Nafn
sshd - OpenSSH SSH daemon
Yfirlit
sshd [- deiqtD46 ] [- b bita ] [- g config_file ] [- g login_grace_time ] [- h host_key_file ] [- k key_gen_time ] [- o valkost ] [- p höfn ] [- u len ]
Lýsing
sshd (SSH Daemon) er sýndarforritið fyrir ssh (1). Saman þessi forrit skipta rlogin og rsh , og veita örugg dulkóðuð samskipti milli tveggja ótryggða vélar yfir óöruggt net. Forritin eru ætlað að vera eins auðvelt að setja upp og nota sem mögulegt er.
sshd er púkinn sem hlustar á tengingar frá viðskiptavinum. Það er venjulega byrjað við stígvél frá / etc / rc. Það lyftir nýjum dæmum fyrir hverja komandi tengingu. Forked daemons takast á við lykilaskipti, dulkóðun, sannprófun, skipan framkvæmd og gögn skipti. Þessi framkvæmd sshd styður bæði SSH siðareglur útgáfa 1 og 2 samtímis.
SSH Protocol Version 1
Hver gestgjafi er með sérstakar RSA-lyklar (venjulega 1024 bita) sem notaður er til að auðkenna gestgjafann. Að auki, þegar sýnin byrjar, býr hún til RSA-lykils (venjulega 768 bita). Þessi lykill er venjulega endurnýjuð á klukkutíma fresti ef það hefur verið notað og er aldrei geymt á diskinum.
Í hvert skipti sem viðskiptavinur tengir þjónustuna bregst við opinberum gestgjafi og miðlara lyklum. Viðskiptavinurinn samanstendur RSA gestgjafi lykillinn gagnvart eigin gagnagrunni til að staðfesta að það hafi ekki breyst. Viðskiptavinurinn býr síðan 256 bita handahófi. Það dulkóðar þetta handahófi númer með bæði hýsilyklanum og miðlara lyklinum og sendir dulritað númerið á netþjóninn. Báðir hliðar nota síðan þetta handahófi númer sem fundartakki sem er notað til að dulkóða alla frekari samskipti í fundinum. The hvíla af the fundur er dulkóðuð með venjulegum dulmál, nú Blowfish eða 3DES, með 3DES að nota sjálfgefið. Viðskiptavinurinn velur dulkóðunaralgrím til að nota frá þeim sem þjónninn býður upp á.
Næst kemur miðlarinn og viðskiptavinurinn inn á staðfestingarvalmynd. Viðskiptavinurinn reynir að auðkenna sig með því að nota .rhosts staðfesting, .hesta staðfestingu ásamt RSA gestgjafi staðfestingu, RSA viðfangsefni staðfesting eða lykilorð byggir staðfesting .
Rosts sannvottun er venjulega óvirk vegna þess að það er í grundvallaratriðum óörugg, en hægt er að virkja það í stillingarskránni fyrir miðlara ef þess er óskað. Kerfisöryggi er ekki batnað nema rshd rlogind og rexecd séu óvirkt (þannig að rlogin og rsh slökkva alveg í vélina).
SSH Protocol Version 2
Útgáfa 2 virkar á svipaðan hátt: Hver gestgjafi er með sérstakar lyklar (RSA eða DSA) sem notaður er til að bera kennsl á gestgjafann. Hins vegar, þegar púkinn byrjar, myndar hann ekki miðlara lykil. Framvirkni er veitt í gegnum Diffie-Hellman lykil samning. Þessi lykilsamningur leiðir til samnýttur lykilatriði.
The hvíla af the fundur er dulkóðuð með samhverf dulritun, nú 128 bita AES, Blowfish, 3DES, CAST128, Arcfour, 192 bita AES eða 256 bita AES. Viðskiptavinurinn velur dulkóðunaralgrím til að nota frá þeim sem þjónninn býður upp á. Þar að auki er fundur heiðarleiki veitt með dulkóðun staðfestingarkóða (hmac-sha1 eða hmac-md5).
Bókunarútgáfa 2 veitir notanda (Public Key Key Based User) (PubkeyAuthentication) eða biðlara (HostbasedAuthentication) auðkenningaraðferð, venjulegt lykilorð staðfesting og áskorun-svörun aðferðir.
