table of contents
- bookworm-backports 4.24.0-2~bpo12+1
- testing 4.24.0-2
- unstable 4.25.0-1
SSH-ADD(1) | General Commands Manual | SSH-ADD(1) |
NUME¶
ssh-add
—
adaugă identități cu cheie
privată la agentul de autentificare OpenSSH
SINOPSIS¶
ssh-add
[-cDdKkLlqvXx
] [-E
hash-fingerprint] [-H
fișier-cheie-gazdă]
[-h
restricție-destinație]
[-S
furnizor]
[-t
durata-de-viață] [file
...] ssh-add
-s
pkcs11 ssh-add
-e
pkcs11
ssh-add
-T
cheie-publică ...
DESCRIERE¶
ssh-add
adaugă
identități de chei private la agentul de autentificare,
ssh-agent(1). Atunci când este executat
fără argumente, adaugă fișierele
~/.ssh/id_rsa,
~/.ssh/id_ecdsa,
~/.ssh/id_ecdsa_sk,
~/.ssh/id_ed25519,
~/.ssh/id_ed25519_sk și
~/.ssh/id_dsa. După încărcarea
unei chei private, ssh-add
va încerca
să încarce informațiile corespunzătoare despre
certificat din numele de fișier obținut prin adăugarea
-cert.pub la numele fișierului de chei
private. În linia de comandă se pot indica nume de
fișiere alternative.
În cazul în care un fișier necesită o
frază de acces, ssh-add
solicită
utilizatorului fraza de acces. Fraza de acces este citită de pe
tty-ul utilizatorului. ssh-add
încearcă din nou să folosească ultima
frază de acces în cazul în care sunt furnizate mai
multe fișiere de identitate.
Agentul de autentificare trebuie să ruleze, iar variabila
de mediu SSH_AUTH_SOCK
trebuie să
conțină numele soclului acestuia pentru ca
ssh-add
să funcționeze.
Opțiunile sunt următoarele:
-c
- Indică faptul că identitățile adăugate trebuie să facă obiectul unei confirmări înainte de a fi utilizate pentru autentificare. Confirmarea este efectuată de ssh-askpass(1). Confirmarea reușită este semnalată de o stare de ieșire zero de la ssh-askpass(1), mai degrabă decât de textul introdus în solicitant.
-D
- Șterge toate identitățile din agent.
-d
- În loc să adauge identități, elimină
identități din agent. Dacă
ssh-add
a fost executat fără argumente, cheile pentru identitățile implicite și certificatele corespunzătoare vor fi eliminate. În caz contrar, lista de argumente va fi interpretată ca o listă de rute către fișiere de chei publice pentru a specifica cheile și certificatele care urmează să fie eliminate din agent. În cazul în care nu se găsește nicio cheie publică într-o anumită rută,ssh-add
va adăuga .pub și va încerca din nou. În cazul în care lista de argumente constă în “-”, atuncissh-add
va citi cheile publice care urmează să fie eliminate de la intrarea standard. -E
hash-fingerprint- Specifică algoritmul sumei de control utilizat la afișarea amprentelor cheilor. Opțiunile valide sunt: “md5” și “sha256”. Opțiunea implicită este “sha256”.
-e
pkcs11- Elimină cheile furnizate de biblioteca partajată PKCS#11 pkcs11.
-H
fișier-cheie-gazdă- Specifică un fișier de gazde cunoscut pentru a căuta
chei de gazdă atunci când se utilizează chei cu
restricții de destinație prin intermediul indicatorului
-h
. Această opțiune poate fi specificată de mai multe ori pentru a permite căutarea în mai multe fișiere. Dacă nu se specifică niciun fișier,ssh-add
va utiliza fișierele gazdă cunoscute ssh_config(5) implicite: ~/.ssh/known_hosts, ~/.ssh/known_hosts2, /etc/ssh/ssh_known_hosts și /etc/ssh/ssh_known_hosts2. -h
restricție-destinație- Când se adaugă chei, le restricționează pentru
a putea fi utilizate numai de către anumite gazde sau pentru
anumite destinații.
Restricțiile de destinație de forma ‘[utilizator@]nume-gazdă-destinație’ permit utilizarea cheii numai de la gazda de origine (cea care rulează ssh-agent(1)) către gazda de destinație listată, cu numele de utilizator opțional.
Restricțiile de forma ‘nume-gazdă-sursă>[utilizator@]nume-gazdă-destinație’ permit ca o cheie disponibilă pe un ssh-agent(1) transmis să fie utilizată printr-o anumită gazdă (specificată de ‘nume-gazdă-sursă’) pentru a se autentifica la o altă gazdă, specificată de ‘nume-gazdă-destinație’.
La încărcarea cheilor pot fi adăugate mai multe restricții de destinație. Atunci când se încearcă autentificarea cu o cheie care are restricții de destinație, întreaga rută de conectare, inclusiv redirecționarea ssh-agent(1), este testată în funcție de aceste restricții și fiecare salt trebuie să fie permis pentru ca încercarea să reușească. De exemplu, dacă cheia este redirecționată către o gazdă la distanță, ‘gazda-b’, și se încearcă autentificarea la o altă gazdă, ‘gazda-c’, atunci operația va avea succes numai dacă ‘gazda-b’ a fost permisă de la gazda de origine și dacă saltul următor ‘gazda-b>gazda-c’ este, de asemenea, permis de restricțiile de destinație.
