भी काम नहीं करेगा और केवल एक कनेक्शन को संसाधित करेगा। यह विकल्प केवल सर्वर के लिए डीबगिंग के लिए है। एकाधिक-डी विकल्प डिबगिंग स्तर को बढ़ाते हैं। अधिकतम 3 है।

-e

जब यह विकल्प निर्दिष्ट किया गया है,sshd सिस्टम लॉग की बजाय मानक त्रुटि को आउटपुट भेज देगा।

-f विन्यास फाइल

कॉन्फ़िगरेशन फ़ाइल का नाम निर्दिष्ट करता है। डिफ़ॉल्ट / etc / ssh / sshd_config हैsshdअगर कोई विन्यास फाइल नहीं है तो शुरू करने से इंकार कर दिया।

जी login_grace_time

ग्राहकों को खुद को प्रमाणीकृत करने के लिए अनुग्रह समय देता है (डिफ़ॉल्ट 120 सेकंड)। यदि ग्राहक इस कई सेकंड के भीतर उपयोगकर्ता को प्रमाणीकृत करने में विफल रहता है, तो सर्वर डिस्कनेक्ट हो जाता है, और बाहर निकलता है।शून्य का मान कोई सीमा इंगित नहीं करता है।

-h host_key_file

एक फ़ाइल निर्दिष्ट करता है जिसमें से एक होस्ट कुंजी पढ़ी जाती है। यह विकल्प दिया जाना चाहिए यदिsshd रूट के रूप में नहीं चलाया जाता है (क्योंकि सामान्य मेजबान कुंजी फ़ाइलों को सामान्य रूप से किसी के द्वारा पठनीय नहीं किया जाता है)। प्रोटोकॉल संस्करण 1 के लिए डिफ़ॉल्ट / etc / ssh / ssh_host_key है, और / etc / ssh / ssh_host_rsa_key और / etc / ssh / ssh_host_dsa_key प्रोटोकॉल संस्करण 2 के लिए है। विभिन्न प्रोटोकॉल संस्करणों और होस्ट कुंजी के लिए एकाधिक होस्ट कुंजी फ़ाइलें रखना संभव है एल्गोरिदम।

-मैं

निर्दिष्ट करता है किsshd inetd से चलाया जा रहा है।sshd आम तौर पर इनसेट से नहीं चलाया जाता है क्योंकि इसे क्लाइंट को जवाब देने से पहले सर्वर कुंजी उत्पन्न करने की आवश्यकता होती है, और इसमें कुछ सेकंड लग सकते हैं। यदि कुंजी हर बार पुनर्जीवित की जाती है तो ग्राहकों को बहुत लंबा इंतजार करना होगा। हालांकि, छोटे आकार के आकार (उदा।, 512) के साथsshd inetd से व्यवहार्य हो सकता है।

-k key_gen_time

निर्दिष्ट करता है कि कितनी बार क्षणिक प्रोटोकॉल संस्करण 1 सर्वर कुंजी पुन: उत्पन्न होती है (डिफ़ॉल्ट 3600 सेकंड, या एक घंटा)। कुंजी को पुन: उत्पन्न करने के लिए प्रेरणा अक्सर यह है कि कुंजी कहीं भी संग्रहीत नहीं होती है, और लगभग एक घंटे बाद, मशीन को क्रैक या शारीरिक रूप से जब्त होने पर भी अवरोधित संचार को डिक्रिप्ट करने के लिए कुंजी को पुनर्प्राप्त करना असंभव हो जाता है। शून्य का मान इंगित करता है कि कुंजी कभी पुन: उत्पन्न नहीं होगी।

-ओ विकल्प

विन्यास फाइल में इस्तेमाल प्रारूप में विकल्प देने के लिए इस्तेमाल किया जा सकता है। यह उन विकल्पों को निर्दिष्ट करने के लिए उपयोगी है जिनके लिए कोई अलग कमांड लाइन ध्वज नहीं है।

-p बंदरगाह

उस पोर्ट को निर्दिष्ट करता है जिस पर सर्वर कनेक्शन के लिए सुनता है (डिफ़ॉल्ट 22)। एकाधिक बंदरगाह विकल्पों की अनुमति है। कमांड लाइन पोर्ट निर्दिष्ट होने पर कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट पोर्ट को अनदेखा कर दिया जाता है।

-q

शांत तरीका। सिस्टम लॉग में कुछ भी नहीं भेजा जाता है। आम तौर पर प्रत्येक कनेक्शन की शुरुआत, प्रमाणीकरण और समाप्ति लॉग होती है।

