Linux - Алексей Стахнов

• LogLevel info – параметр определяет, какой уровень использовать при создании сообщений в журнал системы. Можно использовать следующие уровни – quiet, fatal, error, info, verbose, debug;

• MACs hmac-md5, hmac-shal, hmac-ripemdl60, hmac-shal-96, hmac-md5-96 – параметр определяет используемые алгоритмы для создания контрольной суммы;

• NumberOfPasswordPrompts 3 – параметр определяет количество попыток ввода пароля пользователя;

• PasswordAuthentication yes/no – параметр разрешает аутентификацию по паролю;

• Port 22 – параметр определяет, к какому порту будет подключаться клиент;

• PreferredAuthentications publickey, password, keyboard-interactive – параметр определяет приоритеты аутентификации (SSH2);

• Protocol список-версий-протокола – параметр задает список версий протокола в порядке предпочтительности;

• ProxyCommand – использование этого параметра позволяет использовать дополнительную команду для соединения с сервером;

• PubkeyAuthentication yes | no – параметр разрешает использовать при аутентификации публичный ключ (SSH2);

• RhostsAuthentication yes | no – параметр разрешает использовать при аутентификации файл. rhosts (SSH1);

• StrictHostKeyChecking ask | no | yes – параметр разрешает не добавлять незнакомые или изменившиеся хосты в know_hosts;

• UsePriviiegedPort yes | no – параметр разрешает использовать привилегированные порты для установления соединения;

• User имя-пользователя – параметр задает имя пользователя;

• UserKnownHostsFile файл-known_hosts – параметр определяет местоположение файла known_hosts;

• UseRsh no | yes – параметр разрешает использовать rsh в том случае, если SSH на хосте отсутствует.

Файлы ключей клиента

В качестве ключей клиента используются следующие файлы:

• ~/.ssh/identity – приватный RSAl-ключ пользователя;

• ~/.ssh/id_dsa – приватный DSA2-ключ пользователя;

• ~/.ssh/id_rsa – приватный RSA2~ключ пользователя;

• ~/.ssh/identity.pub – публичный RSAl-ключ пользователя;

• ~/.ssh/id_dsa.pub – публичный DSA2-ключ пользователя;

Ключи запуска сервера SSH

Помимо конфигурационного файла, некоторые особенности функционирования сервера SSH можно задать, используя ключи запуска. Ниже приведены основные ключи запуска:

• -D – не отсоединяться от терминала при запуске;

• -b bits – ключ задает число битов ключа сервера (SSH1), по умолчанию 768;

• -d – переводит сервер в отладочный режим, использование нескольких ключей увеличивает количество отладочной информации;

• -е – ключ разрешает выводить сообщения на stderr вместо syslog (то есть не журналировать сообщения, а сразу выводить на стандартное устройство для вывода ошибок – обычно это текстовый терминал);

• -f имя-конфигурационного-файла – ключ определяет положение конфигурационного файла, удобно использовать при отладке;

• -g grace-time – ключ определяет время ожидания между вводом логина и пароля пользователя;

• -h файл-ключей – хоста – ключ определяет местоположение файла ключей;

• -k keygen-time – параметр задает интервал регенерации ключа сервера;

• -р порт – параметр определяет порт, который будет слушать сервер;

• -q – ключ запрещает выдачу информации на syslog (то есть запрщает журналирование событий);

• -t – с помощью этого параметра можно произвести проверку на отсутствие ошибок в конфигурационном файле и ключах;

• -u число – вместо имен хостов, превышающих число, в журнале utmp будет записываться IP-адрес: -u0 вызывает безусловную запись IP-адресов;

• -4 – использование протокола IPv4;

• -6 – использование протокола IPv6.

Ключи запуска клиента SSH

Как и для сервера, для изменения некоторых параметров клиента можно воспользоваться ключами запуска:

• -а – запретить перенаправление агента аутентификации;

• -A – разрешить перенаправление агента аутентификации;

• -b адрес – позволяет для хоста с несколькими интерфейсами использовать конкретный адрес;

• -c biowfish | 3des – задает используемый алгоритм шифрования (SSH1);

• -c список-алгоритмов-шифрования-через-запятую – алгоритм В начале списка имеет наибольший приоритет; по умолчанию: aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour, aes192-cbc, aes256-cbc (SSH2);

• -D локальный-порт – эмуляция SOC KS4-cepisepa (специфического proxy-сервера) по защищенному каналу;

• -e символ | ^символ | none – определяет escape-символ вместо тильды; попе обеспечивает прозрачную передачу данных;

• -f – перейти в фоновый режим после запроса пароля или парольной фразы;

• -F имя-конфигурационного-файла – разрешает использовать указанный файл в качестве конфигурационного;

• -g – разрешать удаленному хосту подсоединяться к локальным перенаправленным портам;

