ssh(1)

NAMN

ssh – OpenSSH SSH-klient (program för fjärrinloggning)

SYNOPSIS

ssh [-1246AaCfgKkMNnqsTtVvXxYy]
    [-b bind_adress] [-c chiffer_spec] [-D [bind_adress:]port]
    [-e escape_tecken] [-F konfigfil] [-i nyckelfil]
    [-L [bind_adress:]port:värd:värdport] [-l inloggningsnamn]
    [-m mac_spec] [-O ctl_kommando] [-o option] [-p port]
    [-R [bind_adress:]port:värd:värdport] [-S ctl_sökväg]
    [-W värd:port] [-w lokal_tun[:remote_tun]]
    [användare@]värdnamn [kommando]

BESKRIVNING

ssh (SSH-klient) är ett program för att logga in på en fjärrdator och för att köra kommandon på en fjärrdator. Det ersätter rlogin och rsh och tillhandahåller krypterad kommunikation mellan två opålitliga värdar över ett osäkert nät. X11-anslutningar och godtyckliga TCP-portar kan också vidarebefordras via den säkra kanalen.

ssh ansluter och loggar in till angivet värdnamn (med valfritt användare). Användaren måste styrka sin identitet med någon av flera metoder beroende på protokollversion. Om ett kommando anges körs det på fjärrvärden istället för ett inloggningsskal.

FLAGGOR

Flagga	Beskrivning
-1	Tvinga protokollversion 1 enbart.
-2	Tvinga protokollversion 2 enbart (standard).
-4	Använd endast IPv4-adresser.
-6	Använd endast IPv6-adresser.
-A	Aktivera vidarebefordran av agentanslutning (ssh-agent). Var försiktig – fjärrvärd med rättigheter till socketen kan använda agenten.
-a	Inaktivera agentvidarebefordran.
-b bind_adress	Använd angiven lokal källadress.
-C	Begär komprimering av all data.
-c chiffer_spec	Välj chiffer (v2: kommaseparerad lista; se Ciphers i ssh_config(5)).
-D [bind_adress:]port	Lokal dynamisk portvidarebefordran (SOCKS4/5). Kan även ställas in i konfigfil.
-e escape_tecken	Sätt escape-tecken för pty-sessioner (standard: ~; none stänger av).
-F konfigfil	Alternativ användarkonfig. Ignorerar systemfilen om denna flagga används.
-f	Gå till bakgrunden före kommandokörning (implicerar -n). Väntar på portforwards om ExitOnForwardFailure yes.
-g	Tillåt fjärrvärdar att ansluta till lokala vidarebefordrade portar.
-I smartcard_enhet	Enhet för smartkort (om kompilerat med stöd).
-i nyckelfil	Privat nyckel att använda (kan anges flera gånger).
-K	Aktivera GSSAPI-autentisering och vidarebefordran av biljett.
-k	Inaktivera vidarebefordran av GSSAPI-uppgifter.
-L [bind_adress:]port:värd:värdport	Lokal portvidarebefordran till fjärrsida. IPv6 stöds; localhost binder endast lokalt.
-l inloggningsnamn	Användarnamn på fjärrvärden.
-M	Sätt klienten i master-läge för anslutningsdelning (se ControlMaster).
-m mac_spec	(v2) Lista över MAC-algoritmer i preferensordning (se MACs).
-N	Kör inget fjärrkommando (praktiskt vid enbart portvidarebefordran).
-n	Läs inte från stdin (redirigerar från /dev/null). Krävs i bakgrunden.
-O ctl_kommando	Styr en aktiv multiplexmaster: check eller exit.
-o option	Ange alternativ som i konfigfil (t.ex. -o StrictHostKeyChecking=yes).
-p port	Fjärrport att ansluta till.
-q	Tyst läge – undertryck varningar/diagnostik.
-R [bind_adress:]port:värd:värdport	Fjärr portvidarebefordran till lokal sida. Kräver ev. GatewayPorts på servern.
-S ctl_sökväg	Sökväg till kontrollsocket för anslutningsdelning.
-s	Begär körning av ett subsystem (SSH2), t.ex. sftp.
-T	Inaktivera pseudo-tty-allokering.
-t	Tvinga pseudo-tty-allokering (kan anges flera gånger).
-V	Visa versionsnummer och avsluta.
-v	Pratsamt läge (debug). Flera -v ökar nivån (max 3).
-W värd:port	Vidarebefordra klientens stdin/stdout till värd:port över kanalen (implicerar -N -T m.m.; endast v2).
-w lokal_tun[:remote_tun]	Vidarebefordra tun(4)-enheter (VPN-tunnel). Se Tunnel/TunnelDevice.
-X	Aktivera X11-vidarebefordran.
-x	Inaktivera X11-vidarebefordran.
-Y	Aktivera betrodd X11-vidarebefordran.
-y	Skicka loggar via syslog(3) istället för stderr.