आयकर

परीक्षण विधि। केवल कॉन्फ़िगरेशन फ़ाइल और कुंजी की सैनिटी की वैधता की जांच करें। यह अद्यतन करने के लिए उपयोगी हैsshd विश्वसनीय रूप से कॉन्फ़िगरेशन विकल्प बदल सकते हैं।

-u लेन

इस विकल्प का उपयोग क्षेत्र के आकार को निर्दिष्ट करने के लिए किया जाता हैutmp संरचना जो रिमोट होस्ट नाम रखती है। यदि हल किया गया होस्ट नाम लंबा है लेन इसके बजाय बिंदीदार दशमलव मान का उपयोग किया जाएगा। यह मेजबानों को बहुत लंबे होस्ट नामों के साथ अनुमति देता है जो इस फ़ील्ड को ओवरफ्लो करने के लिए अभी भी विशिष्ट रूप से पहचाने जाते हैं। निर्दिष्ट -u0 इंगित करता है कि utmp फ़ाइल में केवल बिंदीदार दशमलव पते डाले जाने चाहिए। -u0 रोकने के लिए भी इस्तेमाल किया जा रहा हैsshd DNS अनुरोध करने से जब तक प्रमाणीकरण तंत्र या कॉन्फ़िगरेशन की आवश्यकता नहीं होती है। प्रमाणीकरण तंत्र जिन्हें DNS की आवश्यकता हो सकती हैRhostsAuthenticationRhostsRSAAuthentication HostbasedAuthentication और एक का उपयोग करसे = पैटर्न-सूचीएक कुंजी फ़ाइल में विकल्प। कॉन्फ़िगरेशन विकल्प जिन्हें DNS की आवश्यकता होती है उनमें एक उपयोगकर्ता @ HOSTpattern का उपयोग करना शामिल हैAllowUsers याDenyUsers

डी

जब यह विकल्प निर्दिष्ट किया गया हैsshd अलग नहीं होगा और एक डेमॉन नहीं बन जाएगा। यह आसान निगरानी की अनुमति देता हैsshd

-4

ताकतोंsshd केवल आईपीवी 4 पते का उपयोग करने के लिए।

-6

ताकतोंsshd केवल आईपीवी 6 पते का उपयोग करने के लिए।

विन्यास फाइल

sshd / etc / ssh / sshd_config से कॉन्फ़िगरेशन डेटा पढ़ता है (या फ़ाइल के साथ निर्दिष्ट -च कमांड लाइन पर)। Sshd_config5 में फ़ाइल प्रारूप और कॉन्फ़िगरेशन विकल्प वर्णित हैं।

लॉगिन प्रक्रिया

जब कोई उपयोगकर्ता सफलतापूर्वक लॉग इन करता है,sshd निम्नलिखित करता है:

1. अगर लॉगिन एक tty पर है, और कोई आदेश निर्दिष्ट नहीं किया गया है, तो अंतिम लॉगिन समय और / etc / motd प्रिंट करता है (जब तक कि कॉन्फ़िगरेशन फ़ाइल में या $ HOME / .hushlogin द्वारा रोकें Sx FILES अनुभाग देखें)।
2. अगर लॉगिन एक tty पर है, तो लॉगिन समय रिकॉर्ड करें।
3. चेक / etc / nologin अगर यह मौजूद है, सामग्री और quits प्रिंट (जब तक रूट)।
4. सामान्य उपयोगकर्ता विशेषाधिकारों के साथ चलाने के लिए परिवर्तन।
5. बुनियादी वातावरण सेट करता है।
6. यदि यह मौजूद है तो $ HOME / .ssh / पर्यावरण पढ़ता है और उपयोगकर्ताओं को उनके पर्यावरण को बदलने की अनुमति है। देखेंPermitUserEnvironment sshd_config5 में विकल्प।
7. उपयोगकर्ता की होम निर्देशिका में परिवर्तन।
8. अगर $ HOME / .ssh / rc मौजूद है, तो इसे चलाता है; अन्यथा यदि / etc / ssh / sshrc मौजूद है, तो इसे चलाता है; अन्यथा xauth चलाता है। 'आरसी' फाइलों को एक्स 11 प्रमाणीकरण प्रोटोकॉल और मानक इनपुट में कुकी दी जाती है।
9. उपयोगकर्ता के खोल या कमांड चलाता है।

Authorized_Keys फ़ाइल प्रारूप

$ HOME / .ssh / valid_keys डिफ़ॉल्ट फ़ाइल है जो प्रोटोकॉल संस्करण 1 में सार्वजनिक कुंजी प्रमाणीकरण (PubkeyAuthentication) के लिए प्रोटोकॉल संस्करण 2 में आरएसए प्रमाणीकरण के लिए अनुमति देने वाली सार्वजनिक कुंजी सूचीबद्ध करती है।AuthorizedKeysFile एक वैकल्पिक फ़ाइल निर्दिष्ट करने के लिए इस्तेमाल किया जा सकता है।

