SSH_CONFIG (5)

Руководство по форматам файлов

SSH_CONFIG (5)

И МЯ

ssh_config - Файл конфигурации клиента OpenSSH

О ПИСАНИЕ

ssh (1) получает данные конфигурации из следующих источников в следующем порядке:

1. параметры командной строки
2. файл конфигурации пользователя (~ / .ssh / config)
3. общесистемный файл конфигурации (/ и т.д. / SSH / ssh_config)

Для каждого параметра будет использоваться первое полученное значение. Файлы конфигурации содержат разделы, разделенные Hostспецификациями, и этот раздел применяется только к хостам, которые соответствуют одному из шаблонов, указанных в спецификации. Соответствующим именем хоста обычно является имя, указанное в командной строке (см. CanonicalizeHostnameПараметр для исключений).

Так как для каждого параметра используется первое полученное значение, в начале файла должно быть указано больше объявлений для конкретного хоста, а в конце - общие значения по умолчанию.

Файл содержит пары ключевое слово-аргумент, по одной в каждой строке. Строки, начинающиеся с ' #', и пустые строки интерпретируются как комментарии. Аргументы могут дополнительно заключаться в двойные кавычки (") для представления аргументов, содержащих пробелы. Параметры конфигурации могут быть разделены пробелами или необязательными пробелами и ровно одним ="; последний формат полезен, чтобы избежать необходимости заключать пробелы в кавычки при указании конфигурации варианты с использованием ssh, scpи sftp -oвариант.

Возможные ключевые слова и их значения следующие (обратите внимание, что ключевые слова нечувствительны к регистру, а аргументы чувствительны к регистру):

H ost

Ограничивает следующие объявления (до следующего ключевого слова Hostили Match) только для тех хостов, которые соответствуют одному из шаблонов, указанных после ключевого слова. Если предоставлено более одного шаблона, они должны быть разделены пробелом. Один *шаблон "" может использоваться для предоставления глобальных значений по умолчанию для всех хостов. Хост обычноимя хостааргумент, указанный в командной строке (см. CanonicalizeHostnameключевое слово для исключений).

Запись шаблона может быть отменена, поставив перед ней восклицательный знак ('!'). Если совпадает отрицательная запись, то Hostона игнорируется, независимо от того, совпадают ли какие-либо другие шаблоны в строке. Поэтому отрицательные совпадения полезны для предоставления исключений для совпадений с подстановочными знаками.

Видеть УЗОРЫ для получения дополнительной информации о шаблонах.

M atch

Ограничивает использование следующих объявлений (до следующего ключевого слова Hostили Match) только при выполнении условий, следующих за Matchключевым словом. Условия соответствия указываются с использованием одного или нескольких критериев или единственного маркера, allкоторый всегда соответствует. Доступные критерии ключевые слова: canonical, final, exec, host, originalhost, user, и localuser. Эти allкритерии должны появляться отдельно или сразу после canonicalили final. Другие критерии можно произвольно комбинировать. Все критерии, кроме all, canonicalи, finalтребуют аргумента. Критерии могут быть отменены добавлением восклицательного знака ('!').

canonicalКлючевое слово совпадает только тогда , когда файл конфигурации быть повторно разобран после имени хоста канонизации (см CanonicalizeHostname вариант). Это может быть полезно для указания условий, которые работают только с каноническими именами хостов.

Эти finalзапросы по ключевым словам , что конфигурация быть повторно обработан (независимо от того , CanonicalizeHostnameвключен), и спички только в течение этого последнего прохода. Если CanonicalizeHostnameвключен, то canonicalи final совпадать во время одного прохода.

execКлючевое слово выполняет указанную команду под оболочкой пользователя. Если команда возвращает нулевой статус выхода, условие считается истинным. Команды, содержащие символы пробела, должны быть заключены в кавычки. Аргументы для execприема токенов описаны в ТОКЕНОВ раздел.

Критерии других ключевых слов должны быть отдельными записями или списками, разделенными запятыми, и могут использовать подстановочные знаки и операторы отрицания, описанные в УЗОРЫ раздел. Критерии для hostключевого слова сопоставляются с целевым именем хоста после любой замены опциями Hostnameили CanonicalizeHostname. originalhostКлючевое слово совпадает с именем хоста , как это было указано в командной строке. userКлючевое слово совпадает с целевым именем пользователя на удаленном хосте. В localuserключевое слово матчи против имени локального пользователя выполняется ssh (1) (это ключевое слово может быть полезно в общесистемных ssh_configфайлах).

A ddKeysToAgent

Определяет, должны ли ключи автоматически добавляться в рабочий ssh-агент (1) . Если для этого параметра установлено значение yesи ключ загружается из файла, ключ и его кодовая фраза добавляются к агенту со временем жизни по умолчанию, как если быssh-add (1) . Если для этого параметра установлено значение ask,ssh (1) потребует подтверждения с помощью SSH_ASKPASS программы перед добавлением ключа (см. ssh-add (1) подробнее). Если для этого параметра установлено значение confirm, каждое использование ключа должно подтверждаться, как если бы -cпараметр был задан для ssh-add (1) . Если для этого параметра установлено значение no, ключи к агенту не добавляются. В качестве альтернативы этот параметр может быть указан как временной интервал, используя формат, описанный вФОРМАТЫ ВРЕМЕНИ раздел sshd_config (5) указать время жизни ключа в ssh-агент (1) , после чего он будет автоматически удален. Аргумент должен быть no(по умолчанию), yes, confirm(необязательно с последующим временным интервалом), askили временной интервал.

A ddressFamily

Указывает, какое семейство адресов использовать при подключении. Допустимые аргументы: any(по умолчанию), inet (использовать только IPv4) или inet6(использовать только IPv6).

B atchMode

Если установлено yes, взаимодействие с пользователем, такое как запросы пароля и запросы подтверждения ключа хоста, будет отключено. Эта опция полезна в сценариях и других пакетных заданиях, где нет пользователя, с которым можно было бы взаимодействовать.ssh (1) . Аргумент должен быть yesили no(по умолчанию).

B indAddress

Используйте указанный адрес на локальном компьютере в качестве исходного адреса соединения. Полезно только в системах с более чем одним адресом.

B indInterface

Используйте адрес указанного интерфейса на локальном компьютере в качестве адреса источника соединения.

C anonicalDomains

Когда CanonicalizeHostnameэтот параметр включен, этот параметр указывает список суффиксов домена, в котором следует искать указанный конечный хост.

C anonicalizeFallbackLocal

Указывает, выдавать ли ошибку при неудачной канонизации имени хоста. По умолчанию, yesбудет пытаться найти неквалифицированное имя хоста, используя правила поиска системного преобразователя. Значение noвызовет ssh (1) мгновенно завершиться неудачей, если CanonicalizeHostnameон включен и целевое имя хоста не может быть найдено ни в одном из доменов, указанных в CanonicalDomains.

C anonicalizeHostname

Определяет, выполняется ли явная канонизация имени хоста. По умолчанию, noне выполняется перезапись имени и разрешается системному преобразователю обрабатывать все поиски имени хоста. Если установлено yesтогда, для соединений, которые не используют ProxyCommandили ProxyJump, ssh (1) попытается канонизировать имя хоста, указанное в командной строке, с помощью CanonicalDomainsсуффиксов и CanonicalizePermittedCNAMEsправил. Если CanonicalizeHostnameустановлено always, то канонизация применяется и к прокси-соединениям.