AUTENTISERING

OpenSSH stöder protokoll 1 och 2 (2 är standard). Metoder: GSSAPI, värdbaserad, publika nycklar, utmaning/svar och lösenord. Protokoll 2 föredras då det har starkare konfidentialitet och integritet. Ordningen kan styras med PreferredAuthentications. Publik-nyckel-inloggning använder nycklar i ~/.ssh/authorized_keys; privata nycklar skapas med ssh-keygen(1) och lagras i ~/.ssh/id_rsa, ~/.ssh/id_dsa etc. Agenten ssh-agent(1) kan hålla nycklar i minnet. Värdbaserad autentisering kräver att klientens värdnyckel känns igen (/etc/ssh/ssh_known_hosts, ~/.ssh/known_hosts) och att lämpliga hosts.equiv/.rhosts-filer finns – **notera** att dessa är osäkra och bör undvikas.

ESCAPE-TECKEN

När pty används tolkar ssh escape-tecken i början av en rad (standard ~). Stöd:

~.   Koppla ner
~^Z  Skicka ssh till bakgrunden
~#   Lista vidarebefordrade anslutningar
~&   Bakgrund vid utloggning (väntar på forwards/X11)
~?   Visa hjälp
~B   Skicka BREAK (v2, om peer stöder)
~C   Öppna kommandorad för att lägga till/ta bort -L/-R/-D
~R   Begär rekey (v2, om peer stöder)

TCP-VIDAREBEFORDRAN

Portvidarebefordran kan anges via flaggor eller i konfigfil. Exempel (tunnla IRC):

$ ssh -f -L 1234:localhost:6667 server.example.com sleep 10
$ irc -c '#users' -p 1234 pinky 127.0.0.1

X11-VIDAREBEFORDRAN

Med -X/ForwardX11 yes vidarebefordras X11 via SSH-kanalen. ssh sätter DISPLAY till en proxydisplay på servern och hanterar Xauthority-data. Använd -Y/ForwardX11Trusted yes för betrodd X11 (mindre restriktioner; använd med försiktighet).

VERIFIERING AV VÄRDKNyCKLAR

Vid första anslutning visas fingeravtryck (om inte StrictHostKeyChecking ändrats). Fingeravtryck kan visas med:

$ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
$ ssh-keygen -lv -f ~/.ssh/known_hosts   # med "random art"

Fingeravtryck kan även verifieras via DNS (SSHFP-poster) och styras med VerifyHostKeyDNS.

SSH-BASERADE VPN:er

ssh kan skapa VPN-tunnlar via tun(4) om servern tillåter PermitTunnel. Exempel:

# Klient
ssh -f -w 0:1 192.168.1.15 true
ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
route add 10.0.99.0/24 10.1.1.2

# Server
ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252
route add 10.0.50.0/24 10.1.1.1

För permanenta VPN:er är verktyg som ipsec/isakmpd ofta lämpligare.

MILJÖVARIABLER

ssh sätter vanligtvis bl.a.: DISPLAY, HOME, LOGNAME, MAIL, PATH, SSH_ASKPASS, SSH_AUTH_SOCK, SSH_CONNECTION, SSH_ORIGINAL_COMMAND, SSH_TTY, TZ, USER. Dessutom läses ~/.ssh/environment om PermitUserEnvironment tillåter det.

Särskild variabel

SSH_USE_STRONG_RNG

Om satt till ett värde ≠ 0 reseedas OpenSSL från /dev/random (minst 6 byte). Kan blockera på system med låg entropi.

FILER

~/.rhosts, ~/.shosts

Värdbaserad autentisering (används ej med rlogin/rsh).

~/.ssh/

Standardplats för användarspecifik konfiguration.

~/.ssh/authorized_keys

Publika nycklar som får logga in.

~/.ssh/config

Användarkonfig (se ssh_config(5)); måste ha strikta rättigheter.

~/.ssh/identity, id_dsa, id_rsa

Privata nycklar (endast läsbara för användaren).

~/.ssh/*.pub

Publika nycklar.

~/.ssh/known_hosts

Kända värdnycklar för användaren.

~/.ssh/rc

Körs vid inloggning före skalet.

/etc/hosts.equiv, /etc/ssh/shosts.equiv

Värdbaserad autentisering (systemomfattande).

/etc/ssh/ssh_config

Systemkonfig för klienten.

/etc/ssh/ssh_host_{key,dsa_key,rsa_key}

Privata delar av värdnycklar (server).

/etc/ssh/ssh_known_hosts

Systemlista över kända värdar.

/etc/ssh/sshrc

Körs av ssh vid inloggning.

IPV6

IPv6-adresser kan användas överallt där IPv4 används. I många sammanhang bör de omges av hakparenteser, t.ex. [2001:db8::1]. Observera att skalen kräver escapning av [ och ].

SE ÄVEN

scp(1), sftp(1), ssh-add(1), ssh-agent(1), ssh-keygen(1), ssh-keyscan(1), tun(4), hosts.equiv(5), ssh_config(5), ssh-keysign(8), sshd(8). Relaterade specifikationer: RFC 4250–4256, RFC 4335, RFC 4344, RFC 4345, RFC 4419, RFC 4716; samt A. Perrig & D. Song, ”Hash Visualization…”, 1999.

FÖRFATTARE

OpenSSH härstammar från Tatu Ylönens fria ssh 1.2.12. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt och Dug Song fixade buggar och lade till funktioner; Markus Friedl bidrog med stöd för SSH 1.5 och 2.0.

REFERENSERAR

autossh(1), bvnc(1), byobu-launcher-install(1), …, ztelnet(1) (urval från källsidan)