फ़ाइल की प्रत्येक पंक्ति में एक कुंजी होती है (रिक्त रेखाएं और रेखाएं '#' से शुरू होती हैं जिन्हें टिप्पणियों के रूप में अनदेखा किया जाता है)। प्रत्येक आरएसए सार्वजनिक कुंजी में निम्नलिखित फ़ील्ड होते हैं, जो रिक्त स्थान से अलग होते हैं: विकल्प, बिट्स, एक्सपोनेंट, मॉड्यूलस, टिप्पणी। प्रत्येक प्रोटोकॉल संस्करण 2 सार्वजनिक कुंजी में निम्न शामिल हैं: विकल्प, कीटाइप, बेस 64 एन्कोडेड कुंजी, टिप्पणी। विकल्प फ़ील्ड वैकल्पिक है; इसकी उपस्थिति इस बात से निर्धारित होती है कि रेखा किसी संख्या से शुरू होती है या नहीं (विकल्प फ़ील्ड कभी संख्या से शुरू नहीं होती है)। बिट्स, एक्सपोनेंट, मॉड्यूलस और टिप्पणी फ़ील्ड प्रोटोकॉल संस्करण 1 के लिए आरएसए कुंजी देते हैं; टिप्पणी फ़ील्ड का उपयोग किसी भी चीज़ के लिए नहीं किया जाता है (लेकिन उपयोगकर्ता को कुंजी की पहचान करने के लिए सुविधाजनक हो सकता है)। प्रोटोकॉल संस्करण 2 के लिए कीटाइप `` ssh-dss '' या `ssh-rsa 'है

ध्यान दें कि इस फ़ाइल में रेखाएं आमतौर पर कई सौ बाइट लंबी होती हैं (सार्वजनिक कुंजी एन्कोडिंग के आकार की वजह से)। आप उन्हें टाइप नहीं करना चाहते हैं; इसके बजाय, पहचान.pub id_dsa.pub या id_rsa.pub फ़ाइल कॉपी करें और इसे संपादित करें।

sshd प्रोटोकॉल 1 के लिए न्यूनतम आरएसए कुंजी मॉड्यूलस आकार और 768 बिट्स के प्रोटोकॉल 2 कुंजी लागू करता है।

विकल्प (यदि मौजूद हैं) में अल्पविराम से अलग विकल्प विनिर्देश शामिल हैं। डबल कोट्स को छोड़कर, किसी भी स्थान की अनुमति नहीं है। निम्न विकल्प विनिर्देश समर्थित हैं (ध्यान दें कि विकल्प कीवर्ड केस-असंवेदनशील हैं):

से = पैटर्न-सूची

निर्दिष्ट करता है कि सार्वजनिक कुंजी प्रमाणीकरण के अतिरिक्त, रिमोट होस्ट का कैनोलिक नाम पैटर्न (`* 'और`?' वाइल्डकार्ड के रूप में कार्य करने वाली अल्पविराम से अलग सूची में मौजूद होना चाहिए)। सूची में '!' के साथ उपसर्ग करके नकारात्मक पैटर्न भी शामिल हो सकते हैं ; यदि कैनोलिक होस्ट नाम किसी नकारात्मक पैटर्न से मेल खाता है, तो कुंजी स्वीकार नहीं की जाती है। इस विकल्प का उद्देश्य वैकल्पिक रूप से सुरक्षा में वृद्धि करना है: स्वयं द्वारा सार्वजनिक कुंजी प्रमाणीकरण नेटवर्क या नाम सर्वर या कुछ भी (लेकिन कुंजी) पर भरोसा नहीं करता है; हालांकि, अगर कोई भी कुंजी चुरा लेता है, तो कुंजी घुसपैठिया को दुनिया में कहीं से भी लॉग इन करने की अनुमति देती है। यह अतिरिक्त विकल्प चोरी की कुंजी का उपयोग करना अधिक कठिन बनाता है (नाम सर्वर और / या राउटर को केवल कुंजी के अतिरिक्त समझौता करना होगा)।

