.\" -*- coding: UTF-8 -*-
.\"
.\" Author: Tatu Ylonen <ylo@cs.hut.fi>
.\" Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
.\"                    All rights reserved
.\"
.\" As far as I am concerned, the code I have written for this software
.\" can be used freely for any purpose.  Any derived versions of this
.\" software must be clearly marked as such, and if the derived work is
.\" incompatible with the protocol description in the RFC file, it must be
.\" called by a name other than "ssh" or "Secure Shell".
.\"
.\" Copyright (c) 1999,2000 Markus Friedl.  All rights reserved.
.\" Copyright (c) 1999 Aaron Campbell.  All rights reserved.
.\" Copyright (c) 1999 Theo de Raadt.  All rights reserved.
.\"
.\" Redistribution and use in source and binary forms, with or without
.\" modification, are permitted provided that the following conditions
.\" are met:
.\" 1. Redistributions of source code must retain the above copyright
.\"    notice, this list of conditions and the following disclaimer.
.\" 2. Redistributions in binary form must reproduce the above copyright
.\"    notice, this list of conditions and the following disclaimer in the
.\"    documentation and/or other materials provided with the distribution.
.\"
.\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
.\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
.\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
.\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
.\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
.\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
.\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
.\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
.\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
.\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
.\"
.\" $OpenBSD: ssh.1,v 1.438 2023/10/11 23:14:33 djm Exp $
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.Dd $Mdocdate: 11 жовтня 2023 року $
.Dt SSH 1
.Os
.Sh НАЗВА
.Nm ssh
.Nd Клієнт віддаленого входу OpenSSH
.Sh КОРОТКИЙ ОПИС
.Nm ssh
.Op Fl 46AaCfGgKkMNnqsTtVvXxYy
.Op Fl B Ar інтерфейс_прив'язки
.Op Fl b Ar адреса_прив'язки
.Op Fl c Ar специфікація_шифрування
.Op Fl D Oo Ar адреса_прив'язки : Oc Ns Ar порт
.Op Fl E Ar файл_журналу
.Op Fl e Ar символ_екранування
.Op Fl F Ar файл_налаштувань
.Op Fl I Ar pkcs11
.Op Fl i Ar файл_профілю
.Op Fl J Ar призначення
.Op Fl L Ar адреса
.Op Fl l Ar назва_облікового_запису
.Op Fl m Ar специфікація_mac
.Op Fl O Ar команда_керування
.Op Fl o Ar параметр
.Op Fl P Ar мітка
.Op Fl p Ar порт
.Op Fl R Ar адреса
.Op Fl S Ar шлях_керування
.Op Fl W Ar вузол : Ns Ar порт
.Op Fl w Ar локальний_тунель Ns Op : Ns Ar віддалений_тунель
.Ar призначення
.Op Ar команда Op Ar аргумент ...
.Nm
.Op Fl Q Ar параметр_запиту
.Sh ОПИС
.Nm
(клієнт SSH) - це програма для входу до системи віддаленої машини для
виконання на ній команд. Ця програма має на меті надати безпечний шифрований
зв'язок між двома вузлами без довіри за допомогою захищеної мережі. Через
цей безпечний канал також можна переправляти з'єднання X11, довільні порти
TCP та сокети
.Ux Ns -domain .
.Pp
.Nm
з'єднує з і входить у вказане
.Ar destination ,
яке можна вказати
або як
.Sm off
.Oo user @ Oc hostname
.Sm on
або як URI у формі
.Sm off
.No ssh:// Oo user @ Oc hostname Op : port .
.Sm on
Користувач має довести їх особу віддаленій машині за допомогою одного з
методів (див. нижче).
.Pp
Якщо вказано команду
.Ar command ,
її буде виконано на віддаленій машині
замість оболонки входу. Можна вказати повний рядок команди, як
.Ar command ,
або вона може мати додаткові аргументи. Якщо вказано,  аргументи
буде додано в команду, розділеними пробілами, перед тим, як команду
надішлють на сервер для виконання.
.Pp
Параметри є такими:
.Pp
.Bl -tag -width Ds -compact
.It Fl 4
Примусити
.Nm
використовувати лише адреси IPv4.
.Pp
.It Fl 6
Примусити
.Nm
використовувати лише адреси IPv6.
.Pp
.It Fl A
Вмикає переспрямовування з'єднань від агента розпізнавання, зокрема
.Xr ssh-agent 1 .
Це також можна вказати для кожного вузла окремо у файлі
налаштувань.
.Pp
Переспрямування агента треба вмикати обережно. Користувачі з можливістю
обходу дозволів файлів на віддаленому вузла (для сокета агента
.Ux Ns -domain )
можуть отримати доступ до локального агента через перенаправлене
з'єднання. Зловмисник не може отримати матеріали ключів від агента, однак
вони можуть виконати дії з ключами, що дозволить їм автентифікуватися, як
особи, завантажені в агента. Безпечнішою альтернативою може бути
використання перехідного (jump) вузла (див.
.Fl J ) .
.Pp
.It Fl a
Вимикає перенаправлення зʼєднання агента розпізнавання.
.Pp
.It Fl B Ar інтерфейс_прив'язки
Прив'язатися до адреси
.Ar bind_interface
перед спробою зв'язатися з
вузлом призначення. Це є корисним лише на системах з більш ніж однією
адресою.
.Pp
.It Fl b Ar адреса_прив'язки
Використовувати
.Ar bind_address
на локальній машині, як виходову адресу
з'єднання. Є корисним лише на системах з більш ніж однією адресою.
.Pp
.It Fl C
Запитує стискання всіх даних (включаючи stdin, stdout, stderr та дані для
перенаправленого X11, з'єднання TCP та
.Ux Ns -domain ) .
Алгоритм
компресії той самий, що використовує
.Xr gzip 1 .
Стискання бажане на
модемних лініях та інших повільних з'єднаннях, але лише призведе до
сповільнення на швидких мережах. Типове значення можна встановити окремо для
кожного вузла в файлах налаштувань; див. параметр
.Cm Compression
у
.Xr ssh_config 5 .
.Pp
.It Fl c Ar специфікація_шифрування
Вибирає специфікацію шифру для шифрування сеансу.
.Ar cipher_spec
є
списком шифрів, розділених комою, в порядку пріоритету. Див. ключове слово
.Cm Ciphers
в
.Xr ssh_config 5
щодо подробиць.
.Pp
.It Fl D Xo
.Sm off
.Oo Ar адреса_прив'язки : Oc
.Ar порт
.Sm on
.Xc
Визначає локальне
.Dq динамічне
переспрямування портів на рівні
програм. Це працює шляхом розміщення сокета для очікування на дані на
.Ar порту
на локальному боці, із необов'язковою прив'язкою до вказаної
.Ar адреси_прив'язки .
Якщо з'єднання буде встановлено на цьому порту, з'єднання
буде переспрямовано захищеним каналом, а потім протокол програми буде
використано для визначення того, куди слід з'єднуватися з віддаленої
машини. У поточній версії передбачено підтримку протоколів SOCKS4 і SOCKS5,
а
.Nm
працюватиме як сервер SOCKS. Переспрямовувати на привілейовані
порти може лише користувач root. Динамічне переспрямування портів також може
бути вказано у файлі налаштувань.
.Pp
Адреси IPv6 можна вказувати вкладаючи адресу в квадратові дужки. Лише
суперкористувач може перенаправляти привілейовані порти. Типово локальний
порт прив'язаний відповідно до параметра
.Cm GatewayPorts .
Однак, можна
вжити явну
.Ar bind_address ,
щоб прив'язати з'єднання до потрібної
адреси.
.Ar bind_address
на
.Dq localhost
вказує, що порт слухання
буде прив'язаний лише для локального використання, а порожня адреса або
.Sq *
вказує, що порт буде доступний зі всіх інтерфейсів.
.Pp
.It Fl E Ar файл_журналу
Додавати журнали зневадження до
.Ar log_file
замість стандартного виводу.
.Pp
.It Fl e Ar керівний_символ
Встановлює керівний символ для сеансів із pty (типовим символом є
.Ql ~ ) .
