Linux / Unix Command: sshd

Ном

sshd - OpenSSH SSH замима

Калима

- [ b ] - [ b ] - [ b- config ] - [- u ]

Тавсифи

sshd (SSH Daemon) барномаи шифохонаи ssh (1) мебошад. Якҷоя ин барномаҳоро иваз кунед ва rsh , ва алоқаи рамзии бехатарро байни ду hosted untrusted ба шабакаи ноамнӣ таъмин мекунанд. Барномаҳо ба таври осон насб ва истифода бурдани имконпазир мебошанд.

sshd ин аст, ки ба алоқаи мизоҷон гӯш медиҳад. Одатан дар боргузорӣ аз / etc / rc оғоз меёбад. Тағйироти асосии мубодила, рамзкунонӣ, тасдиқкунӣ, иҷрои фармонҳо ва табодули иттилоот. Ин амалии sshd ҳам як версияи SSH ва версияи протоколи 1 ва 2 -ро ҳамзамон дастгирӣ мекунад.

Протокол SSH Protocol 1

Ҳар як калиди асосӣ дорои калиди махсуси RSA (одатан 1024 адад) барои муайян кардани host истифода мешавад. Илова бар ин, вақте ки субот оғоз меёбад, калиди RSA-сервер (одатан 768 адад) медиҳад. Ин калима агар одатан истифода бурда шавад, ҳар соат барқарор карда мешавад ва ҳеҷ гоҳ дар диск захира карда намешавад.

Ҳар вақте ки муштарӣ пайвастшавӣ бо замима бо калидҳои ҷамъиятӣ ва сервери ҷамъиятӣ ҷавоб медиҳад. Муштарӣ калиди калиди RSA-ро нисбат ба пойгоҳи додаи худ муқоиса мекунад, ки он тағйир наёфтааст. Муштарӣ баъдан рақами 256-битро тавлид мекунад. Он рақами рамзро истифода мебарад, ҳам калиди калидӣ ва калиди серверро ба рақами рамзкардашуда ба сервер ирсол мекунад. Ҳарду ҷониб ин рақами рамзиро ҳамчун калиди сесола истифода мебаранд, ки барои ҳамаи раъйҳои минбаъда дар иҷлос истифода мешаванд. Қисми боқимонда бо истифодаи тарзи оддӣ, ҳоло дар Blowfish ё 3DES, бо 3DES бо тарзи истифода бурда мешавад. Мизоҷ алгоритми рамзиро интихоб мекунад, ки аз онҳое, ки сервер пешниҳод карда мешавад, истифода мебарад.

Next, сервер ва муштарӣ муколамаи тасдиқкуниро ворид мекунад. Истифодабарӣ кӯшиш мекунад, ки худашро тасдиқ кунад .Баҳисобгирии сертификатсия, сертификатсияро, ки бо аудиторҳои RSA, сертификатсия кардани даъвати RSA, ё authentication-пароли барҳамдодашуда ҳамроҳ карда мешавад .

Сертификати партофташуда одатан маъмул аст, зеро он асосан бехатар аст, аммо дар файли конфронсии сервер, агар хоҳед мумкин аст. Амнияти система беэътибор набошанд, агар решаи релиз ва ранги рамзҳо бекор карда шаванд (ҳамин тавр, ба таври ройгон rlogin ва rsh ба мошин).

Протоколи SSH Protocol 2

Варақаи 2 чунин аст: ҳар як мизбон дорои калиди мушаххаси мушаххас (RSA ё DSA), ки барои муайян кардани мизбон истифода мешавад. Бо вуҷуди ин, вақте ки субот оғоз меёбад, калиди сервер нест. Таъмини амният ба воситаи созишномаи асосии Diffie-Hellman таъмин карда мешавад. Ин созишномаи калидӣ ба калиди сесолаи умумӣ оварда мешавад.

Қисми боқимонда бо истифода аз матн симметрикӣ, ҳоло 128 bit AES, Blowfish, 3DES, CAST128, Arcfour, 192 адад AES, ё 256 адад AES. Мизоҷ алгоритми рамзиро интихоб мекунад, ки аз онҳое, ки сервер пешниҳод карда мешавад, истифода мебарад. Илова бар ин, беэътибории сессия тавассути рамзи тасдиқкунии паёмҳои рамзии крепостографӣ (hmac-sha1 ё hmac-md5) дода мешавад.

