NOME
ssh_config — file di configurazione per il client SSH di OpenSSH
SINTASSI
$HOME/.ssh/config
/etc/ssh/ssh_config
DESCRIZIONE
ssh ottiene i dati della configurazione dalle fonti seguenti (nell’ordine dato):
1.
opzioni sulla linea di comando
2.
file di configurazione dell’utente ($HOME/.ssh/config)
3.
file di configurazione generale (/etc/ssh/ssh_config)
Ad ognuno dei parametri verrà assegnato il primo valore ottenuto. I file di configurazione contengono sezioni segnalate dalla parola chiave ’’Host’’ con accanto modelli descrittori di host (o pattern); ogni sezione si applica soltanto a quegli host che soddisfano uno dei modelli dati nella descrizione. Il nome d’host digitato sulla linea di comando verrà confrontato con i modelli delle descrizioni.
Dal momento che di ogni parametro verrà utilizzato il primo valore ottenuto, le eventuali dichiarazioni multiple specifiche per host dovrebbero essere fornite all’inizio del file, mentre quelle generali (valide per tutti gli host) dovrebbero trovarsi in coda.
Il file di configurazione ha il formato seguente:
Le linee vuote e quelle che iniziano per ’#’ sono commenti.
In tutti gli altri casi, una linea avrà il formato ’’parola-chiave argomenti’’. Le opzioni di configurazione possono essere separate semplicemente da spazi, oppure da spaziature e un solo segno di uguaglianza ’=’; quest’ultimo formato è utile quando venissero indicate le opzioni di configurazione −o (valide per ssh, scp e sftp), per evitare di dover mettere gli spazi tra virgolette.
Le parole chiave utilizzabili, insieme ai loro significati, sono elencate di seguito (si noti che le parole chiave possono essere indicate tanto in lettere maiuscole che in minuscole, mentre per gli argomenti questo non è più vero):
Host
Circoscrive le dichiarazioni successive (fino alla susseguente parola chiave Host) ai soli host corrispondenti ai modelli forniti dopo la parola chiave. Nei modelli possono essere usati i metacaratteri ’*’ e ’’?. Un singolo metacarattere ’*’ rappresenta tutti gli host. L’host è l’argomento nomehost fornito sulla linea di comando (cioè, il nome non viene convertito in un nome di host regolare prima del confronto col modello).
AFSTokenPassing
Indica il passaggio dei token AFS all’host remoto. L’argomento per questa parola chiave deve essere ’’yes’’ o ’’no’’. Quest’opzione si applica alla sola versione 1 del protocollo.
BatchMode
Se impostata a ’’yes’’, la richiesta della password viene disabilitata. Quest’opzione è utile negli script e negli altri job eseguiti in batch (ossia in sequenza) per i quali nessun utente può essere presente per fornire la password. L’argomento deve essere ’’yes’’ o ’’no’’ ed è predefinito come ’’no’’.
BindAddress
Indica l’interfaccia da cui trasmettere per macchine con più interfacce o più indirizzi di alias. Si noti che quest’opzione non funziona se UsePrivilegedPort è impostata a ’’yes’’.
ChallengeResponseAuthentication
Indica se va usata l’autenticazione con risposta a challenge. L’argomento di questa parola chiave deve essere ’’yes’’ o ’’no’’. Il valore predefinito è ’’yes’’.
CheckHostIP
Se quest’opzione è impostata a ’’yes’’, ssh controllerà anche l’indirizzo IP dell’host nel file known_hosts. Questo permette a ssh di accorgersi se la chiave di un host è cambiata a causa dello spoofing del DNS. Se l’opzione è impostata a ’’no’’, il controllo non sarà eseguito. È predefinita a ’’yes’’.
Cipher
Indica il tipo di cifratura da utilizzare per cifrare la sessione nella versione 1 del protocollo. Attualmente sono supportati ’’blowfish’’, ’’3des’’, e ’’des’’. des è supportato soltanto nel client di ssh_config per mantenere l’interoperabilità con le precedenti implementazioni effettuate con il protocollo 1, cioè quelle che non supportano la cifratura 3des. Il suo utilizzo è fortemente sconsigliato a causa della sua debolezza. Il tipo di cifratura predefinito è ’’3des’’.