Керівний символ буде розпізнано лише на початку рядка. Якщо після
керівного символу вказано крапку
.Pq Ql \&.
розірве з'єднання; якщо після
нього буде вказано ctrl-Z, з'єднання буде призупинено; а якщо за ним буде
вказано ще один такий символ, на введення буде надіслано один керівний
символ. Встановлення для керівного символу значення
.Dq none
вимикає усі
керівні символи і робить сеанс повністю прозорим.
.Pp
.It Fl F Ar файл_налаштувань
Вказує альтернативний файл налаштувань для окремого користувача. Якщо файл
налаштувань задано у командному рядку, загальносистемний файл налаштувань
.Pq Pa /etc/ssh/ssh_config
буде проігноровано. Типовим файлом налаштувань
окремого користувача є
.Pa ~/.ssh/config .
Якщо встановити значення
.Dq none ,
програма не читатиме ніяких файлів налаштувань.
.Pp
.It Fl f
Надсилає запит до
.Nm
щодо переходу у фоновий режим перед самим
виконанням команди. Це корисно, якщо
.Nm
має надіслати запит щодо
паролів, але користувачеві потрібно, щоб це було зроблено у фоновому
режимі. Неявним чином встановлює
.Fl n .
Рекомендованим способом запуску
програм X11 на віддаленому вузлі є щось подібне до
.Ic ssh -f вузол xterm .
.Pp
Якщо для параметра налаштувань
.Cm ExitOnForwardFailure
встановлено
значення
.Dq yes ,
клієнт, який запущено з
.Fl f ,
очікуватиме на
успішне встановлення з'єднання на усіх переспрямуваннях віддалених портів до
запуску себе у фоновому режимі. Щоб дізнатися більше, зверніться до опису
.Cm ForkAfterAuthentication
на сторінці підручника
.Xr ssh_config 5 .
.Pp
.It Fl G
Наказує
.Nm
друкувати свою конфігурацію після обчислення блоків
.Cm Host
та
.Cm Match
і потім вийти.
.Pp
.It Fl g
Надає змогу віддаленим вузлам з'єднуватися з локальними перенаправленими
портами. Якщо використано на мультиплексованому з'єднанні, цей параметр слід
задавати на головному процесі.
.Pp
.It Fl I Ar pkcs11
Вказати спільну бібліотеку PKCS#11, яку має використовувати
.Nm
для
зв'язку з токеном PKCS#11, що надає ключі розпізнавання користувача.
.Pp
.It Fl i Ar файл_профілю
Вибирає файл, з якого буде прочитано профіль (закритий ключ) для
розпізнавання за відкритим ключем. Ви також можете вказати файл відкритого
ключа для використання відповідного закритого ключа, який завантажено до
.Xr ssh-agent 1 ,
якщо файла закритого ключа немає у локальному
доступі. Типовими файлами є
.Pa ~/.ssh/id_rsa ,
.Pa ~/.ssh/id_ecdsa ,
.Pa ~/.ssh/id_ecdsa_sk ,
.Pa ~/.ssh/id_ed25519 ,
.Pa ~/.ssh/id_ed25519_sk
і
.Pa ~/.ssh/id_dsa .
Також можна вказати файли
профілю для окремих вузлів у файлі налаштувань. Можна вказати декілька
параметрів
.Fl i
(і декілька профілів у файлах налаштувань). Якщо не буде
вказано сертифікати явним чином за допомогою інструкції
.Cm CertificateFile ,
.Nm
також спробує завантажити дані сертифікатів з файла
із назвою, яку можна отримати дописуванням
.Pa -cert.pub
до назв файлів
профілів.
.Pp
.It Fl J Ar призначення
Встановити з'єднання із вузлом призначення шляхом початкового встановлення
.Nm
з'єднання із перехідним вузлом, як це описано у розділі щодо
.Ar призначення
з наступним встановленням звідти переспрямування TCP до
остаточного призначення. Можна встановити декілька переходів, відокремивши
їхні записи комами. Це скорочена форма задання інструкції налаштовування
.Cm ProxyJump .
Зауважте, що інструкції налаштовування, вказані у рядку
команди, загалом, буде застосовано до вузла призначення, а не до вказаних
вузлів переходу. Скористайтеся
.Pa ~/.ssh/config
для задання налаштувань
для вузлів переходу.
.Pp
.It Fl K
Вмикає розпізнавання на базі GSSAPI та перенаправлення (делегування)
реєстраційних записів GSSAPI на сервер.
.Pp
.It Fl k
Вимикає переспрямовування (делегування) реєстраційних записів GSSAPI на
сервер.
.Pp
.It Fl L Xo
.Sm off
.Oo Ar адреса_прив'язки : Oc
.Ar порт : вузол : порт_вузла
.Sm on
.Xc
.It Fl L Xo
.Sm off
.Oo Ar адреса_прив'язки : Oc
.Ar порт : віддалений_сокет
.Sm on
.Xc
.It Fl L Xo
.Sm off
.Ar локальний_сокет : вузол : порт_вузла
.Sm on
.Xc
.It Fl L Xo
.Sm off
.Ar локальний_сокет : віддалений_сокет
.Sm on
.Xc
Вказує, що з'єднання із заданим портом TCP або сокетом Unix на локальному
(клієнтському) вузлі слід переспрямовувати на заданий вузол і порт або сокет
Unix на віддаленому боці з'єднання. Це працює шляхом розміщення сокета для
очікування або на TCP-
.Ar порту
на локальному боці, можливо, пов'язаного
із вказаною
.Ar адресою_прив'язки ,
або на сокеті Unix. Кожного разу, коли
встановлюватиметься з'єднання або на порту
.Ar вузла
.Ar порт_вузла ,
або на сокеті Unix
.Ar віддалений сокет
з віддаленої машини.
.Pp
У файлі налаштувань можна також вказати переспрямування
портів. Переспрямовувати привілейовані порти може лише
суперкористувач. Адреси IPv6 слід вказувати, взявши запис адреси у квадратні
дужки.
.Pp
Типово, локальний порт прив'язаний відповідно до параметра
.Cm GatewayPorts .
Однак, можна вжити явну
.Ar bind_address ,
щоб прив'язати
з'єднання до потрібної адреси.
.Ar bind_address
на
.Dq localhost
вказує, що порт слухання буде прив'язаний лише для локального використання,
а порожня адреса або
.Sq *
вказує, що порт буде доступний зі всіх
інтерфейсів.
.Pp
.It Fl l Ar обліковий_запис
Вказує користувача, від імені якого слід здійснити вхід на віддаленій
машині. Також можна вказати для окремих вузлів у файлі налаштувань.
.Pp
.It Fl M
Переводить клієнт
.Nm
в
.Dq основний
режим для спільного використання
з'єднання. Якщо вказати декілька параметрів
.Fl M ,
.Nm
перейде до
.Dq основного
режиму, але і потребою у підтвердженні за допомогою
.Xr ssh-askpass 1
до виконання будь-яких дій, які змінюють стан ущільнення
(наприклад, відкриття нового сеансу). Зверніться до опису
.Cm ControlMaster
на сторінці підручника
.Xr ssh_config 5 ,
щоб дізнатися
більше.
.Pp
.It Fl m Ar специфікація_mac
Список відокремлених комами алгоритмів MAC (message authentication code),
вказаних у порядку пріоритетності. Щоб дізнатися більше, перегляньте
документацію до ключового слова
.Cm MACs
у
.Xr ssh_config 5 .
.Pp
.It Fl N
Не виконувати віддаленої команди. Корисно, якщо треба лише переспрямувати
порти. Докладніше про це в описі
.Cm SessionType
на сторінці підручника
.Xr ssh_config 5 .
.Pp
.It Fl n
Переспрямовує стандартне джерело вхідних даних (stdin) з
.Pa /dev/null
(тобто, фактично, забороняє читання зі stdin). Слід використовувати, якщо
.Nm
запущено у фоновому режимі. Типовим застосуванням є запуск програм
X11 на віддаленій машині. Наприклад, команда
.Ic ssh -n shadows.cs.hut.fi emacs &
запустить emacs на shadows.cs.hut.fi, а з'єднання із X11 буде
автоматично переспрямовано на шифрований канал. Саму програму
.Nm
буде
переведено у фоновий режим. (Це не спрацює, якщо
.Nm
потрібно надіслати
запит щодо пароля; див. також параметр
.Fl f . )
Зверніться до опису
.Cm StdinNull
на сторінці підручника
.Xr ssh_config 5 ,
щоб дізнатися більше.