Skipan framkvæmd og gagnaflutning
Ef viðskiptavinurinn staðfestir sig vel, er valmynd um að undirbúa fundinn sleginn inn. Á þessum tíma getur viðskiptavinurinn farið fram á hluti eins og að úthluta gervitunglum, áframsenda X11 tengingar, senda TCP / IP tengingar eða áframsenda staðfestingaraðili tengingu yfir örugga rásina.
Að lokum biðja viðskiptavinurinn annaðhvort um skel eða framkvæmd stjórnunar. Hliðin koma síðan inn í lotuhamur. Í þessari stillingu getur annaðhvort sent gögn hvenær sem er og slík gögn eru send til / frá skelinni eða stjórninni á miðlarahliðinni og notendaviðmótinu á viðskiptavinarhliðinni.
Þegar notendaprogramið lýkur og öll framsenda X11 og aðrar tengingar hafa verið lokaðar sendir þjónninn stjórnunarútgangsstað til viðskiptavinarins og báðir aðilar hætta.
sshd er hægt að stilla með því að nota skipanalínu valkosti eða stillingarskrá. Stjórna valkostir skipta um gildi sem eru tilgreind í stillingarskránni.
sshd endurlesar stillingarskrá sína þegar það fær hlustunarmerki, SIGHUP með því að framkvæma sjálfan sig með nafninu sem það var byrjað sem, þ.e. / usr / sbin / sshd
Valkostirnir eru sem hér segir:
-b bita
Tilgreinir fjölda bita í miðlara siðareglur útgáfu 1 miðlara lykils (sjálfgefið 768).
-d
Úrræðaleit. Miðlarinn sendir ótrúlega kembaútgang til kerfisskrárinnar og setur sig ekki í bakgrunni. Miðlarinn mun einnig ekki virka og mun aðeins vinna eina tengingu. Þessi valkostur er aðeins ætlaður til kembiforritunar fyrir þjóninn. Margfeldi -d valkostir auka kembiforritið. Hámark er 3.
-e
Þegar þessi valkostur er tilgreindur mun sshd senda framleiðsluna í staðalvilluna í stað kerfisskrárinnar.
-f stillingar_file
Tilgreinir heiti stillingarskrárinnar. Sjálfgefin er / etc / ssh / sshd_config sshd neitar að byrja ef það er engin stillingarskrá.
-g login_grace_time
Gefnir náðarganginn fyrir viðskiptavini að staðfesta sig (sjálfgefið 120 sekúndur). Ef viðskiptavinurinn tekst ekki að staðfesta notandann innan þessara margra sekúndna aftengir miðlarinn og hættir. Gildi núlls gefur til kynna engin takmörk.
-h gestgjafi_key_file
Tilgreinir skrá þar sem gestgjafi lykill er lesinn. Þessi valkostur verður að gefa ef sshd er ekki keyrður sem rót (eins og venjulegir gestgjafi lykilskrár eru venjulega ekki læsilegar af einhverjum en rót). Sjálfgefið er / etc / ssh / ssh_host_key fyrir siðareglur útgáfu 1 og / etc / ssh / ssh_host_rsa_key og / etc / ssh / ssh_host_dsa_key fyrir siðareglur útgáfu 2. Það er hægt að hafa margar gestgjafi lykilskrár fyrir mismunandi siðareglur útgáfur og gestgjafi lykill reiknirit.
-i
Tilgreinir að sshd sé keyrður frá inetd. sshd er venjulega ekki hlaupið frá inetd því það þarf að búa til miðlara takkann áður en það getur svarað viðskiptavininum og það getur tekið tugir sekúndna. Viðskiptavinir þyrftu að bíða of lengi ef lykillinn var endurnýjuð í hvert sinn. Hins vegar, með litlum helstu stærðum (td 512) með því að nota sshd frá inetd getur verið mögulegt.
-k key_gen_time
Tilgreinir hversu oft miðlara siðareglur útgáfa 1 miðlara lykilsins er endurnýjuð (sjálfgefið 3600 sekúndur eða klukkustund). Hvatningin til að endurnýja lykilinn frekar oft er að lykillinn er ekki geymdur hvar sem er og eftir um það bil klukkustund, verður það ómögulegt að endurheimta lykilinn til að afkóða afskipta samskiptum jafnvel þótt vélin sé sprungin eða eðlisfræðileg. Gildi núlls gefur til kynna að lykillinn verði aldrei endurnýjaður.
-En valkostur
Hægt að nota til að gefa upp valkosti í formi sem notað er í stillingarskránni. Þetta er gagnlegt til að tilgreina valkosti sem ekki er að finna sérstaka skipanalínu fána.
