Scroll to navigation

SSH_CONFIG(5) File Formats Manual SSH_CONFIG(5)

NUME

ssh_configfișierul de configurare al clientului OpenSSH

DESCRIERE

ssh(1) obține datele de configurare din următoarele surse, în ordinea următoare:

  1. opțiuni din linia de comandă
  2. fișierul de configurare al utilizatorului (~/.ssh/config)
  3. fișierul de configurare la nivel de sistem (/etc/ssh/ssh_config)

Dacă nu se specifică altfel, pentru fiecare parametru se va utiliza prima valoare obținută. Fișierele de configurare conțin secțiuni separate de specificări Host, iar secțiunea respectivă este aplicată numai pentru gazdele care corespund unuia dintre modelele date în specificație. Numele de gazdă care corespunde este, de obicei, cel dat în linia de comandă (consultați opțiunea CanonicalizeHostname pentru excepții).

Deoarece se utilizează prima valoare obținută pentru fiecare parametru, declarațiile specifice gazdei ar trebui să fie plasate mai aproape de începutul fișierului, iar valorile implicite generale la sfârșit.

Rețineți că pachetul Debian openssh-client definește mai multe opțiuni ca standard în /etc/ssh/ssh_config, care nu sunt implicite în ssh(1):

Fișierele /etc/ssh/ssh_config.d/*.conf sunt incluse la începutul fișierului de configurare la nivel de sistem, astfel încât opțiunile definite acolo vor avea prioritate față de cele din /etc/ssh/ssh_config.

Fișierul conține perechi cuvânt-cheie-argument, una pe linie. Liniile care încep cu ‘#’ și liniile goale sunt interpretate ca fiind comentarii. Argumentele pot fi incluse opțional între ghilimele duble (") pentru a reprezenta argumentele care conțin spații. Opțiunile de configurare pot fi separate prin spații albe sau spații albe opționale și exact un ‘=’; ultimul format este util pentru a evita necesitatea de a cita spațiile albe atunci când se specifică opțiuni de configurare folosind opțiunea ssh, scp și sftp -o.

Cuvintele-cheie posibile și semnificațiile acestora sunt următoarele (rețineți că cuvintele-cheie nu disting majusculele de minuscule, iar argumentele disting majusculele de minuscule):

Restricționează următoarele declarații (până la următorul cuvânt cheie Host sau Match) pentru a fi numai pentru acele gazde care corespund unuia dintre modelele furnizate după cuvântul cheie. Dacă sunt furnizate mai multe modele, acestea trebuie separate prin spații albe. Un singur ‘*’ ca model poate fi utilizat pentru a furniza valori implicite globale pentru toate gazdele. Gazda este de obicei argumentul nume-gazdă dat în linia de comandă (consultați cuvântul-cheie CanonicalizeHostname pentru excepții).

O intrare de tip model poate fi negată prin prefixarea acesteia cu un semn de exclamare (‘!’). Dacă o intrare negată este potrivită, atunci intrarea Host este ignorată, indiferent dacă alte modele de pe linie se potrivesc. Potrivirile negate sunt, prin urmare, utile pentru a oferi excepții pentru potrivirile cu caractere joker.

Pentru mai multe informații despre modele, consultați secțiunea MODELE.

Restricționează utilizarea următoarelor declarații (până la următorul cuvânt cheie Host sau Match) numai atunci când sunt îndeplinite condițiile care urmează cuvântului cheie Match. Condițiile de potrivire sunt specificate folosind unul sau mai multe criterii sau simbolul unic all care se potrivește întotdeauna. Cuvintele-cheie disponibile pentru criterii sunt: canonical, final, exec, localnetwork, host, originalhost, tagged, command, user, localuser și version. Criteriul all trebuie să apară singur sau imediat după canonical sau final. Alte criterii pot fi combinate arbitrar. Toate criteriile cu excepția all, canonical și final necesită un argument. Criteriile pot fi negate prin adăugarea în fața lor a unui semn de exclamare (‘!’).

Cuvântul cheie canonical se potrivește numai atunci când fișierul de configurare este reanalizat după canonizarea numelui de gazdă (consultați opțiunea CanonicalizeHostname). Acest lucru poate fi util pentru a specifica condiții care funcționează numai cu nume de gazdă canonice.

Cuvântul cheie final solicită reanalizarea configurației (indiferent dacă CanonicalizeHostname este activată) și se potrivește numai în timpul acestei treceri finale. Dacă CanonicalizeHostname este activată, atunci canonical și final se potrivesc în timpul aceleiași etapei.

Cuvântul cheie exec execută comanda specificată în shell-ul utilizatorului. Dacă comanda returnează o stare de ieșire zero, atunci condiția este considerată adevărată. Comenzile care conțin caractere spațiu trebuie să fie puse între ghilimele. Argumentele pentru exec acceptă simbolurile descrise în secțiunea SIMBOLURI.

Cuvântul cheie localnetwork compară adresele interfețelor rețelei locale active cu lista de rețele furnizată în format CIDR. Acest lucru poate fi convenabil pentru a varia configurația efectivă pe dispozitive care se deplasează între rețele. Rețineți că adresa de rețea nu este un criteriu demn de încredere în multe situații (de exemplu, atunci când rețeaua este configurată automat utilizând DHCP) și, prin urmare, trebuie să fiți precauți dacă îl utilizați pentru a controla configurația sensibilă din punct de vedere al securității.

Celelalte criterii ale cuvintelor cheie trebuie să fie intrări unice sau liste separate prin virgule și pot utiliza operatorii de caracter joker și de negare descriși în secțiunea MODELE.

Criteriile pentru cuvântul cheie host sunt comparate cu numele gazdei țintă, după orice substituție efectuată de opțiunile Hostname sau CanonicalizeHostname. Cuvântul cheie originalhost se compară cu numele gazdei așa cum a fost specificat în linia de comandă.

Cuvântul cheie tagged se potrivește cu un nume de etichetă specificat printr-o directivă Tag anterioară sau în linia de comandă ssh(1) folosind marcajul -P. Cuvântul cheie command corespunde comenzii la distanță care a fost solicitată sau numelui subsistemului care este invocat (de exemplu, "sftp" pentru o sesiune SFTP). Șirul gol va corespunde cazului în care nu a fost specificată o comandă sau o etichetă, de exemplu: ‘Match tag „”’. Cuvântul cheie version se potrivește cu șirul de versiuni al ssh(1), de exemplu “OpenSSH_10.0”.

Cuvântul cheie user se potrivește cu numele de utilizator țintă de pe gazda la distanță. Cuvântul cheie localuser se potrivește cu numele utilizatorului local care rulează ssh(1) (acest cuvânt cheie poate fi util în fișierele ssh_config la nivel de sistem).

În sfârșit, cuvântul-cheie sessiontype corespunde tipului de sesiune solicitat, care poate fi unul dintre shell pentru sesiunile interactive, exec pentru sesiunile de execuție a comenzilor, subsystem pentru invocările subsistemelor, cum ar fi sftp(1), sau none pentru sesiunile de doar transport, cum ar fi atunci când ssh(1) este inițiat cu fanionul -N.

Specifică dacă cheile ar trebui adăugate automat la un ssh-agent(1) în execuție. Dacă această opțiune este stabilită la yes și o cheie este încărcată dintr-un fișier, cheia și fraza de acces a acesteia sunt adăugate la agent cu durata de viață implicită, ca și cum ar fi efectuate de ssh-add(1). Dacă această opțiune este stabilită la ask, ssh(1) va solicita confirmarea folosind programul SSH_ASKPASS înainte de adăugarea unei chei (a se vedea ssh-add(1) pentru detalii). Dacă această opțiune este stabilită la confirm, fiecare utilizare a cheii trebuie confirmată, ca și cum opțiunea -c ar fi specificată la ssh-add(1). Dacă această opțiune este stabilită la no, nu se adaugă nicio cheie la agent. Alternativ, această opțiune poate fi specificată ca un interval de timp folosind formatul descris în secțiunea FORMATE DE TIMP din sshd_config(5) pentru a specifica durata de viață a cheii în ssh-agent(1), după care aceasta va fi eliminată automat. Argumentul trebuie să fie no (implicit), yes, confirm (urmat opțional de un interval de timp), ask sau un interval de timp.
Specifică familia de adrese care trebuie utilizată la conectare. Argumentele valide sunt any (implicit), inet (utilizează numai IPv4) sau inet6 (utilizează numai IPv6).
Dacă este stabilită la yes, interacțiunea cu utilizatorul, cum ar fi solicitările de parolă și de confirmare a cheii de gazdă, va fi dezactivată. În plus, opțiunea ServerAliveInterval va fi stabilită implicit la 300 de secunde (specific Debian). Această opțiune este utilă în scripturi și alte lucrări pe loturi în care nu este prezent niciun utilizator care să interacționeze cu ssh(1) și în care este de dorit să se detecteze rapid o rețea defectă. Argumentul trebuie să fie yes sau no (implicit).
Utilizează adresa specificată pe calculatorul local ca adresă sursă a conexiunii. Util numai pe sistemele cu mai multe adrese.
Utilizează adresa interfeței specificate pe calculatorul local ca adresă sursă a conexiunii.
Când CanonicalizeHostname este activată, această opțiune specifică lista de sufixe de domeniu în care se caută gazda de destinație specificată.
Specifică dacă să eșueze cu o eroare atunci când canonicalizarea numelui de gazdă eșuează. Valoarea implicită, yes, va încerca să caute numele de gazdă necalificat utilizând regulile de căutare ale rezolvatorului de sistem. O valoare de no va determina ssh(1) să eșueze instantaneu dacă CanonicalizeHostname este activată și numele de gazdă țintă nu poate fi găsit în niciunul dintre domeniile specificate de CanonicalDomains.
Controlează dacă se efectuează canonicalizarea explicită a numelui de gazdă. Valoarea implicită, no, este de a nu efectua nicio rescriere a numelui și de a lăsa rezolvatorul de sistem să se ocupe de toate căutările numelui de gazdă. Dacă este stabilită la yes, atunci, pentru conexiunile care nu utilizează ProxyCommand sau ProxyJump, ssh(1) va încerca să canonicalizeze numele de gazdă specificat în linia de comandă utilizând sufixele CanonicalDomains și regulile CanonicalizePermittedCNAMEs. Dacă CanonicalizeHostname este stabilită la always, atunci canonicalizarea este aplicată de asemenea conexiunilor prin proxy.