.Pp
.It Fl O Ar керівна_команда
Керувати основним процесом ущільнення активного з'єднання. Якщо вказано
параметр
.Fl O ,
аргумент
.Ar керівна_команда
буде оброблено і передано
основному процесу. Коректними командами є такі:
.Dq check
(перевірити, чи
запущено основний процес),
.Dq forward
(надіслати запит щодо
переспрямовування без виконання команди),
.Dq cancel
(скасувати
переспрямовування),
.Dq exit
(надіслати основному процесу запит щодо
виходу) та
.Dq stop
(надіслати основному процесу запит щодо зупинення
приймання подальших запитів щодо ущільнення).
.Pp
.It Fl o Ar параметр
Можна скористатися для отримання параметрів у форматі, який використовує
файл налаштувань. Корисно для задання параметрів, для яких немає окремих
прапорців командного рядка. Щоб дізнатися більше про параметри з наведеного
нижче списку та їхні можливі значення, ознайомтеся зі сторінкою підручника
.Xr ssh_config 5 .
.Pp
.Bl -tag -width Ds -offset indent -compact
.It AddKeysToAgent
.It AddressFamily
.It BatchMode
.It BindAddress
.It CanonicalDomains
.It CanonicalizeFallbackLocal
.It CanonicalizeHostname
.It CanonicalizeMaxDots
.It CanonicalizePermittedCNAMEs
.It CASignatureAlgorithms
.It CertificateFile
.It CheckHostIP
.It Ciphers
.It ClearAllForwardings
.It Стискання
.It ConnectionAttempts
.It ConnectTimeout
.It ControlMaster
.It ControlPath
.It ControlPersist
.It DynamicForward
.It EnableEscapeCommandline
.It EscapeChar
.It ExitOnForwardFailure
.It FingerprintHash
.It ForkAfterAuthentication
.It ForwardAgent
.It ForwardX11
.It ForwardX11Timeout
.It ForwardX11Trusted
.It GatewayPorts
.It GlobalKnownHostsFile
.It GSSAPIAuthentication
.It GSSAPIKeyExchange
.It GSSAPIClientIdentity
.It GSSAPIDelegateCredentials
.It GSSAPIKexAlgorithms
.It GSSAPIRenewalForcesRekey
.It GSSAPIServerIdentity
.It GSSAPITrustDns
.It HashKnownHosts
.It Host
.It HostbasedAcceptedAlgorithms
.It HostbasedAuthentication
.It HostKeyAlgorithms
.It HostKeyAlias
.It Hostname
.It IdentitiesOnly
.It IdentityAgent
.It IdentityFile
.It IPQoS
.It KbdInteractiveAuthentication
.It KbdInteractiveDevices
.It KexAlgorithms
.It KnownHostsCommand
.It LocalCommand
.It LocalForward
.It LogLevel
.It MACs
.It Match
.It NoHostAuthenticationForLocalhost
.It NumberOfPasswordPrompts
.It PasswordAuthentication
.It PermitLocalCommand
.It PermitRemoteOpen
.It PKCS11Provider
.It Port
.It PreferredAuthentications
.It ProxyCommand
.It ProxyJump
.It ProxyUseFdpass
.It PubkeyAcceptedAlgorithms
.It PubkeyAuthentication
.It RekeyLimit
.It RemoteCommand
.It RemoteForward
.It RequestTTY
.It RequiredRSASize
.It SendEnv
.It ServerAliveInterval
.It ServerAliveCountMax
.It SessionType
.It SetEnv
.It StdinNull
.It StreamLocalBindMask
.It StreamLocalBindUnlink
.It StrictHostKeyChecking
.It TCPKeepAlive
.It Tunnel
.It TunnelDevice
.It UpdateHostKeys
.It User
.It UserKnownHostsFile
.It VerifyHostKeyDNS
.It VisualHostKey
.It XAuthLocation
.El
.Pp
.It Fl P Ar мітка
Вказати назву теґу, якою можна скористатися для вибору налаштувань у
.Xr ssh_config 5 .
Зверніться до ключових слів
.Cm Tag
і
.Cm Match
у
.Xr ssh_config 5 ,
щоб дізнатися більше.
.It Fl p Ar порт
Порт, на якому слід встановити з'єднання на віддаленому вузлі. Значення для
окремих вузлів можна встановити у файлі налаштувань.
.Pp
.It Fl Q Ar параметр_запиту
Надсилає запит щодо підтримки у алгоритмах таких можливостей:
.Ar cipher
(передбачено підтримку симетричних шифрів),
.Ar cipher-auth
(передбачено
підтримку симетричних шифрів, у яких передбачено підтримку шифрування із
розпізнаванням),
.Ar help
(передбачено підтримку термінів запиту для
використання з прапорцем
.Fl Q ) ,
.Ar mac
(передбачено код перевірки
цілісності повідомлень)
.Ar kex
(алгоритми із обміном ключами),
.Ar kex-gss
(алгоритми із обміном ключами GSSAPI),
.Ar key
(типи ключів),
.Ar key-ca-sign
(чинні алгоритми підписування службами сертифікації для
сертифікатів),
.Ar key-cert
(типи ключів із сертифікацією),
.Ar key-plain
(типи ключів без сертифікації),
.Ar key-sig
(усі типи ключів і
алгоритми підписування),
.Ar protocol-version
(передбачено підтримку
версій протоколу SSH) та
.Ar sig
(передбачено підтримку алгоритмів
підписування). Крім того, можна скористатися як альтернативою відповідного
параметра_запиту будь-яким ключовим словом з
.Xr ssh_config 5
або
.Xr sshd_config 5 ,
яке приймає список алгоритмів.
.Pp
.It Fl q
Режим без повідомлень. Призводить до придушення більшості повідомлень із
попередженнями та діагностичних повідомлень.
.Pp
.It Fl R Xo
.Sm off
.Oo Ar адреса_прив'язки : Oc
.Ar порт : вузол : порт_вузла
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Oo Ar адреса_прив'язки : Oc
.Ar порт : локальний_сокет
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Ar віддалений_сокет : вузол : порт_вузла
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Ar віддалений_сокет : локальний_сокет
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Oo Ar адреса_прив'язки : Oc
.Ar порт
.Sm on
.Xc
Вказує, що з'єднання із заданим портом TCP або сокетом Unix на віддаленому
(серверному) вузлі слід переспрямовувати на локальний бік.
.Pp
Працює шляхом отримання сокета для очікування даних на
.Ar порту
TCP або
на сокеті Unix на віддаленому боці. При встановленні з'єднання із цим портом
або сокетом Unix з'єднання буде переспрямовано до захищеного
каналу. З'єднання працюватиме з локальної машини або до явного призначення,
вказаного за портом
.Ar вузла
.Ar порт_вузла ,
або до
.Ar локального_сокета ,
або, якщо призначення не було вказано явним чином,
.Nm
працюватиме як проксі-сервер SOCKS 4/5 і переспрямовуватиме з'єднання
до призначень, запити щодо яких надаватиме клієнт віддалених з'єднань SOCKS.
.Pp
У файлі налаштувань можна також вказати переспрямування
портів. Привілейовані порти можна переспрямовувати, увійшовши до системи від
імені користувача root на віддаленій машині. Адреси IPv6 слід вказувати,
взявши запис адреси у квадратні дужки.
.Pp
Типово, сокети очікування даних TCP на сервері буде пов'язано лише із
петльовим інтерфейсом (loopback). Перевизначити таку поведінку можна
заданням
.Ar адреси_прив'язки .
Порожня
.Ar адреса_прив'язки
або адреса
.Ql *
вказує, що очікувати дані на віддаленому сокеті слід на усіх
інтерфейсах. Визначення віддаленої
.Ar адреси_прив'язки
буде успішним,
лише якщо увімкнено параметр сервера
.Cm GatewayPorts
(див.