-p höfn
Tilgreinir höfnina sem þjónninn hlustar á tengingar (vanræksla 22). Margar valkostir höfn eru leyfðar. Hafnir sem tilgreindar eru í stillingaskránni eru hunsuð þegar skipanalínan er tilgreind.
-q
Rólegur háttur. Ekkert er sent í kerfisskrána. Venjulega eru upphaf, staðfesting og uppsögn hvers tengingar skráður.
-t
Prófunarstilling. Athugaðu aðeins gildi stillingarskrárinnar og hreinleika lykla. Þetta er gagnlegt til að uppfæra sshd áreiðanlega þar sem stillingar geta breyst.
- þú ert
Þessi valkostur er notaður til að tilgreina stærð reitarinnar í UTMP uppbyggingu sem geymir hýsilinn. Ef uppgefinn gestgjafi er lengri en Len, þá mun dotted decimal gildi vera notað í staðinn. Þetta leyfir vélar með mjög langa hýsingarheiti sem flæða þetta reit til að vera einstaklega auðkennd. Tilgreina - u0 gefur til kynna að aðeins dotted tugatölur skuli settar inn í UTMP skrána. - u0 er einnig notað til að koma í veg fyrir að sshd geri DNS beiðnir nema sannprófunarbúnaðurinn eða stillingar krefst þess. Staðfestingaraðferðir sem gætu þurft DNS innihalda RhostsAuthentication RhostsRSAAuthentication HostbasedAuthentication og nota valkostur frá = mynstur-lista í lykilskrá . Stillingar valkostir sem þurfa DNS eru að nota USER @ HOST mynstur í AllowUsers eða DenyUsers
-D
Þegar þessi valkostur er tilgreindur mun sshd ekki fella niður og verður ekki sýnileiki. Þetta gerir auðvelt að fylgjast með sshd
-4
Forces sshd að aðeins nota IPv4 vistföng.
-6
Forces sshd að nota aðeins IPv6 vistföng.
Stillingarskrá
sshd les uppsetningargögn frá / etc / ssh / sshd_config (eða skráin sem er tilgreind með - f á stjórn línunnar). Skráarsniðið og stillingarvalkostarnir eru lýst í sshd_config5.
Innskráning aðferð
Þegar notandi skráir sig með góðum árangri gerir sshd eftirfarandi:
- Ef innskráningin er á tty, og engin stjórn hefur verið tilgreind, prentar síðustu innskráningartíma og / etc / motd (nema koma í veg fyrir í stillingarskránni eða með $ HOME / .hushlogin sjá Sx FILES kafla).
- Ef tengingin er á tty skráir þú innskráningartíma.
- Athuganir / etc / nologin ef það er til, prentar innihald og hættir (nema rót).
- Breytingar á hlaupum með venjulegum notendastólum.
- Setur upp grunn umhverfi.
- Lesa $ HOME / .ssh / umhverfi ef það er til og notendur geta breytt umhverfi sínu. Sjá valkostinn PermitUserEnvironment í sshd_config5 .
- Breytingar á heimasíðunni notanda.
- Ef $ HOME / .ssh / rc er til staðar, keyrir það; annars ef / etc / ssh / sshrc er til, keyrir það; Annars keyrir xauth. The `` rc '' skrár eru gefin X11 sannprófunar siðareglur og kex í venjulegu inntaki.
- Keyrir notanda skel eða skipun.
Authorized_Keys File Format
$ HOME / .ssh / authorized_keys er sjálfgefin skrá sem sýnir almenna lykla sem eru leyfðar fyrir RSA staðfestingu í siðareglur útgáfu 1 og staðfesting opinberra lykla (PubkeyAuthentication) í samskiptareglum útgáfunni 2. AuthorizedKeysFile má nota til að tilgreina aðra skrá.