Dacă această opțiune este activată, fișierele de configurare sunt procesate din nou utilizând noul nume țintă pentru a prelua orice configurație nouă din strofele (secțiunile) Host și Match corespunzătoare. O valoare none dezactivează utilizarea unei gazde de salt ProxyJump.

Specifică numărul maxim de caractere punct într-un nume de gazdă înainte ca canonizarea să fie dezactivată. Valoarea implicită, 1, permite un singur punct (adică: nume-gazdă.subdomeniu).
Specifică reguli pentru a determina dacă CNAME-urile trebuie respectate la canonicalizarea numelor de gazdă. Regulile constau în unul sau mai multe argumente de tipul source_domain_list:target_domain_list, unde source_domain_list este o listă-model de domenii care pot urma CNAME-urile în canonicalizare, iar target_domain_list este o listă-model de domenii la care acestea se pot rezolva.

De exemplu, "*.a.example.com:*.b.example.com,*.c.example.com" va permite ca numele de gazdă care corespund cu "*.a.example.com" să fie canonizate în nume din domeniile "*.b.example.com" sau "*.c.example.com".

Un singur argument "none" face ca niciun CNAME să nu fie luat în considerare pentru canonizare. Acesta este comportamentul implicit.

Specifică ce algoritmi sunt permiși pentru semnarea certificatelor de către autoritățile de certificare (CA). Valoarea implicită este: 
ssh-ed25519,ecdsa-sha2-nistp256,
ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256

Dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii specificați vor fi adăugați la setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘-’, atunci algoritmii specificați (inclusiv caracterele joker) vor fi eliminați din setul implicit în loc să fie înlocuiți.

ssh(1) nu va accepta certificate de gazdă semnate folosind alți algoritmi decât cei specificați.

Specifică un fișier din care este citit certificatul utilizatorului. O cheie privată corespunzătoare trebuie furnizată separat pentru a utiliza acest certificat fie dintr-o directivă IdentityFile, fie dintr-un indicator -i către ssh(1), prin ssh-agent(1) sau prin PKCS11Provider sau SecurityKeyProvider.

Argumentele pentru CertificateFile pot utiliza sintaxa tilde pentru a face referire la directorul personal al utilizatorului, la simbolurile descrise în secțiunea SIMBOLURI și la variabilele de mediu descrise în secțiunea VARIABILE DE MEDIU.

Este posibil să se specifice mai multe fișiere de certificate în fișierele de configurare; aceste certificate vor fi încercate în ordine. Mai multe directive CertificateFile vor fi adăugate la lista de certificate utilizate pentru autentificare.

Specifică dacă și cât de repede ssh(1) trebuie să închidă canalele inactive. Timpii de așteptare sunt specificați ca una sau mai multe perechi “tip=interval” separate prin spații albe, unde “tip” trebuie să fie cuvântul cheie special “global” sau un nume de tip de canal din lista de mai jos, conținând opțional caractere joker.

Valoarea timpului de așteptare “interval” este specificată în secunde sau poate utiliza oricare dintre unitățile documentate în secțiunea FORMATE DE TIMP. De exemplu, “session=5m” ar face ca sesiunile interactive să se încheie după cinci minute de inactivitate. Specificarea unei valori zero dezactivează limita de timp pentru inactivitate.

Timpul de așteptare special “global” se aplică tuturor canalelor active, luate împreună. Traficul pe orice canal activ va reinițializa timpul de așteptare, dar atunci când timpul de așteptare expiră, toate canalele deschise vor fi închise. Rețineți că acest timp limită global nu este compatibil cu caracterele joker și trebuie să fie specificat explicit.

Numele tipurilor de canal disponibile includ:

Deschide conexiuni către ssh-agent(1).
, direct-streamlocal@openssh.com
Deschide conexiuni TCP sau soclu Unix (respectiv) care au fost stabilite de la o redirecționare locală ssh(1), adică LocalForward sau DynamicForward.
, forwarded-streamlocal@openssh.com
Deschide conexiuni TCP sau soclu Unix (respectiv) care au fost stabilite la un sshd(8) care ascultă în numele unui ssh(1) de redirecționare la distanță, și anume RemoteForward.
Sesiunea principală interactivă, inclusiv sesiunea shell, executarea comenzilor, scp(1), sftp(1), etc.
Deschide conexiuni TunnelForward.
Deschide sesiuni de redirecționare X11.

Rețineți că, în toate cazurile de mai sus, terminarea unei sesiuni inactive nu garantează eliminarea tuturor resurselor asociate sesiunii, de exemplu, procesele shell sau clienții X11 referitoare la sesiune pot continua să se execute.

În plus, terminarea unui canal sau a unei sesiuni inactive nu închide neapărat conexiunea SSH și nici nu împiedică un client să solicite un alt canal de același tip. În special, încetarea unei sesiuni de redirecționare inactive nu împiedică crearea ulterioară a unei alte redirecționări identice.

Valoarea implicită este de a nu expira canalele de orice tip pentru inactivitate.

Dacă este stabilită la yes, ssh(1) va verifica suplimentar adresa IP a gazdei în fișierul known_hosts. Acest lucru îi permite să detecteze dacă o cheie de gazdă s-a schimbat din cauza falsificării DNS și va adăuga adresele gazdelor de destinație la ~/.ssh/known_hosts în acest proces, indiferent de configurarea StrictHostKeyChecking. Dacă opțiunea este stabilită la no (implicit), verificarea nu va fi executată.
Specifică cifrurile permise și ordinea lor de preferință. Cifrurile multiple trebuie să fie separate prin virgule. Dacă lista specificată începe cu un caracter ‘+’, atunci cifrurile specificate vor fi adăugate la setul implicit în loc să le înlocuiască. Dacă lista specificată începe cu un caracter ‘-’, atunci cifrurile specificate (inclusiv cele specificate cu caractere joker) vor fi eliminate din setul implicit în loc să le înlocuiască. Dacă lista specificată începe cu un caracter ‘^’, atunci cifrurile specificate vor fi plasate la începutul setului implicit.

Cifrurile acceptate sunt:

3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

Valoarea implicită este:

chacha20-poly1305@openssh.com,
aes128-gcm@openssh.com,aes256-gcm@openssh.com,
aes128-ctr,aes192-ctr,aes256-ctr

Lista cifrurilor disponibile poate fi de asemenea obținută utilizând "ssh -Q cipher".

Specifică ștergerea tuturor redirecționărilor de port locale, la distanță și dinamice specificate în fișierele de configurare sau în linia de comandă. Această opțiune este utilă în principal atunci când este utilizată din linia de comandă ssh(1) pentru a șterge redirecționările de port stabilite în fișierele de configurare și este definită automat de scp(1) și sftp(1). Argumentul trebuie să fie yes sau no (implicit).
Specifică dacă se utilizează comprimarea. Argumentul trebuie să fie yes sau no (implicit).
Specifică numărul de încercări (una pe secundă) care trebuie efectuate înainte de ieșire. Argumentul trebuie să fie un număr întreg. Acest lucru poate fi util în scripturi dacă conexiunea eșuează uneori. Valoarea implicită este 1.
Specifică timpul de așteptare (în secunde) utilizat la conectarea la serverul SSH, în loc să utilizeze timpul de așteptare TCP implicit al sistemului. Acest timp de așteptare se aplică atât la stabilirea conexiunii, cât și la efectuarea negocierii inițiale a protocolului SSH și a schimbului de chei. SetupTimeOut este un alias de compatibilitate specific Debian pentru această opțiune.
Activează partajarea mai multor sesiuni pe o singură conexiune de rețea. Atunci când este stabilită la yes, ssh(1) va asculta conexiunile pe un soclu de control specificat utilizând argumentul ControlPath. Alte sesiuni se pot conecta la acest soclu folosind același ControlPath cu ControlMaster stabilită la no (implicit). Aceste sesiuni vor încerca să reutilizeze conexiunea de rețea a instanței principale în loc să inițieze conexiuni noi, dar vor reveni la conectarea normală dacă soclul de control nu există sau nu este ascultat.

Stabilirea acestei valori la ask va determina ssh(1) să asculte conexiunile de control, dar va necesita confirmare utilizând ssh-askpass(1). Dacă ControlPath nu poate fi deschis, ssh(1) va continua fără a se conecta la o instanță master (principală).