.Xr sshd_config 5 ) .
.Pp
Якщо аргументом
.Ar порт
є
.Ql 0 ,
порт очікування даних буде виділено
на сервері динамічним чином, а клієнта буде повідомлено про нього вже під
час роботи з'єднання. Якщо використано разом із
.Ic -O forward
виділений
порт буде виведено до стандартного виведення системи.
.Pp
.It Fl S Ar керівний_шлях
Визначає розташування керівного сокета для спільного використання з'єднання
або рядок
.Dq none ,
щоб вимкнути спільне використання
з'єднання. Зверніться до опису
.Cm ControlPath
і
.Cm ControlMaster
на
сторінці підручника
.Xr ssh_config 5 ,
щоб дізнатися більше.
.Pp
.It Fl s
Може бути використано для надсилання запиту щодо виклику підсистеми у
віддаленій операційній системі. Підсистеми спрощують користування SSH як
захищеним каналом передавання даних для інших програм (зокрема \&
.Xr sftp 1 ) .
Підсистему задають як віддалену команду. Зверніться до опису
.Cm SessionType
на сторінці підручника
.Xr ssh_config 5 ,
щоб дізнатися
більше.
.Pp
.It Fl T
Вимкнути розміщення псевдотермінала.
.Pp
.It Fl t
Примусово розмістити псевдотермінал. Цим можна скористатися для виконання
довільних програм на основі screen на віддаленій машині, що може бути дуже
корисним, наприклад, при реалізації служб меню. Додавання декількох
параметрів
.Fl t
призводить до примусового розміщення tty, навіть якщо у
.Nm
немає локального tty.
.Pp
.It Fl V
Показати дані щодо версії і завершити роботу.
.Pp
.It Fl v
Режим докладних повідомлень. Наказує
.Nm
виводити діагностичні
повідомлення щодо поступу обробки завдань. Корисно для діагностики з'єднання
і проблем із налаштуваннями. Додавання декількох параметрів
.Fl v
підвищує докладність. Максимально докладним є режим із 3 параметрами.
.Pp
.It Fl W Ar вузол : Ns Ar порт
Надсилає запит щодо переспрямовування стандартного джерела вхідних даних і
виведення на клієнті до
.Ar вузла
на
.Ar порт
захищеним
каналом. Неявним чином встановлює
.Fl N ,
.Fl T ,
.Cm ExitOnForwardFailure
та
.Cm ClearAllForwardings ,
хоча ці параметри можна
перевизначити у файлі налаштувань або за допомогою параметрів командного
рядка
.Fl o .
.Pp
.It Fl w Xo
.Ar local_tun Ns Op : Ns Ar remote_tun
.Xc
вимагає перенаправлення
через пристрій тунелювання зі вказаними пристроями
.Xr tun 4
між клієнтом
.Pq Ar local_tun
та сервером
.Pq Ar remote_tun .
.Pp
Пристрої треба вказувати через числові ІД або ключове слово
.Dq any ,
що
використає наступний доступний пристрій тунелювання.  Якщо
.Ar remote_tun
не вказано, він приймає типове значення
.Dq any .
Див. також директиви
.Cm Tunnel
та
.Cm TunnelDevice
в
.Xr ssh_config 5 .
.Pp
Якщо директиву
.Cm Tunnel
не встановлено, її буде встановлено в типовий
режим тунелю, що є
.Dq point-to-point .
Якщо потрібен інший режим
перенаправлення
.Cm Tunnel ,
тоді його треба вказати перед
.Fl w .
.Pp
.It Fl X
Вмикає переспрямовування X11. Також можна вказати для окремих вузлів у файлі
налаштувань.
.Pp
Перенаправлення X11 треба вмикати обережно.  Користувачі з можливістю обходу
дозволу файлів на віддаленому хості (для бази даних авторизації користувача
X) зможуть доступитися до локального дисплея X11 через перенаправлене
з'єднання.  Зловмисник зможе виконувати дії, наприклад стеження за набраними
клавішами.
.Pp
Через це перенаправлення X11 типово підлягає обмеженням розширення X11
SECURITY.  Перегляньте параметр
.Nm
.Fl Y
та директиву
.Cm ForwardX11Trusted
в
.Xr ssh_config 5
щодо докладнішої інформації.
.Pp
(Специфіка Debian: типово, переспрямовування X11 не підлягає обмеженням
розширення SECURITY X11, оскільки використання цього режиму призводить до
аварійного завершення роботи у багатьох програмах. Встановіть для параметра
.Cm ForwardX11Trusted
значення
.Dq no ,
щоб відновити поведінку у
типовій програмі. Поведінку програми у дистрибутиві може бути змінено у
майбутньому, якщо ситуація на боці клієнта виправиться.)
.Pp
.It Fl x
Вимикає переспрямовування X11.
.Pp
.It Fl Y
Дозволяє довірене перенаправлення X11. Довірене перенаправлення X11 не
контролюється розширенням X11 SECURITY.
.Pp
(Специфіка Debian: за типових налаштувань цей параметр є еквівалентом
.Fl X ,
оскільки типовим значенням
.Cm ForwardX11Trusted
є
.Dq yes ,
як це
описано вище. Встановіть для параметра
.Cm ForwardX11Trusted
значення
.Dq no ,
щоб відновити поведінку типової програми. Поведінку програми у
дистрибутиві може бути змінено у майбутньому, якщо ситуація на боці клієнта
виправиться.)
.Pp
.It Fl y
Надіслати дані журналу за допомогою модуля системи
.Xr syslog 3 .
Типово,
ці дані буде надіслано до stderr.
.El
.Pp
.Nm
може додатково отримати дані налаштувань із файлів налаштувань для
окремих користувачів та загальносистемного файла налаштувань. Формат файла і
параметри налаштувань описано у
.Xr ssh_config 5 .
.Sh РОЗПІЗНАВАННЯ
Клієнт OpenSSH підтримує протокол SSH 2.
.Pp
Доступні методи розпізнавання: розпізнавання на основі GSSAPI, розпізнавання
на основі вузла, розпізнавання з відкритим ключем, інтерактивне
розпізнавання за допомогою клавіатури та розпізнавання за допомогою
пароля. Методи розпізнавання випробовуються в порядку, зазначеному вище,
хоча для змінення типового порядку можна використати
.Cm PreferredAuthentications .
.Pp
Розпізнавання на основі вузла працює так: якщо машина, з якої намагається
увійти користувач, є у списку
.Pa /etc/hosts.equiv
або
.Pa /etc/ssh/shosts.equiv
на віддаленій машині, користувач не є користувачем
root, а назви облікових записів на обох боках з'єднання є однаковими, або
якщо файл
.Pa ~/.rhosts
або
.Pa ~/.shosts
існує у домашньому каталозі
користувача на віддаленій машині і містить рядок, що містить назву
клієнтської машини і назву облікового запису користувача на цій машині,
система розгляне запит користувача щодо входу до неї. Крім того, сервер
.Em повинетґн
мати можливість перевірити ключ вузла клієнта (див. опис
.Pa /etc/ssh/ssh_known_hosts
і
.Pa ~/.ssh/known_hosts
нижче), щоб вхід
до системи було дозволено. Цей спосіб розпізнавання закриває дірки у захисті
через підміну IP, підміну DNS та підміну маршрутизації. [Зауваження для
адміністраторів:
.Pa /etc/hosts.equiv ,
.Pa ~/.rhosts
та протокол
rlogin/rsh загалом є спадково незахищеними — їх слід вимкнути, якщо бажаною
є підвищена безпека.]
.Pp
Розпізнавання за відкритим ключем працює так: схему засновано на
криптографії з відкритим ключем, що використовує системи шифрування, де
шифрування і розшифровування виконуються за допомогою окремих ключів, а
визначення ключа розшифровування за ключем шифрування є надзвичайно
складним. Ідея полягає у тому, що кожен із користувачів створює пару ключів
відкритий-закритий з метою розпізнавання. Серверу відомий відкритий ключ, а
закритий ключ є лише у користувача. У
.Nm
реалізовано на автоматичному
рівні протокол розпізнавання за відкритим ключем з використанням одного з
таких алгоритмів: DSA, ECDSA, Ed25519 або RSA. У розділі ЖУРНАЛ сторінки
підручника
.Xr ssl 8
(у системах, відмінних від OpenBSD, див.
