.\" -*- coding: UTF-8 -*- .\" $OpenBSD: ssh-add.1,v 1.85 2023/12/18 14:46:56 djm Exp $ .\" .\" Author: Tatu Ylonen .\" Copyright (c) 1995 Tatu Ylonen , Espoo, Finland .\" All rights reserved .\" .\" As far as I am concerned, the code I have written for this software .\" can be used freely for any purpose. Any derived versions of this .\" software must be clearly marked as such, and if the derived work is .\" incompatible with the protocol description in the RFC file, it must be .\" called by a name other than "ssh" or "Secure Shell". .\" .\" .\" Copyright (c) 1999,2000 Markus Friedl. All rights reserved. .\" Copyright (c) 1999 Aaron Campbell. All rights reserved. .\" Copyright (c) 1999 Theo de Raadt. All rights reserved. .\" .\" Redistribution and use in source and binary forms, with or without .\" modification, are permitted provided that the following conditions .\" are met: .\" 1. Redistributions of source code must retain the above copyright .\" notice, this list of conditions and the following disclaimer. .\" 2. Redistributions in binary form must reproduce the above copyright .\" notice, this list of conditions and the following disclaimer in the .\" documentation and/or other materials provided with the distribution. .\" .\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR .\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES .\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. .\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, .\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT .\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, .\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY .\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT .\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF .\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .Dd $Mdocdate: 18. Dezember 2023 $ .Dt SSH-ADD 1 .Os .Sh BEZEICHNUNG .Nm ssh-add .Nd Fügt Identitäten aus privaten Schlüsseln zum OpenSSH-Authentifizierungsvermittler hinzu .Sh ÜBERSICHT .Nm ssh-add .Op Fl cCDdKkLlqvXx .Op Fl E Ar Fingerabdruck-Hash .Op Fl H Ar Rechnerschlüsseldatei .Op Fl h Ar Zielbeschränkung .Op Fl S Ar Anbieter .Op Fl t Ar Lebensdauer .Op Ar .Nm ssh-add .Fl s Ar pkcs11 .Nm ssh-add .Fl e Ar pkcs11 .Op Fl vC .Op Ar Zertifikat … .Nm ssh-add .Fl T .Ar öffentlicher_Schlüssel … .Sh BESCHREIBUNG .Nm fügt private Schlüsselidentitäten zu dem Authentifizierungsvermittler .Xr ssh-agent 1 hinzu. Wird es ohne Argumente ausgeführt, fügt es die Dateien .Pa ~/.ssh/id_rsa , .Pa ~/.ssh/id_ecdsa , .Pa ~/.ssh/id_ecdsa_sk , .Pa ~/.ssh/id_ed25519 , .Pa ~/.ssh/id_ed25519_sk und .Pa ~/.ssh/id_dsa hinzu. Nach dem Laden des privaten Schlüssels wird .Nm versuchen, die entsprechenden Zertifikatsinformationen zu erlangen, wobei die Dateinamen gebildet werden, indem .Pa -cert.pub an die Namen der privaten Schlüsseldateien angehängt wird. Alternativ können Dateinamen auf der Befehlszeile angegeben werden. .Pp Falls eine Datei eine Passphrase benötigt, fragt .Nm den Benutzer nach der Passphrase. Die Passphrase wird vom TTY des Benutzers eingelesen. .Nm versucht die letzte Passphrase erneut zu verwenden, falls mehrere Identitäten angegeben