Если эта опция включена, файлы конфигурации снова обрабатываются с использованием нового имени цели для получения любой новой конфигурации в сопоставлении Hostи Matchстрофах.

C anonicalizeMaxDots

Задает максимальное количество точек в имени хоста до отключения канонизации. Значение по умолчанию, 1, позволяет использовать одну точку (например, имя хоста. Поддомен).

C anonicalizePermittedCNAMEs

Задает правила, определяющие, следует ли соблюдать CNAME при канонизации имен хостов. Правила состоят из одного или нескольких аргументов source_domain_list:target_domain_list, где source_domain_list представляет собой список шаблонов доменов, которые могут следовать за CNAME при канонизации, и target_domain_list это список шаблонов доменов, в которые они могут разрешить.

Например, "* .a.example.com: *. B.example.com, *. C.example.com" позволит именам хостов, совпадающим с "* .a.example.com", канонизировать имена в "* .b.example.com "или" * .c.example.com "домены.

C ASignatureAlgorithms

Указывает, какие алгоритмы разрешены для подписания сертификатов центрами сертификации (ЦС). По умолчанию:

ssh-ed25519, ecdsa-sha2-nistp256, ecdsa-sha2-nistp384,

ecdsa-sha2-nistp521, rsa-sha2-512, rsa-sha2-256, ssh-rsa 

ssh (1) не будет принимать сертификаты хоста, подписанные с использованием иных алгоритмов, кроме указанных.

C ertificateFile

Задает файл, из которого читается сертификат пользователя. Соответствующий закрытый ключ должен быть предоставлен отдельно, чтобы использовать этот сертификат либо из IdentityFileдирективы, либо из -iфлага для ssh (1) , через ssh-агент (1) , или через PKCS11Providerили SecurityKeyProvider.

Аргументы CertificateFileмогут использовать синтаксис тильды для ссылки на домашний каталог пользователя, токены описаны вТОКЕНОВ раздел и переменные среды, как описано в ПЕРЕМЕННЫЕ ОКРУЖАЮЩЕЙ СРЕДЫ раздел.

В файлах конфигурации можно указать несколько файлов сертификатов; эти сертификаты будут проверяться последовательно. Несколько CertificateFileдиректив добавятся к списку сертификатов, используемых для аутентификации.

C hallengeResponseAuthentication

Указывает, следует ли использовать проверку подлинности "запрос-ответ". Аргумент этого ключевого слова должен быть yes(по умолчанию) или no.

C heckHostIP

Если установлено на yes ssh (1) дополнительно проверит IP-адрес хоста в known_hostsфайл. Это позволяет ему определять, изменился ли ключ хоста из-за спуфинга DNS, и добавляет адреса хостов назначения в~ / .ssh / known_hostsв процессе, независимо от настройки StrictHostKeyChecking. Если для параметра установлено значение no(по умолчанию), проверка не будет выполняться.

C iphers

Задает разрешенные шифры и порядок их предпочтения. Несколько шифров должны быть разделены запятыми. Если указанный список начинается с символа «+», то указанные шифры будут добавлены к набору по умолчанию вместо их замены. Если указанный список начинается с символа «-», то указанные шифры (включая подстановочные знаки) будут удалены из набора по умолчанию вместо их замены. Если указанный список начинается с символа '^', то указанные шифры будут помещены в начало набора по умолчанию.

Поддерживаемые шифры:

3des-cbc

aes128-cbc

aes192-cbc

aes256-cbc

aes128-ctr

aes192-ctr

aes256-ctr

aes128-gcm@openssh.com

aes256-gcm@openssh.com

chacha20-poly1305@openssh.com 

По умолчанию:

chacha20-poly1305@openssh.com,

aes128-ctr, aes192-ctr, aes256-ctr,

aes128-gcm @ openssh.com, aes256-gcm @ openssh.com 

Список доступных шифров также можно получить с помощью «шифра ssh -Q».

C learAllForwardings

Задает очистку всех локальных, удаленных и динамических перенаправлений портов, указанных в файлах конфигурации или в командной строке. Эта опция в первую очередь полезна при использовании из ssh (1) командная строка для очистки переадресации портов, установленная в файлах конфигурации, и автоматически устанавливается scp (1) и sftp (1) . Аргумент должен быть yesили no(по умолчанию).

C ompression

Указывает, следует ли использовать сжатие. Аргумент должен быть yesили no(по умолчанию).

C onnectionAttempts

Задает количество попыток (одну в секунду) перед выходом. Аргумент должен быть целым числом. Это может быть полезно в сценариях, если иногда происходит сбой подключения. По умолчанию 1.

C onnectTimeout

Указывает тайм-аут (в секундах), используемый при подключении к серверу SSH, вместо использования системного тайм-аута TCP по умолчанию. Этот тайм-аут применяется как для установления соединения, так и для выполнения первоначального подтверждения протокола SSH и обмена ключами.

C ontrolMaster

Обеспечивает совместное использование нескольких сеансов через одно сетевое соединение. Когда установлено yes, ssh (1) будет прослушивать соединения в управляющем сокете, указанном с помощью ControlPath аргумента. Дополнительные сеансы могут подключаться к этому сокету, используя то же самое ControlPathсо ControlMasterзначением no (по умолчанию). Эти сеансы будут пытаться повторно использовать сетевое соединение главного экземпляра, а не инициировать новые, но вернутся к обычному соединению, если управляющий сокет не существует или не прослушивает.

Установка этого значения askвызовет ssh (1) прослушивать управляющие соединения, но требовать подтверждения с помощью ssh-askpass (1) . Если ControlPathне открывается, ssh (1) продолжится без подключения к главному экземпляру.

X11 и ssh-агент (1) пересылка поддерживается через эти мультиплексированные соединения, однако перенаправляемый дисплей и агент будут принадлежать главному соединению, т. е. пересылка нескольких дисплеев или агентов невозможна.

Две дополнительные опции позволяют использовать гибкое мультиплексирование: попробуйте использовать главное соединение, но вернитесь к созданию нового, если оно еще не существует. Это следующие варианты: autoи autoask. Последнее требует подтверждения, как ask вариант.

C ontrolPath

Укажите путь к управляющему сокету, используемому для совместного использования соединения, как описано в ControlMasterразделе выше, или строку, noneчтобы отключить совместное использование соединения. Аргументы ControlPathмогут использовать синтаксис тильды для ссылки на домашний каталог пользователя, токены описаны в ТОКЕНОВ раздел и переменные среды, как описано в ПЕРЕМЕННЫЕ ОКРУЖАЮЩЕЙ СРЕДЫ раздел. Рекомендуется, чтобы все ControlPath используемые для гибкого совместного использования соединения включали как минимум% h,% p и% r (или, альтернативно,% C) и помещали в каталог, который не доступен для записи другим пользователям. Это гарантирует уникальную идентификацию общих подключений.

