.\" -*- coding: UTF-8 -*-
.\"
.\" Author: Tatu Ylonen <ylo@cs.hut.fi>
.\" Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
.\"                    All rights reserved
.\"
.\" As far as I am concerned, the code I have written for this software
.\" can be used freely for any purpose.  Any derived versions of this
.\" software must be clearly marked as such, and if the derived work is
.\" incompatible with the protocol description in the RFC file, it must be
.\" called by a name other than "ssh" or "Secure Shell".
.\"
.\" Copyright (c) 1999,2000 Markus Friedl.  All rights reserved.
.\" Copyright (c) 1999 Aaron Campbell.  All rights reserved.
.\" Copyright (c) 1999 Theo de Raadt.  All rights reserved.
.\"
.\" Redistribution and use in source and binary forms, with or without
.\" modification, are permitted provided that the following conditions
.\" are met:
.\" 1. Redistributions of source code must retain the above copyright
.\"    notice, this list of conditions and the following disclaimer.
.\" 2. Redistributions in binary form must reproduce the above copyright
.\"    notice, this list of conditions and the following disclaimer in the
.\"    documentation and/or other materials provided with the distribution.
.\"
.\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
.\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
.\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
.\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
.\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
.\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
.\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
.\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
.\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
.\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
.\"
.\" $OpenBSD: ssh.1,v 1.443 2024/07/18 01:47:27 djm Exp $
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.Dd $Mdocdate: 18 iulie 2024 $
.Dt SSH 1
.Os
.Sh NUME
.Nm ssh
.Nd client de autentificare la distanță OpenSSH
.Sh SINOPSIS
.Nm ssh
.Op Fl 46AaCfGgKkMNnqsTtVvXxYy
.Op Fl B Ar interfață-asociere
.Op Fl b Ar adresă-asociere
.Op Fl c Ar specificare-cifru
.Op Fl D Oo Ar adresă-asociere : Oc Ns Ar port
.Op Fl E Ar fișier-jurnal
.Op Fl e Ar caracter-control
.Op Fl F Ar fișier-configurare
.Op Fl I Ar pkcs11
.Op Fl i Ar fișier-identitate
.Op Fl J Ar destinație
.Op Fl L Ar adresă
.Op Fl l Ar nume_utilizator-autentificare
.Op Fl m Ar specificare-mac
.Op Fl O Ar comandă-control
.Op Fl o Ar opțiune
.Op Fl P Ar etichetă
.Op Fl p Ar port
.Op Fl R Ar adresă
.Op Fl S Ar rută-control
.Op Fl W Ar gazdă : Ns Ar port
.Op Fl w Ar tunel-local Ns Op : Ns Ar tunel-la_distanță
.Ar destinație
.Op Ar comandă Op Ar argument ...
.Nm ssh
.Op Fl Q Ar opțiune-interogare
.Sh DESCRIERE
.Nm ssh
(client SSH) este un program pentru autentificarea într-o mașină la
distanță și pentru executarea de comenzi pe o mașină la distanță. Acesta
este destinat să asigure comunicații criptate sigure între două gazde
neîncrezătoare printr-o rețea nesigură. Conexiunile X11, porturile TCP
arbitrare și soclurile
.Ux Ns -domain
pot fi de asemenea transmise pe
canalul securizat.
.Pp
.Nm ssh
se conectează și se autentifică la
.Ar destinația
specificată,
care poate fi specificată fie ca
.Sm off
.Oo utilizator @ Oc nume-gazdă
.Sm on
sau un URI de forma
.Sm off
.No ssh:// Oo utilizator @ Oc nume-gazdă Op : port .
.Sm on
Utilizatorul trebuie să își
dovedească identitatea față de mașina de la distanță folosind una dintre mai
multe metode (a se vedea mai jos).
.Pp
Dacă este specificată o
.Ar comandă ,
aceasta va fi executată pe gazda de
la distanță în locul unui shell de autentificare. O linie de comandă
completă poate fi specificată ca
.Ar comandă ,
sau poate avea argumente
suplimentare. Dacă sunt furnizate, argumentele vor fi adăugate la comandă,
separate prin spații, înainte ca aceasta să fie trimisă la server pentru a
fi executată.
.Pp
Opțiunile sunt următoarele:
.Pp
.Bl -tag -width Ds -compact
.It Fl 4
Forțează
.Nm ssh
să utilizeze numai adrese IPv4.
.Pp
.It Fl 6
Forțează
.Nm ssh
să utilizeze numai adrese IPv6.
.Pp
.It Fl A
Permite redirecționarea conexiunilor de la un agent de autentificare precum
.Xr ssh-agent 1 .
Acest lucru poate fi, de asemenea, specificat pentru
fiecare gazdă într-un fișier de configurare.
.Pp
Transmiterea agentului trebuie activată cu precauție. Utilizatorii care au
capacitatea de a ocoli permisiunile de fișier pe gazda de la distanță
(pentru soclul
.Ux Ns -domain
al agentului) pot accesa agentul local prin
conexiunea redirecționată.  Un atacator nu poate obține materialul cheii de
la agent, însă poate efectua operații asupra cheilor care îi permit să se
autentifice folosind identitățile încărcate în agent. O alternativă mai
sigură poate fi utilizarea unei gazde de salt (a se vedea
.Fl J ) .
.Pp
.It Fl a
Dezactivează redirecționarea conexiunii agentului de autentificare.
.Pp
.It Fl B Ar interfață-asociere
Se leagă la adresa
.Ar interfață-asociere
înainte de a încerca să se
conecteze la gazda de destinație.  Acest lucru este util numai pe sistemele
cu mai multe adrese.
.Pp
.It Fl b Ar adresă-asociere
Utilizează
.Ar adresă-asociere
de pe mașina locală ca adresă sursă a
conexiunii. Utilă numai pe sistemele cu mai multe adrese.
.Pp
.It Fl C
Solicită comprimarea tuturor datelor (inclusiv stdin, stdout, stderr și
datele pentru conexiunile X11, TCP și
.Ux Ns -domain
redirecționate). Algoritmul de comprimare este același cu cel utilizat de
.Xr gzip 1 .
Comprimarea este de dorit pe liniile modem și alte conexiuni
lente, dar va încetini lucrurile doar pe rețelele rapide. Valoarea implicită
poate fi stabilită gazdă cu gazdă în fișierele de configurare; consultați
opțiunea
.Cm Compression
din
.Xr ssh_config 5 .
.Pp
.It Fl c Ar specificare-cifru
Selectează specificația cifrului pentru criptarea sesiunii.
.Ar specificare-cifru
este o listă de cifruri separate prin virgulă, enumerate
în ordinea preferințelor. Consultați cuvântul cheie
.Cm Ciphers
din
.Xr ssh_config 5
pentru mai multe informații.
.Pp
.It Fl D Xo
.Sm off
.Oo Ar adresă-asociere : Oc
.Ar port
.Sm on
.Xc
Specifică o redirecționare de port la nivel de aplicație
.Dq dinamică
locală. Aceasta funcționează prin alocarea unui soclu pentru a asculta
.Ar port
pe partea locală, legat opțional la
.Ar adresa-de-asociere
specificată. Ori de câte ori se realizează o conexiune la acest port,
conexiunea este redirecționată pe canalul securizat, iar protocolul
aplicației este apoi utilizat pentru a determina unde să se conecteze de la
mașina de la distanță. În prezent sunt acceptate protocoalele SOCKS4 și
SOCKS5, iar
.Nm ssh
va acționa ca un server SOCKS. Numai root poate
redirecționa porturile privilegiate. Transmiterea dinamică a porturilor
poate fi, de asemenea, specificată în fișierul de configurare.
.Pp
Adresele IPv6 pot fi specificate prin includerea adresei între paranteze
drepte. Numai superutilizatorul poate redirecționa porturile
privilegiate. În mod implicit, portul local este legat în conformitate cu
valoarea opțiunii
.Cm GatewayPorts .
Cu toate acestea, se poate utiliza o
.Ar adresă-de-asociere
explicită pentru a lega conexiunea la o anumită
adresă.
.Ar adresa-de-asociere
de
.Dq localhost
indică faptul că
portul de ascultare trebuie legat numai pentru uz local, în timp ce o adresă
goală sau
.Sq *
indică faptul că portul trebuie să fie disponibil de la
toate interfețele.