Нусхаи протоколи 2, истифодабарандаи асоси калиди кушода (PubkeyAuthentication) ё host мизбон (HostbasedAuthentication) усули танзими, сертификати паролдиванди оддии ва усулҳои асоснокии ҷавоби посух медиҳад.

Иҷрои фармон ва интиқоли маълумот

Агар муштарӣ бомуваффақиятро тасдиқ кунад, муколамаи омодасозии иҷлосия дохил карда мешавад. Дар айни замон мизоҷ метавонад ба монанди маслиҳат додани псевдо, фиристодани пайвастшавӣ ба X11, фиристодани пайвастҳои TCP / IP, ё фиристодани пайвастшавӣ ба агентӣ дар канали бехатарӣ талаб кунад.

Ниҳоят, муштарӣ хоҳед, ки ниҳол ё иҷрои фармонро талаб кунад. Ҷонибҳо пас аз ҳолати кунунӣ дохил мешаванд. Дар ин ҳолат, ҳар ду ҷониб метавонанд маълумоти дар ҳар лаҳза ирсолшударо ирсол кунанд ва чунин маълумот аз / пас аз пӯшидан ё фармоиш дар тарафи сервер ва терминали корбар дар тарафи муштарӣ фиристода мешаванд.

Вақте, ки барнома корбарро қатъ мекунад ва ҳамаи фиристодашуда X11 ва пайвастҳои дигар қатъ карда шудааст, сервер ба муштарӣ ва ҳар ду ҷониб берун баромад.

sshd метавонад бо истифода аз услубҳои фармон ё сатри конфигуратсия танзим карда шавад. Вариантҳои фармоишӣ баҳоеро, ки дар файли конфигуратсия нишон дода шудаанд, бар мегардонад.

sshd файлҳои конфигуратсияшударо вақте, ки сигналҳои овезониро қабул мекунад, SIGHUP бо иҷрои номи он оғоз карда шудааст, яъне, / usr / sbin / sshd

Имкониятҳои зерин иборатанд:

-ттиҳо

Шумораи адад дар таркиби протоколи ephemeral version 1 калиди сервер (варианти 768).

-d

Ҳолати баҳсе. Сервери протокол аз протокол ба система фиристода мешавад ва худро дар замина гузошта наметавонад. Сервер ҳамчунин кор намекунад ва фақат як пайвастшавӣ кор мекунад. Ин хосият танҳо барои провайдери сервер пешбинӣ шудааст. Интихобҳои бисёрҷонибаро дараҷаи заифро зиёд мегардонад. Максимум 3 аст.

-е

Вақте ки ин хосият муайян карда мешавад, sshd ба ҷои хатогиҳо ба хатогиҳои стандарти ба система сабт хоҳад фиристод.

-f configuration_file

Номи файли танзимотро муайян мекунад. Воридот / etc / ssh / sshd_config sshd рад карда мешавад, агар ягон файли конфигуратсия вуҷуд надошта бошад.

-g login_grace_time

Вақти файзро барои мизоҷон худашонро тасдиқ мекунанд (дарозӣ 120 сония). Агар муштарӣ дар муддати ин сонияҳо истифодабарандаро тасдиқ накунад, сервер мекӯшад ва берун барорад. Арзиши сифр ҳеҷ гуна маҳдудро нишон медиҳад.

-h host_key_file

Файлеро, ки аз он калиди хонагӣ хонда мешавад муайян мекунад. Ин параметр бояд инъикос карда шавад, агар sshd решаро иҷро накунад (монанди файлҳои асосии хонагии асосӣ одатан аз тарафи касе, ки решаи онро хонда наметавонанд). Нишон додашуда / etc / ssh / ssh_host_key барои версияи протоколи 1, ва / etc / ssh / ssh_host_rsa_key ва / etc / ssh / ssh_host_dsa_key барои версияи протокол. 2. Файлҳои асосии мизбон барои якчанд намуди протоколҳо ва калиди калидӣ алгоритмҳо.