Ciphers
Indica i tipi di cifratura consentiti per la versione 2 del protocollo, in ordine di preferenza. I tipi di cifratura devono essere separati da virgole. Il valore predefinito è:
’’aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,
aes192-cbc,aes256-cbc’’
ClearAllForwardings
Indica che tutte le porte locali, remote e dinamiche, indicate per l’inoltro della connessione nel file di configurazione o sulla linea di comando, vanno azzerate. Quest’opzione è utile principalmente quando è usata con ssh_config sulla linea di comando, per azzerare le porte di inoltro della connessione impostate nei file di configurazione; è impostata automaticamente da scp(1) e sftp(1). L’argomento deve essere ’’yes’’ o ’’no’’. Il valore predefinito è ’’no’’.
Compression
Indica se utilizzare o meno la compressione. L’argomento deve essere ’’yes’’ o ’’no’’ ed è predefinito come ’’no’’.
CompressionLevel
Se è stata abilitata la compressione, quest’opzione indica il livello di compressione da impiegare. L’argomento deve essere un intero da 1 (rapido) a 9 (lento, massimo). Il livello predefinito è 6, valido per la maggior parte delle applicazioni. Il significato dei valori è identico a quello di gzip(1). Si noti che quest’opzione si applica alla sola versione 1 del protocollo.
ConnectionAttempts
Indica il numero di tentativi da effettuare (uno al secondo) prima di ritornare nella rsh o prima dell’uscita. L’argomento deve essere un numero intero. Può essere utile negli script, quando la connessione tenda a cadere. Il valore predefinito è 1.
DynamicForward
Indica che una porta TCP/IP sulla macchina locale va utilizzata per l’inoltro della connessione attraverso il canale sicuro e il protocollo dell’applicazione viene usato per determinare dove va effettuata la connessione dalla macchina remota. L’argomento deve essere un numero di porta. Attualmente è supportato il protocollo SOCKS4 e ssh_config funzionerà come server SOCKS4. Possono essere indicate più porte e altre aggiuntive possono essere immesse sulla linea di comando. Solo il superutente può inoltrare le porte privilegiate.
EscapeChar
Imposta il carattere di escape (predefinito come ’~’). Il carattere di escape può essere impostato anche sulla linea di comando. L’argomento deve essere un singolo carattere, ’^’ seguito da una lettera o da ’’none’’ per disabilitare del tutto il carattere di escape (rendendo così trasparente la connessione per i dati binari).
ForwardAgent
Indica se la connessione all’agente di autenticazione (se presente) verrà inoltrata alla macchina remota. L’argomento deve essere ’’yes’’ o ’’no’’. Il valore predefinito è ’’no’’.
Questo tipo di inoltro dovrebbe essere abilitato con cautela. Gli utenti che hanno la possibilità di eludere i permessi dei file sull’host remoto (per il socket di dominio Unix dell’agente) possono accedere all’agente locale attraverso la connessione inoltrata. Un aggressore non può ottenere la chiave materiale dall’agente; tuttavia, può effettuare operazioni sulle chiavi per abilitarlo all’autenticazione usando le identità caricate nell’agente.
ForwardX11
Indica se le connessioni X11 verranno ridirette automaticamente attraverso il canale sicuro e se verrà impostata la variabile DISPLAY. L’argomento deve essere ’’yes’’ o ’’no’’. Il valore predefinito è ’’no’’.
Questo tipo di inoltro dovrebbe essere abilitato con cautela. Gli utenti che hanno la possibilità di eludere i permessi dei file sull’host remoto (per il database contenente gli utenti autorizzati a X) possono accedere al display X11 locale attraverso la connessione inoltrata. Un aggressore può essere in grado di effettuare azioni come il controllo della digitazione dei tasti.
GatewayPorts
Indica se gli host remoti possono connettersi alle porte locali inoltrate. Come comportamento predefinito, ssh_config vincola l’inoltro delle porte locali all’indirizzo di loopback. Ciò impedisce che host remoti possano connettersi alle porte inoltrate. GatewayPorts può essere usato per indicare che ssh_config vincolerà l’inoltro delle porte locali all’indirizzo espresso attraverso un metacarattere, consentendo in tal modo agli host remoti di connettersi alle porte inoltrate. L’argomento deve essere ’’yes’’ o ’’no’’. Il valore predefinito è ’’no’’. È predefinito come ’’no’’.