Redirecționarea X11 și ssh-agent(1) este acceptată pe aceste conexiuni multiplexate, însă afișarea și agentul redirecționate vor fi cele aparținând conexiunii master, adică nu este posibilă redirecționarea mai multor afișări sau agenți.

Două opțiuni suplimentare permit multiplexarea oportunistă: încearcă să utilizeze o conexiune master, dar revine la crearea uneia noi dacă nu există deja una. Aceste opțiuni sunt: auto și autoask. Cea din urmă necesită confirmare, la fel ca opțiunea ask.

Specifică ruta către soclul de control utilizat pentru partajarea conexiunii, astfel cum este descris în secțiunea ControlMaster de mai sus sau șirul none pentru a dezactiva partajarea conexiunii. Argumentele pentru ControlPath pot utiliza sintaxa tilde pentru a se referi la directorul personal al unui utilizator, la simbolurile descrise în secțiunea SIMBOLURI și la variabilele de mediu descrise în secțiunea VARIABILE DE MEDIU. Se recomandă ca orice ControlPath utilizat pentru partajarea oportunistă a conexiunilor să includă cel puțin %h, %p și %r (sau alternativ %C) și să fie plasat într-un director care nu poate fi scris de alți utilizatori. Acest lucru asigură că conexiunile partajate sunt identificate în mod unic.
Atunci când este utilizată împreună cu ControlMaster, specifică faptul că conexiunea master (principală) ar trebui să rămână deschisă în fundal (așteptând viitoarele conexiuni client) după ce conexiunea client inițială a fost închisă. Dacă este stabilită la no (valoarea implicită), atunci conexiunea master nu va fi plasată în fundal și se va închide de îndată ce conexiunea client inițială este închisă. Dacă este stabilită la yes sau 0, conexiunea principală va rămâne în fundal pe termen nelimitat (până când este ucisă sau închisă prin intermediul unui mecanism precum "ssh -O exit"). Dacă este definită la un timp în secunde sau un timp în oricare dintre formatele documentate în sshd_config(5), atunci conexiunea principală din fundal se va încheia automat după ce a rămas inactivă (fără conexiuni client) pentru timpul specificat.
Specifică faptul că un port TCP de pe calculatorul local va fi redirecționat prin canalul securizat, iar protocolul aplicației este apoi utilizat pentru a determina unde să se conecteze la calculatorul de la distanță.

Argumentul trebuie să fie [bind_address:]port. Adresele IPv6 pot fi specificate prin includerea adreselor între paranteze drepte. În mod implicit, portul local este legat în conformitate cu configurarea GatewayPorts. Cu toate acestea, se poate utiliza un bind_address explicit pentru a lega conexiunea la o anumită adresă. bind_address de localhost indică faptul că portul de ascultare trebuie legat numai pentru uz local, în timp ce o adresă goală sau ‘*’ indică faptul că portul trebuie să fie disponibil de pe toate interfețele.

În prezent sunt acceptate protocoalele SOCKS4 și SOCKS5, iar ssh(1) va funcționa ca server SOCKS. Se pot specifica mai multe redirecționări, iar redirecționări suplimentare pot fi specificate în linia de comandă. Numai superutilizatorul poate redirecționa porturi privilegiate.

Activează opțiunea liniei de comandă din meniul EscapeChar pentru sesiunile interactive (implicit ‘~C’). Implicit, linia de comandă este dezactivată.
Stabilirea acestei opțiuni la yes în fișierul de configurare globală a clientului /etc/ssh/ssh_config permite utilizarea programului auxiliar ssh-keysign(8) în timpul HostbasedAuthentication. Argumentul trebuie să fie yes sau no (implicit). Această opțiune trebuie plasată în secțiunea non-hostspecific. Consultați ssh-keysign(8) pentru mai multe informații.
Definește caracterul de eludare (implicit: ‘~’). Caracterul de eludare poate fi definit și în linia de comandă. Argumentul trebuie să fie un singur caracter, ‘^’ urmat de o literă, sau none pentru a dezactiva complet caracterul de eludare (făcând conexiunea transparentă pentru datele binare).
Specifică dacă ssh(1) ar trebui să încheie conexiunea în cazul în care nu poate configura toate redirecționările de port dinamice, de tunel, locale și la distanță solicitate (de exemplu, dacă oricare dintre capete nu se poate lega și asculta pe un port specificat). Rețineți că ExitOnForwardFailure nu se aplică conexiunilor realizate prin redirecționări de port și, de exemplu, nu va determina ssh(1) să iasă dacă conexiunile TCP la destinația finală de redirecționare eșuează. Argumentul trebuie să fie yes sau no (implicit).
Specifică algoritmul de sumă de control utilizat la afișarea amprentelor cheilor. Opțiunile valide sunt: md5 și sha256 (implicit).
Solicită ssh să treacă în fundal chiar înainte de executarea comenzii. Acest lucru este util în cazul în care ssh va solicita parole sau fraze de acces, dar utilizatorul îl dorește în fundal. Aceasta presupune ca opțiunea de configurare StdinNull să fie stabilită la “yes”. Modul recomandat de a porni programe X11 la distanță este ceva precum ssh -f host xterm, care este același cu ssh host xterm dacă opțiunea de configurare ForkAfterAuthentication este stabilită la “yes”.

If the ExitOnForwardFailure configuration option is set to “yes”, then a client started with the ForkAfterAuthentication configuration option being set to “yes” will wait for all remote port forwards to be successfully established before placing itself in the background. The argument to this keyword must be yes (same as the -f option) or no (the default).

Specifică dacă conexiunea la agentul de autentificare (dacă există) va fi redirecționată către mașina de la distanță. Argumentul poate fi yes, no (implicit), o rută explicită către un soclu de agent sau numele unei variabile de mediu (începând cu ‘$’) în care să se găsească ruta.

Redirecționarea agentului trebuie să fie activată cu precauție. Utilizatorii care au capacitatea de a ocoli permisiunile de fișier pe gazda de la distanță (pentru soclul de domeniu Unix al agentului) pot accesa agentul local prin conexiunea redirecționată. Un atacator nu poate obține materiale cheie de la agent, însă poate efectua operații asupra cheilor care îi permit să se autentifice folosind identitățile încărcate în agent.

Specifică dacă conexiunile X11 vor fi redirecționate automat prin canalul securizat și configurează DISPLAY. Argumentul trebuie să fie yes sau no (implicit).

Redirecționarea X11 trebuie să fie activată cu precauție. Utilizatorii care au capacitatea de a ocoli permisiunile de fișier pe gazda de la distanță (pentru baza de date de autorizare X11 a utilizatorului) pot accesa afișajul X11 local prin conexiunea redirecționată. Un atacator poate fi capabil să efectueze activități precum monitorizarea apăsării tastelor dacă opțiunea ForwardX11Trusted este, de asemenea, activată.

Specifică un timp de așteptare pentru redirecționarea X11 nesigură utilizând formatul descris în secțiunea TIME FORMATS din sshd_config(5). Conexiunile X11 primite de ssh(1) după acest timp vor fi refuzate. Stabilirea lui ForwardX11Timeout la zero va dezactiva timpul de așteptare și va permite redirecționarea X11 pe durata de viață a conexiunii. Valoarea implicită este dezactivarea transmiterii X11 nesigure după expirarea a douăzeci de minute.
Dacă această opțiune este stabilită la yes (implicit pentru Debian), clienții X11 la distanță vor avea acces complet la afișajul X11 original.

Dacă această opțiune este stabilită la no (implicit), clienții X11 de la distanță vor fi considerați nesiguri și împiedicați să fure sau să falsifice date aparținând clienților X11 de încredere. În plus, jetonul xauth(1) utilizat pentru sesiune va fi configurat să expire după 20 de minute. Clienților de la distanță li se va refuza accesul după această perioadă.

Consultați specificația extensiei „X11 SECURITY” pentru detalii complete privind restricțiile impuse clienților care nu sunt de încredere.

Specifică dacă gazdele de la distanță sunt autorizate să se conecteze la porturile locale redirecționate În mod implicit, ssh(1) leagă redirecționările porturilor locale la adresa loopback. Acest lucru împiedică alte gazde de la distanță să se conecteze la porturile redirecționate. GatewayPorts poate fi utilizată pentru a specifica faptul că ssh ar trebui să lege redirecționările porturilor locale la adresa substituentă permițând astfel gazdelor de la distanță să se conecteze la porturile redirecționate. Argumentul trebuie să fie yes sau no (implicit).
Specifică unul sau mai multe fișiere care vor fi utilizate pentru baza de date globală a cheilor gazdă, separate prin spații. Implicit este /etc/ssh/ssh_known_hosts, /etc/ssh/ssh_known_hosts2.
Specifică dacă este permisă autentificarea utilizatorului bazată pe GSSAPI. Valoarea implicită este no.
Dacă este definită, specifică identitatea clientului GSSAPI pe care ssh trebuie să o utilizeze la conectarea la server. Valoarea implicită este nedefinită, ceea ce înseamnă că va fi utilizată identitatea implicită.
Redirecționează (deleagă) acreditările către server. Valoarea implicită este no.
Specifică dacă poate fi utilizat schimbul de chei bazat pe GSSAPI. Atunci când se utilizează schimbul de chei GSSAPI, serverul nu trebuie să aibă o cheie de gazdă. Valoarea implicită este “no”.
Dacă este stabilită la “yes”, reînnoirea acreditărilor GSSAPI ale clientului va forța reînnoirea cheii conexiunii ssh. Cu un server compatibil, acest lucru va delega acreditările reînnoite către o sesiune pe server.