-i

Муайян месозад, ки sshd аз пешгиркунӣ иҷро карда мешавад. sshd маъмулан аз воридшавӣ нест, зеро он бояд калиди серверро пеш аз он ки ба муштарӣ ҷавоб диҳад ва ин метавонад даҳҳо сонияро гирад. Муштариён бояд интизор шаванд, ки агар ҳарчи зудтар барқарор карда шавад. Бо вуҷуди ин, ба андозаи калидҳои хурд (масалан, 512) истифода аз sshd аз inedd мумкин аст.

-k key_gen_time

Муайян месозад, ки чанд вақт протоколи протоколи эфирии 1 сервери барқароршуда (3600 сония), ё як соат аст. Натиҷа барои барқарор кардани калид аксаран он аст, ки калиди дар ягон ҷой нигоҳ дошта нашавад ва баъд аз як соат, калиди барқароркунии алоқаи дастаҷамъӣ, ҳатто агар машғул шудан ба физикӣ ё физикӣ нигоҳ дошта шавад. Арзиши сифр нишон медиҳад, ки калиди ҳеҷ гоҳ барқарор нашудааст.

-i option

Метавонад имкониятҳоро дар формате, ки дар файли конфигуратсия истифода мешавад, истифода барад. Ин барои муайян кардани имконоте, ки дар он аломати алоҳидаи фармоиш вуҷуд надорад муфид аст.

-p порт

Портфексияро, ки сервер барои пайвастшавӣ гӯш медиҳад (тасвири 22) муайян мекунад. Имкониятҳои портфелҳои гуногун имконпазир аст. Портҳое, ки дар файли конфигуратсия тасвир шудаанд, ҳангоми пӯшаи фармони фармон дода мешавад.

-q

Ҳолати ором. Ҳеҷ чиз ба сабти система фиристода намешавад. Одатан ибтидо, тасдиқкунӣ ва қатъ кардани ҳар як пайваст ба қайд гирифта шудааст.

-t

Ҳолати санҷиш. Танҳо дурустии файли конфигуратсия ва санаи калидҳоро санҷед. Ин барои такмил додани sshd боэътимод аст, чунки интихоби тасвир метавонад тағйир ёбад.

-тегардад

Ин хосият барои муайян кардани андозаи майдон дар тарки utmp , ки номи соҳиби дурдастро дар бар мегирад. Агар номи мизбони ҳалшавандатар бошад, пас аз он ки арзиши даҳии нуқта истифода мешавад, истифода хоҳад шуд. Ин имкон медиҳад, ки мизбонҳо бо номҳои мизбони дарозмуддате, ки ин майдонро аз сар гузаронидаанд, то ҳол номбар карда шаванд. Муайянкунӣ - u0 нишон медиҳад, ки танҳо суроғаҳои даҳии нуқтаҳо бояд ба файли utmp дода шаванд. - u0 низ барои пешгирӣ кардани sshd аз қабули дархостҳои DNS истифода бурда мешавад, агар механизми танзимкунӣ ё конфигуратсия онро талаб кунад. Механизмҳои тасдиқкунӣ, ки метавонанд DNS-ро талаб кунанд, инҳоянд: RhostsAuthentication RhostsRSAAuthentication HostbasedAuthentication ва истифодаи курс аз рӯйхат интихобшуда дар файли асосӣ. Вариантҳои танзимотӣ, ки DNS талаб мекунанд, бо истифода аз намунаи USER @ HOST дар AllowUsers ё DenyUsers истифода мебаранд

-Д

Ҳангоми интихоби ин хосият sshd disassir нест ва ба тақсимот нест намешавад. Ин ба осонӣ мониторинги sshd медиҳад

-4

Қувваҳо sshd-ро танҳо суроғаҳои IPv4 истифода мебаранд.

-6

Қувватҳо sshd-ро танҳо суроғаҳои IPv6 истифода мебаранд.

Файлҳои танзимот

sshd маълумотҳои конфигуратсияро аз / etc / ssh / sshd_config (ё файле, ки бо фосилаи фармони муайян карда шудааст) хонад. Намуди файли ва танзимот дар sshd_config5 тасвир шудааст.