GlobalKnownHostsFile
Indica un file da utilizzare come database generale delle chiavi per host invece di /etc/ssh/ssh_known_hosts.
HostbasedAuthentication
Indica se vada provata l’autenticazione basata su rhosts con l’autenticazione a chiave pubblica. L’argomento deve essere ’’yes’’ o ’’no’’. Il valore predefinito è ’’no’’. È predefinito come ’’no’’. Quest’opzione vale solo per la versione 2 del protocollo ed è simile a RhostsRSAAuthentication.
HostKeyAlgorithms
Indica, in ordine di preferenza, gli algoritmi per la chiave su host (versione 2 del protocollo) che il client userà. Il valore predefinito per quest’opzione è: ’’ssh-rsa,ssh-dss’’.
HostKeyAlias
Indica un alias che andrebbe utilizzato al posto del nome reale dell’host in fase di ricerca del suo indirizzo (look up) o quando si salva la chiave dell’host nei file dei database relativi. Quest’opzione è utile per realizzare connessioni attraverso un tunnel ssh o per far funzionare più server su un singolo host.
HostName
Indica il nome reale dell’host cui connettersi; può essere usato per indicare i nickname o le abbreviazioni degli host. Il nome predefinito è quello dato sulla linea di comando. Anche gli indirizzi IP numerici sono ammessi (sia da linea di comando che attraverso l’indicazione in HostName).
IdentityFile
Indica un file dal quale verrà letta la chiave privata per l’autenticazione RSA o DSA dell’utente. Il file predefinito è $HOME/.ssh/identity per la versione 1 del protocollo, mentre è la coppia $HOME/.ssh/id_rsa e $HOME/.ssh/id_dsa per la versione 2. Inoltre, ogni identificazione rappresentata dall’agente di autenticazione verrà utilizzata per l’autenticazione stessa. All’interno del nome del file può essere usato il carattere tilde (~) per far riferimento alla directory personale (home) dell’utente. È possibile indicare più file di identificazione nei file di configurazione; tutte queste identificazioni verranno provate in successione.
KeepAlive
Indica se il sistema invierà messaggi TCP keepalive all’altro capo della connessione. Se tali messaggi verranno inviati, la caduta della connessione o il crash di una delle macchine saranno opportunamente notificati. Comunque, ciò comporta la caduta delle connessioni qualora l’instradamento fosse temporaneamente disabilitato (down) e qualcuno potrebbe trovarlo fastidioso.
Quest’opzione è predefinita a ’’yes’’ (cioè i messaggi keepalive vengono inviati) e il client segnalerà la disconnessione della rete o il crash dell’host remoto. Questo torna utile negli script e molti utenti ne vorranno trarre beneficio.
Per disattivare l’invio dei messaggi keepalive occorre impostare il valore a ’’no’’.
KerberosAuthentication
Indica se verrà usata l’autenticazione Kerberos. L’argomento di questa parola chiave deve essere ’’yes’’ o ’’no’’.
KerberosTgtPassing
Indica se al server verrà inoltrato un TGT Kerberos. Questo funzionerà soltanto se il server Kerberos è in realtà un kaserver AFS. L’argomento di questa parola chiave deve essere ’’yes’’ o ’’no’’.
LocalForward
Indica che una porta TCP/IP sulla macchina locale venga usata (inoltrata) per la comunicazione (attraverso il canale sicuro) con la macchina remota, attraverso l’indicazione di host e porta. Il primo argomento deve essere un numero di porta, mentre il secondo deve essere host:porta. Gli indirizzi IPv6 possono essere indicati con una sintassi alternativa: host/porta. Gli inoltri (o forward) multipli sono ammessi e quelli aggiuntivi possono essere indicati sulla linea di comando. Soltanto il superutente può effettuare l’inoltro sulle porte privilegiate.
LogLevel
Indica la ricchezza di informazioni utilizzate durante le registrazioni dei messaggi. I valori possibili sono: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 e DEBUG3. Il valore predefinito è INFO. DEBUG e DEBUG1 sono equivalenti. DEBUG2 e DEBUG3 indicano livelli di output sempre più ricchi di informazioni.