Se efectuează verificări pentru a se asigura că acreditările sunt propagate numai atunci când noile acreditări corespund cu cele vechi de pe clientul de origine și când serverul destinatar încă mai are setul vechi în memoria cache.

Valoarea implicită este “no”.

Pentru ca acest lucru să funcționeze, GSSAPIKeyExchange trebuie să fie activată pe server și utilizată și de client.

Dacă este definită, specifică identitatea serverului GSSAPI pe care ssh trebuie să o aștepte atunci când se conectează la server. Valoarea implicită este nedefinită, ceea ce înseamnă că identitatea serverului GSSAPI așteptată va fi determinată din numele gazdei țintă.
Definită ca “yes” pentru a indica faptul că DNS-ul este de încredere pentru a canoniza în mod securizat numele gazdei la care se conectează. Dacă este definită ca “no”, numele gazdei introdus în linia de comandă va fi transmis nemodificat către biblioteca GSSAPI. Valoarea implicită este “no”.
Lista algoritmilor de schimb de chei care sunt oferiți pentru schimbul de chei GSSAPI. Valorile posibile sunt 
gss-gex-sha1-,
gss-group1-sha1-,
gss-group14-sha1-,
gss-group14-sha256-,
gss-group16-sha512-,
gss-nistp256-sha256-,
gss-curve25519-sha256-

:ista implicită este “gss-group14-sha256-,gss-group16-sha512-,gss-nistp256-sha256-,gss-curve25519-sha256-,gss-gex-sha1-,gss-group14-sha1-”. Această opțiune se aplică numai conexiunilor care utilizează GSSAPI.

Indică faptul că ssh(1) trebuie să transforme numele și adresele de gazdă în sume de control (hash) atunci când acestea sunt adăugate la ~/.ssh/known_hosts. Aceste nume convertite în sume control pot fi utilizate în mod normal de către ssh(1) și sshd(8), dar ele nu dezvăluie vizual informații de identificare dacă conținutul fișierului este divulgat. Valoarea implicită este no. Rețineți că numele și adresele existente în fișierele de gazde cunoscute nu vor fi convertite automat, dar pot fi convertite manual folosind ssh-keygen(1). Utilizarea acestei opțiuni poate întrerupe facilități precum completarea cu ajutorul tastei «Tab» care se bazează pe citirea numelor de gazde „traduse” din ~/.ssh/known_hosts.
Specifică algoritmii de semnătură care vor fi utilizați pentru autentificarea bazată pe gazdă ca o listă de modele separate prin virgule. Alternativ, dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii de semnătură specificați vor fi adăugați la setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘-’, atunci algoritmii de semnătură specificați (inclusiv cei specificați cu caractere joker) vor fi eliminați din setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘^’, atunci algoritmii de semnătură specificați vor fi plasați la începutul setului implicit. Valoarea implicită pentru această opțiune este: 
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256

Opțiunea -Q din ssh(1) poate fi utilizată pentru a afișa lista algoritmilor de semnătură acceptați. Aceasta se numea anterior „HostbasedKeyTypes”.

Specifică dacă se va încerca autentificarea bazată pe rhosts (gazdele de la distanță) cu autentificare cu cheie publică. Argumentul trebuie să fie yes sau no (implicit).
Specifică algoritmii de semnare a cheii gazdă pe care clientul dorește să îi utilizeze în ordinea preferințelor. Alternativ, dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii de semnătură specificați vor fi adăugați la setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘-’, atunci algoritmii de semnătură specificați (inclusiv cei specificați cu caractere joker) vor fi eliminați din setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘^’, atunci algoritmii de semnătură specificați vor fi plasați la începutul setului implicit. Valoarea implicită pentru această opțiune este: 
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ecdsa-sha2-nistp256@openssh.com,
sk-ssh-ed25519@openssh.com,
rsa-sha2-512,rsa-sha2-256

Dacă cheile de gazdă sunt cunoscute pentru gazda de destinație, atunci această valoare implicită este modificată pentru a prefera algoritmii acestora.

Lista algoritmilor de semnătură disponibili poate fi de asemenea obținută utilizând "ssh -Q HostKeyAlgorithms".

Specifică un alias care trebuie utilizat în locul numelui real al gazdei atunci când se caută sau se salvează cheia gazdei în fișierele bazei de date a cheilor gazdelor și când se validează certificatele gazdelor. Această opțiune este utilă pentru tunelarea conexiunilor SSH sau pentru mai multe servere care rulează pe o singură gazdă.
Specifică numele real al gazdei la care se face conectarea. Aceasta poate fi utilizată pentru a specifica porecle sau abrevieri pentru gazde. Argumentele pentru Hostname acceptă simbolurile descrise în secțiunea SIMBOLURI. Adresele IP numerice sunt de asemenea permise (atât în linia de comandă, cât și în specificațiile Hostname). Valoarea implicită este numele dat în linia de comandă.
Specifică faptul că ssh(1) trebuie să utilizeze numai identitatea de autentificare și fișierele de certificat configurate (fie fișierele implicite, fie cele configurate explicit în fișierele ssh_config sau pasate în linia de comandă ssh(1)), chiar dacă ssh-agent(1) sau un PKCS11Provider sau SecurityKeyProvider oferă mai multe identități. Argumentul acestui cuvânt cheie trebuie să fie yes sau no (implicit). Această opțiune este destinată situațiilor în care ssh-agent oferă multe identități diferite.
Specifică soclul UNIX-domain utilizat pentru comunicarea cu agentul de autentificare.

Această opțiune prevalează asupra variabilei de mediu SSH_AUTH_SOCK și poate fi utilizată pentru a selecta un anumit agent. Stabilirea numelui soclului la none dezactivează utilizarea unui agent de autentificare. Dacă este specificat șirul "SSH_AUTH_SOCK", locația soclului va fi citită din variabila de mediu SSH_AUTH_SOCK. În caz contrar, dacă valoarea specificată începe cu un caracter ‘$’, atunci aceasta va fi tratată ca o variabilă de mediu care conține locația soclului.

Argumentele pentru IdentityAgent pot utiliza sintaxa tilde pentru a face referire la directorul personal al utilizatorului, la simbolurile descrise în secțiunea SIMBOLURI și la variabilele de mediu descrise în secțiunea VARIABILE DE MEDIU.

Specifică un fișier din care este citită identitatea de autentificare ECDSA, ECDSA găzduită de autentificator, Ed25519, Ed25519 găzduită de autentificator sau RSA a utilizatorului. De asemenea, puteți specifica un fișier de cheie publică pentru a utiliza cheia privată corespunzătoare care este încărcată în ssh-agent(1) atunci când fișierul de cheie privată nu este prezent local. Valoarea implicită este ~/.ssh/id_rsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519 și ~/.ssh/id_ed25519_sk. În plus, toate identitățile reprezentate de agentul de autentificare vor fi utilizate pentru autentificare, cu excepția cazului în care este activată IdentitiesOnly. Dacă niciun certificat nu a fost specificat în mod explicit prin CertificateFile, ssh(1) va încerca să încarce informații despre certificat din numele fișierului obținut prin adăugarea -cert.pub la ruta unui IdentityFile specificat.

Argumentele pentru IdentityFile pot utiliza sintaxa tilde pentru a face referire la directorul personal al utilizatorului sau la simbolurile descrise în secțiunea SIMBOLURI. Alternativ, se poate utiliza argumentul none pentru a indica faptul că nu trebuie încărcate fișiere de identitate.

Este posibil să se specifice mai multe fișiere de identitate în fișierele de configurare; toate aceste identități vor fi încercate în ordine. Mai multe directive IdentityFile vor fi adăugate la lista de identități încercate (acest comportament diferă de cel al altor directive de configurare).

IdentityFile poate fi utilizată împreună cu IdentitiesOnly pentru a selecta identitățile dintr-un agent care sunt oferite în timpul autentificării. IdentityFile poate fi utilizată și împreună cu CertificateFile pentru a furniza orice certificat necesar pentru autentificarea cu identitatea.