.Pp
.It Fl E Ar fișier-jurnal
Adaugă jurnalele de depanare la
.Ar fișier-jurnal
în loc de la ieșirea de
eroare standard.
.Pp
.It Fl e Ar caracter-control
Stabilește caracterul de eludaare(control) pentru sesiunile cu un pty
(implicit:
.Ql ~ ) .
Caracterul de control este recunoscut numai la
începutul unei linii. Caracterul de control urmat de un punct
.Pq Ql \&.
închide conexiunea; urmat de control-Z suspendă conexiunea; și urmat de sine
trimite caracterul de control o dată. Definirea caracterului la
.Dq none
dezactivează orice eludare(control) și face sesiunea complet transparentă.
.Pp
.It Fl F Ar fișier-configurare
Specifică un fișier alternativ de configurare per utilizator. Dacă se indică
un fișier de configurare în linia de comandă, fișierul de configurare la
nivel de sistem
.Pq Pa /etc/ssh/ssh_config
va fi ignorat. Valoarea
implicită pentru fișierul de configurare per utilizator este
.Pa ~/.ssh/config .
Dacă este definit la
.Dq none ,
nu va fi citit niciun
fișier de configurare.
.Pp
.It Fl f
Solicită
.Nm ssh
să treacă în fundal chiar înainte de executarea
comenzii. Acest lucru este util în cazul în care
.Nm ssh
urmează să solicite
parole sau fraze de acces, dar utilizatorul dorește ca aceasta să fie în
fundal. Aceasta implică
.Fl n .
Modul recomandat de a porni programe X11
la distanță este ceva precum
.Ic ssh -f gazda xterm .
.Pp
Dacă opțiunea de configurare
.Cm ExitOnForwardFailure
este stabilită la
.Dq yes ,
atunci un client inițiat cu
.Fl f
va aștepta ca toate
redirecționările porturilor la distanță să fie stabilite cu succes înainte
de a se plasa în fundal. Consultați descrierea
.Cm ForkAfterAuthentication
în
.Xr ssh_config 5
pentru detalii.
.Pp
.It Fl G
Determină
.Nm ssh
să imprime configurația sa după evaluarea blocurilor
.Cm Host
și
.Cm Match
și să iasă.
.Pp
.It Fl g
Permite gazdelor de la distanță să se conecteze la porturile locale
redirecționate. Dacă este utilizată pe o conexiune multiplexată, această
opțiune trebuie specificată în procesul principal.
.Pp
.It Fl I Ar pkcs11
Specifică biblioteca partajată PKCS#11 pe care
.Nm ssh
ar trebui să o
utilizeze pentru a comunica cu un jeton PKCS#11 care furnizează chei pentru
autentificarea utilizatorului.
.Pp
.It Fl i Ar fișier-identitate
Selectează un fișier din care este citită identitatea (cheia privată) pentru
autentificarea cu cheie publică. De asemenea, puteți specifica un fișier de
cheie publică pentru a utiliza cheia privată corespunzătoare care este
încărcată în
.Xr ssh-agent 1
atunci când fișierul de cheie privată nu
este prezent local. Valoarea implicită este
.Pa ~/.ssh/id_rsa ,
.Pa ~/.ssh/id_ecdsa ,
.Pa ~/.ssh/id_ecdsa_sk ,
.Pa ~/.ssh/id_ed25519
și
.Pa ~/.ssh/id_ed25519_sk .
Fișierele de identitate pot fi, de asemenea,
specificate pentru fiecare gazdă în fișierul de configurare. Este posibil să
aveți mai multe opțiuni
.Fl i
(și mai multe identități specificate în
fișierele de configurare). Dacă nu au fost specificate în mod explicit
certificate prin directiva
.Cm CertificateFile ,
.Nm ssh
va încerca, de
asemenea, să încarce informații privind certificatele din numele de fișier
obținut prin adăugarea
.Pa -cert.pub
la numele fișierelor de identitate.
.Pp
.It Fl J Ar destinație
Se conectează la gazda țintă realizând mai întâi o conexiune
.Nm ssh
la gazda
de salt descrisă de
.Ar destinație
și apoi stabilind de acolo o
redirecționare TCP către destinația finală. Se pot specifica mai multe gazde
de salt separate prin virgule. Adresele IPv6 pot fi specificate prin
includerea adresei între paranteze drepte. Aceasta este o scurtătură pentru
a specifica o directivă de configurare
.Cm ProxyJump .
Rețineți că
directivele de configurare furnizate în linia de comandă se aplică în
general gazdei de destinație și nu oricăror gazde de salt
specificate. Utilizați
.Pa ~/.ssh/config
pentru a specifica configurația
pentru gazdele de salt.
.Pp
.It Fl K
Activează autentificarea bazată pe GSSAPI și transmiterea (delegarea)
credențialelor GSSAPI către server.
.Pp
.It Fl k
Dezactivează redirecționarea (delegarea) credențialelor GSSAPI către server.
.Pp
.It Fl L Xo
.Sm off
.Oo Ar gazdă-asociere : Oc
.Ar port : gazdă : port-gazdă
.Sm on
.Xc
.It Fl L Xo
.Sm off
.Oo Ar adresă-asociere : Oc
.Ar port : soclu-la-distanță
.Sm on
.Xc
.It Fl L Xo
.Sm off
.Ar soclu-local : gazdă : port-gazdă
.Sm on
.Xc
.It Fl L Xo
.Sm off
.Ar soclu-local : soclu-la-distanță
.Sm on
.Xc
Specifică
faptul că conexiunile către portul TCP sau către soclul Unix dat de pe gazda
locală (client) trebuie redirecționate către gazda și portul sau către
soclul Unix dat de pe partea de la distanță. Aceasta funcționează prin
alocarea unui soclu pentru a asculta fie un port TCP
.Ar
pe partea
locală, legat opțional la adresa
.Ar adresă-asociere
specificată, fie un
soclu Unix. Ori de câte ori se realizează o conexiune la portul sau soclul
local, conexiunea este transmisă pe canalul securizat și se realizează o
conexiune fie la portul
.Ar gazdă
.Ar port-gazdă ,
fie la soclul Unix
.Ar soclu-la-distanță ,
de pe mașina de la distanță.
.Pp
De asemenea, redirecționările de porturi pot fi specificate în fișierul de
configurare. Numai superutilizatorul poate redirecționa porturile
privilegiate. Adresele IPv6 pot fi specificate prin includerea adresei între
paranteze drepte.
.Pp
În mod implicit, portul local este legat în conformitate cu valoarea
opțiunii
.Cm GatewayPorts .
Cu toate acestea, se poate utiliza o
.Ar adresă-de-asociere
explicită pentru a lega conexiunea la o anumită
adresă.
.Ar adresa-de-asociere
de
.Dq gazdă-locală
indică faptul că
portul de ascultare trebuie legat numai pentru uz local, în timp ce o adresă
goală sau
.Sq *
indică faptul că portul trebuie să fie disponibil de la
toate interfețele.
.Pp
.It Fl l Ar nume_utilizator-autentificare
Specifică utilizatorul cu care trebuie să vă conectați pe mașina de la
distanță. Acest lucru poate fi, de asemenea, specificat pentru fiecare gazdă
în fișierul de configurare.
.Pp
.It Fl M
Plasează clientul
.Nm ssh
în modul
.Dq master
pentru partajarea
conexiunii. Mai multe opțiuni
.Fl M
plasează
.Nm ssh
în modul
.Dq master ,
dar cu confirmarea necesară folosind
.Xr ssh-askpass 1
înainte
de fiecare operație care modifică starea de multiplexare (de exemplu,
deschiderea unei noi sesiuni). Consultați descrierea
.Cm ControlMaster
în
.Xr ssh_config 5
pentru detalii.
.Pp
.It Fl m Ar specificare-mac
O listă de algoritmi MAC (cod de autentificare a mesajelor) separați prin
virgule, specificați în ordinea preferințelor. Consultați cuvântul cheie
.Cm MACs
din
.Xr ssh_config 5
pentru mai multe informații.
.Pp
.It Fl N
Nu execută o comandă de la distanță. Acest lucru este util doar pentru
redirecționarea porturilor. Consultați descrierea
.Cm SessionType
în
.Xr ssh_config 5
pentru detalii.