Hver lína í skránni inniheldur eina lykil (tóm línur og línur sem byrja á `# 'eru hunsuð sem athugasemdir). Hver RSA opinber lykill samanstendur af eftirfarandi sviðum, aðskilin með bilum: valkostir, bits, exponent, modulus, comment. Hver siðareglur útgáfa 2 opinber lykill samanstendur af: valkosti, keytype, base64 kóðuð lykill, athugasemd. Valmöguleikasvæðið er valfrjálst; Viðvera hennar er ákvarðað með því hvort línan byrjar með fjölda eða ekki (valmöguleikarinn byrjar aldrei með númeri). Bitar, exponent, modulus og comment sviðum gefa RSA takkann fyrir siðareglur útgáfu 1; Athugasemdarsvæðið er ekki notað fyrir neitt (en það kann að vera þægilegt fyrir notandann að bera kennsl á lykilinn). Fyrir siðareglur útgáfu 2 er keytype `` ssh-dss '' eða `` ssh-rsa ''
Athugaðu að línur í þessari skrá eru venjulega nokkur hundruð bæti langur (vegna stærðar kóða almenningslykilsins). Þú vilt ekki að slá þau inn; Í staðinn skaltu afrita ID.pub id_dsa.pub eða id_rsa.pub skrána og breyta því.
sshd framkallar lágmarks RSA lyklaborðsstærð fyrir siðareglur 1 og siðareglur 2 lykla 768 bits.
Valkostirnar (ef þær eru til staðar) samanstanda af kommu-aðskildum valkostum. Ekkert rými er leyfilegt, nema innan tveggja tilvitna. Eftirfarandi valkostarupplýsingar eru studdar (athugaðu að valmöguleikar leitarorð eru ófullnægjandi):
frá = mynsturlisti
Tilgreinir að til viðbótar við staðfestingu á opinberum lyklum verður að vera hægt að nota Canon-nafnið á fjarstýringunni í kommasafnaðu listanum yfir mynstur (`* 'og`?' Sem villt nafnspjald). Listinn getur einnig innihaldið mynstur neitað með því að forskeyta þá með `! ' ; Ef kerfisfræðileg gestgjafi heitir passa neitað mynstur, er lykillinn ekki samþykktur. Tilgangurinn með þessum valkosti er að auka öryggi örugglega: staðfesting á opinberum lyklum er ekki treyst á netkerfi eða nafniþjónum eða neinu (en lykillinn); Hins vegar, ef einhver stal á einhvern hátt lykilinn, leyfir lykillinn að boðflenna að skrá þig inn hvar sem er í heiminum. Þessi viðbótarkostur gerir það að verkum að nota stolið lykil erfiðara (nafnþjónar og / eða leiðir verða að vera í hættu í viðbót við aðeins lykilinn).
skipun = skipun
Tilgreinir að stjórnin er framkvæmd þegar þessi lykill er notaður til staðfestingar. Stjórnin sem notandi (ef einhver) er til staðar er hunsuð. Stjórnin er keyrð á PTY ef viðskiptavinurinn óskar eftir pty; annars er það keyrt án tty. Ef 8-bita hreint rás er krafist verður maður ekki að biðja um einkaleyfi eða ætti að tilgreina neitunarvottorð . Tilvitnun getur verið innifalinn í stjórninni með því að vitna það með bakslagi. Þessi valkostur gæti verið gagnleg til að takmarka tilteknar opinberar lyklar til að framkvæma aðeins tiltekna aðgerð. Dæmi gæti verið lykill sem leyfir fjarlægur öryggisafrit en ekkert annað. Athugaðu að viðskiptavinurinn getur tilgreint TCP / IP og / eða X11 áframsending nema það sé bannað sérstaklega. Athugaðu að þessi valkostur á við um skel, stjórn eða undirkerfi.
umhverfi = NAME = gildi
Tilgreinir að strengurinn sé bætt við umhverfið þegar þú skráir þig inn með því að nota þennan lykil. Umhverfisbreytur settar þannig á móti öðrum sjálfgefnum umhverfisgildum. Margar valkostir af þessu tagi eru leyfðar. Umhverfisvinnsla er óvirk sjálfkrafa og er stjórnað með PermitUserEnvironment valkostinum. Þessi valkostur er sjálfkrafa slekkur ef NotandiLogin er virkt.
Nei-höfn-áframsending
Bannar TCP / IP áfram þegar þessi lykill er notaður til staðfestingar. Allir höfn framsendingar beiðnir frá viðskiptavininum munu skila villa. Þetta gæti verið notað, td í tengslum við stjórnunarvalkostinn .
nei-X11 áframsending
Tilboð X11 áfram þegar þessi lykill er notaður til staðfestingar. Allir X11 áfram beiðnir frá viðskiptavininum munu skila villa.
ekki-umboðsmaður-áframsending
Forbids sannvottun umboðsmaður áfram þegar þessi lykill er notaður til staðfestingar.