C ontrolPersist

При использовании вместе с ControlMaster, указывает, что главное соединение должно оставаться открытым в фоновом режиме (ожидая будущих клиентских подключений) после того, как начальное клиентское соединение было закрыто. Если установлено значение no(по умолчанию), тогда главное соединение не будет помещено в фоновый режим и закроется, как только будет закрыто первоначальное клиентское соединение. Если установлено значение yesили 0, тогда главное соединение будет оставаться в фоновом режиме на неопределенное время (пока не будет уничтожено или закрыто с помощью такого механизма, как «ssh -O exit»). Если установлено время в секундах или время в любом из форматов, задокументированных в sshd_config (5) , то фоновое главное соединение автоматически прерывается после того, как оно простаивает (без клиентских подключений) в течение указанного времени.

D ynamicForward

Указывает, что TCP-порт на локальном компьютере будет перенаправлен по безопасному каналу, а затем протокол приложения будет использоваться для определения того, куда подключиться с удаленного компьютера.

Аргумент должен быть [bind_address:]порт. Адреса IPv6 можно указать, заключив адреса в квадратные скобки. По умолчанию локальный порт привязан в соответствии с GatewayPortsнастройкой. Однако явный bind_addressможет использоваться для привязки соединения к определенному адресу. Вbind_addressof localhostуказывает, что порт прослушивания должен быть привязан только для локального использования, в то время как пустой адрес или '*' указывает, что порт должен быть доступен для всех интерфейсов.

В настоящее время поддерживаются протоколы SOCKS4 и SOCKS5, и ssh (1) будет действовать как сервер SOCKS. Могут быть указаны множественные переадресации, а дополнительные пересылки могут быть указаны в командной строке. Только суперпользователь может пересылать привилегированные порты.

E nableSSHKeysign

Установка этой опции yesв глобальном файле конфигурации клиента/ и т.д. / SSH / ssh_config позволяет использовать вспомогательную программу ssh-keysign (8) во время HostbasedAuthentication. Аргумент должен быть yesили no(по умолчанию). Эта опция должна быть помещена в раздел, не связанный с хостом. Видеть ssh-keysign (8) для дополнительной информации.

E scapeChar

Устанавливает escape-символ (по умолчанию: ' ~'). Управляющий символ также можно установить в командной строке. Аргумент должен быть одним символом, ^за которым следует буква, или полностью noneотключить escape-символ (делая соединение прозрачным для двоичных данных).

E xitOnForwardFailure

Определяет, есть ли ssh (1) должен разорвать соединение, если он не может установить все запрошенные динамические, туннельные, локальные и удаленные переадресации портов (например, если ни одна из сторон не может привязать и прослушивать указанный порт). Обратите внимание, что ExitOnForwardFailureэто не относится к соединениям, выполненным через переадресацию портов и, например, не вызовет ssh (1) для выхода в случае сбоя TCP-соединения с конечным пунктом назначения пересылки. Аргумент должен быть yesили no(по умолчанию).

F ingerprintHash

Задает алгоритм хеширования, используемый при отображении отпечатков пальцев. Допустимые варианты: md5и sha256(по умолчанию).

F orwardAgent

Определяет, будет ли соединение с агентом аутентификации (если есть) перенаправляться на удаленный компьютер. Аргумент может быть yes, no(по умолчанию), явный путь к розетке агента или имя переменной окружения (начиная с «$») , в котором , чтобы найти путь.

Пересылку агента следует включать с осторожностью. Пользователи с возможностью обхода файловых разрешений на удаленном хосте (для сокета домена Unix агента) могут получить доступ к локальному агенту через перенаправленное соединение. Злоумышленник не может получить ключевой материал от агента, однако он может выполнять операции с ключами, которые позволяют им аутентифицироваться с использованием идентификаторов, загруженных в агент.

F orwardX11

Определяет, будут ли соединения X11 автоматически перенаправляться по защищенному каналу и DISPLAYустанавливаться. Аргумент должен быть yesили no(по умолчанию).

Пересылку X11 следует включать с осторожностью. Пользователи с возможностью обхода файловых разрешений на удаленном хосте (для пользовательской базы данных авторизации X11) могут получить доступ к локальному дисплею X11 через перенаправленное соединение. Затем злоумышленник может выполнять такие действия, как мониторинг нажатия клавиш, если эта ForwardX11Trustedопция также включена.

F orwardX11Timeout

Укажите тайм-аут для ненадежной пересылки X11, используя формат, описанный в ФОРМАТЫ ВРЕМЕНИ раздел sshd_config (5) . X11 соединения полученыssh (1) по истечении этого времени будет отказано. Установка ForwardX11Timeoutв ноль отключит тайм-аут и разрешит пересылку X11 в течение всего срока действия соединения. По умолчанию ненадежная пересылка X11 отключается по истечении двадцати минут.

F orwardX11Trusted

Если для этого параметра установлено значение yes, удаленные клиенты X11 будут иметь полный доступ к исходному дисплею X11.

Если для этого параметра установлено значение no(по умолчанию), удаленные клиенты X11 будут считаться ненадежными и не смогут украсть или подделать данные, принадлежащие доверенным клиентам X11. Кроме того,xauth (1) токен, используемый для сеанса, будет истекать через 20 минут. По истечении этого времени удаленным клиентам будет отказано в доступе.

См. Спецификацию расширения X11 SECURITY для получения полной информации об ограничениях, налагаемых на ненадежных клиентов.

G atewayPorts

Определяет, разрешено ли удаленным хостам подключаться к локальным перенаправленным портам. По умолчанию,ssh (1) связывает переадресацию локального порта с адресом обратной связи. Это предотвращает подключение других удаленных хостов к перенаправленным портам. GatewayPortsможет использоваться, чтобы указать, что ssh должен связывать переадресацию локальных портов с адресом с подстановочными знаками, тем самым позволяя удаленным хостам подключаться к переадресованным портам. Аргумент должен быть yesили no(по умолчанию).

G lobalKnownHostsFile

Задает один или несколько файлов для использования в глобальной базе данных ключей хоста, разделенных пробелом. По умолчанию / etc / ssh / ssh_known_hosts, / и т.д. / SSH / ssh_known_hosts2.

G SSAPIAuthentication

Указывает, разрешена ли аутентификация пользователя на основе GSSAPI. По умолчанию это no.

G SSAPIDelegateCredentials

Пересылайте (делегируйте) учетные данные на сервер. По умолчанию это no.

H ashKnownHosts

Указывает на то, что ssh (1) должны хешировать имена хостов и адреса, когда они добавляются в ~ / .ssh / known_hosts. Эти хешированные имена могут обычно использоватьсяssh (1) и sshd (8) , но они не отображают визуально идентифицирующую информацию, если раскрывается содержимое файла. По умолчанию это no. Обратите внимание, что существующие имена и адреса в файлах известных хостов не будут преобразованы автоматически, но могут быть хешированы вручную с помощьюssh-keygen (1) .

H ostbasedAuthentication

Указывает, следует ли пробовать аутентификацию на основе rhosts с аутентификацией с открытым ключом. Аргумент должен быть yesили no(по умолчанию).