Specifică o listă de modele de opțiuni necunoscute care vor fi ignorate dacă sunt întâlnite în analiza configurației. Aceasta poate fi utilizată pentru a suprima erorile dacă ssh_config conține opțiuni care nu sunt recunoscute de ssh(1). Se recomandă ca IgnoreUnknown să fie listată la începutul fișierului de configurare, deoarece nu va fi aplicată opțiunilor necunoscute care apar înaintea sa.
Include fișierul (fișierele) de configurare specificat(e). Se pot specifica mai multe nume de rută, iar fiecare nume de rută poate conține caractere joker glob(7), simboluri așa cum sunt descrise în secțiunea SIMBOLURI, variabile de mediu așa cum sunt descrise în secțiunea VARIABILE DE MEDIU și, pentru configurațiile de utilizator, referințe de tip shell ‘~’ la directoarele personale ale utilizatorului. Caracterele joker vor fi expandate și procesate în ordine lexicală. Se presupune că fișierele fără rute absolute se află în ~/.ssh dacă sunt incluse într-un fișier de configurare utilizator sau /etc/ssh dacă sunt incluse în fișierul de configurare al sistemului. Directiva Include poate apărea în interiorul unui bloc Match sau Host pentru a efectua includerea condiționată.
Specifică tipul de serviciu IPv4 sau clasa DSCP pentru conexiune. Valorile acceptate sunt af11, af12, af13, af21, af22, af23, af31, af32, af33, af41, af42, af43, cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, ef, le, lowdelay, throughput, reliability, o valoare numerică sau none pentru a utiliza valoarea implicită a sistemului de operare. Această opțiune poate primi unul sau două argumente, separate printr-un spațiu alb. Dacă este specificat un argument, acesta este utilizat necondiționat ca clasă de pachete. Dacă sunt specificate două valori, prima este selectată automat pentru sesiunile interactive și a doua pentru sesiunile non-interactive. Valoarea implicită este lowdelay pentru sesiunile interactive și throughput pentru sesiunile non-interactive.
Specifică dacă se utilizează autentificarea interactivă prin tastatură. Argumentul pentru acest cuvânt cheie trebuie să fie yes (implicit) sau no. ChallengeResponseAuthentication este un alias învechit pentru acesta.
Specifică lista de metode care urmează să fie utilizate în autentificarea interactivă de la tastatură. Numele mai multor metode trebuie să fie separate prin virgule. Metoda implicită este de a utiliza lista specificată de server. Metodele disponibile variază în funcție de ceea ce acceptă serverul. Pentru un server OpenSSH, acestea pot fi zero sau mai multe dintre: bsdauth și pam.
Specifică algoritmii KEX (Key Exchange) permiși care vor fi utilizați și ordinea lor de preferință. Algoritmul selectat va fi primul algoritm din această listă pe care serverul îl acceptă. Algoritmii multipli trebuie separați prin virgule.

Dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii specificați vor fi adăugați la setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘-’, atunci algoritmii specificați (inclusiv cei secificați cu caractere joker) vor fi eliminați din setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘^’, atunci algoritmii specificați vor fi plasați la începutul setului implicit.

Valoarea implicită este:

mlkem768x25519-sha256,
sntrup761x25519-sha512,sntrup761x25519-sha512@openssh.com,
curve25519-sha256,curve25519-sha256@libssh.org,
ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
diffie-hellman-group-exchange-sha256,
diffie-hellman-group16-sha512,
diffie-hellman-group18-sha512,
diffie-hellman-group14-sha256

Lista algoritmilor de schimb de chei acceptați poate fi obținută și folosind "ssh -Q kex".

Specifică o comandă de utilizat pentru a obține o listă de chei de gazdă, în plus față de cele enumerate în UserKnownHostsFile și GlobalKnownHostsFile. Această comandă este executată după ce fișierele au fost citite. Aceasta poate scrie linii de chei de gazdă la ieșirea standard în format identic cu cel al fișierelor obișnuite (descrise în secțiunea VERIFYING HOST KEYS din ssh(1)). Argumentele pentru KnownHostsCommand acceptă simbolurile descrise în secțiunea SIMBOLURI. Comanda poate fi invocată de mai multe ori pe conexiune: o dată la pregătirea listei de preferințe a algoritmilor de chei de gazdă de utilizat, din nou pentru a obține cheia de gazdă pentru numele de gazdă solicitat și, dacă CheckHostIP este activată, încă o dată pentru a obține cheia de gazdă corespunzătoare adresei serverului. Dacă comanda iese în mod anormal sau returnează o stare de ieșire diferită de zero, conexiunea este încheiată.
Specifică o comandă care trebuie executată pe mașina locală după conectarea cu succes la server. Șirul de comandă se extinde până la sfârșitul liniei și este executat cu shell-ul utilizatorului. Argumentele pentru LocalCommand acceptă simbolurile descrise în secțiunea SIMBOLURI.

Comanda este executată sincron și nu are acces la sesiunea ssh(1) care a generat-o. Nu trebuie utilizată pentru comenzi interactive.

Această directivă este ignorată, cu excepția cazului în care PermitLocalCommand a fost activată.

Specifică ca un port TCP sau un soclu de domeniu Unix de pe mașina locală să fie transmis prin canalul securizat către gazda și portul specificate (sau soclul de domeniu Unix) de pe mașina de la distanță. Pentru un port TCP, primul argument trebuie să fie [bind_address:]port sau o rută de soclu de domeniu Unix. Al doilea argument este destinația și poate fi host:hostport sau o rută de soclu de domeniu Unix dacă gazda de la distanță o acceptă.

Adresele IPv6 pot fi specificate prin încadrarea adreselor între paranteze drepte.

Dacă vreunul dintre argumente conține un caracter „/”, acel argument va fi interpretat ca un soclu de domeniu Unix (pe gazda respectivă) și nu ca un port TCP.

Pot fi specificate mai multe redirecționări, iar redirecționările suplimentare pot fi specificate în linia de comandă. Numai superutilizatorul poate redirecționa porturi privilegiate. În mod implicit, portul local este legat în conformitate cu configurația GatewayPorts. Cu toate acestea, poate fi utilizat un bind_address explicit pentru a lega conexiunea la o anumită adresă. bind_address de localhost indică faptul că portul de ascultare este legat numai pentru uz local, în timp ce o adresă goală sau ‘*’ indică faptul că portul ar trebui să fie disponibil de la toate interfețele. Rutele de soclu de domeniu Unix pot utiliza simbolurile descrise în secțiunea SIMBOLURI și variabilele de mediu descrise în secțiunea VARIABILE DE MEDIU.

Oferă nivelul de detaliere utilizat la înregistrarea mesajelor din ssh(1). Valorile posibile sunt: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 și DEBUG3. Valoarea implicită este INFO. DEBUG și DEBUG1 sunt echivalente. DEBUG2 și DEBUG3 specifică fiecare niveluri mai ridicate de ieșire informativă detaliată.
Specifică una sau mai multe suprascrieri pentru LogLevel. O suprascriere constă într-una sau mai multe liste de modele care se potrivesc cu fișierul sursă, funcția și numărul liniei pentru care se impune înregistrarea detaliată. De exemplu, un model de suprascriere de: 
kex.c:*:1000,*:kex_exchange_identification():*,packet.c:*

ar activa înregistrarea detaliată pentru linia 1000 din kex.c, tot ce se află în funcția () și tot codul din fișierul packet.c. Această opțiune este destinată depanării și nicio modificare (suprascriere) nu este activată implicit.

Specifică algoritmii MAC (cod de autentificare a mesajelor) disponibili. Algoritmul MAC este utilizat pentru protecția integrității datelor. Algoritmii multipli trebuie să fie separați prin virgule. Dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii specificați vor fi adăugați la setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘-’, atunci algoritmii specificați (inclusiv cei specificați cu caractere joker) vor fi eliminați din setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘^’, atunci algoritmii specificați vor fi plasați la începutul setului implicit.

Algoritmii care conțin "-etm" calculează MAC după criptare (criptare-apoi-mac -- „encrypt-then-mac”). Aceștia sunt considerați mai siguri și se recomandă utilizarea lor.

Valoarea implicită este:

umac-64-etm@openssh.com,umac-128-etm@openssh.com,
hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,
hmac-sha1-etm@openssh.com,
umac-64@openssh.com,umac-128@openssh.com,
hmac-sha2-256,hmac-sha2-512,hmac-sha1

Lista algoritmilor MAC disponibili poate fi de asemenea obținută utilizând "ssh -Q mac".

Dezactivează autentificarea gazdei pentru gazda locală „localhost” (adrese loopback). Argumentul pentru acest cuvânt cheie trebuie să fie yes sau no (implicit).
Specifică numărul de solicitări de parolă înainte de a renunța. Argumentul pentru acest cuvânt cheie trebuie să fie un număr întreg. Valoarea implicită este 3.
Specifică dacă ssh(1) ar trebui să încerce să ascundă timpii între apăsările tastelor de observatorii pasivi ai traficului de rețea. Dacă este activată, atunci pentru sesiunile interactive, ssh(1) va trimite tastele la intervale fixe de câteva zeci de milisecunde și va trimite pachete false de tastare pentru o anumită perioadă de timp după încetarea tastării. Argumentul acestui cuvânt cheie trebuie să fie yes, no sau un specificator de interval de forma interval:milisecunde (de exemplu, interval:80 pentru 80 milisecunde). Valoarea implicită este de a ascunde apăsările de taste folosind un interval de pachete de 20 ms. Rețineți că intervalele mai mici vor duce la rate mai mari de pachete de apăsări de taste false.
Specifică dacă se utilizează autentificarea prin parolă. Argumentul pentru acest cuvânt cheie trebuie să fie yes (implicit) sau no.
Permite executarea comenzilor locale prin opțiunea LocalCommand sau utilizând secvența de eludare !comanda în ssh(1). Argumentul trebuie să fie yes sau no (implicit).
Specifică destinațiile către care este permisă redirecționarea portului TCP la distanță atunci când RemoteForward este utilizat ca proxy SOCKS. Specificația de redirecționare trebuie să aibă una dintre următoarele forme:

Se pot specifica mai multe redirecționări prin separarea lor cu un spațiu alb. Un argument de tipul any poate fi utilizat pentru a elimina toate restricțiile și a permite orice cerere de redirecționare. Un argument de tipul none poate fi utilizat pentru a interzice toate cererile de redirecționare. Caracterul joker ‘*’ poate fi utilizat pentru gazdă sau port pentru a permite toate gazdele, respectiv porturile. În caz contrar, nu se efectuează nicio potrivire de model sau căutare de adrese pentru numele furnizate.