MACs
Indica gli algoritmi di MAC (message authentication code) in ordine di preferenza. L’uso degli algoritmo MAC è stato introdotto nella versione 2 del protocollo, per protezione dell’integrità dei dati. Gli algoritmi devono essere separati con virgole. La sequenza predefinita degli algoritmi è ’’hmac-md5,hmac-sha1,hmac-ripemd160,hmac-sha1-96,hmac-md5-96’’.
NoHostAuthenticationForLocalhost
Quest’opzione può essere utilizzata se la propria directory personale (home) è condivisa tra più macchine. In questo caso il termine «localhost» farà riferimento ogni volta ad una macchina diversa e l’utente riceverà molti avvisi legati alle variazioni delle chiavi di host. Quest’opzione disabilita l’autenticazione dell’host per localhost. L’argomento di questa parola chiave deve essere ’’yes’’ o ’’no’’. Come comportamento predefinito, la chiave di host del localhost verrà verificata.
NumberOfPasswordPrompts
Indica il numero massimo di richieste della password prima di scollegare l’utente. L’argomento deve essere un intero. Il valore predefinito è 3.
PasswordAuthentication
Indica se deve essere utilizzata l’autenticazione della password. L’argomento deve essere ’’yes’’ o ’’no’’. Il valore predefinito è ’’yes’’.
Port
indica il numero di porta dell’host remoto cui connettersi. Il valore predefinito è 22.
PreferredAuthentications
Indica l’ordine in cui il client dovrebbe provare i metodi di autenticazione del protocollo 2. Ciò consente ad un client di preferire un metodo (ad es. keyboard-interactive) ad un altro (ad es. password) Il valore predefinito per quest’opzione è: ’’hostbased,publickey,keyboard-interactive,password’’.
Protocol
Indica, in ordine di preferenza, quali versioni del protocollo dovrebbero essere gestite da ssh_config. I valori possibili sono ’’1’’ e ’’2’’. Si possono indicare più versioni, avendo cura di separarle con virgole. Il valore predefinito è ’’2,1’’. Ciò significa che ssh_config prova prima la versione 2; se questa non fosse disponibile, prova la versione 1.
ProxyCommand
Indica il comando da utilizzare per connettersi al server. La stringa che compone il comando si estende fino alla fine della riga e viene eseguita con /bin/sh. Nella stringa del comando, ’%h’ verrà sostituito con il nome dell’host cui connettersi e ’%p’ con la porta. Il comando può essere uno qualsiasi, che legge dal suo standard input e scrive sul suo standard output; alla fine viene effettuata la connessione a un server sshd(8) in funzione su qualche macchina, oppure ad uno che esegue sshd -i (NdT: l’opzione -i fa eseguire sshd attraverso inetd). La gestione della chiave dell’host sarà effettuata usando il valore di HostName dell’host cui ci si connette (il cui valore predefinito è quello digitato sulla riga di comando dall’utente). Si noti che l’uso di CheckHostIP non è compatibile con una connessione effettuata tramite un comando proxy.
PubkeyAuthentication
Indica se va effettuata l’autenticazione della chiave pubblica. L’argomento di questa parola chiave deve essere ’’yes’’ o ’’no’’. Il valore predefinito è ’’yes’’. Quest’opzione si applica soltanto alla versione 2 del protocollo.
RemoteForward
Indica che una porta TCP/IP sulla macchina remota deve essere inoltrata dalla macchina locale verso host e porta specificati attraverso il canale sicuro. Il primo argomento deve essere un numero di porta, mentre il secondo deve essere host:porta. Gli indirizzi IPv6 possono essere indicati con una sintassi diversa: host/porta. Possono essere indicati più inoltri; inoltri aggiuntivi possono essere forniti in riga di comando. Solo il superutente può effettuare l’inoltro delle porte privilegiate.
RhostsAuthentication
Indica se va utilizzata l’autenticazione basata sugli rhosts Si noti che questa dichiarazione ha effetto solo per il client e nessuna influenza sulla sicurezza. La maggior parte dei server non permettono l’uso di RhostsAuthentication perché è insicuro (si veda RhostsRSAAuthentication). L’argomento di questa parola chiave deve essere ’’yes’’ o ’’no’’. l valore predefinito è ’’no’’. Quest’opzione si applica alla sola versione 1 del protocollo e necessita che ssh sia impostato come setuid del root e che UsePrivilegedPort sia impostato a ’’yes’’.