H ostbasedKeyTypes

Задает типы ключей, которые будут использоваться для аутентификации на основе хоста, в виде списка шаблонов, разделенных запятыми. В качестве альтернативы, если указанный список начинается с символа «+», то указанные типы ключей будут добавлены к набору по умолчанию вместо их замены. Если указанный список начинается с символа «-», то указанные типы ключей (включая подстановочные знаки) будут удалены из набора по умолчанию вместо их замены. Если указанный список начинается с символа «^», то указанные типы ключей будут помещены в начало набора по умолчанию. Значение по умолчанию для этой опции:

ssh-ed25519-cert-v01@openssh.com,

ecdsa-sha2-nistp256-cert-v01@openssh.com,

ecdsa-sha2-nistp384-cert-v01@openssh.com,

ecdsa-sha2-nistp521-cert-v01@openssh.com,

sk-ssh-ed25519-cert-v01@openssh.com,

sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,

rsa-sha2-512-cert-v01@openssh.com,

rsa-sha2-256-cert-v01@openssh.com,

ssh-rsa-cert-v01@openssh.com,

ssh-ed25519,

ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521,

sk-ssh-ed25519@openssh.com,

sk-ecdsa-sha2-nistp256@openssh.com,

rsa-sha2-512, rsa-sha2-256, ssh-rsa 

-QВариант ssh (1) может использоваться для перечисления поддерживаемых типов ключей.

H ostKeyAlgorithms

Задает алгоритмы ключей хоста, которые клиент хочет использовать в порядке предпочтения. В качестве альтернативы, если указанный список начинается с символа «+», то указанные типы ключей будут добавлены к набору по умолчанию вместо их замены. Если указанный список начинается с символа «-», то указанные типы ключей (включая подстановочные знаки) будут удалены из набора по умолчанию вместо их замены. Если указанный список начинается с символа «^», то указанные типы ключей будут помещены в начало набора по умолчанию. Значение по умолчанию для этой опции:

ssh-ed25519-cert-v01@openssh.com,

ecdsa-sha2-nistp256-cert-v01@openssh.com,

ecdsa-sha2-nistp384-cert-v01@openssh.com,

ecdsa-sha2-nistp521-cert-v01@openssh.com,

sk-ssh-ed25519-cert-v01@openssh.com,

sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,

rsa-sha2-512-cert-v01@openssh.com,

rsa-sha2-256-cert-v01@openssh.com,

ssh-rsa-cert-v01@openssh.com,

ssh-ed25519,

ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521,

sk-ecdsa-sha2-nistp256@openssh.com,

sk-ssh-ed25519@openssh.com,

rsa-sha2-512, rsa-sha2-256, ssh-rsa 

Если ключи хоста известны для хоста назначения, тогда это значение по умолчанию изменено, чтобы предпочесть их алгоритмы.

Список доступных типов ключей также можно получить с помощью "ssh -Q HostKeyAlgorithms".

H ostKeyAlias

Задает псевдоним, который следует использовать вместо реального имени хоста при поиске или сохранении ключа хоста в файлах базы данных ключей хоста и при проверке сертификатов хоста. Эта опция полезна для туннелирования SSH-соединений или для нескольких серверов, работающих на одном хосте.

H ostname

Задает реальное имя хоста для входа. Это можно использовать для указания псевдонимов или сокращений для хостов. Аргументы для Hostnameприема токенов описаны в ТОКЕНОВ раздел. Также разрешены числовые IP-адреса (как в командной строке, так и в Hostnameспецификациях). По умолчанию используется имя, указанное в командной строке.

I dentitiesOnly

Указывает, что ssh (1) следует использовать только настроенные файлы удостоверения подлинности и сертификата (либо файлы по умолчанию, либо файлы, явно настроенные в ssh_configфайлах или переданные в ssh (1) командная строка), даже если ssh-агент (1) или PKCS11Providerили SecurityKeyProviderпредлагает больше идентичностей. Аргумент этого ключевого слова должен быть yesили no(по умолчанию). Эта опция предназначена для ситуаций, когда ssh-agent предлагает много разных идентификаторов.

I dentityAgent

Задает сокет UNIX- домена, используемый для связи с агентом аутентификации.

Этот параметр переопределяет SSH_AUTH_SOCKпеременную среды и может использоваться для выбора конкретного агента. Установка имени сокета на noneотключает использование агента аутентификации. Если указана строка «SSH_AUTH_SOCK», расположение сокета будет считано из SSH_AUTH_SOCKпеременной среды. В противном случае, если указанное значение начинается с символа «$», оно будет рассматриваться как переменная среды, содержащая расположение сокета.

Аргументы IdentityAgentмогут использовать синтаксис тильды для ссылки на домашний каталог пользователя, токены описаны вТОКЕНОВ раздел и переменные среды, как описано в ПЕРЕМЕННЫЕ ОКРУЖАЮЩЕЙ СРЕДЫ раздел.

I dentityFile

Задает файл, из которого считываются DSA, ECDSA пользователя, ECDSA, размещенный в аутентификаторе, Ed25519, Ed25519, размещенный в аутентификаторе, или удостоверение аутентификации RSA. По умолчанию~ / .ssh / id_dsa, ~ / .ssh / id_ecdsa, ~ / .ssh / id_ecdsa_sk, ~ / .ssh / id_ed25519, ~ / .ssh / id_ed25519_sk и ~ / .ssh / id_rsa. Кроме того, любые идентификаторы, представленные агентом аутентификации, будут использоваться для аутентификации, если они IdentitiesOnlyне установлены. Если сертификаты не были явно указаны CertificateFile, ssh (1) попытается загрузить информацию о сертификате из имени файла, полученного путем добавления -cert.pubна путь к указанному IdentityFile.

Аргументы для IdentityFileмогут использовать синтаксис тильды для ссылки на домашний каталог пользователя или токены, описанные вТОКЕНОВ раздел.

В файлах конфигурации можно указать несколько файлов идентификации; все эти идентичности будут проверяться последовательно. Несколько IdentityFileдиректив будут добавлены к списку проверенных идентификаторов (это поведение отличается от поведения других директив конфигурации).

IdentityFileможет использоваться вместе с IdentitiesOnlyдля выбора идентификаторов, предлагаемых агенту во время аутентификации. IdentityFileтакже может использоваться в сочетании с CertificateFileдля предоставления любого сертификата, необходимого также для аутентификации с помощью идентификатора.

I gnoreUnknown

Задает список шаблонов неизвестных параметров, которые следует игнорировать, если они встречаются при синтаксическом анализе конфигурации. Это может использоваться для подавления ошибок, если ssh_configсодержит параметры, которые не распознаютсяssh (1) . Рекомендуется IgnoreUnknownуказывать его в начале файла конфигурации, поскольку он не будет применяться к неизвестным параметрам, которые появляются перед ним.

I nclude

Включите указанный файл (ы) конфигурации. Можно указать несколько имен путей, и каждый путь может содержать шарик (7) подстановочные знаки и, для пользовательских конфигураций, ссылки на домашние каталоги пользователей в виде оболочки "~". Подстановочные знаки будут расширяться и обрабатываться в лексическом порядке. Предполагается, что файлы без абсолютных путей находятся в ~ / .ssh если он включен в файл конфигурации пользователя или / etc / sshесли включен из файла конфигурации системы. IncludeДиректива может появиться внутри блока Matchили Hostдля выполнения условного включения.

