Linux - Алексей Стахнов
Шрифт:
Интервал:
Закладка:
• LogLevel info – параметр определяет, какой уровень использовать при создании сообщений в журнал системы. Можно использовать следующие уровни – quiet, fatal, error, info, verbose, debug;
• MACs hmac-md5, hmac-shal, hmac-ripemdl60, hmac-shal-96, hmac-md5-96 – параметр определяет используемые алгоритмы для создания контрольной суммы;
• NumberOfPasswordPrompts 3 – параметр определяет количество попыток ввода пароля пользователя;
• PasswordAuthentication yes/no – параметр разрешает аутентификацию по паролю;
• Port 22 – параметр определяет, к какому порту будет подключаться клиент;
• PreferredAuthentications publickey, password, keyboard-interactive – параметр определяет приоритеты аутентификации (SSH2);
• Protocol список-версий-протокола – параметр задает список версий протокола в порядке предпочтительности;
• ProxyCommand – использование этого параметра позволяет использовать дополнительную команду для соединения с сервером;
• PubkeyAuthentication yes | no – параметр разрешает использовать при аутентификации публичный ключ (SSH2);
• RhostsAuthentication yes | no – параметр разрешает использовать при аутентификации файл. rhosts (SSH1);
• StrictHostKeyChecking ask | no | yes – параметр разрешает не добавлять незнакомые или изменившиеся хосты в know_hosts;
• UsePriviiegedPort yes | no – параметр разрешает использовать привилегированные порты для установления соединения;
• User имя-пользователя – параметр задает имя пользователя;
• UserKnownHostsFile файл-known_hosts – параметр определяет местоположение файла known_hosts;
• UseRsh no | yes – параметр разрешает использовать rsh в том случае, если SSH на хосте отсутствует.
Файлы ключей клиента
В качестве ключей клиента используются следующие файлы:
• ~/.ssh/identity – приватный RSAl-ключ пользователя;
• ~/.ssh/id_dsa – приватный DSA2-ключ пользователя;
• ~/.ssh/id_rsa – приватный RSA2~ключ пользователя;
• ~/.ssh/identity.pub – публичный RSAl-ключ пользователя;
• ~/.ssh/id_dsa.pub – публичный DSA2-ключ пользователя;
• ~/.ssh/id_rsa.pub – публичный RSA2-ключ пользователя.Ключи запуска сервера SSH
Помимо конфигурационного файла, некоторые особенности функционирования сервера SSH можно задать, используя ключи запуска. Ниже приведены основные ключи запуска:
• -D – не отсоединяться от терминала при запуске;
• -b bits – ключ задает число битов ключа сервера (SSH1), по умолчанию 768;
• -d – переводит сервер в отладочный режим, использование нескольких ключей увеличивает количество отладочной информации;
• -е – ключ разрешает выводить сообщения на stderr вместо syslog (то есть не журналировать сообщения, а сразу выводить на стандартное устройство для вывода ошибок – обычно это текстовый терминал);
• -f имя-конфигурационного-файла – ключ определяет положение конфигурационного файла, удобно использовать при отладке;
• -g grace-time – ключ определяет время ожидания между вводом логина и пароля пользователя;
• -h файл-ключей – хоста – ключ определяет местоположение файла ключей;
• -k keygen-time – параметр задает интервал регенерации ключа сервера;
• -р порт – параметр определяет порт, который будет слушать сервер;
• -q – ключ запрещает выдачу информации на syslog (то есть запрщает журналирование событий);
• -t – с помощью этого параметра можно произвести проверку на отсутствие ошибок в конфигурационном файле и ключах;
• -u число – вместо имен хостов, превышающих число, в журнале utmp будет записываться IP-адрес: -u0 вызывает безусловную запись IP-адресов;
• -4 – использование протокола IPv4;
• -6 – использование протокола IPv6.