.Pp
.It Fl n
Redirecționează stdin de la
.Pa /dev/null
(de fapt, împiedică citirea din
stdin). Acest lucru trebuie utilizat atunci când
.Nm ssh
este rulat în
fundal. Un truc comun este utilizarea acestuia pentru a rula programe X11 pe
o mașină la distanță. De exemplu,
.Ic ssh -n shadows.cs.hut.fi emacs &
va
porni un emacs pe shadows.cs.hut.fi, iar conexiunea X11 va fi transmisă
automat pe un canal criptat. Programul
.Nm ssh
va fi pus în fundal; (acest
lucru nu funcționează dacă
.Nm ssh
trebuie să solicite o parolă sau o frază
de acces; a se vedea și opțiunea
.Fl f ) .
Consultați descrierea
.Cm StdinNull
în
.Xr ssh_config 5
pentru detalii.
.Pp
.It Fl O Ar comandă-control
Controlează un proces master de multiplexare a conexiunii active. Atunci
când este specificată opțiunea
.Fl O ,
argumentul
.Ar comandă-control
este interpretat și transmis procesului master. Comenzile valide sunt:
.Dq check
(verifică dacă procesul master rulează),
.Dq forward
(solicită
redirecționări fără executarea comenzii),
.Dq cancel
(anulează
redirecționările),
.Dq proxy
(se conectează la un master de multiplexare
în funcțiune în modul proxy),
.Dq exit
(solicită masterului să iasă) și
.Dq stop
(solicită masterului să nu mai accepte alte cereri de
multiplexare).
.Pp
.It Fl o Ar opțiune
Poate fi utilizată pentru a oferi opțiuni în formatul utilizat în fișierul
de configurare. Acest lucru este util pentru specificarea opțiunilor pentru
care nu există un fanion de linie de comandă separat. Pentru detalii
complete privind opțiunile enumerate mai jos și valorile lor posibile,
consultați
.Xr ssh_config 5 .
.Pp
.Bl -tag -width Ds -offset indent -compact
.It AddKeysToAgent
.It AddressFamily
.It BatchMode
.It BindAddress
.It CanonicalDomains
.It CanonicalizeFallbackLocal
.It CanonicalizeHostname
.It CanonicalizeMaxDots
.It CanonicalizePermittedCNAMEs
.It CASignatureAlgorithms
.It CertificateFile
.It CheckHostIP
.It Ciphers
.It ClearAllForwardings
.It Comprimare
.It ConnectionAttempts
.It ConnectTimeout
.It ControlMaster
.It ControlPath
.It ControlPersist
.It DynamicForward
.It EnableEscapeCommandline
.It EscapeChar
.It ExitOnForwardFailure
.It FingerprintHash
.It ForkAfterAuthentication
.It ForwardAgent
.It ForwardX11
.It ForwardX11Timeout
.It ForwardX11Trusted
.It GatewayPorts
.It GlobalKnownHostsFile
.It GSSAPIAuthentication
.It GSSAPIKeyExchange
.It GSSAPIClientIdentity
.It GSSAPIDelegateCredentials
.It GSSAPIKexAlgorithms
.It GSSAPIRenewalForcesRekey
.It GSSAPIServerIdentity
.It GSSAPITrustDns
.It HashKnownHosts
.It Host
.It HostbasedAcceptedAlgorithms
.It HostbasedAuthentication
.It HostKeyAlgorithms
.It HostKeyAlias
.It Hostname
.It IdentitiesOnly
.It IdentityAgent
.It IdentityFile
.It IPQoS
.It KbdInteractiveAuthentication
.It KbdInteractiveDevices
.It KexAlgorithms
.It KnownHostsCommand
.It LocalCommand
.It LocalForward
.It LogLevel
.It MACs
.It Match
.It NoHostAuthenticationForLocalhost
.It NumberOfPasswordPrompts
.It PasswordAuthentication
.It PermitLocalCommand
.It PermitRemoteOpen
.It PKCS11Provider
.It Port
.It PreferredAuthentications
.It ProxyCommand
.It ProxyJump
.It ProxyUseFdpass
.It PubkeyAcceptedAlgorithms
.It PubkeyAuthentication
.It RekeyLimit
.It RemoteCommand
.It RemoteForward
.It RequestTTY
.It RequiredRSASize
.It SendEnv
.It ServerAliveInterval
.It ServerAliveCountMax
.It SessionType
.It SetEnv
.It StdinNull
.It StreamLocalBindMask
.It StreamLocalBindUnlink
.It StrictHostKeyChecking
.It TCPKeepAlive
.It Tunnel
.It TunnelDevice
.It UpdateHostKeys
.It User
.It UserKnownHostsFile
.It VerifyHostKeyDNS
.It VisualHostKey
.It XAuthLocation
.El
.Pp
.It Fl P Ar etichetă
Specifică un nume de etichetă care poate fi utilizat pentru a selecta
configurația în
.Xr ssh_config 5 .
Consultați cuvintele cheie
.Cm Tag
și
.Cm Match
din
.Xr ssh_config 5
pentru mai multe informații.
.It Fl p Ar port
Portul de conectare la gazda de la distanță. Acesta poate fi specificat
pentru fiecare gazdă în parte în fișierul de configurare.
.Pp
.It Fl Q Ar opțiune-interogare
Interogări pentru algoritmii acceptați de una dintre următoarele
caracteristici:
.Ar cipher
(cifrări simetrice acceptate),
.Ar cipher-auth
(cifrări simetrice acceptate care acceptă criptarea
autentificată),
.Ar help
(termeni de interogare acceptați pentru
utilizarea cu fanionul
.Fl Q ) ,
.Ar mac
(coduri de integritate a
mesajelor acceptate),
.Ar kex
(algoritmi de schimb de chei),
.Ar kex-gss
(algoritmi de schimb de chei GSSAPI),
. Ar key
(tipuri de chei),
.Ar key-ca-sign
(algoritmi de semnătură CA valabili pentru certificate),
.Ar key-cert
(tipuri de chei de certificat),
.Ar key-plain
(tipuri de
chei fără certificat),
.Ar key-sig
(toate tipurile de chei și algoritmi
de semnătură),
.Ar protocol-version
(versiuni de protocol SSH acceptate)
și
.Ar sig
(algoritmi de semnătură acceptați).  Alternativ, orice
cuvânt-cheie din
.Xr ssh_config 5
sau
.Xr sshd_config 5
care acceptă o
listă de algoritmi poate fi utilizat ca alias pentru opțiunea
opțiune-interogare corespunzătoare.
.Pp
.It Fl q
Mod silențios. Face ca majoritatea mesajelor de avertizare și diagnosticare
să fie suprimate.
.Pp
.It Fl R Xo
.Sm off
.Oo Ar gazdă-asociere : Oc
.Ar port : gazdă : port-gazdă
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Oo Ar adresă-asociere : Oc
.Ar port : soclu-local
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Ar soclu-la-distanță : gazdă : port-gazdă
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Ar soclu-la-distanță : soclu-local
.Sm on
.Xc
.It Fl R Xo
.Sm off
.Oo Ar adresă-asociere : Oc
.Ar port
.Sm on
.Xc
Specifică faptul că conexiunile către portul TCP sau soclul Unix dat de pe
gazda de la distanță (server) trebuie transmise către partea locală.
.Pp
Aceasta funcționează prin alocarea unui soclu pentru a asculta fie un
.Ar port
TCP, fie un soclu Unix pe partea de la distanță. Ori de câte ori se
realizează o conexiune la acest port sau soclu Unix, conexiunea este
redirecționată pe canalul securizat și se realizează o conexiune de la
mașina locală fie către o destinație explicită specificată de
.Ar gazdă
port
.Ar port-gazdă ,
fie către
.Ar soclu-local
sau, dacă nu a fost
specificată nicio destinație explicită,
.Nm ssh
va acționa ca un proxy SOCKS
4/5 și va redirecționa conexiunile către destinațiile solicitate de clientul
SOCKS de la distanță.
.Pp
De asemenea, redirecționările de porturi pot fi specificate în fișierul de
configurare. Porturile privilegiate pot fi redirecționate numai atunci când
vă conectați ca root pe mașina de la distanță.  Adresele IPv6 pot fi
specificate prin includerea adresei între paranteze drepte.