I PQoS

Задает тип службы IPv4 или класс DSCP для подключений. Принимаемые значения af11, af12, af13, af21, af22, af23, af31, af32, af33, af41, af42, af43, cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, ef, le, lowdelay, throughput, reliability, числовое значение, или noneиспользовать операционную систему по умолчанию. Эта опция может принимать один или два аргумента, разделенных пробелом. Если указан один аргумент, он безусловно используется как класс пакета. Если указаны два значения, первое автоматически выбирается для интерактивных сеансов, а второе - для неинтерактивных сеансов. Значение по умолчанию - af21(Данные с низкой задержкой) для интерактивных сеансов и cs1(Меньшее усилие) для неинтерактивных сеансов.

K bdInteractiveAuthentication

Указывает, следует ли использовать аутентификацию с интерактивной клавиатурой. Аргумент этого ключевого слова должен быть yes(по умолчанию) или no.

K bdInteractiveDevices

Задает список методов, используемых при интерактивной аутентификации с клавиатуры. Имена нескольких методов должны быть разделены запятыми. По умолчанию используется указанный сервером список. Доступные методы зависят от того, что поддерживает сервер. Для сервера OpenSSH, оно может быть равно нулю или более из: bsdauth, pamи skey.

K exAlgorithms

Определяет доступные алгоритмы KEX (Key Exchange). Несколько алгоритмов следует разделять запятыми. Если указанный список начинается с символа «+», то указанные методы будут добавлены к набору по умолчанию вместо их замены. Если указанный список начинается с символа «-», то указанные методы (включая подстановочные знаки) будут удалены из набора по умолчанию вместо их замены. Если указанный список начинается с символа «^», то указанные методы будут помещены в начало набора по умолчанию. По умолчанию:

curve25519-sha256, curve25519-sha256 @ libssh.org,

ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521,

Диффи-Хеллман-группа-обмен-sha256,

Диффи-Хеллман-группа16-sha512,

Диффи-Хеллман-группа18-sha512,

Диффи-Хеллман-группа14-sha256 

Список доступных алгоритмов обмена ключами также можно получить с помощью «ssh -Q kex».

K nownHostsCommand

Задает команду, используемую для получения списка ключей хоста в дополнение к тем, которые перечислены в UserKnownHostsFileи GlobalKnownHostsFile. Эта команда выполняется после того, как файлы были прочитаны. Он может записывать строки ключей хоста в стандартный вывод в формате, идентичном обычным файлам (описанным в ПРОВЕРКА КЛЮЧЕЙ ХОЗЯИНА раздел в ssh (1) ). Аргументы для KnownHostsCommandприема токенов описаны вТОКЕНОВ раздел. Команда может быть вызвана несколько раз для каждого соединения: один раз при подготовке списка предпочтений используемых алгоритмов ключа хоста, еще раз для получения ключа хоста для запрошенного имени хоста и, если CheckHostIPон включен, еще раз для получения ключа хоста, соответствующего адрес сервера. Если команда завершается ненормально или возвращает ненулевой статус выхода, соединение разрывается.

L ocalCommand

Задает команду для выполнения на локальном компьютере после успешного подключения к серверу. Командная строка продолжается до конца строки и выполняется оболочкой пользователя. Аргументы для LocalCommandприема токенов описаны в ТОКЕНОВ раздел.

Команда запускается синхронно и не имеет доступа к сеансу ssh (1) это породило его. Его не следует использовать для интерактивных команд.

Эта директива игнорируется, если она PermitLocalCommandне была включена.

L ocalForward

Указывает, что TCP-порт на локальном компьютере будет перенаправлен по безопасному каналу на указанный хост и порт с удаленного компьютера. Первый аргумент указывает слушателя и может быть [bind_address:]портили путь к сокету домена Unix. Второй аргумент - это пункт назначения и может быть хозяин:hostport или путь к сокету домена Unix, если удаленный хост поддерживает его.

Адреса IPv6 можно указать, заключив адреса в квадратные скобки. Могут быть указаны множественные переадресации, а дополнительные пересылки могут быть заданы в командной строке. Только суперпользователь может пересылать привилегированные порты. По умолчанию локальный порт привязан в соответствии с GatewayPortsнастройкой. Однако явныйbind_addressможет использоваться для привязки соединения к определенному адресу. В bind_addressof localhost указывает, что порт прослушивания привязан только для локального использования, в то время как пустой адрес или '*' указывает, что порт должен быть доступен для всех интерфейсов. Пути сокетов домена Unix могут использовать токены, описанные вТОКЕНОВ раздел и переменные среды, как описано в ПЕРЕМЕННЫЕ ОКРУЖАЮЩЕЙ СРЕДЫ раздел.

L ogLevel

Предоставляет уровень детализации, который используется при регистрации сообщений от ssh (1) . Возможные значения: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 и DEBUG3. По умолчанию - ИНФОРМАЦИЯ. DEBUG и DEBUG1 эквивалентны. Каждая из DEBUG2 и DEBUG3 определяет более высокий уровень подробного вывода.

L ogVerbose

Укажите одно или несколько переопределений для LogLevel. Переопределение состоит из списков шаблонов, соответствующих исходному файлу, функции и номеру строки, для которых требуется подробное ведение журнала. Например, шаблон переопределения:

kex.c: *: 1000, *: kex_exchange_identification (): *, packet.c: * 

позволит вести подробный журнал для строки 1000 kex.c, все в функции kex_exchange_identification () и весь код вpackage.cфайл. Этот параметр предназначен для отладки, и по умолчанию переопределения не включены.

M ACs

Задает алгоритмы MAC (код аутентификации сообщения) в порядке предпочтения. Алгоритм MAC используется для защиты целостности данных. Несколько алгоритмов следует разделять запятыми. Если указанный список начинается с символа «+», то указанные алгоритмы будут добавлены к набору по умолчанию вместо их замены. Если указанный список начинается с символа «-», то указанные алгоритмы (включая подстановочные знаки) будут удалены из набора по умолчанию вместо их замены. Если указанный список начинается с символа «^», то указанные алгоритмы будут помещены в начало набора по умолчанию.

Алгоритмы, содержащие "-etm", вычисляют MAC после шифрования (encrypt-then-mac). Они считаются более безопасными и рекомендуется их использование.

По умолчанию:

umac-64-etm @ openssh.com, umac-128-etm @ openssh.com,

hmac-sha2-256-etm @ openssh.com, hmac-sha2-512-etm @ openssh.com,

hmac-sha1-etm@openssh.com,

umac-64 @ openssh.com, umac-128 @ openssh.com,

hmac-sha2-256, hmac-sha2-512, hmac-sha1 

Список доступных алгоритмов MAC можно также получить с помощью «ssh -Q mac».

N oHostAuthenticationForLocalhost

Отключите аутентификацию хоста для localhost (адреса обратной связи). Аргумент этого ключевого слова должен быть yesили no(по умолчанию).

N umberOfPasswordPrompts

Задает количество запросов на ввод пароля перед тем, как отказаться. Аргумент этого ключевого слова должен быть целым числом. По умолчанию - 3.

P asswordAuthentication

Указывает, следует ли использовать аутентификацию по паролю. Аргумент этого ключевого слова должен быть yes(по умолчанию) или no.

P ermitLocalCommand

Allow local command execution via the LocalCommand option or using the !command escape sequence in ssh(1) . The argument must be yes or no (the default).

P KCS11Provider

Specifies which PKCS#11 provider to use or none to indicate that no provider should be used (the default). The argument to this keyword is a path to the PKCS#11 shared library ssh(1) should use to communicate with a PKCS#11 token providing keys for user authentication.