RhostsRSAAuthentication
Indica se va utilizzata l’autenticazione basata su rhosts insieme all’autenticazione RSA. L’argomento deve essere ’’yes’’ o ’’no’’. Il valore predefinito è ’’no’’. Quest’opzione si applica alla sola versione 1 del protocollo e necessita che ssh sia impostato come setuid del root.
RSAAuthentication
Indica se va provata l’autenticazione RSA. L’argomento di questa parola chiave deve essere ’’yes’’ o ’’no’’. L’autenticazione RSA sarà tentata solo se esiste il file di identificazione, oppure se è in funzione un agente di autenticazione. Il valore predefinito è ’’yes’’. Si noti che quest’opzione si applica alla sola versione 1 del protocollo.
SmartcardDevice
Indica il dispositivo di smartcard da utilizzare. L’argomento di questa parola chiave è il dispositivo che ssh_config dovrebbe utilizzare per comunicare con una smartcard che abbia memorizzata la chiave RSA privata dell’utente. Come valore predefinito, nessun dispositivo è indicato, cosicché il supporto delle smartcard è disattivato.
StrictHostKeyChecking
Se quest’opzione è impostata a ’’yes’’, ssh_config non aggiungerà automaticamente le chiavi degli host al file $HOME/.ssh/known_hosts, e rifiuterà di connettersi agli host la cui chiave host sia stata cambiata. Ciò fornisce una maggior protezione contro gli attacchi mediante cavalli di troia; tuttavia, può essere problematico nei casi in cui il file /etc/ssh/ssh_known_hosts venga sottoposto a poca manutenzione, oppure quando le connessioni ai nuovi host vengono fatte molto spesso. Quest’opzione obbliga l’utente a aggiungere manualmente tutti i nuovi host. Se quest’opzione è impostata a ’’no’’, ssh_config aggiungerà automaticamente le chiavi dei nuovi host ai file degli host noti. Se quest’opzione è impostata a ’’ask’’, le chiavi dei nuovi host verranno aggiunte solo dopo che l’utente abbia dato conferma e ssh_config si rifiuterà di connettersi agli host la cui chiave sia cambiata. In ogni caso, le chiavi degli host conosciuti saranno verificate automaticamente. L’argomento deve essere ’’yes’’, ’’no’’ o ’’ask’’. Il valore predefinito è ’’ask’’.
UsePrivilegedPort
Indica se per le connessioni uscenti vada usata una porta privilegiata. L’argomento deve essere ’’yes’’ o ’’no’’. Il valore predefinito è ’’no’’. Se è impostato a ’’yes’’, ssh deve essere impostato come setuid del root. Si noti che quest’opzione deve essere impostata a ’’yes’’ qualora le autenticazioni RhostsAuthentication e RhostsRSAAuthentication siano necessarie con i server più datati
User
Indica l’utente con cui si fa la connessione. Quest’opzione può essere utile quando si utilizzano nomi diversi su macchine differenti; in tal caso si evita di dover dare il nome di utente sulla riga di comando.
UserKnownHostsFile
Indica un file da utilizzare come fonte delle chiavi di host, invece di $HOME/.ssh/known_hosts.
XAuthLocation
Indica la posizione del programma xauth(1). Il valore predefinito è /usr/X11R6/bin/xauth.
FILE
$HOME/.ssh/config
Questo è il file di configurazione specifico dell’utente, il cui formato è descritto nella sezione precedente. Questo file è utilizzato dal client ssh. Esso non contiene, di solito, informazioni sensibili, ma si raccomanda di imporre i permessi di lettura/scrittura per l’utente proprietario e di renderlo inaccessibile a chiunque altro.
/etc/ssh/ssh_config
Il file di configurazione generale; esso fornisce i valori predefiniti per quei valori non altrimenti specificati nel file di configurazione dell’utente, e per quegli utenti privi del file di configurazione. Questo file deve essere leggibile da tutti.
AUTORI
OpenSSH è derivato dall’originale e libero ssh 1.2.12 di Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt e Dug Song ne hanno eliminato molti bug, gli hanno inserito funzionalità aggiuntive e hanno creato OpenSSH. Markus Friedl ha contribuito fonendo il supporto per le versioni 1.5 e 2.9 del protocollo SSH.
Traduzione di Fabio Teatini. Revisione di Valentino Squilloni.
VEDERE ANCHE