wurden. .Pp Der Authentifizierungsvermittler muss laufen und die Umgebungsvariable .Ev SSH_AUTH_SOCK muss den Namen seines Sockets enthalten, damit .Nm funktioniert. .Pp Folgende Optionen stehen zur Verfügung: .Bl -tag -width Ds .It Fl c Zeigt an, dass hinzugefügte Identitäten bestätigt werden sollen, bevor sie zur Authentifizierung verwandt werden. Die Bestätigung erfolgt mit .Xr ssh-askpass 1 . Die erfolgreiche Bestätigung wird durch den Exit-Status 0 von .Xr ssh-askpass 1 angezeigt, statt durch Text, den der Anfragende eingibt. .It Fl C Beim Laden von Schlüsseln in den oder Löschen von Schlüsseln aus dem Vermittler werden nur Zertifikate verarbeitet und einfache private Schlüssel übersprungen. .It Fl D Löscht alle Identitäten aus dem Vermittler. .It Fl d Statt Identitäten hinzuzufügen, werden Identitäten aus dem Vermittler entfernt. Falls .Nm ohne Argumente ausgeführt wurde, werden die Schlüssel für die Vorgabeidentitäten und ihre entsprechenden Zertifikate entfernt. Andernfalls wird die Argumentenliste als Liste von Pfaden zu öffentlichen Schlüsseln interpretiert, die Schlüssel und Zertifikate angeben, die aus dem Vermittler entfernt werden sollen. Falls unter den angegebenen Pfaden kein öffentlicher Schlüssel gefunden wird, wird .Nm .Pa .pub anhängen und es erneut versuchen. Falls die Argumentenliste aus »-« besteht, wird .Nm die zu entfernenden Schlüssel aus der Standardeingabe lesen. .It Fl E Ar Fingerabdruck-Hash Gibt den bei der Anzeige von Schlüssel-Fingerabdrücken zu verwendenden Hash-Algorithmus an. Gültige Optionen sind »md5« und »sha256«. Die Vorgabe ist »sha256«. .It Fl e Ar pkcs11 Entfernt Schlüssel, die von der dynamischen PKCS#11-Bibliothek .Ar pkcs11 bereitgestellt werden. .It Fl H Ar Rechnerschlüsseldatei Gibt eine Datei bekannter Rechner an, in denen nach Rechnerschlüsseln mit zielbeschränkten Schlüsseln über den Schalter .Fl h nachgeschaut wird. Diese Option kann mehrfach angegeben werden, um das Durchsuchen mehrerer Dateien zu erlauben. Falls keine Dateien angegeben sind, wird .Nm die standardmäßigen bekannten Rechner aus .Xr ssh_config 5 verwenden: .Pa ~/.ssh/known_hosts , .Pa ~/.ssh/known_hosts2 , .Pa /etc/ssh/ssh_known_hosts und .Pa /etc/ssh/ssh_known_hosts2 . .It Fl h Ar Zielbeschränkung Beim Hinzufügen von Schlüsseln werden sie beschränkt, so dass sie nur über bestimmte Rechner oder zu bestimmten Zielen einsetzbar sind. .Pp Zielbeschränkungen der Form »[Benutzer@]Zielrechnername« erlauben die Verwendung des Schlüssels nur vom ursprünglichen Rechner (der .Xr ssh-agent 1 ausführt) zu dem aufgeführten Zielrechner, mit dem optionalen Benutzernamen. .Pp Beschränkungen der Form »Quellenrechnername>[Benutzer@]Zielrechnername« erlauben es einem Schlüssel, der in einem weitergeleiteten .Xr ssh-agent 1 verfügbar ist, über einen bestimmten Rechner verwandt zu werden (wie in »Quellrechnername« angegeben), um sich bei einem weiteren Rechner zu authentifizieren, angegeben durch »Zielrechnername«. .Pp Beim Laden von Schlüsseln können mehrere Schlüsselbeschränkungen angegeben werden. Beim Versuch, sich mit einem Schlüssel zu authentifizieren, der eine Zielbeschränkung hat, wird der gesamte