P ort

Specifies the port number to connect on the remote host. The default is 22.

P referredAuthentications

Specifies the order in which the client should try authentication methods. This allows a client to prefer one method (e.g. keyboard-interactive) over another method (e.g. password). The default is:

gssapi-with-mic,hostbased,publickey,

keyboard-interactive,password 

P roxyCommand

Specifies the command to use to connect to the server. The command string extends to the end of the line, and is executed using the user's shell ‘exec’ directive to avoid a lingering shell process.

Arguments to ProxyCommand accept the tokens described in the TOKENS section. The command can be basically anything, and should read from its standard input and write to its standard output. It should eventually connect an sshd(8) сервер запущен на каком-то компьютере или sshd -iгде-то выполняется . Управление ключами хоста будет осуществляться с использованием имени Hostnameподключенного хоста (по умолчанию используется имя, введенное пользователем). Установка команды на полностью noneотключает эту опцию. Обратите внимание, что CheckHostIPэто недоступно для подключений с помощью прокси-команды.

Эта директива полезна вместе с nc (1) и его поддержка прокси. Например, следующая директива будет подключаться через прокси-сервер HTTP по адресу 192.0.2.0:

ProxyCommand / usr / bin / nc -X connect -x 192.0.2.0:8080% h% p 

P roxyJump

Указывает один или несколько прокси-серверов как [пользователь@ ]хозяин[:порт] или ssh URI. Несколько прокси-серверов могут быть разделены запятыми, и они будут посещаться последовательно. Установка этого параметра вызовет ssh (1) для подключения к целевому хосту, сначала сделав ssh (1) соединение с указанным ProxyJumpхостом, а затем установление пересылки TCP к конечной цели оттуда.

Обратите внимание, что этот параметр будет конкурировать с ProxyCommandпараметром - в зависимости от того, что указано первым, последующие экземпляры другого не вступят в силу.

Также обратите внимание на то, что конфигурация хоста назначения (предоставленная через командную строку или файл конфигурации) обычно не применяется к хостам перехода. ~ / .ssh / config следует использовать, если требуется особая конфигурация для узлов перехода.

P roxyUseFdpass

Определяет, что ProxyCommandпередаст дескриптор подключенного файла обратно вssh (1) вместо того, чтобы продолжать выполнять и передавать данные. По умолчанию это no.

P ubkeyAcceptedKeyTypes

Задает типы ключей, которые будут использоваться для аутентификации с открытым ключом, в виде списка шаблонов, разделенных запятыми. Если указанный список начинается с символа «+», то типы ключей после него будут добавлены к значениям по умолчанию, а не заменены. Если указанный список начинается с символа «-», то указанные типы ключей (включая подстановочные знаки) будут удалены из набора по умолчанию вместо их замены. Если указанный список начинается с символа «^», то указанные типы ключей будут помещены в начало набора по умолчанию. Значение по умолчанию для этой опции:

ssh-ed25519-cert-v01@openssh.com,

ecdsa-sha2-nistp256-cert-v01@openssh.com,

ecdsa-sha2-nistp384-cert-v01@openssh.com,

ecdsa-sha2-nistp521-cert-v01@openssh.com,

sk-ssh-ed25519-cert-v01@openssh.com,

sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,

rsa-sha2-512-cert-v01@openssh.com,

rsa-sha2-256-cert-v01@openssh.com,

ssh-rsa-cert-v01@openssh.com,

ssh-ed25519,

ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521,

sk-ssh-ed25519@openssh.com,

sk-ecdsa-sha2-nistp256@openssh.com,

rsa-sha2-512, rsa-sha2-256, ssh-rsa 

Список доступных типов ключей также можно получить с помощью «ssh -Q PubkeyAcceptedKeyTypes».

P ubkeyAuthentication

Указывает, следует ли пробовать проверку подлинности с открытым ключом. Аргумент этого ключевого слова должен быть yes(по умолчанию) или no.

R ekeyLimit

Задает максимальный объем данных, который может быть передан до повторного согласования сеансового ключа, необязательно за которым следует максимальное количество времени, которое может пройти до повторного согласования сеансового ключа. Первый аргумент указывается в байтах и ​​может иметь суффикс «K», «M» или «G» для обозначения килобайт, мегабайт или гигабайт соответственно. Значение по умолчанию составляет от 1 до 4G, в зависимости от шифра. Необязательное второе значение указывается в секундах и может использовать любые единицы, задокументированные в разделе ФОРМАТЫ ВРЕМЕНИsshd_config (5) . Значение по умолчанию для RekeyLimitis default none, что означает, что смена ключей выполняется после того, как объем данных по умолчанию для шифра был отправлен или получен, и никакая смена ключей на основе времени не выполняется.

R emoteCommand

Задает команду для выполнения на удаленном компьютере после успешного подключения к серверу. Командная строка продолжается до конца строки и выполняется оболочкой пользователя. Аргументы для RemoteCommandприема токенов описаны в ТОКЕНОВ раздел.

R emoteForward

Указывает, что TCP-порт на удаленном компьютере будет перенаправлен по безопасному каналу. Удаленный порт может быть перенаправлен на указанный хост и порт с локального компьютера или может действовать как прокси-сервер SOCKS 4/5, который позволяет удаленному клиенту подключаться к произвольным адресатам с локального компьютера. Первый аргумент - это спецификация прослушивания и может быть [bind_address:]портили, если удаленный хост поддерживает это, путь к сокету домена Unix. При пересылке в конкретный пункт назначения второй аргумент должен быть хозяин:hostport или путь к сокету домена Unix, в противном случае, если аргумент назначения не указан, удаленная пересылка будет установлена ​​как прокси-сервер SOCKS.

Адреса IPv6 можно указать, заключив адреса в квадратные скобки. Могут быть указаны множественные переадресации, а дополнительные пересылки могут быть указаны в командной строке. Привилегированные порты могут быть перенаправлены только при входе в систему с правами root на удаленной машине. Пути сокетов домена Unix могут использовать токены, описанные в ТОКЕНОВ раздел и переменные среды, как описано в ПЕРЕМЕННЫЕ ОКРУЖАЮЩЕЙ СРЕДЫ раздел.

Если порт аргумент равен 0, порт прослушивания будет динамически выделяться на сервере и сообщаться клиенту во время выполнения.

Если bind_addressне указан, по умолчанию выполняется привязка только к адресам обратной связи. Если bind_addressis ' *' или пустая строка, тогда пересылка запрашивается для прослушивания на всех интерфейсах. Указание пульта bind_addressбудет успешным только в том случае, если GatewayPortsопция сервера включена (см. sshd_config (5) ).

R equestTTY

Указывает, следует ли запрашивать псевдотерминал для сеанса. Аргумент может быть одним из: no(никогда не запрашивать TTY), yes(всегда запрашивать TTY, если стандартный ввод - TTY), force(всегда запрашивать TTY) или auto(запрашивать TTY при открытии сеанса входа в систему). Эта опция зеркала -tи -Tфлаги ssh (1) .