Раванди дохилшавӣ

Вақте, ки корбар муваффақ мегардад, sshd чунин мекунад:

1. Агар вуруд дар як tty аст, ва ягон фармоиш нишон дода нашудааст, вақтҳои охир воридшаванда ва / etc / motd (агар пештар дар файл конфигуратсия ё $ HOME / .hushlogin нигаред ба фасли Sx FILES).
2. Агар вуруд дар як tty аст, сабти вуруд ба сабти.
3. Санҷишҳо / etc / nologin, агар мавҷуд бошад, эҷодоти мундариҷа ва баромаданро (агар реша надошта бошад).
4. Тағйироте, ки бо имтиёзҳои оддии истифодабарӣ иҷро карда мешавад.
5. Муҳити шароити асосӣ медиҳад.
6. Оғози $ HOME / .ssh / environment агар мавҷуд бошад ва истифодабарандагон иҷозат медиҳанд, ки муҳити худро тағйир диҳанд. Параметрҳои PermitUserEnvironment дар sshd_config5 нигаред.
7. Тағирот ба феҳристи хонагии корбар.
8. Агар $ HOME / .ssh / rc дошта бошад, онро иҷро мекунад; else агар / etc / ssh / sshrc вуҷуд дорад, онро иҷро мекунад; ғайриқонунӣ кор мекунад. 'Rc' 'файлҳои протоколи X11 ва куки дар вурудоти стандартӣ дода мешаванд.
9. Шабака ё фармонро истифода баред.

Formated Authorized_Keys

$ HOME / .ssh / authorized_keys файлест, ки рӯйхати калидҳои ҷамъиятӣ, ки барои санҷиши RSA дар нусхаи протоколи 1 ва барои тасдиқи калиди кушода (PubkeyAuthentication) дар версияи протокол иҷозат дода шудаанд. 2. AuthorizedKeysFile метавонад барои муайян кардани файли алтернативӣ истифода шавад.

Ҳар вариант аз як калид иборат аст (хатҳои холӣ ва хатҳои оғозёфта бо "#" ҳамчун тавзеҳоянд). Ҳар як калиди кушодаи RSA аз соҳаҳои зерин иборат аст, ки бо ҷойҳо ҷудо карда мешаванд: вариантҳо, сутунҳо, маҷмӯа, модул, шарҳ. Ҳар як протоколи протоколи 2 калиди умумӣ иборат аст: вариантҳо, keytype, key64 encoded key, comment. Соҳаҳои вариантҳо ихтиёрӣ мебошанд; ҳузури он муайян карда мешавад, ки оё хати он бо рақамҳо оғоз ё не (дар соҳаи интихоб ҳеҷ гоҳ бо рақам оғоз намешавад). Ҷузъҳо, экспертиза, модул ва муҳокимаҳо майдонҳои калидии RSA барои нусхаи протоколи 1; майдони шарҳ барои ҳама чиз истифода намешавад (аммо метавонад барои истифодабаранда барои муайян кардани калид) бошад. Барои нусхаи протоколи 2 keytype - 'ssh-dss' 'ё' ssh-rsa '

Дар хотир доред, ки хатҳои дар ин файл асосан якчанд ячейка дарозанд (аз рӯи андозаи кодекси асосии калидӣ). Шумо намехоҳед, ки онҳоро ворид кунед; Ба ҷои ин, ба ID.pub id_dsa.pub ё файли id_rsa.pub нусхабардорӣ кунед ва онро таҳрир кунед.

sshd қиммати калонтарини модули RSA -ро барои протоколи 1 ва протоколи 2 калиди 768 адад иҷро мекунад.

Имкониятҳо (агар мавҷуд бошанд) аз хусусиятҳои верма ҷудо карда мешаванд. Ҳеҷ ҷойҳо иҷозат дода намешавад, ба истиснои нохунакҳои дуд. Тафсилотҳои зерин имконпазиранд (қайд мекунанд, ки калимаҳои калидии вариант дар ҳолате мебошанд):