.Pp
În mod implicit, soclurile TCP de ascultare de pe server vor fi legate numai
la interfața loopback. Acest lucru poate fi anulat prin specificarea unei
adrese
.Ar adresă-asociere .
O adresă
.Ar adresă-asociere
goală, sau
adresa
.Ql * ,
indică faptul că soclul de la distanță trebuie să asculte
pe toate interfețele. Specificarea unei adrese
.Ar adresă-asociere
la
distanță va reuși numai dacă opțiunea
.Cm GatewayPorts
a serverului este
activată (consultați
.Xr sshd_config 5 ) .
.Pp
Dacă argumentul
.Ar port
este
.Ql 0 ,
portul de ascultare va fi alocat
dinamic pe server și raportat clientului la momentul rulării. Atunci când
este utilizat împreună cu
.Ic -O forward ,
portul alocat va fi imprimat la
ieșirea standard.
.Pp
.It Fl S Ar rută-control
Specifică locația unui soclu de control pentru partajarea conexiunii sau
șirul
.Dq none
pentru a dezactiva partajarea conexiunii.  Consultați
descrierea
.Cm ControlPath
și
.Cm ControlMaster
în
.Xr ssh_config 5
pentru detalii.
.Pp
.It Fl s
Poate fi utilizată pentru a solicita invocarea unui subsistem pe sistemul de
la distanță.  Subsistemele facilitează utilizarea SSH ca transport securizat
pentru alte aplicații (de exemplu, \&
.Xr sftp 1 ) .
Subsistemul este
specificat ca comandă la distanță. Consultați descrierea
.Cm SessionType
în
.Xr ssh_config 5
pentru detalii.
.Pp
.It Fl T
Dezactivează alocarea pseudo-terminalelor.
.Pp
.It Fl t
Forțează alocarea de pseudo-terminale. Aceasta poate fi utilizată pentru a
executa programe arbitrare bazate pe ecran pe o mașină la distanță, ceea ce
poate fi foarte util, de exemplu, la implementarea serviciilor de
meniu. Opțiunile multiple
.Fl t
forțează alocarea tty, chiar dacă
.Nm ssh
nu are un tty local.
.Pp
.It Fl V
Afișează numărul versiunii, și iese.
.Pp
.It Fl v
Modul de informații detaliate.  Determină
.Nm ssh
să afișeze mesaje de
depanare cu privire la progresul său. Acest lucru este util în depanarea
problemelor de conectare, autentificare și configurare. Opțiunile
.Fl v
multiple măresc gradul de detaliere. Valoarea maximă este 3.
.Pp
.It Fl W Ar gazdă : Ns Ar port
Solicită ca intrarea și ieșirea standard de pe client să fie transmise către
.Ar gazdă
pe
.Ar portul
pe canalul securizat. Implică
.Fl N ,
.Fl T ,
.Cm ExitOnForwardFailure
și
.Cm ClearAllForwardings ,
deși acestea
pot fi anulate în fișierul de configurare sau utilizând opțiunile din linia
de comandă
.Fl o .
.Pp
.It Fl w Xo
.Ar tunel-local Ns Op : Ns Ar tunel-la_distanță
.Xc
Solicită
redirecționarea dispozitivului tunel cu dispozitivele
.Xr tun 4
specificate între clientul
.Pq Ar local_tun
și serverul
.Pq Ar remote_tun .
.Pp
Dispozitivele pot fi specificate prin ID numeric sau prin cuvântul-cheie
.Dq any ,
care utilizează următorul dispozitiv tunel disponibil.  Dacă
.Ar remote_tun
nu este specificat, se utilizează în mod implicit
.Dq any .
Consultați și directivele
.Cm Tunnel
și
.Cm TunnelDevice
din
.Xr ssh_config 5 .
.Pp
Dacă directiva
.Cm Tunnel
nu este definită, acesta va fi stabilit la
modul tunel implicit, care este
.Dq point-to-point .
Dacă se dorește un
alt mod de expediere
.Cm Tunnel ,
atunci acesta trebuie specificat înainte
de
.Fl w .
.Pp
.It Fl X
Activează redirecționarea X11. Acest lucru poate fi, de asemenea, specificat
pentru fiecare gazdă într-un fișier de configurare.
.Pp
Redirecționarea X11 trebuie să fie activată cu precauție. Utilizatorii care
au capacitatea de a ocoli permisiunile de fișier pe gazda de la distanță
(pentru baza de date de autorizare X a utilizatorului) pot accesa afișajul
X11 local prin conexiunea redirecționată. Un atacator poate fi capabil să
efectueze activități precum monitorizarea apăsării tastelor.
.Pp
Din acest motiv, redirecționarea X11 este supusă implicit restricțiilor
extensiei X11 SECURITY. Consultați opțiunea
.Nm ssh
.Fl Y
și directiva
.Cm ForwardX11Trusted
din
.Xr ssh_config 5
pentru mai multe
informații.
.Pp
(Specific Debian: Redirecționarea X11 nu este supusă implicit restricțiilor
extensiei X11 SECURITY, deoarece prea multe programe se blochează în prezent
în acest mod. Definiți opțiunea
.Cm ForwardX11Trusted
la
.Dq no
pentru
a restabili comportamentul din fluxul de dezvoltare. Acest lucru se poate
schimba în viitor în funcție de îmbunătățirile pe partea de client).
.Pp
.It Fl x
Dezactivează redirecționarea X11.
.Pp
.It Fl Y
Activează redirecționarea X11 de încredere. Redirecționările X11 de
încredere nu sunt supuse controalelor extensiei X11 SECURITY.
.Pp
(Specific Debian: În configurația implicită, această opțiune este
echivalentă cu
.Fl X ,
deoarece
.Cm ForwardX11Trusted
are ca valoare
implicită
.Dq yes
așa cum este descris mai sus. Definiți opțiunea
.Cm ForwardX11Trusted
la
.Dq no
pentru a restabili comportamentul din fluxul
de dezvoltare. Acest lucru se poate schimba în viitor în funcție de
îmbunătățirile pe partea de client).
.Pp
.It Fl y
Trimite informații de jurnal utilizând modulul de sistem
.Xr syslog 3 .
În
mod implicit, aceste informații sunt trimise la ieșirea de eroare standard
(stderr).
.El
.Pp
.Nm ssh
poate obține în plus date de configurare dintr-un fișier de
configurare pentru fiecare utilizator și dintr-un fișier de configurare la
nivelul întregului sistem. Formatul fișierului și opțiunile de configurare
sunt descrise în
.Xr ssh_config 5 .
.Sh AUTENTIFICARE
Clientul SSH OpenSSH acceptă protocolul SSH 2.
.Pp
Metodele disponibile pentru autentificare sunt: GSSAPI-based authentication,
host-based authentication, public key authentication, keyboard-interactive
authentication și password authentication.  Metodele de autentificare sunt
încercate în ordinea specificată mai sus, deși
.Cm PreferredAuthentications
poate fi utilizată pentru a schimba ordinea
implicită.
.Pp
Autentificarea bazată pe gazdă funcționează după cum urmează: Dacă mașina de
pe care se conectează utilizatorul este listată în
.Pa /etc/hosts.equiv
sau
.Pa /etc/ssh/shosts.equiv
pe mașina de la distanță, utilizatorul este
non-root și numele de utilizator sunt aceleași pe ambele părți, sau dacă
fișierele
.Pa ~/. rhosts
sau
.Pa ~/.shosts
există în directorul
personal al utilizatorului de pe mașina la distanță și conțin o linie care
conține numele mașinii client și numele utilizatorului de pe acea mașină,
utilizatorul este luat în considerare pentru autentificare. În plus,
serverul
.Em trebuie
să poată verifica cheia de gazdă a clientului (a se
vedea descrierea
.Pa /etc/ssh/ssh_known_hosts
și
.Pa ~/.ssh/known_hosts ,
mai jos) pentru a permite autentificarea. Această
metodă de autentificare închide găurile de securitate datorate falsificării
IP, DNS și de direcționare. [Notă pentru administrator:
.Pa /etc/hosts.equiv ,
.Pa ~/.rhosts
și protocolul rlogin/rsh în general sunt
inerent nesigure și ar trebui dezactivate dacă se dorește securitate].