.nh
http://www.openbsd.org/cgi\-bin/man.cgi?query=ssl&sektion=8#HISTORY)
.hy
містить коротке обговорення алгоритмів DSA і RSA.
.Pp
У файлі
.Pa ~/.ssh/authorized_keys
зберігається список відкритих ключів,
за допомогою яких можна входити до системи. Коли користувач входить до
системи, програма
.Nm
повідомляє серверу, яку пару ключів вона хоче
використати для розпізнавання. Клієнт підтверджує, що він має доступ до
закритого ключа, а сервер перевіряє те, чи відповідний відкритий ключ
уповноважено для отримання доступу обліковим записом.
.Pp
Сервер може повідомити клієнта про помилки, які перешкоджають успішному
використанню відкритого ключа для розпізнавання після завершення спроби
розпізнавання з використанням іншого способу. Ці повідомлення може бути
переглянуто, якщо встановити для
.Cm LogLevel
значення
.Cm DEBUG
або
вище (наприклад, за допомогою прапорця
.Fl v ) .
.Pp
Користувач створює пару ключів запустивши
.Xr ssh-keygen 1 .
Це зберігає
закритий ключ в
.Pa ~/.ssh/id_dsa
(DSA),
.Pa ~/.ssh/id_ecdsa
(ECDSA),
.Pa ~/.ssh/id_ecdsa_sk
(authenticator-hosted ECDSA),
.Pa ~/.ssh/id_ed25519
(Ed25519),
.Pa ~/.ssh/id_ed25519_sk
(authenticator-hosted Ed25519), or
.Pa ~/.ssh/id_rsa
(RSA)  і зберігає
відкритий ключ в
.Pa ~/.ssh/id_dsa.pub
(DSA),
.Pa ~/.ssh/id_ecdsa.pub
(ECDSA),
.Pa ~/.ssh/id_ecdsa_sk.pub
(authenticator-hosted ECDSA),
.Pa ~/.ssh/id_ed25519.pub
(Ed25519),
.Pa ~/.ssh/id_ed25519_sk.pub
(authenticator-hosted Ed25519), or
.Pa ~/.ssh/id_rsa.pub
(RSA)  в
домашньому каталозі користувача.  Користувач має скопіювати ключ в
.Pa ~/.ssh/authorized_keys
в домашній каталог на віддаленій машині.  Файл
.Pa authorized_keys
відповідає стандартному файлу
.Pa ~/.rhosts ,
і має один
ключ на рядок, однак рядки можуть бути дуже довгими.  Після цього,
користувач може заходити без пароля.
.Pp
Варіант розпізнавання за відкритим ключем доступний у формі розпізнавання за
сертифікатом: замість пари відкритого/закритого ключів, використовують
підписані сертифікати. Перевага цього полягає утому, що можна
використовувати єдину довірену службу сертифікації замість багатьох
відкритих/закритих ключів. Дивіться розділ СЕРТИФІКАТИ у довідці
.Xr ssh-keygen 1 ,
щоб дізнатися більше.
.Pp
Найзручнішим шляхом використання розпізнавання за відкритим ключем або
сертифікатом може бути використання агента розпізнавання. Див. директиви
.Xr ssh-agent 1
та (додатково)
.Cm AddKeysToAgent
на сторінці
підручника
.Xr ssh_config 5 ,
щоб дізнатися більше.
.Pp
Інтерактивне розпізнавання за допомогою клавіатури працює таким чином:
сервер надсилає довільний текст
.Qq запит
і просить відповісти, можливо
декілька разів. Прикладами інтерактивного розпізнавання за допомогою
клавіатури є розпізнавання
.Bx
(див.
.Xr login.conf 5 )
та PAM (деякі
системи
.Pf non- Ox ) .
.Pp
Нарешті, якщо інші методи розпізнавання зазнають невдачі,
.Nm
питає
пароль. Пароль надсилають на віддалену машину для перевірки; однак, оскільки
весь зв'язок зашифровано, пароль неможливо побачити прослуховуючи мережу.
.Pp
.Nm
автоматично супроводжує і перевіряє базу даних, що містить профілі
для усіх вузлів, для яких було використано програму. Ключі вузлів
зберігаються у файлі
.Pa ~/.ssh/known_hosts
домашнього каталогу
користувача. Крім того, пошук відомих вузлів автоматично виконується у
.Pa /etc/ssh/ssh_known_hosts .
Записи усіх нових вузлів автоматично потрапляють
у файл користувача. Якщо профіль вузла колись буде змінено,
.Nm
попередить про це і вимкне розпізнавання за паролем, щоб запобігти нападам
зі підміною сервера або підміні сервера або нападам із посередником, якими
можна було скористатися для компрометації шифрування. Для керування входом
до машин, чиї ключі вузла є невідомими або зміненими, можна скористатися
параметром
.Cm StrictHostKeyChecking .
.Pp
Якщо профіль користувача було прийнято сервером, сервер або виконає задану
команду у неінтерактивному сеансі або, якщо команди не вказано, увійде до
системи і надасть користувачеві доступ до командної оболонки у межах
інтерактивного сеансу. Увесь обмін даними із віддаленою програмою або
оболонкою буде автоматично зашифровано.
.Pp
Якщо буде отримати запит щодо інтерактивного сеансу, типово,
.Nm
надішле
лише запит на псевдотермінал (pty) для інтерактивних сеансів, якщо клієнт
такий має. Для перевизначення цієї поведінки можна скористатися прапорцями
.Fl T
і
.Fl t .
.Pp
Якщо розміщено псевдотермінал, користувач може скористатися керівними
символами, які описано нижче.
.Pp
Якщо псевдотермінал не розміщено, сеанс буде прозорим і ним можна буде
скористатися для надійного передавання двійкових даних. У більшості систем
встановлення для керівного символу значення
.Dq none
також зробить сеанс
прозорим, навіть якщо використано tty.
.Pp
Сеанс завершується, коли команда або оболонка на віддаленій машині виходить
та всі з'єднання X11 та TCP закриті.
.Sh КЕРІВНІ СИМВОЛИ
Коли запитано псевдотермінал,
.Nm
підтримує декілька функцій через
використання символу контролю (escape).
.Pp
Одинарний символ тильди можна надіслати за допомогою послідовності
.Ic ~~
або вказавши за тильдою один із символів поза списком, який наведено
нижче. За керівним символом, щоб його було оброблено як особливий, завжди
має бути символ нового рядка. Керівний символ можна змінити у файлах
налаштувань за допомогою інструкції налаштування
.Cm EscapeChar
або за
допомогою параметра командного рядка
.Fl e .
.Pp
Підтримувані керівні послідовності (припускаємо, що типовим символом є
.Ql ~ ) :
.Bl -tag -width Ds
.It Cm ~.
Від’єднатися.
.It Cm ~^Z
Перевести
.Nm
у фоновий режим.
.It Cm ~#
Вивести список переспрямованих з'єднань.
.It Cm ~&
Перевести
.Nm
у фоновий режим після виходу із системи при очікуванні на
завершення роботи переспрямованого з'єднання або сеансів X11.
.It Cm ~?
Показати список керівних символів.
.It Cm ~B
Надіслати BREAK на віддалену систему (корисно, лише якщо на однорівневому
вузлі передбачено його підтримку).
.It Cm ~C
Відкрити командний рядок. У поточній версії це надає змогу додавати
переспрямовування за допомогою параметрів
.Fl L ,
.Fl R
і
.Fl D
(див. вище). Це також надає змогу скасовувати наявні переспрямування портів
за допомогою синтаксичної конструкції
.Sm off
.Fl KL Oo Ar адреса_прив'язки : Oc Ar порт
.Sm on
для локальних,
.Sm off
.Fl KR Oo Ar адреса_привʼязки : Oc Ar порт
.Sm on
для віддалених і
.Sm off
.Fl KD Oo Ar адреса_прив'язки : Oc Ar порт
.Sm on
для динамічних
переспрямувань портів. Конструкція
.Ic !\& Ns Ar команда
надає
користувачеві змогу виконати локальну команду, якщо увімкнено параметр
.Ic PermitLocalCommand
у
.Xr ssh_config 5 .