आदेश = आदेश

निर्दिष्ट करता है कि जब भी इस कुंजी का प्रमाणीकरण के लिए उपयोग किया जाता है तो आदेश निष्पादित किया जाता है। उपयोगकर्ता द्वारा प्रदान की गई आदेश (अगर कोई है) को अनदेखा किया जाता है। अगर ग्राहक एक पीटीआई का अनुरोध करता है तो आदेश एक पीटीआई पर चलाया जाता है; अन्यथा यह बिना किसी tty के चलाया जाता है। यदि 8-बिट क्लीन चैनल की आवश्यकता है, तो किसी को पीटीई का अनुरोध नहीं करना चाहिए या निर्दिष्ट करना चाहिएकोई Pty एक उद्धरण को बैकस्लैश के साथ उद्धृत करके कमांड में शामिल किया जा सकता है। यह विकल्प कुछ सार्वजनिक कुंजी को केवल एक विशिष्ट ऑपरेशन करने के लिए प्रतिबंधित करने के लिए उपयोगी हो सकता है। एक उदाहरण एक कुंजी हो सकती है जो दूरस्थ बैकअप को अनुमति देती है लेकिन कुछ भी नहीं। ध्यान दें कि क्लाइंट टीसीपी / आईपी और / या एक्स 11 फॉरवर्डिंग निर्दिष्ट कर सकता है जब तक कि वे स्पष्ट रूप से प्रतिबंधित न हों। ध्यान दें कि यह विकल्प खोल, कमांड या उपप्रणाली निष्पादन पर लागू होता है।

पर्यावरण = नाम = मूल्य

निर्दिष्ट करता है कि इस कुंजी का उपयोग करते समय लॉग इन करते समय स्ट्रिंग को पर्यावरण में जोड़ा जाना है। पर्यावरण चर इस तरह से अन्य डिफ़ॉल्ट पर्यावरण मूल्यों को ओवरराइड सेट करते हैं। इस प्रकार के कई विकल्पों की अनुमति है। पर्यावरण प्रसंस्करण डिफ़ॉल्ट रूप से अक्षम है और इसके माध्यम से नियंत्रित किया जाता हैPermitUserEnvironment विकल्प। यह विकल्प स्वचालित रूप से अक्षम कर दिया गया है अगरUseLogin सक्षम किया गया है।

कोई बंदरगाह अग्रेषण

जब यह कुंजी प्रमाणीकरण के लिए उपयोग की जाती है तो फोर्बिड्स टीसीपी / आईपी अग्रेषण। क्लाइंट द्वारा कोई पोर्ट अग्रेषित अनुरोध एक त्रुटि लौटाएगा। इसका उपयोग किया जा सकता है, उदाहरण के लिए, के संबंध मेंआदेश विकल्प।

नो-X11 अग्रेषण

फोर्बिड्स एक्स 11 अग्रेषण जब इस कुंजी का प्रमाणीकरण के लिए उपयोग किया जाता है। क्लाइंट द्वारा कोई भी X11 आगे अनुरोध एक त्रुटि लौटाएगा।

कोई एजेंट अग्रेषण

प्रमाणीकरण के लिए इस कुंजी का उपयोग होने पर फोर्बिड्स प्रमाणीकरण एजेंट अग्रेषण।

कोई Pty

टीटी आवंटन रोकता है (एक पीटी आवंटित करने का अनुरोध असफल हो जाएगा)।

permitopen = host: port

स्थानीय सीमा`एसएसएच-एल '' बंदरगाह अग्रेषण जैसे कि यह केवल निर्दिष्ट मेजबान और बंदरगाह से कनेक्ट हो सकता है। IPv6 पते को वैकल्पिक वाक्यविन्यास के साथ निर्दिष्ट किया जा सकता है: होस्ट पोर्ट विभिन्न permitopen विकल्पों को अल्पविराम से अलग किया जा सकता है। निर्दिष्ट होस्टनामों पर कोई पैटर्न मिलान नहीं किया जाता है, वे शाब्दिक डोमेन या पते होना चाहिए।

उदाहरण

1024 33 12121 … 312314325 [email protected]

= "*। niksula.hut.fi,! pc.niksula.hut.fi" 1024 35 23 … 2334 ylo @ niksula

कमांड = "डंप / होम", नो-पीटीआई, नो-पोर्ट-फॉरवर्डिंग 1024 33 23 … 2323 backup.hut.fi

permitopen = "10.2.1.55:80", permitopen = "10.2.1.56:25" 1024 33 23 … 2323

Ssh_Known_Hosts फ़ाइल स्वरूप

/ Etc / ssh / ssh_known_hosts और $ HOME / .ssh / known_hosts फ़ाइलों में सभी ज्ञात होस्टों के लिए होस्ट सार्वजनिक कुंजी होती है। वैश्विक फ़ाइल व्यवस्थापक (वैकल्पिक) द्वारा तैयार की जानी चाहिए, और प्रति-उपयोगकर्ता फ़ाइल स्वचालित रूप से बनाए रखा जाता है: जब भी उपयोगकर्ता अज्ञात होस्ट से कनेक्ट होता है तो इसकी कुंजी प्रति-उपयोगकर्ता फ़ाइल में जोड़ दी जाती है।