.Pp
Autentificarea cu cheie publică funcționează după cum urmează: Sistemul se
bazează pe criptografia cu cheie publică, utilizând criptosisteme în care
criptarea și decriptarea se realizează utilizând chei separate, iar cheia de
decriptare nu poate fi derivată din cheia de criptare. Ideea este că fiecare
utilizator creează o pereche de chei publice/private în scopul
autentificării. Serverul cunoaște cheia publică și numai utilizatorul
cunoaște cheia privată.
.Nm ssh
implementează automat protocolul de
autentificare cu cheie publică, utilizând unul dintre algoritmii ECDSA,
Ed25519 sau RSA.
.Pp
Fișierul
.Pa ~/.ssh/authorized_keys
enumeră cheile publice care sunt
permise pentru autentificare. Atunci când utilizatorul se conectează,
programul
.Nm ssh
indică serverului ce pereche de chei ar dori să utilizeze
pentru autentificare. Clientul dovedește că are acces la cheia privată, iar
serverul verifică dacă cheia publică corespunzătoare este autorizată să
accepte contul.
.Pp
Serverul poate informa clientul cu privire la erorile care au împiedicat
autentificarea cu cheie publică să reușească după ce autentificarea se
încheie folosind o metodă diferită. Acestea pot fi vizualizate prin
creșterea
.Cm LogLevel
la
.Cm DEBUG
sau mai sus (de exemplu, prin
utilizarea fanionului
.Fl v ) .
.Pp
Utilizatorul își creează perechea de chei executând
.Xr ssh-keygen 1 .
Aceasta stochează cheia privată în
.Pa ~/.ssh/id_ecdsa
(ECDSA),
.Pa ~/.ssh/id_ecdsa_sk
(cheie ECDSA găzduită de un autentificator),
.Pa ~/. ssh/id_ed25519
(Ed25519),
.Pa ~/.ssh/id_ed25519_sk
(cheie Ed25519
găzduită de un autentificator) sau
.Pa ~/.ssh/id_rsa
(RSA) și stochează
cheia publică în
. Pa ~/.ssh/id_ecdsa.pub
(ECDSA),
.Pa ~/.ssh/id_ecdsa_sk.pub
(cheie ECDSA găzduită de un autentificator),
.Pa ~/.ssh/id_ed25519.pub
(Ed25519),
. Pa ~/.ssh/id_ed25519_sk.pub
(cheie
Ed25519 găzduită de un autentificator) sau
.Pa ~/.ssh/id_rsa.pub
(RSA) în
directorul personal al utilizatorului. Utilizatorul trebuie apoi să copieze
cheia publică în
.Pa ~/.ssh/authorized_keys
în directorul său personal de
pe calculatorul de la distanță. Fișierul
.Pa authorized_keys
corespunde
fișierului convențional
.Pa ~/.rhosts
și are o cheie pe linie, deși
liniile pot fi foarte lungi. După aceasta, utilizatorul se poate conecta
fără a da parola.
.Pp
O variație a autentificării prin cheie publică este disponibilă sub forma
autentificării prin certificat: în loc de un set de chei publice/private, se
utilizează certificate semnate. Aceasta are avantajul că o singură
autoritate de certificare de încredere poate fi utilizată în locul mai
multor chei publice/private. Consultați secțiunea CERTIFICATES din
.Xr ssh-keygen 1
pentru mai multe informații.
.Pp
Cel mai convenabil mod de a utiliza autentificarea prin cheie publică sau
certificat poate fi cu ajutorul unui agent de autentificare. Consultați
.Xr ssh-agent 1
și (opțional) directiva
.Cm AddKeysToAgent
din
.Xr ssh_config 5
pentru mai multe informații.
.Pp
Autentificarea interactivă prin tastatură funcționează după cum urmează:
Serverul trimite un text arbitrar
.Qq challenge
și solicită un răspuns,
eventual de mai multe ori. Exemple de autentificare interactivă prin
tastatură includ autentificarea
.Bx
(a se vedea
.Xr login.conf 5 )
și
autentificarea PAM (unele sisteme
.Pf non- Ox ) .
.Pp
În cele din urmă, dacă alte metode de autentificare eșuează,
.Nm ssh
solicită
utilizatorului o parolă. Parola este trimisă la gazda de la distanță pentru
verificare; cu toate acestea, deoarece toate comunicațiile sunt criptate,
parola nu poate fi văzută de cineva care ascultă pe rețea.
.Pp
.Nm ssh
menține și verifică automat o bază de date care conține datele de
identificare pentru toate gazdele cu care a fost utilizat vreodată. Cheile
gazdelor sunt stocate în
.Pa ~/.ssh/known_hosts
în directorul personal al
utilizatorului.  În plus, fișierul
.Pa /etc/ssh/ssh_known_hosts
este
verificat automat pentru gazdele cunoscute. Orice gazde noi sunt adăugate
automat la fișierul utilizatorului. Dacă identificarea unei gazde se
modifică vreodată,
.Nm ssh
avertizează în acest sens și dezactivează
autentificarea prin parolă pentru a preveni falsificarea serverului sau
atacurile man-in-the-middle (de intermediar), care ar putea fi utilizate
pentru a eluda criptarea. Opțiunea
.Cm StrictHostKeyChecking
poate fi
utilizată pentru a controla conectările la mașini a căror cheie de gazdă nu
este cunoscută sau s-a schimbat.
.Pp
Atunci când identitatea utilizatorului a fost acceptată de server, serverul
fie execută comanda dată într-o sesiune neinteractivă, fie, dacă nu a fost
specificată nicio comandă, se conectează la mașină și oferă utilizatorului
un shell normal ca o sesiune interactivă. Toate comunicațiile cu comanda sau
shell-ul de la distanță vor fi criptate automat.
.Pp
Dacă este solicitată o sesiune interactivă,
.Nm ssh
va solicita în mod
implicit un pseudo-terminal (pty) pentru sesiunile interactive numai atunci
când clientul are unul. Fanioanele
.Fl T
și
.Fl t
pot fi utilizate
pentru a anula acest comportament.
.Pp
Dacă a fost alocat un pseudo-terminal, utilizatorul poate folosi caracterele
de control menționate mai jos.
.Pp
Dacă nu a fost alocat niciun pseudo-terminal, sesiunea este transparentă și
poate fi utilizată pentru a transfera în mod fiabil date binare. Pe
majoritatea sistemelor, stabilirea caracterului de control la
.Dq none
va
face, de asemenea, sesiunea transparentă chiar dacă se utilizează un tty.
.Pp
Sesiunea se încheie atunci când comanda sau shell-ul de pe calculatorul de
la distanță se încheie și toate conexiunile X11 și TCP au fost închise.
.Sh CARACTERE DE CONTROL
Atunci când a fost solicitat un pseudo-terminal,
.Nm ssh
acceptă o serie de
funcții prin utilizarea unui caracter de control.
.Pp
Un singur caracter tilde poate fi trimis ca
.Ic ~~
sau urmând tilda cu un
alt caracter decât cele descrise mai jos. Caracterul de control trebuie să
urmeze întotdeauna o linie nouă pentru a fi interpretat ca fiind
special. Caracterul de control poate fi modificat în fișierele de
configurare folosind directiva de configurare
.Cm EscapeChar
sau în linia
de comandă prin opțiunea
.Fl e .
.Pp
Caracterele de control acceptate (presupunând
.Ql ~
implicit) sunt:
.Bl -tag -width Ds
.It Cm ~.
Deconectare.
.It Cm ~^Z
Plasează în fundal
.Nm .
.It Cm ~#
Listează conexiunile redirecționate.
.It Cm ~&
Plasează în fundal
.Nm ssh
la deconectare atunci când se așteaptă terminarea
conexiunii redirecționate / a sesiunilor X11.
.It Cm ~?
Afișează o listă de caractere de control.
.It Cm ~B
Trimite un BREAK către sistemul de la distanță (util numai dacă mașina
respectivă îl acceptă).
.It Cm ~C
Deschide linia de comandă. În prezent, aceasta permite adăugarea de
redirecționări de port utilizând opțiunile
.Fl L ,
.Fl R
și
.Fl D
(a
se vedea mai sus). De asemenea, permite anularea redirecționărilor de port
existente cu
.Sm off
.Fl KL Oo Ar adresă-asociere : Oc Ar port
.Sm on
pentru local,
.Sm off
.Fl KR Oo Ar adresă-asociere : Oc Ar port
.Sm on
pentru la distanță și
.Sm off
.Fl KD Oo Ar adresă-asociere : Oc Ar port
.Sm on
pentru redirecționări de port dinamice.