Specifică furnizorul PKCS#11 care trebuie utilizat sau none pentru a indica faptul că nu trebuie utilizat niciun furnizor (implicit). Argumentul pentru acest cuvânt cheie este o rută către biblioteca partajată PKCS#11 ssh(1) care trebuie utilizată pentru a comunica cu un simbol PKCS#11 care furnizează chei pentru autentificarea utilizatorului.
Specifică numărul portului la care se va conecta la gazda de la distanță. Valoarea implicită este 22.
Specifică ordinea în care clientul trebuie să încerce metodele de autentificare. Acest lucru permite clientului să prefere o metodă (de exemplu, keyboard-interactive) în detrimentul unei alte metode (de exemplu, password). Valoarea implicită este: 
gssapi-with-mic,hostbased,publickey,
keyboard-interactive,password
Specifică comanda care trebuie utilizată pentru conectarea la server. Șirul de comandă se extinde până la sfârșitul liniei și este executat utilizând directiva ‘exec’ a shell-ului utilizatorului pentru a evita un proces shell persistent.

Argumentele pentru ProxyCommand acceptă simbolurile descrise în secțiunea SIMBOLURI. Comanda poate fi practic orice și ar trebui să citească de la intrarea sa standard și să scrie la ieșirea sa standard. Ar trebui să conecteze în cele din urmă un server sshd(8) care rulează pe o anumită mașină sau să execute sshd -i undeva. Gestionarea cheilor de gazdă se va face folosind Hostname al gazdei conectate (implicit numele tastat de utilizator). Stabilirea comenzii la none dezactivează complet această opțiune. Rețineți că CheckHostIP nu este disponibilă pentru conexiunile cu o comandă proxy.

Această directivă este utilă în combinație cu nc(1) și suportul său proxy. De exemplu, următoarea directivă s-ar conecta prin intermediul unui proxy HTTP la 192.0.2.0:

ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p
Specifică unul sau mai multe proxy-uri de salt fie ca [user@]host[:port] sau un URI ssh. Mai multe proxy-uri pot fi separate prin caractere virgulă și vor fi vizitate secvențial. Definirea acestei opțiuni va determina ssh(1) să se conecteze la gazda țintă realizând mai întâi o conexiune ssh(1) la gazda ProxyJump specificată și apoi stabilind de acolo o redirecționare TCP către ținta finală. Stabilirea gazdei la none dezactivează complet această opțiune.

Rețineți că această opțiune va concura cu opțiunea ProxyCommand - cea care este specificată prima va împiedica aplicarea celeilalte.

Rețineți, de asemenea, că configurația pentru gazda de destinație (furnizată fie prin linia de comandă, fie prin fișierul de configurare) nu se aplică în general gazdelor de salt (intermediare). ~/.ssh/config trebuie utilizat dacă este necesară o configurație specifică pentru gazdele de salt.

Specifică faptul că ProxyCommand va returna un descriptor de fișier conectat către ssh(1) în loc să continue executarea și transmiterea datelor. Valoarea implicită este no.
Specifică algoritmii de semnătură care vor fi utilizați pentru autentificarea cu cheie publică ca o listă de modele separate prin virgule. Dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii de după acesta vor fi adăugați la algoritmul implicit în loc să îl înlocuiască. Dacă lista specificată începe cu un caracter ‘-’, atunci algoritmii specificați (inclusiv cei specificați cu caractere joker) vor fi eliminați din setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘^’, atunci algoritmii specificați vor fi plasați la începutul setului implicit. Valoarea implicită pentru această opțiune este: 
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256

Lista algoritmilor de semnătură disponibili poate fi de asemenea obținută utilizând "ssh -Q PubkeyAcceptedAlgorithms".

Specifică dacă să se încerce autentificarea prin cheie publică. Argumentul acestui cuvânt cheie trebuie să fie yes (implicit), no, unbound sau host-bound. Ultimele două opțiuni activează autentificarea cu cheie publică și, respectiv, dezactivează sau activează extensia protocolului de autentificare OpenSSH host-bound necesară pentru redirecționarea restricționată ssh-agent(1).
Specifică cantitatea maximă de date care pot fi transmise sau primite înainte ca cheia de sesiune să fie renegociată, urmată opțional de o cantitate maximă de timp care poate trece înainte ca cheia de sesiune să fie renegociată. Primul argument este specificat în octeți și poate avea un sufix ‘K’, ‘M’ sau ‘G’ pentru a indica kiloocteți, megaocteți sau, respectiv, gigaocteți. Valoarea implicită este între ‘1G’ și ‘4G’, în funcție de cifru. A doua valoare opțională este specificată în secunde și poate utiliza oricare dintre unitățile documentate în secțiunea FORMATE DE TIMP din sshd_config(5). Valoarea implicită pentru RekeyLimit este default none, ceea ce înseamnă că rescrierea este efectuată după ce a fost trimisă sau primită cantitatea de date implicită a cifrului și nu se efectuează rescrierea în funcție de timp.
Specifică o comandă care trebuie executată pe mașina de la distanță după conectarea cu succes la server. Șirul de comandă se extinde până la sfârșitul liniei și este executat cu shell-ul utilizatorului. Argumentele pentru RemoteCommand acceptă simbolurile descrise în secțiunea SIMBOLURI.
Specifică ca un port TCP sau un soclu de domeniu Unix de pe mașina de la distanță să fie redirecționat pe canalul securizat. Portul de la distanță poate fi redirecționat fie către o gazdă și un port specificate, fie către un soclu de domeniu Unix de pe mașina locală, sau poate acționa ca un proxy SOCKS 4/5 care permite unui client de la distanță să se conecteze la destinații arbitrare de pe mașina locală. Primul argument este specificația de ascultare și poate fi [bind_address:]port sau, dacă gazda de la distanță o acceptă, o rută de soclu de domeniu Unix. În cazul redirecționării către o destinație specifică, al doilea argument trebuie să fie host:hostport sau o rută de soclu de domeniu Unix; în caz contrar, dacă nu este specificat niciun argument de destinație, redirecționarea de la distanță va fi stabilită ca un proxy SOCKS. Atunci când acționează ca un proxy SOCKS, destinația conexiunii poate fi restricționată prin PermitRemoteOpen.

Adresele IPv6 pot fi specificate prin încadrarea adreselor între paranteze drepte.

Dacă vreunul dintre argumente conține un caracter „/”, acel argument va fi interpretat ca un soclu de domeniu Unix (pe gazda respectivă) și nu ca un port TCP.

Pot fi specificate mai multe redirecționări, iar redirecționările suplimentare pot fi date în linia de comandă. Porturile privilegiate pot fi redirecționate numai atunci când vă conectați ca root pe mașina de la distanță. Rutele de soclu de domeniu Unix pot utiliza simbolurile descrise în secțiunea SIMBOLURI și variabilele de mediu descrise în secțiunea VARIABILE DE MEDIU.

Dacă argumentul port este 0, portul de ascultare va fi alocat dinamic pe server și raportat clientului în timpul rulării.

Dacă bind_address nu este specificată, implicit se face legătura numai cu adresele loopback. Dacă bind_address este ‘*’ sau un șir de caractere gol, redirecționarea este solicitată să asculte pe toate interfețele. Specificarea unei bind_address la distanță va reuși numai dacă opțiunea GatewayPorts a serverului este activată (consultați sshd_config(5)).

Specifică dacă se solicită un pseudo-tty pentru sesiune. Argumentul poate fi unul dintre următoarele: no (nu se solicită niciodată un TTY), yes (se solicită întotdeauna un TTY când intrarea standard este un TTY), force (se solicită întotdeauna un TTY) sau auto (se solicită un TTY la deschiderea unei sesiuni de autentificare). Această opțiune reflectă fanioanele -t și -T pentru ssh(1).
Specifică dimensiunea minimă a cheii RSA (în biți) pe care ssh(1) o va accepta. Cheile de autentificare ale utilizatorilor mai mici decât această limită vor fi ignorate. Serverele care prezintă chei de gazdă mai mici decât această limită vor determina întreruperea conexiunii. Valoarea implicită este 1024 biți. Rețineți că această limită poate fi mărită numai față de valoarea implicită.
Specifică cheile publice revocate ale gazdei. Cheile enumerate în acest fișier vor fi refuzate pentru autentificarea gazdei. Rețineți că, dacă acest fișier nu există sau nu poate fi citit, atunci autentificarea gazdei va fi refuzată pentru toate gazdele. Cheile pot fi specificate sub forma unui fișier text, care enumeră o cheie publică pe linie, sau sub forma unei liste de revocare a cheilor OpenSSH (KRL), generată de ssh-keygen(1). Pentru mai multe informații despre KRL-uri, consultați secțiunea LISTE DE REVOCARE A CHEILOR din ssh-keygen(1). Argumentele pentru RevokedHostKeys pot utiliza sintaxa tilde pentru a se referi la directorul personal al unui utilizator, la simbolurile descrise în secțiunea SIMBOLURI și la variabilele de mediu descrise în secțiunea VARIABILE DE MEDIU.
Specifică o rută către o bibliotecă care va fi utilizată la încărcarea oricăror chei găzduite de autentificatorul FIDO, înlocuind opțiunea implicită de utilizare a suportului USB HID încorporat.