Доступ до базової довідки можна
отримати за допомогою параметра
.Fl h .
.It Cm ~R
Надіслати ключі з'єднання повторно (корисно, лише якщо на однорівневому
вузлі передбачено підтримку цієї дії).
.It Cm ~V
Зменшити докладність
.Pq Ic LogLevel
при записі помилок до stderr.
.It Cm ~v
Збільшити докладність
.Pq Ic LogLevel
при записі помилок до stderr.
.El
.Sh ПЕРЕСПРЯМОВУВАННЯ TCP
Переспрямування довільних з'єднань TCP захищеним каналом можна налаштувати
або з командного рядка, або з файла налаштувань. Одним із можливих
застосувань переспрямування TCP є захищене з'єднання із поштовим сервером;
іншим є проходження брандмауерів.
.Pp
У наведеному нижче прикладі ми поглянемо на організацію шифрованого обміну
даними для клієнта IRC, навіть якщо на сервері IRC, з яким він встановлює
з'єднання, не передбачено безпосередньої підтримки шифрованого обміну
даними. Це працює так: користувач встановлює з'єднання із віддаленим вузлом
за допомогою
.Nm ,
вказуючи порти, які слід використовувати для
переспрямовування з'єднання. Після цього можна запустити програму локально,
і
.Nm
зашифрує і переспрямує з'єднання на віддалений сервер.
.Pp
У наведеному нижче прикладі сеанс IRC тунельовано з клієнта на сервер IRC з
адресою
.Dq server.example.com ,
виконано долучення до каналу
.Dq #users
із псевдонімом
.Dq pinky ,
з використанням стандартного порту IRC,
6667:
.Bd -literal -offset 4n
$ ssh -f -L 6667:localhost:6667 server.example.com sleep 10
$ irc -c '#users' pinky IRC/127.0.0.1
.Ed
.Pp
Використання параметра
.Fl f
переводить
.Nm
у фоновий режим, а
віддалену команду
.Dq sleep 10
вказано, щоб надати певний час (у нашому
прикладі, 10 секунд) для запуску програми, яка має використовувати
тунель. Якщо протягом вказаного часу не буде встановлено з'єднання,
.Nm
завершить роботу.
.Sh ПЕРЕСПРЯМОВУВАННЯ X11
Якщо для змінної
.Cm ForwardX11
встановлено значення
.Dq yes
(див. опис параметрів
.Fl X ,
.Fl x
та
.Fl Y
вище), і користувач
користується X11 (встановлено змінну середовища
.Ev DISPLAY ) ,
з'єднання
із дисплеєм X11 буде автоматично переспрямовано на віддалений бік у такий
спосіб, щоб усі програми X11, які запущено з оболонки (або команди)
надсилали дані шифрованим каналом, а з'єднання із справжнім сервером X буде
виконано з локальної машини. Не слід встановлювати
.Ev DISPLAY
вручну від
імені користувача. Переспрямовування з'єднань X11 можна налаштувати у
командному рядку або файлах налаштувань.
.Pp
Значення
.Ev DISPLAY ,
встановлене
.Nm ,
вказуватиме на машину сервера,
але із номером дисплея, який є більшим за нуль. Так і має бути. Причиною є
те, що
.Nm
створює
.Dq проксі
-сервер X на машині сервера для
переспрямовування з'єднань шифрованим каналом.
.Pp
.Nm
також автоматично налаштовує дані Xauthority на машині сервера. Для
цього програма створює псевдовипадкову куку уповноваження, зберігає її у
Xauthority на сервері і перевіряє, чи переспрямовані з'єднання несуть цю
куку, потім заміняє її на справжню куку, коли відкривається
з'єднання. Програма ніколи не надсилає справжню куку розпізнавання на машину
сервера (і, звичайно ж, ніякі куки не буде надіслано у форматі простого
тексту).
.Pp
Якщо для змінної
.Cm ForwardAgent
встановлено значення
.Dq yes
(див. опис параметрів
.Fl A
і
.Fl a
вище) і користувач користується
агентом розпізнавання, з'єднання із агентом буде автоматично переспрямовано
на віддалений бік.
.Sh ПЕРЕВІРКА КЛЮЧІВ ВУЗЛА
Під час першого з'єднання із сервером користувачеві буде надано відбиток
відкритого ключа сервера (якщо не вимкнено параметр
.Cm StrictHostKeyChecking ) .
Відбитки можна визначити за допомогою
.Xr ssh-keygen 1 :
.Pp
.Dl $ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
.Pp
Якщо відбиток вже відомий, його можна зіставити із еталонним і прийняти або
відкинути ключ. Якщо доступні лише застарілі відбитки (MD5) для сервера,
можна скористатися параметром
.Xr ssh-keygen 1
.Fl E
для зниження
версії алгоритму відбитка, яку буде використано для зіставлення.
.Pp
Через складність порівняння ключів вузлів простим переглядом рядків
відбитків передбачено підтримку візуального порівняння ключів за допомогою
.Em зображення .
Якщо встановити для параметра
.Cm VisualHostKey
значення
.Dq yes ,
під час кожної спроби увійти на сервер буде показано
невеличке зображення на основі графіки ASCII, незалежно від того, є сеанс
інтерактивним чи ні. Якщо користувач знає візерунок для відомого сервера,
йому буде просто визначити, чи було змінено ключ вузла, оскільки візерунок
буде зовсім іншим. Втім, оскільки такі візерунки теж не є однозначними,
подібність візерунка до того, який запам'ятав користувач, дає лише високу
ймовірність того, що ключ вузла є незмінним, але не є гарантією цього.
.Pp
Щоб отримати список відбитків разом із їхньою випадковою частиною для усіх
відомих вузлів, можна скористатися такою командою:
.Pp
.Dl $ ssh-keygen -lv -f ~/.ssh/known_hosts
.Pp
Якщо відбиток є невідомим, доступним є альтернативний спосіб перевірки:
перевірка відбитків SSH за допомогою DNS. До файла zonefile буде додано
додаткові записи ресурсів (RR), SSHFP, а клієнт з'єднання зможе порівняти
відбиток із тим, що надає ключ.
.Pp
У цьому прикладі ми встановлюємо з'єднання клієнта із сервером,
.Dq host.example.com .
Спочатку слід додати записи ресурсів SSHFP для
host.example.com до zonefile:
.Bd -literal -offset indent
$ ssh-keygen -r host.example.com.
.Ed
.Pp
Виведені рядки буде додано до zonefile. Щоб перевірити, чи відповідає
запитам щодо відбитків зона, віддайте таку команду:
.Pp
.Dl $ dig -t SSHFP host.example.com
.Pp
Нарешті, клієнт встановлює з'єднання:
.Bd -literal -offset indent
$ ssh -o "VerifyHostKeyDNS ask" host.example.com
[...]
Matching host key fingerprint found in DNS.
Are you sure you want to continue connecting (yes/no)?
.Ed
.Pp
Щоб дізнатися більше, ознайомтеся із описом параметра
.Cm VerifyHostKeyDNS
на сторінці документації
.Xr ssh_config 5 .
.Sh ЗАСНОВАНІ НА SSH ВІРТУАЛЬНІ ПРИВАТНІ МЕРЕЖІ (VPN)
У
.Nm
передбачено підтримку тунелювання Virtual Private Network (VPN) з
використанням псевдопристрою мережі
.Xr tun 4 .
Таке тунелювання надає
змогу об'єднувати дві мережі у безпечний спосіб. Параметр налаштувань
.Xr sshd_config 5
.Cm PermitTunnel
керує тим, чи передбачено підтримку цієї
можливості на сервері, і визначає рівень підтримки (обмін даними на шарі 2
чи 3).