Verbindungspfad, einschließlich der Weiterleitung mit .Xr ssh-agent 1 , gegen die Beschränkungen geprüft und jeder Sprung muss erlaubt sein, damit der Versuch gelingt. Wird der Schlüssel beispielsweise an einen fernen Rechner »host-b« weitergeleitet und es wird eine Authentifizierung an einen anderen Rechner »host-c« versucht, dann wird die Aktion nur erfolgreich sein, falls »host-b« vom ursprünglichen Rechner aus und der nachfolgende Sprung »host-b>host-c« auch durch die Zielbeschränkungen erlaubt ist. .Pp Rechner werden durch ihre Rechnerschlüssel identifiziert und werden in den Dateien bekannter Rechner von .Nm nachgeschlagen. Platzhaltermuster können für Rechnernamen verwandt werden und Zertifikat-Rechnerschlüssel werden unterstützt. Standardmäßig sind durch .Nm hinzugefügte Schlüssel nicht zielbeschränkt. .Pp Zielbeschränkungen wurde in OpenSSH Veröffentlichung 8.9 hinzugefügt. Bei der Verwendung von zielbeschränkten Schlüsseln über einen weitergeleiteten .Xr ssh-agent 1 -Kanal ist es notwendig, dass sowohl der ferne Client als auch Server dies unterstützen. .Pp Es ist auch wichtig anzumerken, dass die Zielbeschränkungen nur mit .Xr ssh-agent 1 durchgesetzt werden können, wenn ein Schlüssel verwandt oder wenn er durch einen .Sy kooperierenden .Xr ssh 1 weitergeleitet wird. Insbesondere verhindert dies nicht, dass ein Angreifer mit Zugang zu einem fernen .Ev SSH_AUTH_SOCK ihn wieder weiterleitet und auf einem anderen Rechner verwendet (aber nur zu einem erlaubten Ziel). .It Fl K Lädt residente Schlüssel von einem FIDO-Authentifikator. .It Fl k Beim Laden von Schlüsseln in den oder Löschen von Schlüsseln aus dem Vermittler werden nur einfache private Schlüssel verarbeitet und Zertifikate übersprungen. .It Fl L Listet Parameter der öffentlichen Schlüssel von allen in dem Vermittler dargestellten Identitäten auf. .It Fl l Listet Fingerabdrücke von allen in dem Vermittler dargestellten Identitäten auf. .It Fl q Keine Ausgabe nach einer erfolgreichen Aktion. .It Fl S Ar Anbieter Gibt einen Pfad zu einer Bibliothek an, die beim Hinzufügen eines auf einem FIDO-Authentifikator liegenden Schlüssels verwandt wird und die Vorgabe der internen USB-HID-Unterstützung außer Kraft setzt. .It Fl s Ar pkcs11 Fügt von der dynamischen PKCS#11-Bibliothek .Ar pkcs11 bereitgestellte Schlüssel hinzu. Zertifikatsdateien können optional als Befehlszeilenargumente aufgelistet werden. Falls diese vorhanden sind, dann werden sie in den Vermittler mittels entsprechender privater Schlüssel, die vom PKCS#11-Token geladen wurden, geladen. .It Fl T Ar öffentlicher_Schlüssel … Prüft, ob die privaten Schlüssel, die dem angegebenen .Ar öffentlichen_Schlüssel entsprechen, funktionieren, indem mit jedem Schlüssel Signier- und Signaturüberprüfungsaktionen erfolgen. .It Fl t Ar Lebensdauer Setzt eine maximale Lebensdauer beim Hinzufügen von Identitäten zum Vermittler. Die Lebensdauer kann in Sekunden oder in einem in .Xr sshd_config 5 spezifizierten Zeitformat angegeben werden. .It Fl v Ausführlicher Modus. Führt dazu, dass .Nm Fehlersuchmeldungen über seinen Fortschritt ausgibt. Dies ist zur Fehlersuche bei Problemen hilfreich. Wird die Option .Fl v