.Ic !\& Ns Ar comandă
permite utilizatorului să execute o comandă locală dacă opțiunea
.Ic PermitLocalCommand
este activată în
.Xr ssh_config 5 .
Ajutorul
basic este disponibil, folosind opțiunea
.Fl h .
.It Cm ~R
Solicită resigilarea (reverificarea cheilor de securitate) conexiunii (util
numai dacă mașina de la distanță o acceptă).
.It Cm ~V
Reduce cantitatea de informații din mesaje
.Pq Ic LogLevel
atunci când
erorile sunt scrise la ieșirea de eroare standard.
.It Cm ~v
Mărește cantitatea de informații din mesaje
.Pq Ic LogLevel
atunci când
erorile sunt scrise la ieșirea de eroare standard.
.El
.Sh REDIRECȚIONARE TCP
Redirecționarea conexiunilor TCP arbitrare pe un canal securizat poate fi
specificată fie pe linia de comandă, fie într-un fișier de configurare. O
posibilă aplicație a redirecționării TCP este o conexiune securizată la un
server de poștă electronică; o alta este trecerea prin paravane de
protecție.
.Pp
În exemplul de mai jos, analizăm criptarea comunicării pentru un client IRC,
chiar dacă serverul IRC la care se conectează nu acceptă direct comunicarea
criptată. Aceasta funcționează după cum urmează: utilizatorul se conectează
la gazda de la distanță utilizând
.Nm ssh ,
specificând porturile care urmează
să fie utilizate pentru redirecționarea conexiunii. După aceea, este posibil
să porniți programul local, iar
.Nm ssh
va cripta și va redirecționa
conexiunea către serverul de la distanță.
.Pp
Următorul exemplu efectuează tunelarea unei sesiuni IRC de la client la un
server IRC la
.Dq server.example.com ,
intrând pe canalul
.Dq #users ,
porecla
.Dq pinky ,
folosind portul IRC standard, 6667:
.Bd -literal -offset 4n
$ ssh -f -L 6667:localhost:6667 server.example.com sleep 10
$ irc -c '#users' pinky IRC/127.0.0.1
.Ed
.Pp
Opțiunea
.Fl f
pune în fundal
.Nm ssh
și comanda de la distanță
.Dq sleep 10
este specificată pentru a acorda o anumită perioadă de timp (10
secunde, în exemplu) pentru a porni programul care va utiliza tunelul. Dacă
nu se realizează nicio conexiune în timpul specificat,
.Nm ssh
va ieși.
.Sh REDIRECȚIONARE X11
Dacă variabila
.Cm ForwardX11
este definită la
.Dq yes
(sau consultați
descrierea opțiunilor
.Fl X ,
.Fl x
și
.Fl Y
de mai sus) și
utilizatorul utilizează X11 ( variabila de mediu
. Ev DISPLAY
este
definită), conexiunea la afișarea X11 este redirecționată automat către
partea la distanță în așa fel încât orice program X11 pornit din shell (sau
comandă) va trece prin canalul criptat, iar conexiunea la serverul X real se
va face de pe mașina locală. Utilizatorul nu trebuie să definească manual
.Ev DISPLAY .
Redirecționarea conexiunilor X11 poate fi configurată în
linia de comandă sau în fișierele de configurare.
.Pp
Valoarea
.Ev DISPLAY
definită de
.Nm ssh
va indica mașina server, dar cu
un număr de afișare mai mare decât zero. Acest lucru este normal și se
întâmplă deoarece
.Nm ssh
creează un server
.Dq proxy
X pe calculatorul
serverului pentru redirecționarea conexiunilor pe canalul criptat.
.Pp
.Nm ssh
va configura automat și datele Xauthority pe server. În acest scop,
va genera un cookie de autorizare aleatoriu, îl va stoca în Xauthority pe
server și va verifica dacă orice conexiune redirecționată poartă acest
cookie și îl înlocuiește cu cookie-ul real atunci când conexiunea este
deschisă. Cookie-ul real de autentificare nu este trimis niciodată către
server (și nu sunt trimise cookie-uri în clar).
.Pp
Dacă variabila
.Cm ForwardAgent
este definită la
.Dq yes
(sau
consultați descrierea opțiunilor
.Fl A
și
.Fl a
de mai sus) și
utilizatorul utilizează un agent de autentificare, conexiunea la agent este
redirecționată automat către partea la distanță.
.Sh VERIFICAREA CHEILOR GAZDEI
Atunci când se conectează pentru prima dată la un server, utilizatorului i
se prezintă o amprentă a cheii publice a serverului (cu excepția cazului în
care opțiunea
.Cm StrictHostKeyChecking
a fost dezactivată). Amprentele
digitale pot fi determinate utilizând
.Xr ssh-keygen 1 :
.Pp
.Dl $ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
.Pp
Dacă amprenta digitală este deja cunoscută, aceasta poate fi comparată, iar
cheia poate fi acceptată sau respinsă. În cazul în care sunt disponibile
doar amprente digitale vechi (MD5) pentru server, opțiunea
.Xr ssh-keygen 1
.Fl E
poate fi utilizată pentru a retrograda algoritmul amprentei
digitale pentru a se potrivi.
.Pp
Din cauza dificultății de comparare a cheilor de gazdă doar prin examinarea
șirurilor de amprente digitale, există și suport pentru compararea vizuală a
cheilor de gazdă, utilizând
.Em desen grafic aleatoriu (random art) .
Prin
definirea opțiunii
.Cm VisualHostKey
la
.Dq yes ,
un mic grafic ASCII
este afișat la fiecare conectare la un server, indiferent dacă sesiunea în
sine este interactivă sau nu. Învățând modelul produs de un server cunoscut,
un utilizator poate descoperi cu ușurință că cheia de gazdă s-a schimbat
atunci când este afișat un model complet diferit. Cu toate acestea, deoarece
aceste modele nu sunt lipsite de ambiguitate, un model care arată similar cu
modelul memorat oferă doar o bună probabilitate ca cheia de gazdă să fie
aceeași, nu o dovadă garantată.
.Pp
Pentru a obține o listă a amprentelor digitale împreună cu desenul lor
grafic aleatoriu pentru toate gazdele cunoscute, poate fi utilizată
următoarea linie de comandă:
.Pp
.Dl $ ssh-keygen -lv -f ~/.ssh/known_hosts
.Pp
Dacă amprenta digitală este necunoscută, este disponibilă o metodă
alternativă de verificare: Amprentele digitale SSH verificate prin DNS. O
înregistrare de resursă (RR) suplimentară, SSHFP, este adăugată la un fișier
de zonă, iar clientul care se conectează poate compara amprenta digitală cu
cea a cheii prezentate.
.Pp
În acest exemplu, conectăm un client la un server,
.Dq host.example.com .
Înregistrările resurselor SSHFP trebuie adăugate mai
întâi la fișierul de zonă pentru host.example.com:
.Bd -literal -offset indent
$ ssh-keygen -r host.example.com.
.Ed
.Pp
Liniile de ieșire vor trebui să fie adăugate la fișierul de zonă. Pentru a
verifica dacă zona răspunde la interogările privind amprentele digitale:
.Pp
.Dl $ dig -t SSHFP host.example.com
.Pp
În final, se conectează clientul:
.Bd -literal -offset indent
$ ssh -o "VerifyHostKeyDNS ask" host.example.com
[...]
Matching host key fingerprint found in DNS.
Are you sure you want to continue connecting (yes/no)?
.Ed
.Pp
A se vedea opțiunea
.Cm VerifyHostKeyDNS
din
.Xr ssh_config 5
pentru
mai multe informații.
.Sh REȚELE PRIVATE VIRTUALE BAZATE PE SSH
.Nm ssh
conține suport pentru tuneluri de rețea privată virtuală (VPN)
utilizând pseudodispozitivul de rețea
.Xr tun 4 ,
permițând conectarea
securizată a două rețele. Opțiunea de configurare
.Xr sshd_config 5
.Cm PermitTunnel
controlează dacă serverul acceptă acest lucru și la ce nivel
(trafic de nivel 2 sau 3).