.Pp
У наведеному нижче прикладі ми з'єднаємо клієнтську мережу 10.0.50.0/24 із
віддаленою мережею 10.0.99.0/24 за допомогою з'єднання точка-точка з
10.1.1.1 до 10.1.1.2, якщо тільки на сервері SSH, запущеному на шлюзі до
віддаленої мережі, за адресою 192.168.1.15, це дозволено.
.Pp
На клієнті:
.Bd -literal -offset indent
# ssh -f -w 0:1 192.168.1.15 true
# ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
# route add 10.0.99.0/24 10.1.1.2
.Ed
.Pp
На сервері:
.Bd -literal -offset indent
# ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252
# route add 10.0.50.0/24 10.1.1.1
.Ed
.Pp
Остаточне коригування клієнтського доступу можна виконати за допомогою файла
.Pa /root/.ssh/authorized_keys
(див. нижче) та параметра сервера
.Cm PermitRootLogin .
Вказаний нижче запис дозволятиме з'єднання на пристрої 1
.Xr tun 4
від користувача
.Dq jane
і з'єднання на пристрої 2 tun від
користувача
.Dq john ,
якщо для
.Cm PermitRootLogin
встановлено
значення
.Dq forced-commands-only :
.Bd -literal -offset 2n
tunnel="1",command="sh /etc/netstart tun1" ssh-rsa ... jane
tunnel="2",command="sh /etc/netstart tun2" ssh-rsa ... john
.Ed
.Pp
Оскільки конфігурація на основі SSH є доволі надмірною, вона краще пасує для
тимчасових випадків, зокрема для бездротових VPN. На сталішому рівні,
налаштувати VPN можна за допомогою інших інструментів, зокрема
.Xr ipsecctl 8
та
.Xr isakmpd 8 .
.Sh СЕРЕДОВИЩЕ
Зазвичай,
.Nm
встановлює такі змінні середовища:
.Bl -tag -width SSH_ORIGINAL_COMMAND
.It Ev DISPLAY
Змінна
.Ev DISPLAY
вказує на розташування сервера X11.
.Nm
автоматично
встановлює для неї значення, яке вказує на значення у формі
.Dq назва_вузла:n ,
де
.Dq назва_вузла
вказує на вузол, на якому запущено
оболонку, а
.Sq n
є цілим числом \*(Ge 1.
.Nm
використовує це
особливе значення для переспрямування з'єднань X11 захищеним
каналом. Зазвичай, у користувача немає потреби встановлювати
.Ev DISPLAY
явним чином, оскільки це призведе до втрати з'єднанням X11 захисту (і
потребуватиме від користувача копіювання усіх потрібних кук уповноваження
вручну).
.It Ev HOME
Встановлено значення шляху до домашнього каталогу користувача.
.It Ev LOGNAME
Синонім
.Ev USER ;
встановіть для сумісності із системами, де
використовують цю змінну.
.It Ev MAIL
Встановити шлях до поштової скриньки користувача.
.It Ev PATH
Встановити типове значення
.Ev PATH ,
як його вказано під час компіляції
.Nm .
.It Ev SSH_ASKPASS
Якщо
.Nm
потрібен пароль, програма читає пароль з поточного термінала,
якщо її було запущено з термінала. Якщо із
.Nm
не пов'язано жодного
термінала, але встановлено змінні середовища
.Ev DISPLAY
і
.Ev SSH_ASKPASS ,
буде виконано програму, яку вказано змінною
.Ev SSH_ASKPASS ,
і відкрито вікно X11 для читання пароля. Це, зокрема, корисно
при виклику
.Nm
з
.Pa .xsession
або пов'язаного скрипту. (Зауважте, що
на деяких машинах, щоб це спрацювало, може виникнути потреба у
переспрямовуванні вхідних даних з
.Pa /dev/null . )
.It Ev SSH_ASKPASS_REQUIRE
Надає ширший контроль над використанням програми askpass. Якщо для цієї
змінної встановлено значення
.Dq never ,
.Nm
ніколи не намагатиметься
скористатися цією програмою. Якщо встановлено значення
.Dq prefer ,
.Nm
надаватиме пріоритет використанню програми askpass над TTY при надсиланні
запитів щодо паролів. Нарешті, якщо для змінної встановлено значення
.Dq force ,
програму askpass буде використано для введення усіх паролів,
незалежно від того, чи встановлено значення змінної
.Ev DISPLAY .
.It Ev SSH_AUTH_SOCK
Визначає шлях до сокета
.Ux Ns -domain ,
який використовують для обміну
даними з агентом.
.It Ev SSH_CONNECTION
Вказує на клієнтську і серверну сторони з'єднання. Значення змінної
складається із чотирьох відокремлених пробілами записів: IP-адреси клієнта,
номера порту клієнта, IP-адреси сервера та номера порту сервера.
.It Ev SSH_ORIGINAL_COMMAND
У цій змінній зберігається початковий командний рядок, якщо буде виконано
примусову команду. Змінною можна скористатися для видобування початкових
аргументів.
.It Ev SSH_TTY
Для цією змінної встановлюють значення назви tty (шляху до пристрою),
пов'язаного із поточною оболонкою або командою. Якщо у поточному сеансі
немає tty, значення цієї змінної встановлено не буде.
.It Ev SSH_TUNNEL
Може бути встановлено
.Xr sshd 8
для зберігання назв призначених
інтерфейсів, якщо клієнтом було надіслано запит щодо тунельного
переспрямовування.
.It Ev SSH_USER_AUTH
Може бути встановлено
.Xr sshd 8 .
Ця змінна може містити шлях до файла зі
списком успішно використаних способів розпізнавання при встановленні сеансу,
включно із будь-якими використаними відкритими ключами.
.It Ev TZ
Значення цієї змінної встановлюють для позначення поточного часового поясу,
якщо його було встановлено, коли було запущено фонову службу (тобто фонова
служба передає значення новим з'єднанням).
.It Ev USER
Встановлено значення назви облікового запису користувача, який увійшов до
системи.
.El
.Pp
Крім того,
.Nm
читає
.Pa ~/.ssh/environment
і додає рядки у форматі
.Dq НАЗВА_ЗМІННОЇ=значення
середовищу, якщо цей файл існує і користувачі
можуть змінювати власне середовище. Щоб дізнатися більше, ознайомтеся із
описом параметра
.Cm PermitUserEnvironment
на сторінці довідки
.Xr sshd_config 5 .
.Sh ФАЙЛИ
.Bl -tag -width Ds -compact
.It Pa ~/.rhosts
Цей файл використовують для розпізнавання на основі вузла (див. вище). На
деяких машинах цей файл має бути доступним для читання для усіх, якщо
домашній каталог користувача зберігається на розділі NFS, оскільки
.Xr sshd 8
читає його від імені користувача root. Крім того, власником цього
файла має бути користувач з'єднання, і він має бути недоступним для запису
будь-яким іншим користувачам. Рекомендованими правами доступу для більшості
машин є читання-запис для користувача і недоступність для інших.
.Pp
.It Pa ~/.shosts
Цей файли використовують у той самий спосіб, що і
.Pa .rhosts ,
але він
уможливлює засноване на назві вузла розпізнавання без дозволу на вхід до
системи за допомогою rlogin/rsh.
.Pp
.It Pa ~/.ssh/
Цей каталог є типовим розташуванням для усіх налаштувань користувача та
даних щодо розпізнавання. Немає загальної вимоги тримати весь вміст цього
каталогу секретним, але рекомендовані дозволи — читання/запис/виконання для
користувача, і недоступне для інших.
.Pp
.It Pa ~/.ssh/authorized_keys
Показує список публічних ключів (DSA, ECDSA, Ed25519, RSA), що їх можна
використовувати для входу користувача. Формат цього файлу описано на
сторінці довідки
.Xr sshd 8 .
Цей файл не є надсекретним, але
рекомендовані дозволи — читання/запис для користувача, та недоступне для
інших.
.Pp
.It Pa ~/.ssh/config
Це користувацький файл конфігурації. Формат файлу і опції конфігурації
описано в
.Xr ssh_config 5 .