mehrmals angegeben, erhöht dies die Ausführlichkeit. Maximal drei sind möglich. .It Fl X Entsperrt den Vermittler. .It Fl x Sperrt den Vermittler mit einem Passwort. .El .Sh UMGEBUNGSVARIABLEN .Bl -tag -width Ds .It Ev DISPLAY, SSH_ASKPASS und SSH_ASKPASS_REQUIRE Falls .Nm eine Passphrase benötigt, wird es diese vom aktuellen Terminal einlesen, falls es von einem Terminal ausgeführt wurde. Falls .Nm über kein zugeordnetes Terminal verfügt, sondern mit gesetztem .Ev DISPLAY und .Ev SSH_ASKPASS ausgeführt wurde, wird es das durch .Ev SSH_ASKPASS festgelegte Programm (standardmäßig »ssh-askpass«) ausführen und ein X11-Fenster öffnen, um die Passphrase einzulesen. Dies ist insbesondere nützlich, wenn .Nm von einer .Pa .xsession oder einem zugehörigen Skript ausgeführt wird. .Pp .Ev SSH_ASKPASS_REQUIRE erlaubt weitere Kontrolle über die Verwendung eines Programms zur Abfrage eines Passworts. Falls diese Variable auf »never« gesetzt ist, dann wird .Nm niemals versuchen, ein solches zu verwenden. Falls sie auf »prefer« gesetzt ist, dann wird .Nm bevorzugt das Programm zur Abfrage eines Passworts statt des TTY verwenden, wenn es Passwörter anfordert. Falls diese Variable schließlich auf »force« gesetzt ist, dann wird das Programm zur Abfrage eines Passworts für sämtliche Passphraseneingaben verwandt, unabhängig davon, ob .Ev DISPLAY gesetzt ist. .It Ev SSH_AUTH_SOCK Kennzeichnet den Pfad eines zur Kommunikation mit dem Vermittler verwandten .Ux Ns -domain -Sockets. .It Ev SSH_SK_PROVIDER Gibt einen Pfad zu einer Bibliothek an, die beim Laden jedes FIDO-Authentifikator-basierten Schlüssels verwandt wird. Dies setzt die standardmäßige, eingebaute USB-HID-Unterstützung außer Kraft. .El .Sh DATEIEN .Bl -tag -width Ds -compact .It Pa ~/.ssh/id_dsa .It Pa ~/.ssh/id_ecdsa .It Pa ~/.ssh/id_ecdsa_sk .It Pa ~/.ssh/id_ed25519 .It Pa ~/.ssh/id_ed25519_sk .It Pa ~/.ssh/id_rsa Enthält die DSA-, ECDSA-, Authentifikator-basierende ECDSA-, Ed25519-, Authentifikator-basierende Ed25519- oder RSA-Authentifizierungsidentität des Benutzers. .El .Pp Identitätsdateien sollten ausschließlich durch den Benutzer lesbar sein. Beachten Sie, dass .Nm Identitätsdateien ignoriert, auf die andere zugreifen können. .Sh EXIT-STATUS Bei Erfolg ist der Exit-Status 0; 1 falls der angegebene Befehl fehlschlägt und 2 falls .Nm nicht in der Lage ist, den Authentifzierungsvermittler zu erreichen. .Sh SIEHE AUCH .Xr ssh 1 , .Xr ssh-agent 1 , .Xr ssh-askpass 1 , .Xr ssh-keygen 1 , .Xr sshd 8 .Sh AUTOREN OpenSSH ist eine Ableitung der ursprünglichen und freien SSH-1.2.12-Veröffentlichung durch .An Tatu Ylonen . .An Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt und .An Dug Song entfernten viele Fehler, fügten neuere Funktionalitäten wieder hinzu und erstellten OpenSSH. .An Markus Friedl steuerte die Unterstützung für SSH-Protokollversion 1.5 und 2.0 bei. .Pp .Sh ÜBERSETZUNG Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. .Pp Diese Übersetzung ist Freie Dokumentation; lesen Sie die .Lk https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. .Pp Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer: .Mt debian-l10n-german@lists.debian.org .Me .