Scroll to navigation

SYSTEMD-SSH-GENERATOR(8) systemd-ssh-generator SYSTEMD-SSH-GENERATOR(8)

BEZEICHNUNG

systemd-ssh-generator - Generator zum Anbinden von Socket-aktivierten SSH-Servern an lokale AF_VSOCK- und AF_UNIX-Sockets

ÜBERSICHT

/usr/lib/systemd/system-generators/systemd-ssh-generator

BESCHREIBUNG

systemd-ssh-generator bindet unter bestimmten Bedingungen einen Socket-aktivierten SSH_Server an lokale AF_VSOCK- und AF_UNIX-Sockets. Es ist nur wirksam, wenn das Programm sshd(8) installiert ist. Insbesondere erledigt es das Folgende:

•Beim Aufruf in einer VM mit AF_VSOCK-Unterstützung wird ein Socket-aktivierter, pro SSH-Verbindung bezogener Dienst an AF_VSOCK-Port 22 gebunden.

•Beim Aufruf in einer Container-Umgebung mit einem vorab eingehängten schreibbaren Verzeichnis /run/host/unix-export/ wird SSH an ein AF_UNIX-Socket /run/host/unix-export/ssh gebunden. Die Annahme ist, dass dieses Verzeichnis auch auf der Wirtseite Bind-eingehängt ist und als Verbindung zum Container von dort verwandt werden kann. Siehe Container-Schnittstelle[1] zu weiteren Informationen über diese Schnittstelle.

•Ein lokales AF_UNIX-Socket /run/ssh-unix-local/socket wird auch bedingungslos gebunden. Dieses kann zur SSH-Kommunikation vom Wirtsystem zu sich selbst verwandt werden, ohne das Netzwerk zu verwenden, beispielsweise um sicher mit sicherer Authentifizierung über Sicherheitsschranken hinweg zu gehen.

•Zusätzlich werden optional AF_UNIX- und AF_VSOCK-Sockets gebunden, basierend auf der Kernelbefehlszeilenoption systemd.ssh_listen= oder der Systemzugangsberechtigung ssh.listen (siehe unten).

Siehe systemd-ssh-proxy(1) zu Details dazu, wie über diese Sockets mittels des ssh(1)-Clients verbunden werden kann.

Die Zugangsberechtigung ssh.authorized_keys.root kann zum Erlauben der Anmeldung mittels bestimmter öffentlicher Schlüssel über SSH verwandt werden. Siehe systemd.system-credentials(7) zu weiteren Informationen.

Der Generator wird eine paketierte Dienstevorlagedatei sshd@.service verwenden, falls eine existiert, und andernfalls eine geeignete Dienstevorlagedatei erstellen.

systemd-ssh-generator implementiert systemd.generator(7).

KERNEL-BEFEHLSZEILE

systemd-ssh-generator versteht die folgenden kernel-command-line(7)-Parameter:

systemd.ssh_auto=

Diese Option akzeptiert ein optionales logisches Argument, die Vorgabe ist »yes«. Falls aktiviert, erfolgt das automatische Binden an die oben aufgeführten AF_VSOCK- und AF_UNIX-Sockets. Falls deaktiviert, erfolgt dies nicht, außer für solche, für die dies explizit mittels systemd.ssh_listen= auf der Kernelbefehlszeile oder mittels der Systemzugangsberechtigung ssh.listen angefordert wurde.

Hinzugefügt in Version 256.

systemd.ssh_listen=

Diese Option konfiguriert einen zusätzliches Socket, an den sich SSH binden soll. Sie kann mehrfach verwandt werden, um an mehrere Sockets zu binden. Die Syntax sollte der von ListenStream= folgen, siehe systemd.socket(5) zu Details. Diese Funktionalität deckt alle Socket-Familien ab, die systemd(1) unterstützt, einschließlich AF_INET und AF_INET6.

Hinzugefügt in Version 256.

ZUGANGSBERECHTIGUNGEN

systemd-ssh-generator unterstützt die Systemzugangsberechtigungslogik. Die folgenden Zugangsberechtigungen werden unterstützt, wenn sie reingereicht werden:

ssh.listen

Diese Zugangsberechtigung sollte eine Textdatei sein, wobei jede Zeile ein zusätzliches Socket referenzieren sollte, an das sich SSH binden soll. Die Syntax sollte der von ListenStream= folgen, siehe systemd.socket(5) zu Details. Diese Funktionalität deckt alle Socket-Familien ab, die systemd(1) unterstützt, einschließlich AF_INET und AF_INET6.

Hinzugefügt in Version 256.

ssh.ephemeral-authorized_keys-all

Stellt zusätzliche öffentliche Schlüssel bereit, die im gewohnten authorized_keys-Format angegeben sind. Diese sind für alle Benutzer, für eingehende Verbindungen mittels der erstellten AF_VSOCK- und AF_UNIX-Socket-Units.

Diese sind für das Hauptsystem (in entweder VM- oder Container-Konfigurationen) gedacht, um ein Schlüsselpaar zu erstellen und es in den öffentlichen Schlüssel im Gast zu integrieren, wobei der private Schlüssel für Verbindungen zu jedem Benutzerkonto auf dem Gast mittels Ssh ohne zusätzliche Authentifizierung verwandt wird.

Hinzugefügt in Version 256.

SIEHE AUCH

systemd(1), kernel-command-line(7), systemd.system-credentials(7), vsock(7), unix(7), ssh(1), sshd(8)

ANMERKUNGEN

1.
Container-Schnittstelle
https://systemd.io/CONTAINER_INTERFACE

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org.

systemd 259~rc2