Dacă valoarea specificată începe cu caracterul ‘$’, atunci va fi tratată ca o variabilă de mediu care conține ruta către bibliotecă.

Specifică cheile publice revocate ale gazdei. Cheile enumerate în acest fișier vor fi refuzate pentru autentificarea gazdei. Rețineți că, dacă acest fișier nu există sau nu poate fi citit, atunci autentificarea gazdei va fi refuzată pentru toate gazdele. Cheile pot fi specificate sub forma unui fișier text, care enumeră o cheie publică pe linie, sau sub forma unei liste de revocare a cheilor OpenSSH (KRL), generată de ssh-keygen(1). Specifică ce variabile din environ(7) local trebuie trimise către server. Serverul trebuie, de asemenea, să le accepte, iar serverul trebuie să fie configurat pentru a accepta aceste variabile de mediu. Rețineți că variabila de mediu TERM este întotdeauna trimisă ori de câte ori este solicitat un pseudo-terminal, deoarece este cerută de protocol. Consultați AcceptEnv în sshd_config(5) pentru modul de configurare a serverului. Variabilele sunt specificate prin nume, care poate conține caractere joker. Variabilele de mediu multiple pot fi separate prin spațiu alb sau distribuite pe mai multe directive SendEnv.

Pentru mai multe informații despre modele, consultați secțiunea MODELE.

Este posibil să ștergeți numele variabilelor SendEnv definite anterior, prefixând modelele cu -. Implicit, nu se trimit variabile de mediu.

Stabilește numărul de mesaje alive pentru server (a se vedea mai jos) care pot fi trimise fără ca ssh(1) să primească niciun mesaj înapoi de la server. Dacă acest prag este atins în timp ce se trimit mesaje server alive, ssh se va deconecta de la server, închizând sesiunea. Este important să rețineți că utilizarea mesajelor server alive este foarte diferită de TCPKeepAlive (mai jos). Mesajele server alive sunt trimise prin canalul criptat și, prin urmare, nu vor putea fi falsificate. Opțiunea TCP keepalive activată de TCPKeepAlive poate fi falsificată. Mecanismul server alive este valoros atunci când clientul sau serverul depind de cunoașterea momentului în care o conexiune nu mai răspunde.

Valoarea implicită este 3. Dacă, de exemplu, ServerAliveInterval (a se vedea mai jos) este definită la 15 și ServerAliveCountMax este lăsată la valoarea implicită, dacă serverul nu mai răspunde, ssh se va deconecta după aproximativ 45 de secunde.

Stabilește un interval de timp în secunde după care, dacă nu au fost primite date de la server, ssh(1) va trimite un mesaj prin canalul criptat pentru a solicita un răspuns de la server. Valoarea implicită este 0, indicând că aceste mesaje nu vor fi trimise către server, sau 300 dacă opțiunea BatchMode este activată (specifică Debian). ProtocolKeepAlives este un alias de compatibilitate specific Debian pentru această opțiune.
Poate fi utilizată fie pentru a solicita invocarea unui subsistem pe sistemul de la distanță, fie pentru a preveni executarea unei comenzi de la distanță. Aceasta din urmă este utilă doar pentru redirecționarea porturilor. Argumentul acestui cuvânt cheie trebuie să fie none (la fel ca opțiunea -N), subsystem (la fel ca opțiunea -s) sau default (execuție shell sau comandă).
Specifică direct una sau mai multe variabile de mediu și conținutul acestora care urmează să fie trimise serverului sub forma “NUME=VALOARE”. Similar cu SendEnv, cu excepția variabilei TERM, serverul trebuie să fie pregătit să accepte variabila de mediu.

“VALOARE” poate utiliza simbolurile descrise în secțiunea SIMBOLURI și variabilele de mediu descrise în secțiunea VARIABILE DE MEDIU.

Redirecționează stdin către /dev/null (de fapt, împiedică citirea din stdin). Această opțiune sau opțiunea echivalentă -n trebuie utilizată atunci când ssh este rulat în fundal. Argumentul pentru acest cuvânt cheie trebuie să fie yes (la fel ca opțiunea -n) sau no (implicit).
Stabilește masca octală a modului de creare a fișierului (umask) utilizată la crearea unui fișier soclu de domeniu Unix pentru redirecționarea porturilor locale sau la distanță. Această opțiune este utilizată numai pentru redirecționarea porturilor către un fișier soclu de domeniu Unix.

Valoarea implicită este 0177, care creează un fișier soclu de domeniu Unix care poate fi citit și scris numai de către proprietar. Rețineți că nu toate sistemele de operare respectă modul de fișier al fișierelor soclu de domeniu Unix.

Specifică dacă să se elimine un fișier de soclu de domeniu Unix existent pentru redirecționarea portului local sau la distanță înainte de a crea unul nou. Dacă fișierul soclu există deja și StreamLocalBindUnlink nu este activat, ssh nu va putea transmite portul către fișierul soclu de domeniu Unix. Această opțiune este utilizată numai pentru redirecționarea portului către un fișier soclu de domeniu Unix.

Argumentul trebuie să fie yes sau no (valoarea implicită).

Dacă acest fanion este stabilit la yes, ssh(1) nu va adăuga niciodată automat cheile de gazdă la fișierul ~/.ssh/known_hosts și refuză să se conecteze la gazdele a căror cheie de gazdă s-a schimbat. Acest lucru oferă protecție maximă împotriva atacurilor de tip man-in-the-middle (MITM), deși poate fi enervant atunci când fișierul /etc/ssh/ssh_known_hosts este prost întreținut sau când se fac frecvent conexiuni la gazde noi. Această opțiune obligă utilizatorul să adauge manual toate gazdele noi.

Dacă acest fanion este definit la accept-new, ssh va adăuga automat noi chei de gazdă la fișierul known_hosts al utilizatorului, dar nu va permite conexiunile la gazdele cu chei de gazdă modificate. Dacă acest fanion este stabilit la no sau off, ssh va adăuga automat noi chei de gazdă la fișierele de gazde cunoscute ale utilizatorului și va permite conexiunile la gazdele cu chei de gazdă modificate, sub rezerva anumitor restricții. Dacă acest fanion este definit la ask (valoarea implicită), noile chei de gazdă vor fi adăugate la fișierele de gazde cunoscute de utilizator numai după ce utilizatorul a confirmat că aceasta este ceea ce dorește cu adevărat să facă, iar ssh va refuza să se conecteze la gazdele a căror cheie de gazdă s-a schimbat. Cheile de gazdă ale gazdelor cunoscute vor fi verificate automat în toate cazurile.

Oferă codul facilității utilizat la înregistrarea mesajelor din ssh(1). Valorile posibile sunt: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Valoarea implicită este USER.
Specifică dacă sistemul trebuie să trimită mesaje TCP keepalive celeilalte părți. Dacă acestea sunt trimise, moartea conexiunii sau prăbușirea uneia dintre mașini va fi raportată în mod corespunzător. Această opțiune utilizează doar mesajele keepalive TCP (spre deosebire de mesajele keepalive la nivel ssh), astfel încât este nevoie de mult timp pentru a observa când conexiunea moare. Ca atare, probabil că doriți și opțiunea ServerAliveInterval. Cu toate acestea, acest lucru înseamnă că conexiunile vor muri dacă ruta este căzută temporar, iar unii oameni consideră acest lucru enervant.

Implicit este yes (pentru a trimite mesaje TCP keepalive), iar clientul va observa dacă rețeaua cade sau gazda la distanță se oprește. Acest lucru este important în scripturi, iar mulți utilizatori îl doresc.

Pentru a dezactiva mesajele TCP keepalive, valoarea trebuie să fie stabilită la no. Consultați și ServerAliveInterval pentru keepalive-uri la nivel de protocol.

Specifică un nume de etichetă de configurare care poate fi utilizat ulterior de o directivă Match pentru a selecta un bloc de configurare.
Solicită redirecționarea dispozitivului tun(4) între client și server. Argumentul trebuie să fie yes, point-to-point (stratul 3), ethernet (stratul 2) sau no (implicit). Specificarea yes solicită modul tunel implicit, care este point-to-point.
Specifică dispozitivele tun(4) care trebuie deschise pe clientul (local_tun) și pe serverul (remote_tun).

Argumentul trebuie să fie local_tun[:remote_tun]. Dispozitivele pot fi specificate prin ID numeric sau prin cuvântul cheie any, care utilizează următorul dispozitiv tunel disponibil. Dacă remote_tun nu este specificat, valoarea implicită este any. Valoarea implicită este any:any.

Specifică dacă ssh(1) trebuie să accepte notificări de chei de gazdă suplimentare de la server trimise după finalizarea autentificării și să le adauge la UserKnownHostsFile. Argumentul trebuie să fie yes, no sau ask. Această opțiune permite învățarea unor chei gazdă alternative pentru un server și acceptă rotația inteligentă a cheilor permițând unui server să trimită chei publice de înlocuire înainte ca cele vechi să fie eliminate.