Оскільки тут є можливість зловживання, файл
має мати суворі дозволи: читання/запис для користувача і заборонено запис
для інших. Він може бути відкритий до запису групою користувача, якщо
відповідна група містить лише одного користувача.
.Pp
.It Pa ~/.ssh/environment
Містить додаткові визначення для змінних середовища; див.
.Sx СЕРЕДОВИЩЕ
вище.
.Pp
.It Pa ~/.ssh/id_dsa
.It Pa ~/.ssh/id_ecdsa
.It Pa ~/.ssh/id_ecdsa_sk
.It Pa ~/.ssh/id_ed25519
.It Pa ~/.ssh/id_ed25519_sk
.It Pa ~/.ssh/id_rsa
Містять закриті ключі для розпізнавання. У цих файлах зберігаються
конфіденційні дані. Вони мають бути придатним до читання від імені
користувача, але недоступні для інших (читання, запис та виконання).
.Nm
просто проігнорує файл закритого ключа, якщо він є доступним для інших
користувачів. Можна вказати пароль при створенні ключа. Цей пароль буде
використано для шифрування конфіденційної частини цього файл з використанням
алгоритму AES-128.
.Pp
.It Pa ~/.ssh/id_dsa.pub
.It Pa ~/.ssh/id_ecdsa.pub
.It Pa ~/.ssh/id_ecdsa_sk.pub
.It Pa ~/.ssh/id_ed25519.pub
.It Pa ~/.ssh/id_ed25519_sk.pub
.It Pa ~/.ssh/id_rsa.pub
Містять відкриті ключі для розпізнавання. Ці файли не є конфіденційними і
можуть бути (не обов'язково) придатними для читання від імені інших
користувачів.
.Pp
.It Pa ~/.ssh/known_hosts
Містить список ключів вузлів для всіх вузлів, в які зайшов користувач, і що
не є ключами вузлів, відомими на системному рівні. Див.
.Xr sshd 8
для
подробиць про формат цього файла.
.Pp
.It Pa ~/.ssh/rc
Команди в цьому файли виконує
.Nm
коли користувач входить в систему, і
одразу перед тим, як запускається оболонка користувача (або
команда). Див. сторінку довідки
.Xr sshd 8
щодо подробиць.
.Pp
.It Pa /etc/hosts.equiv
Цей файл призначено для розпізнавання на основі вузла (див. вище). Права на
запис до нього повинен мати лише користувач root.
.Pp
.It Pa /etc/ssh/shosts.equiv
Цей файли використовують у той самий спосіб, що і
.Pa hosts.equiv ,
але
він уможливлює засноване на назві вузла розпізнавання без дозволу на вхід до
системи за допомогою rlogin/rsh.
.Pp
.It Pa /etc/ssh/ssh_config
Загальносистемний файл налаштувань. Формат файла і параметри налаштувань
описано у
.Xr ssh_config 5 .
.Pp
.It Pa /etc/ssh/ssh_host_key
.It Pa /etc/ssh/ssh_host_dsa_key
.It Pa /etc/ssh/ssh_host_ecdsa_key
.It Pa /etc/ssh/ssh_host_ed25519_key
.It Pa /etc/ssh/ssh_host_rsa_key
У цих файлах містяться закриті частини ключів вузлів. Дані з файлів
використовують для заснованого на назві вузла розпізнавання.
.Pp
.It Pa /etc/ssh/ssh_known_hosts
Загальносистемний список відомих ключів вузлів. Цей файл має бути
приготовано адміністратором системи так, що у ньому містилися відкриті ключі
вузлів для усіх машин у організації. Він має бути доступним до читання для
усіх. Подальші настанови з форматування цього файла наведено на сторінці
підручника
.Xr sshd 8 .
.Pp
.It Pa /etc/ssh/sshrc
Команди в цьому файли виконує
.Nm
коли користувач входить в систему, і
одразу перед тим, як запускається оболонка користувача (або
команда). Див. сторінку довідки
.Xr sshd 8
щодо подробиць.
.El
.Sh СТАН ВИХОДУ
.Nm
завершує роботу зі станом виходу віддаленої команди або станом виходу
255, якщо сталася помилка.
.Sh ДИВ. ТАКОЖ
.Xr scp 1 ,
.Xr sftp 1 ,
.Xr ssh-add 1 ,
.Xr ssh-agent 1 ,
.Xr ssh-argv0 1 ,
.Xr ssh-keygen 1 ,
.Xr ssh-keyscan 1 ,
.Xr tun 4 ,
.Xr ssh_config 5 ,
.Xr ssh-keysign 8 ,
.Xr sshd 8
.Sh СТАНДАРТИ
.Rs
.%A S. Lehtinen
.%A C. Lonvick
.%D January 2006
.%R RFC 4250
.%T The Secure Shell (SSH) Protocol Assigned Numbers
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D January 2006
.%R RFC 4251
.%T The Secure Shell (SSH) Protocol Architecture
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D January 2006
.%R RFC 4252
.%T The Secure Shell (SSH) Authentication Protocol
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D January 2006
.%R RFC 4253
.%T The Secure Shell (SSH) Transport Layer Protocol
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D January 2006
.%R RFC 4254
.%T The Secure Shell (SSH) Connection Protocol
.Re
.Pp
.Rs
.%A J. Schlyter
.%A W. Griffin
.%D January 2006
.%R RFC 4255
.%T Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints
.Re
.Pp
.Rs
.%A F. Cusack
.%A M. Forssen
.%D January 2006
.%R RFC 4256
.%T Generic Message Exchange Authentication for the Secure Shell Protocol (SSH)
.Re
.Pp
.Rs
.%A J. Galbraith
.%A P. Remaker
.%D January 2006
.%R RFC 4335
.%T The Secure Shell (SSH) Session Channel Break Extension
.Re
.Pp
.Rs
.%A M. Bellare
.%A T. Kohno
.%A C. Namprempre
.%D January 2006
.%R RFC 4344
.%T The Secure Shell (SSH) Transport Layer Encryption Modes
.Re
.Pp
.Rs
.%A B. Harris
.%D January 2006
.%R RFC 4345
.%T Improved Arcfour Modes for the Secure Shell (SSH) Transport Layer Protocol
.Re
.Pp
.Rs
.%A M. Friedl
.%A N. Provos
.%A W. Simpson
.%D March 2006
.%R RFC 4419
.%T Diffie-Hellman Group Exchange for the Secure Shell (SSH) Transport Layer Protocol
.Re
.Pp
.Rs
.%A J. Galbraith
.%A R. Thayer
.%D November 2006
.%R RFC 4716
.%T The Secure Shell (SSH) Public Key File Format
.Re
.Pp
.Rs
.%A D. Stebila
.%A J. Green
.%D December 2009
.%R RFC 5656
.%T Elliptic Curve Algorithm Integration in the Secure Shell Transport Layer
.Re
.Pp
.Rs
.%A A. Perrig
.%A D. Song
.%D 1999
.%O International Workshop on Cryptographic Techniques and E-Commerce (CrypTEC '99)
.%T Hash Visualization: a New Technique to improve Real-World Security
.Re
.Sh АВТОРИ
OpenSSH походить від початкового і вільного випуску ssh 1.2.12, автором
якого є Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos,
Theo de Raadt і Dug Song усунули багато вад, додали нові можливості та
створили OpenSSH. Markus Friedl зробив внесок у підтримку версій протоколу
SSH 1.5 і 2.0.
.Pp
.Sh ПЕРЕКЛАД
Український переклад цієї сторінки посібника виконано
lxlalexlxl <lxlalexlxl@ukr.net>,
Andrij Mizyk <andmizyk@gmail.com>,
Andriy Rysin <arysin@gmail.com>
і
Yuri Chornoivan <yurchor@ukr.net>
.
.Pp
Цей переклад є безкоштовною документацією; будь ласка, ознайомтеся з умовами
.Lk https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License Version 3 .
НЕ НАДАЄТЬСЯ ЖОДНИХ ГАРАНТІЙ.
.Pp
Якщо ви знайшли помилки у перекладі цієї сторінки підручника, будь ласка, надішліть електронний лист до списку листування перекладачів:
.Mt trans-uk@lists.fedoraproject.org
.Me .