Ключи запуска клиента SSH
Как и для сервера, для изменения некоторых параметров клиента можно воспользоваться ключами запуска:
• -а – запретить перенаправление агента аутентификации;
• -A – разрешить перенаправление агента аутентификации;
• -b адрес – позволяет для хоста с несколькими интерфейсами использовать конкретный адрес;
• -c biowfish | 3des – задает используемый алгоритм шифрования (SSH1);
• -c список-алгоритмов-шифрования-через-запятую – алгоритм В начале списка имеет наибольший приоритет; по умолчанию: aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour, aes192-cbc, aes256-cbc (SSH2);
• -D локальный-порт – эмуляция SOC KS4-cepisepa (специфического proxy-сервера) по защищенному каналу;
• -e символ | ^символ | none – определяет escape-символ вместо тильды; попе обеспечивает прозрачную передачу данных;
• -f – перейти в фоновый режим после запроса пароля или парольной фразы;
• -F имя-конфигурационного-файла – разрешает использовать указанный файл в качестве конфигурационного;
• -g – разрешать удаленному хосту подсоединяться к локальным перенаправленным портам;
• -i имя-файла – определяет файл, хранящий RSA/DSA-приватный ключ;
• -k – запретить перенаправление Kerberos;
• -l имя-пользователя – от имени какого пользователя устанавливается соединение;
• -m список-алгоритмов-обеспечения-целостности-соединения – определяет алгоритмы подсчета контрольной суммы;
• -n – направить /dev/null на stdin и перейти в фоновый режим;
• -р порт – соединиться с указанным хостом на удаленном хосте;
• -P – использовать непривилегированный порт для исходящего соединения, чтобы обойти ограничения сетевого экрана;
• -R локальный-порт: хост: удаленный-порт – если происходит соединение на удаленный порт, то оно перенаправляется по защищенному каналу на локальный порт;
• -s – запуск подсистемы на сервере – например, sftp; имя подсистемы задается последним параметром;
• -t – требовать выделения псевдо-tty;
• -T – не выделять псевдо-tty;
• -х – запретить перенаправление XII;
• -X – разрешить перенаправление XII;
• -1 – использовать только SSHl-протокол;
• -2 – использовать только SSI-12-протокол;
• -4 – использовать IPv4;
• -6 – использовать IPv6.
Программы, входящие в пакет OpenSSH
Помимо клиента и сервера, в пакет OpenSSH входят программы, предназначенные для генерации ключей, аутентификации, и программы, призванные заменить набор r-команд.
Программа ssh-keygen
Программа ssh-keygen предназначена для генерации, преобразования и управления ключами. По умолчанию генерирует RSA-ключ. При генерации запрашивается парольная фраза. Забытую парольную фразу восстановить невозможно. Число битов по умолчанию – 1024. Имя файла для хранения публичного ключа образуется из имени файла для частного ключа добавлением суффикса. pub. Ключ хоста должен иметь пустую парольную фразу.
Возможные строки запуска:
• генерирует ключ по указанному пользователем алгоритму:
ssh-keygen [-t rsal|dsa|rsa] [-b бит] [-N парольная-фраза] [-C комментарий] [-f имя-файла-записи] [-q]
• изменить комментарий:
ssh-keygen -c [-Р парольная-фраза] [-С комментарий] [-f файл-с-ключами]
• читает приватный или публичный ключ в форматах OpenSSH и преобразует его в формат SECSH для экспорта в другие реализации SSH:
ssh-keygen -e [-f файл-с-ключами]
• читает приватный или публичный ключ в формате SSH2 или SECSH и преобразует его в формат OpenSSH:
ssh-keygen -i [-f файл-с-ключами]
• позволяет изменить парольную фразу:
ssh-keygen -р [-Р старая-парольная-фраза] [-N новая-парольная-фраза] [-f файл-с-ключами]
• читает приватный ключ OpenSSH DSA и выдает публичный ключ OpenSSH DSA:
ssh-keygen -y [-f файл-с-ключами] Программа ssh-agent
Программа ssh-agent позволяет производить RSA/DSA-аутентификацию. Запускается в начале сессии и устанавливает переменные окружения, с помощью которых остальные программы могут использовать ее для автоматической аутентификации SSH. Параметрами являются имя команды и ее аргументы, ssh-agent завершается при завершении команды. Если имя команды не указано, то ssh-agent запускается в фоновом режиме, а на stdout (стандартный выход, обычно текстовый терминал) выдаются команды экспортирования необходимых переменных окружения.
Опции командной строки ssh-agent:
• -c – позволяет выдавать на stdout команды в стиле csh;
• -s – позволяет выдавать на stdout команды в стиле sh;
• -k – завершить работу агента – по переменной ssh_agent_pid.
Программа ssh-addЭта программа используется для добавления приватных ключей. Программа ssh-add запрашивает парольную фразу, расшифровывает приватный ключ и посылает его ssh-agent. Если терминал недоступен, но определена переменная display, то для ввода парольной фразы используется программа, определенная переменной ssh_askpass. Таким образом, парольная фраза запрашивается только один раз за сеанс, а не при каждом вызове ssh/scp/sftp.
Опции командной строки ssh-add:
• имя файла с приватным ключом; по умолчанию используется ~/.ssh/identity;
• -L – выдает публичные ключи, хранящиеся в ssh-add;
• -d – удалить приватный ключ;
• -D – удалить все ключи.
Программа sftpПрограмма sftp (secure FTP) является клиентом для sftp-сервера, который должен быть описан в опции Subsystem в конфигурационном файле sshd.
Программа sftp позволяет пересылать файлы в режиме, подобном FTP-протоколу, однако осуществляет все операции поверх защищенного транспорта SSH. К сожалению, данный вариант FTP пока не получил широкого распространения.
Опции командной строки:
• [[email protected]]имя-хоста[: dir/] – задает, аналогично FTP, имя пользователя, хост, к которому производится подключение, и каталог подключения;