Nei
Kemur í veg fyrir úthlutun tty (beiðni um að úthluta einingum mun mistakast).
permitopen = gestgjafi: höfn
Takmarkaðu staðbundna `` ssh -L '' höfn áfram svo að það sé aðeins tengt við tilgreint gestgjafi og höfn. IPv6 heimilisföng má tilgreina með öðrum setningafræði: gestgjafi / höfn Mörg leyfisveitingar geta verið beitt aðskilin með kommum. Engin mynstur samsvörun er framkvæmd á tilgreindu vélarheiti, þau verða að vera bókstafleg lén eða heimilisföng.
Dæmi
1024 33 12121 ... 312314325 ylo@foo.bar
frá = "*. niksula.hut.fi,! pc.niksula.hut.fi" 1024 35 23 ... 2334 ylo @ niksula
command = "sorphaugur / heima", ekki-pty, nei-höfn-áframsending 1024 33 23 ... 2323 backup.hut.fi
permitopen = "10.2.1.55:80", permitopen = "10.2.1.56:25" 1024 33 23 ... 2323
Ssh_Known_Hosts Skráarsnið
The / etc / ssh / ssh_known_hosts og $ HOME / .ssh / known_hosts skrár innihalda gestgjafi opinbera lykla fyrir allar þekktar vélar. Hnattræna skráin ætti að vera undirbúin af kerfisstjóra (valfrjálst) og notandaskráin er haldið sjálfkrafa: þegar notandinn tengist frá óþekktum gestgjafa er lykillinn bættur við notandaskrána.
Hver lína í þessum skrám inniheldur eftirfarandi reiti: vélarheiti, bita, hápunktur, virkni, athugasemd. Reitarnir eru aðskilin með bilum.
Hostnames eru kommaseparaðar listalistar ('*' og '?' Virka sem jógakort); hvert mynstur er síðan móttekið gegn kerfisbundinni gestgjafi nafninu (þegar staðfesting á viðskiptavini) eða gegn notandanafninu (þegar staðfesting á miðlara). Mynstur getur einnig verið á undan `! ' Til að gefa til kynna neikvæðni: Ef gestgjafi heitir passa neitað mynstur, er það ekki samþykkt (með þeirri línu), jafnvel þótt það samræmist öðru mynstri á línu.
Bits, exponent og modulus eru teknar beint frá RSA gestgjafi lykill; þau geta verið fengin, td frá /etc/ssh/ssh_host_key.pub Valfrjálst athugasemdarsvæði heldur áfram í lok línunnar og er ekki notað.
Línur sem byrja á `# 'og tómum línum eru hunsuð sem athugasemdir.
Þegar staðfesting á hýsingu er samþykkt er staðfesting ef einhver samsvarandi lína hefur réttan lykil. Það er því leyfilegt (en ekki mælt með því) að hafa nokkrar línur eða mismunandi hýsingarlyklar fyrir sömu nöfn. Þetta mun óhjákvæmilega gerast þegar stuttar tegundir hýsingarheiti frá mismunandi lénum eru settar í skrána. Það er mögulegt að skrár innihalda andstæðar upplýsingar; staðfesting er samþykkt ef giltar upplýsingar má finna úr hvorri skrá.
Athugaðu að línurnar í þessum skrám eru yfirleitt hundruð stafi löng og þú vilt örugglega ekki slá inn hýsilyklana fyrir hendi. Frekar, búðu til þau með handriti eða með því að taka /etc/ssh/ssh_host_key.pub og bæta við hýsingarheitum að framan.
Dæmi
closenet, ..., 130.233.208.41 1024 37 159 ... 93 closenet.hut.fi cvs.openbsd.org, 199.185.137.3 ssh-rsa AAAA1234 ..... =Sjá einnig
scp (1), sftp (1), ssh (1), ssh-add1, ssh-umboðsmaður1, ssh-keygen1, login.conf5, moduli (5), sshd_config5, sftp-server8
T. Ylonen T. Kivinen M. Saarinen T. Rinne S. Lehtinen "SSH Protocol Architecture" drög-ietf-secsh-arkitektúr-12.txt janúar 2002 vinna í vinnslu efni
M. Friedl N. Provos WA Simpson "Diffie-Hellman Group Exchange for the SSH Transport Layer Protocol" drög-ietf-secsh-dh-group-exchange-02.txt janúar 2002 vinna í vinnslu efni
Mikilvægt: Notaðu stjórn mannsins ( % maður ) til að sjá hvernig stjórn er notuð á tölvunni þinni.