• -i имя-файла – определяет файл, хранящий RSA/DSA-приватный ключ;

• -k – запретить перенаправление Kerberos;

• -l имя-пользователя – от имени какого пользователя устанавливается соединение;

• -m список-алгоритмов-обеспечения-целостности-соединения – определяет алгоритмы подсчета контрольной суммы;

• -n – направить /dev/null на stdin и перейти в фоновый режим;

• -р порт – соединиться с указанным хостом на удаленном хосте;

• -P – использовать непривилегированный порт для исходящего соединения, чтобы обойти ограничения сетевого экрана;

• -R локальный-порт: хост: удаленный-порт – если происходит соединение на удаленный порт, то оно перенаправляется по защищенному каналу на локальный порт;

• -s – запуск подсистемы на сервере – например, sftp; имя подсистемы задается последним параметром;

• -t – требовать выделения псевдо-tty;

• -T – не выделять псевдо-tty;

• -х – запретить перенаправление XII;

• -X – разрешить перенаправление XII;

• -1 – использовать только SSHl-протокол;

• -2 – использовать только SSI-12-протокол;

• -4 – использовать IPv4;

• -6 – использовать IPv6.

Программы, входящие в пакет OpenSSH

Помимо клиента и сервера, в пакет OpenSSH входят программы, предназначенные для генерации ключей, аутентификации, и программы, призванные заменить набор r-команд.

Программа ssh-keygen

Программа ssh-keygen предназначена для генерации, преобразования и управления ключами. По умолчанию генерирует RSA-ключ. При генерации запрашивается парольная фраза. Забытую парольную фразу восстановить невозможно. Число битов по умолчанию – 1024. Имя файла для хранения публичного ключа образуется из имени файла для частного ключа добавлением суффикса. pub. Ключ хоста должен иметь пустую парольную фразу.

Возможные строки запуска:

• генерирует ключ по указанному пользователем алгоритму:

ssh-keygen [-t rsal|dsa|rsa] [-b бит] [-N парольная-фраза] [-C комментарий] [-f имя-файла-записи] [-q]

• изменить комментарий:

ssh-keygen -c [-Р парольная-фраза] [-С комментарий] [-f файл-с-ключами]

• читает приватный или публичный ключ в форматах OpenSSH и преобразует его в формат SECSH для экспорта в другие реализации SSH:

ssh-keygen -e [-f файл-с-ключами]

• читает приватный или публичный ключ в формате SSH2 или SECSH и преобразует его в формат OpenSSH:

ssh-keygen -i [-f файл-с-ключами]

• позволяет изменить парольную фразу:

ssh-keygen -р [-Р старая-парольная-фраза] [-N новая-парольная-фраза] [-f файл-с-ключами]

• читает приватный ключ OpenSSH DSA и выдает публичный ключ OpenSSH DSA:

ssh-keygen -y [-f файл-с-ключами] Программа ssh-agent

Программа ssh-agent позволяет производить RSA/DSA-аутентификацию. Запускается в начале сессии и устанавливает переменные окружения, с помощью которых остальные программы могут использовать ее для автоматической аутентификации SSH. Параметрами являются имя команды и ее аргументы, ssh-agent завершается при завершении команды. Если имя команды не указано, то ssh-agent запускается в фоновом режиме, а на stdout (стандартный выход, обычно текстовый терминал) выдаются команды экспортирования необходимых переменных окружения.

Опции командной строки ssh-agent:

• -c – позволяет выдавать на stdout команды в стиле csh;

• -s – позволяет выдавать на stdout команды в стиле sh;

• -k – завершить работу агента – по переменной ssh_agent_pid.

Эта программа используется для добавления приватных ключей. Программа ssh-add запрашивает парольную фразу, расшифровывает приватный ключ и посылает его ssh-agent. Если терминал недоступен, но определена переменная display, то для ввода парольной фразы используется программа, определенная переменной ssh_askpass. Таким образом, парольная фраза запрашивается только один раз за сеанс, а не при каждом вызове ssh/scp/sftp.

Опции командной строки ssh-add:

• имя файла с приватным ключом; по умолчанию используется ~/.ssh/identity;

• -L – выдает публичные ключи, хранящиеся в ssh-add;

• -d – удалить приватный ключ;

• -D – удалить все ключи.

Программа sftp (secure FTP) является клиентом для sftp-сервера, который должен быть описан в опции Subsystem в конфигурационном файле sshd.

Программа sftp позволяет пересылать файлы в режиме, подобном FTP-протоколу, однако осуществляет все операции поверх защищенного транспорта SSH. К сожалению, данный вариант FTP пока не получил широкого распространения.

Опции командной строки:

• [[email protected]]имя-хоста[: dir/] – задает, аналогично FTP, имя пользователя, хост, к которому производится подключение, и каталог подключения;