.Pp
Următorul exemplu ar conecta rețeaua client 10.0.50.0/24 cu rețeaua la
distanță 10.0.99.0/24 utilizând o conexiune punct la punct de la 10.1.1.1 la
10.1.1.2, cu condiția ca serverul SSH care rulează pe poarta de acces către
rețeaua la distanță, la 192.168.1.15, să permită acest lucru.
.Pp
Pe client:
.Bd -literal -offset indent
# ssh -f -w 0:1 192.168.1.15 true
# ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
# route add 10.0.99.0/24 10.1.1.2
.Ed
.Pp
Pe server:
.Bd -literal -offset indent
# ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252
# route add 10.0.50.0/24 10.1.1.1
.Ed
.Pp
Accesul clienților poate fi ajustat mai fin prin intermediul fișierului
.Pa /root/.ssh/authorized_keys
(a se vedea mai jos) și al opțiunii de
server
.Cm PermitRootLogin .
Următoarea intrare ar permite conexiuni pe
.Xr tun 4
dispozitivul 1 de la utilizatorul
.Dq jane
și pe tun
dispozitivul 2 de la utilizatorul
.Dq john ,
dacă
.Cm PermitRootLogin
este definită la
.Dq forced-commands-only :
.Bd -literal -offset 2n
tunnel="1",command="sh /etc/netstart tun1" ssh-rsa ... jane
tunnel="2",command="sh /etc/netstart tun2" ssh-rsa ... john
.Ed
.Pp
Deoarece o configurare bazată pe SSH implică o cantitate destul de mare de
supraîncărcare, aceasta poate fi mai potrivită pentru configurații
temporare, cum ar fi VPN-urile wireless. VPN-urile mai permanente sunt mai
bine furnizate de instrumente precum
.Xr ipsecctl 8
și
.Xr isakmpd 8 .
.Sh MEDIU
.Nm ssh
va configura în mod normal următoarele variabile de mediu:
.Bl -tag -width SSH_ORIGINAL_COMMAND
.It Ev DISPLAY
Variabila
.Ev DISPLAY
indică locația serverului X11. Aceasta este
definită automat de
.Nm ssh
pentru a indica o valoare de forma
.Dq hostname:n ,
unde
.Dq hostname
indică gazda unde rulează shell-ul, iar
.Sq n
este un număr întreg \*(Ge 1.
.Nm ssh
utilizează această valoare
specială pentru a redirecționa conexiunile X11 pe canalul securizat. În mod
normal, utilizatorul nu ar trebui să definească explicit
.Ev DISPLAY ,
deoarece acest lucru va face conexiunea X11 nesigură (și va necesita ca
utilizatorul să copieze manual orice cookie de autorizare necesar).
.It Ev HOME
Stabilește ruta către directorul personal al utilizatorului.
.It Ev LOGNAME
Sinonim pentru
.Ev USER ;
configurată pentru compatibilitate cu sistemele
care utilizează această variabilă.
.It Ev MAIL
Stabilește ruta către căsuța poștală a utilizatorului.
.It Ev PATH
Stabilită la
.Ev PATH
implicit, așa cum a fost specificată la compilarea
.Nm .
.It Ev SSH_ASKPASS
Dacă
.Nm ssh
are nevoie de o frază de acces, acesta va citi fraza de acces de
la terminalul curent, dacă a fost rulat de la un terminal. Dacă
.Nm ssh
nu
are asociat un terminal, dar
.Ev DISPLAY
și
.Ev SSH_ASKPASS
sunt
definite, acesta va executa programul specificat de
.Ev SSH_ASKPASS
și va
deschide o fereastră X11 pentru a citi fraza de acces. Acest lucru este
deosebit de util atunci când apelați
.Nm ssh
dintr-un script
.Pa .xsession
sau un script similar; (rețineți că pe unele mașini poate fi necesar să
redirecționați intrarea din
.Pa /dev/null
pentru a face acest lucru să
funcționeze).
.It Ev SSH_ASKPASS_REQUIRE
Permite un control suplimentar asupra utilizării unui program de solicitare
a parolei.  Dacă această variabilă este definită la
.Dq never ,
atunci
.Nm ssh
nu va încerca niciodată să utilizeze unul. Dacă este definită la
.Dq prefer ,
atunci
.Nm ssh
va prefera să utilizeze programul de solicitare
a parolei în locul TTY atunci când solicită parole. În cele din urmă, dacă
variabila este definită la
.Dq force ,
atunci programul askpass va fi
utilizat pentru toate introducerile de parole, indiferent dacă este definită
.Ev DISPLAY .
.It Ev SSH_AUTH_SOCK
Identifică ruta unui soclu
.Ux Ns -domain
utilizat pentru a comunica cu
agentul.
.It Ev SSH_CONNECTION
Identifică capetele conexiunii (client și server). Variabila conține patru
valori separate prin spațiu: adresa IP a clientului, numărul portului
clientului, adresa IP a serverului și numărul portului serverului.
.It Ev SSH_ORIGINAL_COMMAND
Această variabilă conține linia de comandă originală în cazul în care este
executată o comandă forțată. Aceasta poate fi utilizată pentru a extrage
argumentele originale.
.It Ev SSH_TTY
Aceasta este definită la numele tty-ului (ruta către dispozitiv) asociat cu
shell-ul sau comanda curentă. Dacă sesiunea curentă nu are tty, această
variabilă nu este definită.
.It Ev SSH_TUNNEL
Definită opțional de
.Xr sshd 8
pentru a conține numele interfețelor
atribuite dacă clientul a solicitat redirecționarea tunelului.
.It Ev SSH_USER_AUTH
Definită opțional de
.Xr sshd 8 ,
această variabilă poate conține un nume
de rută către un fișier care enumeră metodele de autentificare utilizate cu
succes atunci când a fost stabilită sesiunea, inclusiv orice chei publice
care au fost utilizate.
.It Ev TZ
Această variabilă este definită pentru a indica fusul orar actual dacă a
fost definită la pornirea demonului (adică demonul transmite valoarea noilor
conexiuni).
.It Ev USER
Stabilește numele utilizatorului care se conectează.
.El
.Pp
În plus,
.Nm ssh
citește
.Pa ~/.ssh/environment
și adaugă linii de format
.Dq NUME_VARIABILĂ=valoare
la mediu dacă fișierul există și utilizatorii
au permisiunea de a-și modifica mediul. Pentru mai multe informații,
consultați opțiunea
.Cm PermitUserEnvironment
din
.Xr sshd_config 5 .
.Sh FIȘIERE
.Bl -tag -width Ds -compact
.It Pa ~/.rhosts
Acest fișier este utilizat pentru autentificarea bazată pe gazdă (a se vedea
mai sus). Pe unele mașini, este posibil ca acest fișier să trebuiască să
poată fi citit de toată lumea dacă directorul personal al utilizatorului
este pe o partiție NFS, deoarece
.Xr sshd 8
îl citește ca root. În plus,
acest fișier trebuie să fie deținut de utilizator și nu trebuie să aibă
permisiuni de scriere pentru nimeni altcineva. Permisiunea recomandată
pentru majoritatea mașinilor este de citire/scriere pentru utilizator și
neaccesibilă pentru alții.
.Pp
.It Pa ~/.shosts
Acest fișier este utilizat exact în același mod ca
.Pa .rhosts ,
dar
permite autentificarea bazată pe gazdă fără a permite autentificarea cu
rlogin/rsh.
.Pp
.It Pa ~/.ssh/
Acest director este locația implicită pentru toate informațiile de
configurare și autentificare specifice utilizatorului. Nu există nicio
cerință generală de a păstra secret întregul conținut al acestui director,
dar permisiunile recomandate sunt de citire/scriere/executare pentru
utilizator și neaccesibil pentru alții.
.Pp
.It Pa ~/.ssh/authorized_keys
Listează cheile publice (ECDSA, Ed25519, RSA) care pot fi utilizate pentru
conectarea ca acest utilizator. Formatul acestui fișier este descris în
pagina de manual
.Xr sshd 8 .
Acest fișier nu este foarte sensibil, dar
permisiunile recomandate sunt de citire/scriere pentru utilizator și
neaccesibil pentru alții.
.Pp
.It Pa ~/.ssh/config
Acesta este fișierul de configurare per utilizator. Formatul fișierului și
opțiunile de configurare sunt descrise în
.Xr ssh_config 5 .