аз = руйхати номҳо

Муайян месозад, ки илова ба калиди ҳақиқии калиди кушода, номи каноникии hosted дурдаст бояд дар рӯйхати рангҳои тақсимшудаи рангҳо ("*" ва "??" Ҳамчун ҳамчун корти ҷосусӣ хизмат кунанд) дошта бошанд. Рӯйхати тасвирҳо низ бо тарзи пешбурди онҳо бо '!' ; агар номи hosted canonical як намунаи радикалӣ бошад, калиди қабул карда намешавад. Мақсад аз ин параметр ба таври осоишта мустаҳкам кардани амният мебошад: authentic key key ба худи худ ба шабака ё номи администраторҳо ё чизе (аммо калиди) боварӣ намекунад; Аммо, агар касе ягон калиди калонро боздорад, калиди кушод барои дохил шудан аз ҳар гуна ҷой дар ҷаҳон иҷозат медиҳад. Ин варианти иловагӣ бо истифодаи калидҳои дуздидашуда (номи серверҳо ва / ё рамзҳо бояд танҳо ба калиди оддӣ ворид карда шаванд).

command = фармон

Муайян месозад, ки фармони вақте ки ин калид барои корбарӣ истифода мешавад, иҷро карда мешавад. Фармоиш аз ҷониби истифодабаранда (агар бошад) рад карда мешавад. Фармондеҳ аст, ки агар мизоҷ талаб кардани шаффоф бошад; Вагарна он бе фоида аст. Агар як канали тозае, ки 8-маротиба тоза карда шавад лозим аст, як талаботро намехоед ё бояд муайян накунед, ки ягон фармоишро бо фармони худ бо зеркашӣ ба даст овардан мумкин аст. Ин хосият барои маҳдуд кардани баъзе калидҳои ҷамъиятӣ барои амалисозии амалиётҳои махсус муфид аст. Мисоли метавонад як калидие, ки захираҳои дурдастро иҷозат медиҳад, вале чизе дигар. Аҳамият диҳед, ки муштарӣ метавонад TCP / IP ва / ё X11 интиқолдиҳиро нишон диҳад, агар онҳо ба таври қатъӣ манъ карда шаванд. Аҳамият диҳед, ки ин параметр ба амалисозии ниҳонӣ, фармон ё қудрати система муроҷиат мекунад.

муҳити = Номи = арзиш

Муайян месозад, ки рамзгузорӣ ҳангоми истифодаи ин калид ҳангоми ба кор рафтан ба муҳити зист илова карда мешавад. Тағйирёбии муҳити зист ин тарзро ба дигар арзишҳои оддии муҳити зист бартараф мекунад. Имкониятҳои якхелаи ин намуди иҷозат дода мешавад. Коркарди муҳити атроф бо нобаёнӣ маъмул аст ва бо роҳи интихоби PermitUserEnvironment хос аст. Ин хосият ба таври худкор ғайрифаъол мешавад, агар UseLogin фаъол карда шавад.

на порт-портал

Интиқоли интиқоли TCP / IP вақте ки ин калид барои корбарӣ истифода мешавад. Ҳар як дархости пешакӣ аз ҷониби муштарӣ хато бармегардад. Ин метавонад истифода шавад, масалан, вобаста ба фармони фармон .

no-x11-интиқол

Пешниҳоди X11 интиқолдиҳанда, вақте ки ин калид барои тасдиқ кардан истифода мешавад. Ҳар як дархости пештараи X11 аз ҷониби муштарӣ хато бармегардад.

не-агенти фиристодан

Интиқоли абонентӣ барои аутентификатсия ҳангоми интиқоли ин калид барои истифодабаранда.

no-pty

Пешниҳод намудани тақсимоти tty (дархост барои ҷудо кардани pty нахоҳад буд).

permitopen = мизбон: порт

Лимити маҳаллии "ssh -L" -ро интиқол медиҳад, ки он метавонад танҳо ба host hosted ва портро пайваст кунад. Суроғаҳои IPv6 метавонанд бо аломати алтернативӣ муайян карда шаванд: host / port Интихоби мултиплексҳои мултимедиявӣ мумкин аст бо вутуни ҷудо карда шаванд. Ҳеҷ як намунаи намоиш дар ҳостҳои зикршуда иҷро карда намешаванд, онҳо бояд домейнҳо ва суроғаҳои аслӣ бошанд.