R evokedHostKeys

Указывает отозванные открытые ключи хоста. Ключам, перечисленным в этом файле, будет отказано в аутентификации хоста. Обратите внимание: если этот файл не существует или недоступен для чтения, в аутентификации хоста будет отказано для всех хостов. Ключи могут быть указаны в виде текстового файла с указанием одного открытого ключа в каждой строке или в виде списка отзыва ключей OpenSSH (KRL), созданного с помощью ssh-keygen (1) . Дополнительные сведения о KRL см. В разделе СПИСКИ ОТЗЫВОВ КЛЮЧЕЙ в ssh-keygen (1) .

S ecurityKeyProvider

Указывает путь к библиотеке, которая будет использоваться при загрузке любых ключей, размещенных в аутентификаторе FIDO, отменяя использование по умолчанию встроенной поддержки USB HID.

Если указанное значение начинается с символа «$», оно будет рассматриваться как переменная среды, содержащая путь к библиотеке.

S endEnv

Указывает, какие переменные из локального окружающая среда (7) следует отправить на сервер. Сервер также должен поддерживать его, и сервер должен быть настроен на прием этих переменных среды. Обратите внимание, что TERMпеременная среды всегда отправляется всякий раз, когда запрашивается псевдотерминал, поскольку это требуется протоколом. См. AcceptEnvВ sshd_config (5) о том, как настроить сервер. Переменные указываются по имени, которое может содержать подстановочные знаки. Несколько переменных среды могут быть разделены пробелом или распределены по нескольким SendEnv директивам.

Видеть УЗОРЫ для получения дополнительной информации о шаблонах.

Можно очистить ранее установленные SendEnvимена переменных, добавив к шаблонам префикса-. По умолчанию переменные среды не отправляются.

S erverAliveCountMax

Устанавливает количество активных сообщений сервера (см. Ниже), которые могут быть отправлены без ssh (1) получение любых сообщений от сервера. Если этот порог будет достигнут во время отправки сообщений «сервер работает», ssh отключится от сервера, завершив сеанс. Важно отметить, что использование сообщений server live сильно отличается от TCPKeepAlive(ниже). Сообщения сервера "живые" отправляются через зашифрованный канал и, следовательно, не могут быть подделаны. Параметр поддержки TCPKeepAliveактивности TCP, включенный с помощью, можно подделать. Механизм работы сервера ценен, когда клиент или сервер зависят от того, знает ли соединение, когда соединение перестало отвечать.

Значение по умолчанию - 3. Если, например, ServerAliveInterval(см. Ниже) установлено значение 15 и ServerAliveCountMaxоставить значение по умолчанию, если сервер не отвечает, ssh отключится примерно через 45 секунд.

S erverAliveInterval

Устанавливает интервал тайм-аута в секундах, по истечении которого, если данные с сервера не получены, ssh (1) отправит сообщение через зашифрованный канал, чтобы запросить ответ от сервера. Значение по умолчанию - 0, что означает, что эти сообщения не будут отправлены на сервер.

S etEnv

Непосредственно укажите одну или несколько переменных среды и их содержимое для отправки на сервер. Аналогично SendEnv, сервер должен быть готов принять переменную среды.

S treamLocalBindMask

Задает маску режима создания восьмеричного файла (umask), используемую при создании файла сокета домена Unix для локального или удаленного перенаправления портов. Этот параметр используется только для переадресации портов в файл сокета домена Unix.

Значение по умолчанию - 0177, что создает файл сокета домена Unix, доступный для чтения и записи только владельцу. Обратите внимание, что не все операционные системы поддерживают файловый режим для файлов сокетов домена Unix.

S treamLocalBindUnlink

Указывает, следует ли удалить существующий файл сокета домена Unix для локального или удаленного перенаправления портов перед созданием нового. Если файл сокета уже существует и StreamLocalBindUnlinkне включен, sshпереадресация порта в файл сокета домена Unix невозможна. Этот параметр используется только для переадресации портов в файл сокета домена Unix.

Аргумент должен быть yesили no(по умолчанию).

S trictHostKeyChecking

Если этот флаг установлен yes, ssh (1) никогда не будет автоматически добавлять ключи хоста в ~ / .ssh / known_hostsфайл и отказывается подключаться к хостам, чей ключ хоста изменился. Это обеспечивает максимальную защиту от атак типа "злоумышленник посередине" (MITM), хотя может раздражать, когда/ etc / ssh / ssh_known_hostsфайл плохо обслуживается или при частом подключении к новым хостам. Эта опция заставляет пользователя вручную добавлять все новые хосты.

Если для этого флага установлено значение «accept-new», тогда ssh автоматически добавит новые ключи хоста в файлы известных пользователю хостов, но не разрешит соединения с хостами с измененными ключами хоста. Если для этого флага установлено значение «no» или «off», ssh автоматически добавит новые ключи хоста в файлы известных пользователю хостов и разрешит соединения с хостами с измененными ключами хоста для продолжения с некоторыми ограничениями. Если для этого флага установлено значение ask(по умолчанию), новые ключи хоста будут добавлены в файлы известных пользователю хостов только после того, как пользователь подтвердит, что это то, что он действительно хочет сделать, и ssh откажется подключаться к хостам, ключ хоста которых имеет изменилось. Ключи хостов известных хостов будут проверяться автоматически во всех случаях.

S yslogFacility

Предоставляет код объекта, который используется при регистрации сообщений от ssh (1) . Возможные значения: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. По умолчанию - ПОЛЬЗОВАТЕЛЬ.

T CPKeepAlive

Указывает, должна ли система отправлять сообщения поддержки активности TCP на другую сторону. Если они будут отправлены, потеря связи или сбой одной из машин будут должным образом замечены. Однако это означает, что соединение прервется, если маршрут временно отключится, и некоторых людей это раздражает.

По умолчанию yes(для отправки сообщений поддержки активности TCP), и клиент заметит, если сеть выйдет из строя или удаленный хост умрет. Это важно для скриптов, и многие пользователи этого хотят.

Чтобы отключить сообщения keepalive TCP, необходимо установить значение no. См. Также ServerAliveIntervalсообщения поддержки активности на уровне протокола.

T unnel

Запрос чан (4) пересылка устройства между клиентом и сервером. Аргумент должен быть yes, point-to-point(уровень 3), ethernet(уровень 2) или no(по умолчанию). Указание yesзапрашивает туннельный режим по умолчанию, то есть point-to-point.

T unnelDevice

Определяет чан (4) устройства для открытия на клиенте (local_tun) и сервер (remote_tun).

Аргумент должен быть local_tun[:remote_tun]. Устройства можно указать числовым идентификатором или ключевым словом any, которое использует следующее доступное туннельное устройство. Еслиremote_tunне указан, по умолчанию any. По умолчанию это any:any.

U pdateHostKeys

Определяет, есть ли ssh (1) должен принимать уведомления о дополнительных ключах хоста от сервера, отправленные после завершения аутентификации, и добавлять их в UserKnownHostsFile. Аргумент должен быть yes, noили ask. Этот параметр позволяет изучать альтернативные ключи хоста для сервера и поддерживает плавную ротацию ключей, позволяя серверу отправлять замену открытых ключей до того, как старые будут удалены.

Дополнительные ключи хоста принимаются только в том случае, если ключ, используемый для аутентификации хоста, уже был доверен или явно принят пользователем, хост был аутентифицирован UserKnownHostsFile(т. Е. Нет GlobalKnownHostsFile) и хост был аутентифицирован с использованием простого ключа, а не сертификата.