इन फ़ाइलों में प्रत्येक पंक्ति में निम्नलिखित फ़ील्ड हैं: होस्टनाम, बिट्स, एक्सपोनेंट, मॉड्यूलस, टिप्पणी। खेतों को रिक्त स्थान से अलग किया जाता है।

होस्टनाम पैटर्न की एक अल्पविराम से अलग सूची ('*' और '?' अधिनियम वाइल्डकार्ड के रूप में हैं); प्रत्येक पैटर्न, बदले में, कैनोलिक होस्ट नाम (क्लाइंट को प्रमाणीकृत करते समय) या उपयोगकर्ता द्वारा प्रदान किए गए नाम (सर्वर को प्रमाणित करते समय) के विरुद्ध मेल किया जाता है। एक पैटर्न पहले भी हो सकता है '!' अस्वीकृति को इंगित करने के लिए: यदि मेजबान का नाम किसी नकारात्मक पैटर्न से मेल खाता है, तो यह स्वीकार नहीं किया जाता है (उस पंक्ति से) भले ही यह लाइन पर एक और पैटर्न से मेल खाता हो।

बिट्स, एक्सपोनेंट, और मॉड्यूलस सीधे आरएसए होस्ट कुंजी से लिया जाता है; उन्हें प्राप्त किया जा सकता है, उदाहरण के लिए, /etc/ssh/ssh_host_key.pub से वैकल्पिक टिप्पणी फ़ील्ड लाइन के अंत तक जारी है, और इसका उपयोग नहीं किया जाता है।

`# 'से शुरू होने वाली रेखाएं और रिक्त रेखाओं को टिप्पणियों के रूप में अनदेखा किया जाता है।

मेजबान प्रमाणीकरण करते समय, प्रमाणीकरण स्वीकार किया जाता है यदि किसी मिलान लाइन में उचित कुंजी है। इस प्रकार एक ही नाम के लिए कई लाइनें या अलग मेजबान कुंजी रखने के लिए अनुमत (लेकिन अनुशंसित नहीं) है। यह अनिवार्य रूप से तब होगा जब फ़ाइल में विभिन्न डोमेन से होस्ट नामों के छोटे रूपों को रखा जाता है। यह संभव है कि फाइलों में विरोधाभासी जानकारी हो; प्रमाणीकरण स्वीकार किया जाता है अगर वैध जानकारी किसी भी फ़ाइल से मिल सकती है।

ध्यान दें कि इन फ़ाइलों में रेखाएं आमतौर पर सैकड़ों वर्ण लंबी होती हैं, और आप निश्चित रूप से मेजबान कुंजी को हाथ से टाइप नहीं करना चाहते हैं। इसके बजाय, उन्हें एक स्क्रिप्ट द्वारा उत्पन्न करें या /etc/ssh/ssh_host_key.pub लेकर और सामने के होस्ट नाम जोड़कर।

उदाहरण

closenet, …, 130.233.208.41 1024 37 15 9 … 93 closenet.hut.fi cvs.openbsd.org, 199.185.137.3 एसएसएच-आरएसए एएएए 1234 ….. =

यह भी देखें

एसपीपी (1), एसएफटीपी (1), एसएसएच (1), एसएसएच-एड 1, एसएसएच-एजेंट 1, एसएसएच-कीजेन 1, login.conf5, मॉडुलि (5), sshd_config5, sftp-server8

टी। यलोलेन टी। किविनेन एम। सारेनिन टी। रिने एस लेहतिन "एसएसएच प्रोटोकॉल आर्किटेक्चर" ड्राफ्ट-आईईटीएफ-सेकश-आर्किटेक्चर -12.txt जनवरी 2002 प्रगति सामग्री में काम करता है

एम। फ्रेडल एन प्रोवो डब्ल्यू ए सिम्पसन "एसएसएच ट्रांसपोर्ट लेयर प्रोटोकॉल के लिए डिफी-हेलमैन ग्रुप एक्सचेंज" मसौदा- ietf-secsh-dh-group-exchange-02.txt जनवरी 2002 प्रगति सामग्री में काम करता है

जरूरी: उपयोग आदमी आदेश ( % आदमी ) यह देखने के लिए कि आपके विशेष कंप्यूटर पर कमांड का उपयोग कैसे किया जाता है।