Din cauza
potențialului de abuz, acest fișier trebuie să aibă permisiuni stricte:
citire/scriere pentru utilizator și nu poate fi scris de alții. Acesta poate
fi scris de grup, cu condiția ca grupul în cauză să conțină doar
utilizatorul.
.Pp
.It Pa ~/.ssh/environment
Conține definiții suplimentare pentru variabilele de mediu; a se vedea
.Sx MEDIU ,
mai sus.
.Pp
.It Pa ~/.ssh/id_ecdsa
.It Pa ~/.ssh/id_ecdsa_sk
.It Pa ~/.ssh/id_ed25519
.It Pa ~/.ssh/id_ed25519_sk
.It Pa ~/.ssh/id_rsa
Conține cheia privată pentru autentificare. Aceste fișiere conțin date
sensibile și trebuie să poată fi citite de utilizator, dar să nu fie
accesibile pentru alții (citire/scriere/executare).
.Nm ssh
va ignora pur și
simplu un fișier de cheie privată dacă acesta este accesibil pentru
alții. Este posibil să se specifice o frază de acces la generarea cheii care
va fi utilizată pentru a cripta partea sensibilă a acestui fișier utilizând
AES-128.
.Pp
.It Pa ~/.ssh/id_ecdsa.pub
.It Pa ~/.ssh/id_ecdsa_sk.pub
.It Pa ~/.ssh/id_ed25519.pub
.It Pa ~/.ssh/id_ed25519_sk.pub
.It Pa ~/.ssh/id_rsa.pub
Conține cheia publică pentru autentificare. Aceste fișiere nu sunt sensibile
și pot (dar nu trebuie) să fie citite de oricine.
.Pp
.It Pa ~/.ssh/known_hosts
Conține o listă de chei de gazdă pentru toate gazdele la care utilizatorul
s-a autentificat și care nu sunt deja în lista de chei de gazdă cunoscute la
nivel de sistem. Consultați
.Xr sshd 8
pentru detalii suplimentare
privind formatul acestui fișier.
.Pp
.It Pa ~/.ssh/rc
Comenzile din acest fișier sunt executate de
.Nm ssh
atunci când utilizatorul
se autentifică, chiar înainte ca shell-ul (sau comanda) utilizatorului să
fie pornit. Consultați pagina de manual
.Xr sshd 8
pentru mai multe
informații.
.Pp
.It Pa /etc/hosts.equiv
Acest fișier este pentru autentificarea bazată pe gazdă (a se vedea mai
sus). Ar trebui să poată fi scris numai de către root.
.Pp
.It Pa /etc/ssh/shosts.equiv
Acest fișier este utilizat exact în același mod ca
.Pa hosts.equiv ,
dar
permite autentificarea pe bază de gazdă fără a permite autentificarea cu
rlogin/rsh.
.Pp
.It Pa /etc/ssh/ssh_config
Fișier de configurare la nivel de sistem. Formatul fișierului și opțiunile
de configurare sunt descrise în
.Xr ssh_config 5 .
.Pp
.It Pa /etc/ssh/ssh_host_ecdsa_key
.It Pa /etc/ssh/ssh_host_ed25519_key
.It Pa /etc/ssh/ssh_host_rsa_key
Aceste fișiere conțin părțile private ale cheilor de gazdă și sunt utilizate
pentru autentificarea bazată pe gazdă.
.Pp
.It Pa /etc/ssh/ssh_known_hosts
Lista la nivel de sistem a cheilor de gazdă cunoscute. Acest fișier ar
trebui să fie pregătit de administratorul sistemului pentru a conține cheile
publice de gazdă ale tuturor mașinilor din organizație. Acesta trebuie să
poată fi citit de toată lumea. Consultați
.Xr sshd 8
pentru detalii
suplimentare privind formatul acestui fișier.
.Pp
.It Pa /etc/ssh/sshrc
Comenzile din acest fișier sunt executate de
.Nm ssh
atunci când utilizatorul
se autentifică, chiar înainte ca shell-ul (sau comanda) utilizatorului să
fie pornit. Consultați pagina de manual
.Xr sshd 8
pentru mai multe
informații.
.El
.Sh STARE DE IEȘIRE
.Nm ssh
iese cu starea de ieșire a comenzii de la distanță sau cu 255 dacă a
apărut o eroare.
.Sh CONSULTAȚI ȘI
.Xr scp 1 ,
.Xr sftp 1 ,
.Xr ssh-add 1 ,
.Xr ssh-agent 1 ,
.Xr ssh-argv0 1 ,
.Xr ssh-keygen 1 ,
.Xr ssh-keyscan 1 ,
.Xr tun 4 ,
.Xr ssh_config 5 ,
.Xr ssh-keysign 8 ,
.Xr sshd 8
.Sh STANDARDE
.Rs
.%A S. Lehtinen
.%A C. Lonvick
.%D ianuarie 2006
.%R RFC 4250
.%T The Secure Shell (SSH) Protocol Assigned Numbers
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D ianuarie 2006
.%R RFC 4251
.%T The Secure Shell (SSH) Protocol Architecture
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D ianuarie 2006
.%R RFC 4252
.%T The Secure Shell (SSH) Authentication Protocol
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D ianuarie 2006
.%R RFC 4253
.%T The Secure Shell (SSH) Transport Layer Protocol
.Re
.Pp
.Rs
.%A T. Ylonen
.%A C. Lonvick
.%D ianuarie 2006
.%R RFC 4254
.%T The Secure Shell (SSH) Connection Protocol
.Re
.Pp
.Rs
.%A J. Schlyter
.%A W. Griffin
.%D ianuarie 2006
.%R RFC 4255
.%T Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints
.Re
.Pp
.Rs
.%A F. Cusack
.%A M. Forssen
.%D ianuarie 2006
.%R RFC 4256
.%T Generic Message Exchange Authentication for the Secure Shell Protocol (SSH)
.Re
.Pp
.Rs
.%A J. Galbraith
.%A P. Remaker
.%D ianuarie 2006
.%R RFC 4335
.%T The Secure Shell (SSH) Session Channel Break Extension
.Re
.Pp
.Rs
.%A M. Bellare
.%A T. Kohno
.%A C. Namprempre
.%D ianuarie 2006
.%R RFC 4344
.%T The Secure Shell (SSH) Transport Layer Encryption Modes
.Re
.Pp
.Rs
.%A B. Harris
.%D ianuarie 2006
.%R RFC 4345
.%T Improved Arcfour Modes for the Secure Shell (SSH) Transport Layer Protocol
.Re
.Pp
.Rs
.%A M. Friedl
.%A N. Provos
.%A W. Simpson
.%D martie 2006
.%R RFC 4419
.%T Schimb de grupuri Diffie-Hellman pentru protocolul de transport Secure Shell (SSH)
.Re
.Pp
.Rs
.%A J. Galbraith
.%A R. Thayer
.%D noiembrie 2006
.%R RFC 4716
.%T The Secure Shell (SSH) Public Key File Format
.Re
.Pp
.Rs
.%A D. Stebila
.%A J. Green
.%D decembrie 2009
.%R RFC 5656
.%T Elliptic Curve Algorithm Integration in the Secure Shell Transport Layer
.Re
.Pp
.Rs
.%A A. Perrig
.%A D. Song
.%D 1999
.%O International Workshop on Cryptographic Techniques and E-Commerce (CrypTEC '99)
.%T Hash Visualization: a New Technique to improve Real-World Security
.Re
.Sh AUTORI
OpenSSH este un derivat al versiunii originale și libere ssh 1.2.12 de Tatu
Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt
și Dug Song au eliminat multe erori, au adăugat din nou caracteristici noi
și au creat OpenSSH. Markus Friedl a contribuit la suportul pentru
versiunile 1.5 și 2.0 ale protocolului SSH.
.Pp
.Sh TRADUCERE
Traducerea în limba română a acestui manual a fost făcută de
Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>
.
.Pp
Această traducere este documentație gratuită; citiți
.Lk https://www.gnu.org/licenses/gpl-3.0.html Licența publică generală GNU Versiunea 3
sau o versiune ulterioară cu privire la condiții privind drepturile de autor.
NU se asumă NICIO RESPONSABILITATE.
.Pp
Dacă găsiți erori în traducerea acestui manual,
vă rugăm să trimiteți un e-mail la
.Mt translation-team-ro@lists.sourceforge.net
.Me .