UpdateHostKeysвключен по умолчанию, если пользователь не переопределил UserKnownHostsFileнастройку по умолчанию и не включил VerifyHostKeyDNS, в противном случае UpdateHostKeysбудет установлено значение no.

Если UpdateHostKeysустановлено ask, то пользователя просят подтвердить изменения в файле known_hosts. Подтверждение в настоящее время несовместимо с ControlPersistи будет отключено, если оно включено.

В настоящее время только sshd (8) от OpenSSH 6.8 и выше поддерживают расширение протокола hostkeys@openssh.com, используемое для информирования клиента обо всех ключах хоста сервера.

U ser

Задает пользователя для входа в систему. Это может быть полезно, когда на разных машинах используется другое имя пользователя. Это избавляет от необходимости не забывать указывать имя пользователя в командной строке.

U serKnownHostsFile

Задает один или несколько файлов для использования в базе данных ключей хоста пользователя, разделенных пробелом. Каждое имя файла может использовать нотацию тильды для обозначения домашнего каталога пользователя, токены описаны в ТОКЕНОВ раздел и переменные среды, как описано в ПЕРЕМЕННЫЕ ОКРУЖАЮЩЕЙ СРЕДЫ раздел. По умолчанию~ / .ssh / known_hosts, ~ / .ssh / known_hosts2.

V erifyHostKeyDNS

Указывает, следует ли проверять удаленный ключ с помощью записей ресурсов DNS и SSHFP. Если для этого параметра установлено значение yes, клиент будет неявно доверять ключам, которые соответствуют защищенному отпечатку пальца от DNS. Небезопасные отпечатки пальцев будут обрабатываться, как если бы для этого параметра было установлено значение ask. Если для этого параметра установлено значение ask, будет отображаться информация о совпадении отпечатка пальца, но пользователю все равно потребуется подтвердить новые ключи хоста в соответствии с StrictHostKeyCheckingпараметром. По умолчанию это no.

Смотрите также ПРОВЕРКА КЛЮЧЕЙ ХОЗЯИНА в ssh (1) .

V isualHostKey

Если этот флаг установлен в yes, художественное представление ASCII отпечатка ключа удаленного хоста печатается в дополнение к строке отпечатка при входе в систему и для неизвестных ключей хоста. Если этот флаг установлен в no(по умолчанию), строки отпечатка пальца не печатаются при входе в систему, и только строка отпечатка пальца будет печататься для неизвестных ключей хоста.

X AuthLocation

Задает полный путь к xauth (1) программа. По умолчанию / usr / X11R6 / bin / xauth.

У ЗОРЫ

А ш аблон состоит из нуля или более непробельных символов, '*' (подстановочный знак, который соответствует нулю или более символам) или '?' (подстановочный знак, соответствующий ровно одному символу). Например, чтобы указать набор объявлений для любого хоста в наборе доменов ".co.uk", можно использовать следующий шаблон:

Host *.co.uk

Следующий шаблон будет соответствовать любому хосту в диапазоне сети 192.168.0. [0-9]:

Host 192.168.0.?

А список шаблонов список шаблонов, разделенных запятыми. Шаблоны в списках шаблонов можно отменить, поставив перед ними восклицательный знак ('!'). Например, чтобы разрешить использование ключа из любого места внутри организации, кроме пула "dialup", можно использовать следующую запись (в authorized_keys):

from="!*.dialup.example.com,*.example.com"

Учтите, что отрицательное совпадение само по себе не даст положительного результата. Например, попытка сопоставить host3 со следующим списком шаблонов не удастся:

from="!host1,!host2"

Решение здесь - включить термин, который даст положительное совпадение, например подстановочный знак:

from="!host1,!host2,*"

Т ОКЕНОВ

Аргументы некоторых ключевых слов могут использовать токены, которые расширяются во время выполнения:

%%

Буквальный "%".

% C

Хеш% l% h% p% r.

% d

Домашний каталог локального пользователя.

% f

Отпечаток ключа хоста сервера.

%ЧАС

В known_hosts имя хоста или адрес, который ищется.

%час

Имя удаленного хоста.

%Я

Строка, описывающая причину KnownHostsCommandвыполнения: либо ADDRESSпри поиске хоста по адресу (только если CheckHostIPон включен), HOSTNAMEпри поиске по имени хоста, либо ORDERпри подготовке списка предпочтений алгоритма ключа хоста для использования для хоста назначения.

%я

ID локального пользователя.

% K

Ключ хоста в кодировке base64.

% k

Псевдоним ключа хоста, если он указан, в противном случае - исходное имя удаленного хоста, указанное в командной строке.

% L

Имя локального хоста.

% l

Имя локального хоста, включая имя домена.

% n

Исходное имя удаленного хоста, указанное в командной строке.

%п

Удаленный порт.

%р

Имя удаленного пользователя.

% T

Местный чан (4) или же кран (4) сетевой интерфейс назначается, если была запрошена пересылка туннеля, или «NONE» в противном случае.

% t

Тип ключа хоста сервера, например ssh-ed25519

% u

Локальное имя пользователя.

CertificateFile, ControlPath, IdentityAgent, IdentityFile, KnownHostsCommand, LocalForward, Match exec, RemoteCommand, RemoteForward, И UserKnownHostsFileпринимать маркеры %%,% C,% d,% Н,% I,% L,% л,% п,% р,% г и% и.

KnownHostsCommand дополнительно принимает токены% f,% H,% I,% K и% t.

Hostname принимает токены %% и% h.

LocalCommand принимает все токены.

ProxyCommand принимает токены %%,% h,% n,% p и% r.

П ЕРЕМЕННЫЕ ОКРУЖАЮЩЕЙ СРЕДЫ

Аргументы некоторых ключевых слов могут быть расширены во время выполнения из переменных среды на клиенте, заключив их ${}, например ${HOME}/.ssh, в каталог пользователя .ssh. Если указанная переменная среды не существует, будет возвращена ошибка, а настройка для этого ключевого слова будет проигнорирована.

Ключевые слова CertificateFile, ControlPath, IdentityAgent, IdentityFile KnownHostsCommand, и UserKnownHostsFileпеременные среды поддержки. Ключевые слова LocalForwardи RemoteForwardпеременные среды поддержки только для путей сокетов домена Unix.

Ф АЙЛЫ

~ / .ssh / config

Это файл конфигурации для каждого пользователя. Формат этого файла описан выше. Этот файл используется клиентом SSH. Из-за возможности злоупотребления этот файл должен иметь строгие разрешения: чтение / запись для пользователя и не доступный для записи другим лицам.

/ и т.д. / SSH / ssh_config

Общесистемный файл конфигурации. Этот файл предоставляет значения по умолчанию для тех значений, которые не указаны в файле конфигурации пользователя, а также для тех пользователей, у которых нет файла конфигурации. Этот файл должен быть доступен для чтения всем.

С МОТРИТЕ ТАКЖЕ

ssh (1)

А ВТОРЫ

OpenSSH является производным от оригинального и бесплатного выпуска ssh 1.2.12 от Тату Илонен. Аарон Кэмпбелл, Боб Бек, Маркус Фридл, Нильс Провос, Тео де Раадт и Выкопанная песня удалил много ошибок, повторно добавил новые функции и создал OpenSSH. Маркус Фридл внесла поддержку протоколов SSH версий 1.5 и 2.0.