Cheile gazdă suplimentare sunt acceptate numai dacă cheia utilizată pentru autentificarea gazdei era deja de încredere sau acceptată în mod explicit de utilizator, gazda a fost autentificată prin UserKnownHostsFile (adică nu GlobalKnownHostsFile) și gazda a fost autentificată utilizând o cheie simplă și nu un certificat.

UpdateHostKeys este activată în mod implicit dacă utilizatorul nu a suprascris valoarea implicită a setării UserKnownHostsFile și nu a activat VerifyHostKeyDNS, în caz contrar UpdateHostKeys va fi stabilită la no.

Dacă UpdateHostKeys este stabilită la ask, atunci utilizatorul este rugat să confirme modificările aduse fișierului known_hosts. ă Confirmarea este în prezent incompatibilă cu ControlPersist și va fi dezactivată dacă aceasta este activată.

În prezent, numai sshd(8) din OpenSSH 6.8 și versiunile ulterioare acceptă extensia de protocol "hostkeys@openssh.com" utilizată pentru a informa clientul cu privire la toate cheile gazdă ale serverului.

Specifică utilizatorul cu care se va conecta. Acest lucru poate fi util atunci când un nume de utilizator diferit este utilizat pe diferite mașini. Se evită astfel problema de a nu uita să se indice numele de utilizator în linia de comandă. Argumentele pentru User pot utiliza simbolurile descrise în secțiunea SIMBOLURI (cu excepția %r și %C) și variabilele de mediu descrise în secțiunea VARIABILE DE MEDIU.
Specifică unul sau mai multe fișiere care urmează să fie utilizate pentru baza de date a cheilor gazdei utilizatorului, separate prin spațiu alb. Fiecare nume de fișier poate utiliza notația tilde pentru a se referi la directorul personal al utilizatorului, la simbolurile descrise în secțiunea SIMBOLURI și la variabilele de mediu descrise în secțiunea VARIABILE DE MEDIU. O valoare de none face ca ssh(1) să ignore orice fișiere de gazde cunoscute specifice utilizatorului. Valoarea implicită este ~/.ssh/known_hosts, ~/.ssh/known_hosts2.
Specifică dacă se verifică cheia de la distanță utilizând DNS și înregistrările resurselor SSHFP. Dacă această opțiune este definită la yes, clientul va avea implicit încredere în cheile care corespund unei amprente securizate din DNS. Amprentele nesigure vor fi tratate ca și cum această opțiune ar fi definită la ask. Dacă această opțiune este definită la ask, se vor afișa informații privind potrivirea amprentei digitale, dar utilizatorul va trebui în continuare să confirme cheile gazdă noi în conformitate cu opțiunea StrictHostKeyChecking. Valoarea implicită este no.

Consultați și secțiunea VERIFICAREA CHEILOR GAZDEI din ssh(1).

Opțional, specifică textul suplimentar care va fi adăugat la mesajul de întâmpinare al protocolului SSH trimis de client la conectare. Valoarea implicită este none.
Dacă acest fanion este stabilit la yes, o reprezentare artistică ASCII a amprentei digitale a cheii gazdei la distanță este imprimată în plus față de șirul de amprente digitale la autentificare și pentru cheile gazdei necunoscute. Dacă acest fanion este stabilit la no (valoarea implicită), nu se imprimă niciun șir de amprente digitale la autentificare și numai șirul de amprente digitale va fi imprimat pentru cheile gazdă necunoscute.
Specifică ruta completă a programului xauth(1). Valoarea implicită este /usr/bin/xauth.

MODELE

Un constă din zero sau mai multe caractere care nu sunt spații, ‘*’ (un caracter joker care se potrivește cu zero sau mai multe caractere) sau ‘?’ (un caracter joker care se potrivește exact cu un singur caracter). De exemplu, pentru a specifica un set de declarații pentru orice gazdă din setul de domenii ".co.uk", se poate utiliza următorul model:

Host *.co.uk

Următorul model ar corespunde oricărei gazde din intervalul de rețea 192.168.0.[0-9]:

Host 192.168.0.?

O este o listă de modele separate prin virgule. Modelele din listele de modele pot fi negate prin precedarea lor cu un semn de exclamare (‘!’). De exemplu, pentru a permite utilizarea unei chei de oriunde din cadrul unei organizații, cu excepția grupului "dialup", se poate utiliza următoarea intrare (în authorized_keys):

from="!*.dialup.example.com,*.example.com"

Rețineți că o potrivire negată nu va produce niciodată un rezultat pozitiv. De exemplu, încercarea de a potrivi "host3" cu următoarea listă de modele va eșua:

from="!host1,!host2"

Soluția în acest caz este să includeți un termen care va genera o potrivire pozitivă, cum ar fi un caracter joker:

from="!host1,!host2,*"

SIMBOLURI

Argumentele la unele cuvinte cheie pot utiliza simboluri, care sunt expandate în timpul execuției:

%%
Un literal ‘%’.
%C
Suma de control (hash) de %l%h%p%r%j.
%d
Directorul personal al utilizatorului local.
%f
Amprenta cheii gazdei serverului.
%H
Numele de gazdă sau adresa known_hosts care este căutată.
%h
Numele gazdei de la distanță.
%I
Un șir care descrie motivul executării KnownHostsCommand: fie ADDRESS atunci când se caută un gazdă după adresă (numai când CheckHostIP este activată), HOSTNAME atunci când se caută după numele gazdei, sau ORDER atunci când se pregătește lista de preferințe a algoritmului cheii gazdei care va fi utilizată pentru gazda de destinație.
%i
ID-ul utilizatorului local.
%j
Conținutul opțiunii ProxyJump sau șirul gol dacă această opțiune nu este definită.
%K
Cheia gazdă codificată în base64.
%k
Aliasul cheii gazdei, dacă este specificat, altfel numele gazdei la distanță original, dat în linia de comandă.
%L
Numele gazdei locale.
%l
Numele gazdei locale, inclusiv numele domeniului.
%n
Numele original al gazdei la distanță, așa cum este indicat în linia de comandă.
%p
Portul de la distanță.
%r
Numele utilizatorului de la distanță.
%T
Interfața de rețea locală tun(4) sau tap(4) atribuită dacă a fost solicitată redirecționarea tunelului, sau "NONE" în caz contrar.
%t
Tipul cheii gazdei serverului, de exemplu ssh-ed25519.
%u
Numele utilizatorului local.

CertificateFile, ControlPath, IdentityAgent, IdentityFile, Include, KnownHostsCommand, LocalForward, Match exec, RemoteCommand, RemoteForward, RevokedHostKeys, UserKnownHostsFile și VersionAddendum acceptă simbolurile %%, %C, %d, %h, %i, %j, %k, %L, %l, %n, %p, %r, și %u.

KnownHostsCommand acceptă în plus simbolurile %f, %H, %I, %K și %t.

Hostname acceptă simbolurile %% și %h.

LocalCommand acceptă toate simbolurile.

ProxyCommand și ProxyJump acceptă simbolurile %%, %h, %n, %p și %r.

Rețineți că unele dintre aceste directive construiesc comenzi pentru execuție prin intermediul shell-ului. Deoarece ssh(1) nu efectuează nicio filtrare sau eludare a caracterelor care au o semnificație specială în comenzile shell (de exemplu, ghilimelele), este responsabilitatea utilizatorului să se asigure că argumentele transmise către ssh(1) nu conțin astfel de caractere și că simbolurile sunt citate corespunzător atunci când sunt utilizate.

VARIABILE DE MEDIU

Argumentele pentru anumite cuvinte cheie pot fi extinse în timpul rulării din variabilele de mediu de pe client, prin închiderea lor între ${}, de exemplu ${HOME}/.ssh ar face referire la directorul .ssh al utilizatorului. Dacă o variabilă de mediu specificată nu există, atunci va fi returnată o eroare și definiția pentru acel cuvânt cheie va fi ignorată.

Cuvintele-cheie CertificateFile, ControlPath, IdentityAgent, IdentityFile, Include, KnownHostsCommand și UserKnownHostsFile acceptă variabile de mediu. Cuvintele-cheie LocalForward și RemoteForward acceptă variabile de mediu numai pentru rutele de soclu de domeniu Unix.

FIȘIERE

~/.ssh/config
Acesta este fișierul de configurare pentru fiecare utilizator. Formatul acestui fișier este descris mai sus. Acest fișier este utilizat de clientul SSH. Din cauza potențialului de abuz, acest fișier trebuie să aibă permisiuni stricte: citire/scriere pentru utilizator și nu poate fi scris de către alții. Acesta poate fi scris de grup, cu condiția ca grupul în cauză să conțină doar utilizatorul.
/etc/ssh/ssh_config
Fișier de configurare la nivel de sistem. Acest fișier furnizează valorile implicite pentru acele valori care nu sunt specificate în fișierul de configurare al utilizatorului și pentru acei utilizatori care nu au un fișier de configurare. Acest fișier trebuie să poată fi citit de toată lumea.

CONSULTAȚI ȘI

ssh(1)

AUTORI

OpenSSH este un derivat al versiunii originale și libere ssh 1.2.12 de Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl , Niels Provos, Theo de Raadt și Dug Song au eliminat multe erori, au (re)adăugat caracteristici mai noi și au creat OpenSSH. Markus Friedl a contribuit la suportul pentru versiunile 1.5 și 2.0 ale protocolului SSH.

TRADUCERE

Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>

Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.

Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net

$Mdocdate: 3 martie 2025 $ Debian