Gazdele sunt identificate prin cheile lor de gazdă și sunt căutate în fișierele de gazde cunoscute de către
ssh-add
. Se pot utiliza modele de caractere joker pentru numele de gazdă și sunt acceptate cheile de gazdă cu certificat. În mod implicit, cheile adăugate dessh-add
nu sunt restricționate în funcție de destinație.Restricțiile de destinație au fost adăugate în versiunea OpenSSH 8.9. Este necesar să se ofere suport atât pentru clientul SSH la distanță, cât și pentru serverul SSH atunci când se utilizează chei cu restricții de destinație pe un canal ssh-agent(1) transmis.
De asemenea, este important de reținut că restricțiile de destinație pot fi aplicate de către ssh-agent(1) numai atunci când se utilizează o cheie sau când aceasta este transmisă de către un cooperant ssh(1). Mai exact, nu împiedică un atacator care are acces la un
SSH_AUTH_SOCK
la distanță să o redirecționeze din nou și să o folosească pe o altă gazdă (dar numai către o destinație permisă). -K
- Încarcă cheile rezidente de la un autentificator FIDO.
-k
- La încărcarea cheilor în agent sau la ștergerea cheilor din agent, se procesează numai cheile private simple și se omit certificatele.
-L
- Listează parametrii de cheie publică ai tuturor identităților reprezentate în prezent de agent.
-l
- Listează amprentele digitale (fingerprint) ale tuturor identităților reprezentate în prezent de agent.
-q
- Rămâne silențios (fără ieșire) după o operație reușită.
-S
furnizor- Specifică o rută către o bibliotecă care va fi utilizată la adăugarea cheilor găzduite de autentificatorul FIDO, înlocuind opțiunea implicită de utilizare a suportului USB HID intern.
-s
pkcs11- Adaugă cheile furnizate de biblioteca partajată PKCS#11 pkcs11.
-T
cheie-publică ...- Testează dacă cheile private care corespund fișierelor pubkey specificate sunt utilizabile, efectuând operații de semnare și verificare pe fiecare dintre acestea.
-t
durata-de-viață- Stabilește o durată maximă de viață atunci când se adaugă identități la un agent. Durata de viață poate fi specificată în secunde sau într-un format de timp specificat în sshd_config(5).
-v
- Modul descriptiv. Face ca
ssh-add
să afișeze mesaje de depanare despre progresul său. Acest lucru este util pentru depanarea problemelor. Opțiunile multiple-v
sporesc gradul de detalii a descrierii. Valoarea maximă este 3. -X
- Deblochează agentul.
-x
- Blochează agentul cu o parolă.
MEDIU¶
DISPLAY
,SSH_ASKPASS and SSH_ASKPASS_REQUIRE
- Dacă
ssh-add
are nevoie de o frază de acces, aceasta va citi fraza de acces din terminalul curent, dacă a fost rulat de la un terminal. Dacăssh-add
nu are un terminal asociat, dar sunt definiteDISPLAY
șiSSH_ASKPASS
, acesta va executa programul specificat deSSH_ASKPASS
(în mod implicit “ssh-askpass”) și va deschide o fereastră X11 pentru a citi fraza de acces. Acest lucru este deosebit de util atunci când se apeleazăssh-add
de la un script .xsession sau un script conex.SSH_ASKPASS_REQUIRE
permite un control suplimentar asupra utilizării unui program „askpass” (solicitare parole). Dacă această variabilă este stabilită la “never”, atuncissh-add
nu va încerca niciodată să folosească unul. Dacă este stabilită la “prefer”, atuncissh-add
va prefera să utilizeze programul «askpass» în locul TTY atunci când solicită parole. În cele din urmă, dacă variabila este stabilită la “force”, atunci programul «askpass» va fi utilizat pentru toate introducerile de fraze de acces, indiferent dacăDISPLAY
este definită sau nu. SSH_AUTH_SOCK
- Identifică ruta unui soclu UNIX-domain utilizat pentru a comunica cu agentul.
SSH_SK_PROVIDER
- Specifică o rută către o bibliotecă care va fi utilizată la încărcarea oricăror chei găzduite de autentificatorul FIDO, înlocuind opțiunea implicită de utilizare a suportului USB HID încorporat.
FIȘIERE¶
- ~/.ssh/id_dsa
- ~/.ssh/id_ecdsa
- ~/.ssh/id_ecdsa_sk
- ~/.ssh/id_ed25519
- ~/.ssh/id_ed25519_sk
- ~/.ssh/id_rsa
- Conține identitatea de autentificare DSA, ECDSA, ECDSA găzduită de autentificator, Ed25519, Ed25519 găzduită de autentificator sau RSA a utilizatorului.
Fișierele de identitate nu ar trebui să poată
fi citite decât de către utilizator. Rețineți
că ssh-add
ignoră fișierele de
identitate în cazul în care acestea sunt accesibile altor
persoane.
STARE DE IEȘIRE¶
Starea de ieșire este 0 în caz de succes, 1
dacă comanda specificată eșuează și 2
dacă ssh-add
nu poate contacta agentul de
autentificare.
CONSULTAȚI ȘI¶
ssh(1), ssh-agent(1), ssh-askpass(1), ssh-keygen(1), sshd(8)
AUTORI¶
OpenSSH este un derivat al versiunii originale și libere ssh 1.2.12 de Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt și Dug Song au eliminat multe erori, au adăugat din nou caracteristici noi și au creat OpenSSH. Markus Friedl a contribuit la suportul pentru versiunile 1.5 și 2.0 ale protocolului SSH.
TRADUCERE¶
Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>
Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.
Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net
$Mdocdate: 4 februarie 2022 $ | Debian |