Намунаҳо

1024 33 12121 ... 312314325 ylo@foo.bar

аз = "*. niksula.hut.fi,! pc.niksula.hut.fi" 1024 35 23 ... 2334 ylo @ niksula

command = "партови / хона", нусхабардорӣ, напардохтани 1024 33 23 ... 2323 backup.hut.fi

permitopen = "10.2.1.55:80", permitopen = "10.2.1.56:25" 1024 33 23 ... 2323

Ssh_Known_Haquot Format File

/ Etc / ssh / ssh_known_hosts ва $ HOME / .ssh / known_hosts файлҳо дорои калидҳои ҷамъиятӣ барои ҳамаи мизбони маълум мебошанд. Файлҳои глобалӣ бояд аз ҷониби мудир омода шаванд (файли), ва файли ҳар як корбар автоматӣ нигоҳ дошта мешавад: ҳар вақте ки истифодабаранда аз макони номаълум фарқ мекунад, калиди он ба файли истифодабаранда илова карда мешавад.

Ҳар сатр дар ин файлҳо соҳаҳои зеринро дарбар мегирад: hostnames, bit, exponent, modulus, comment. Майдонҳо бо ҷойҳо ҷудо карда мешаванд.

Hostnames рӯйхати рамзҳои тақсимоти рангҳо ('*' ва '?' Ҳамчун ҳамчун корти ҷустуҷӯӣ амал мекунанд); Ҳар як намунаро дар муқоиса бо номи администратори каноникӣ (ҳангоми тасдиқ кардани муштарӣ) ё бар зидди номи корбари истифодабаранда (ҳангоми тасдиқ кардани сервер) мувофиқ аст. Намунаи он низ метавонад аз тарафи "!" Бошад. барои рад кардани нишондиҳандаҳо: агар номи host намунаи беэътимод дошта бошад, он қабул намешавад (аз рӯи ин сатр), ҳатто агар он дар шакли хатти дигар мувофиқат кунад.

Ҷӯрҳо, маҷмӯъ ва модулро бевосита аз калиди асосии RSA гирифтаанд; онҳо метавонанд ба даст оранд, масалан, /etc/ssh/ssh_host_key.pub Соҳаи экспертизавӣ ба охири сатр давом дорад ва истифода намешавад.

Линзаҳо бо "#" оғоз мекунанд ва хатҳои бланка ҳамчун тавзеҳоянд.

Ҳангоми коркарди сертификатсиякунӣ, сертификатсия қабул карда мешавад, агар ҳар як хати мувофиқи калиди дуруст дошта бошад. Ҳамин тавр, мумкин аст (вале тавсия дода намешавад) барои якчанд сатрҳо ё калидҳои гуногуни хонагӣ барои як ном. Агар ин шаклҳои кӯтоҳи номҳои hosted аз домҳои гуногун дар файли муқаррарӣ ҷойгир карда шаванд, ин ба зудӣ рӯй хоҳад дод. Ин мумкин аст, ки файлҳо маълумоти доғро дошта бошанд; Ҳисоботи тасдиқгардида қабул карда мешавад, агар маълумоти дуруст аз як файл пайдо карда шавад.

Дар хотир доред, ки хатҳои дар ин файлҳо одатан садҳо аломатҳо дароз мешаванд, ва шумо албатта намехоҳед, ки дар калидҳои калидҳои дастӣ тасвир карда шавад. Баръакс, онҳоро бо як скрипт ё эҷоди /etc/ssh_host_key.pub ва илова кардани номҳои мизбон дар қабати.

Намунаҳо

кнштейн, ..., 130.233.208.41 1024 37 159 ... 93 closenet.hut.fi cvs.openbsd.org, 199.185.137.3 ssh-rsa AAAA1234 ..... =

Ҳамчунин нигаред

(1), sftp (1), ssh (1), ssh-add1, ssh-agent1, ssh-keygen1, login.conf5, модули (5), sshd_config5, sftp-server8

T. Ylonen T. Kivinen M. Saarinen T. Rinne S. Lehtinen "Architecture of Protocol Architecture" SSH-архитектура лоиҳаи-иетф-архитектура-12-уми январи соли 2002 дар мавсими кор

M. Friedl N. Provos WA Simpson "Exchange Diffie-Hellman Exchange барои протоколи SSH Transport Протокол" лоиҳаи-ietf-secsh-dh-group-exchange-02-январи январи соли 2002 дар мавсими кор

Муҳим: Кушодани мард ( % мард ) -ро истифода баред, ки чӣ гуна фармон дар компютери шумо истифода бурда мешавад.