JMÉNO
sshd − secure shell démon
POUŽITÍ
sshd [−b bitů] [−d ] [−f konfig_soubor] [−g login_grace_time] [−h host_key_file] [−i ] [−k key_gen_time] [−p port] [−q ] [−V version]
POPIS
Program sshd (secure shell démon) je server pro ssh. Program ssh nahrazuje programy rlogin a rsh a zajišťuje bezpečnou šifrovanou komunikaci mezi dvěma nedůvěryhodnými počítači přes nezabezpečenou síť. Programy ssh a sshd jsou navrženy tak, aby jejich instalace a používání bylo co nejjednodušší.
Sshd je démon, který vyřizuje spojení klientů. Normálně je startován při bootu ze souboru /etc/rc.local nebo jeho ekvivalentu. Pro každé přicházející spojení vytváří nový podproces. Tyto procesy-potomci zajišťují výměnu klíčů, šifrování, autentizaci, provedení příkazů, a výměnu dat.
Sshd pracuje takto: Každý počítač má svůj vlastní RSA klíč (normálně 1024 bitový), který je používán pro identifikaci počítače. Navíc když démon startuje, vygeneruje RSA klíč serveru (normálně 768 bitový). Tento klíč není nikdy ukládán na disk, a jestliže je používán, je znovu generován každou hodinu.
Kdykoli se klient připojí na démona, démon pošle klientovi svůj veřejný klíč počítače. Klient jej porovná se svou databází, aby ověřil, že nebyl změněn. Potom vygeneruje 256 bitové náhodné číslo, které zašifruje použitím obou výše zmíněných klíčů a výsledek pošle na server. Obě strany potom začnou používat toto náhodné číslo jako session klíč pro šifrování veškeré další komunikace konvenční šifrou v rámci celé session. V současnosti jsou podporovány šifry IDEA , DES , 3DES , ARCFOUR , a TSS (rychlý doma navržený algoritmus). Implicitně je použita šifra IDEA . Klient vybere jeden z algoritmů podporovaných serverem.
Potom server a klient zahájí autentizační dialog. Klient se pokusí autentizovat pomocí . rhosts autentizace, . rhosts autentizace kombinované s RSA autentizací počítače, RSA autentizace výzva-odpověď, TIS autentizace, nebo autentizace založené na přihlašovacím heslu.
Rhosts autentizace je normálně zakázána, protože je v principu nebezpečná, ale pokud je požadována, lze ji v konfiguračním souboru serveru povolit. Pokud nejsou zakázány služby rshd(8), rlogind(8), rexecd(8), a rexd (8) není bezpečnost systému použitím ssh zlepšena. Zákaz zmíněných služeb ovšem zcela znemožní přihlášení na tento stroj pomocí rlogin(1) a rsh(1)).
Jestliže se klient úspěšně autentizuje, je zahájen dialog pro přípravu session. V tomto okamžiku může klient požadovat služby jako alokování pseudoterminálu, forwardování X11 spojení, forwardování TCP/IP spojení, nebo forwardování spojení pro autentizačního agenta bezpečným kanálem.
Na závěr klient buď požaduje spuštění shellu nebo provedení příkazu. Obě strany potom vstoupí do režimu spojení. V tomto režimu může každá strana posílat kdykoli data, a tato data jsou forwardována mezi shellem nebo příkazem na straně serveru, a uživatelovým terminálem na straně klienta.
Když uživatelský program skončí a všechna forwardovaná X11 a jiná spojení jsou uzavřena, server vrátí klientovi ukončovací kód příkazu a obě strany skončí.
Program sshd může být zkonfigurován pomocí voleb v příkazovém řádku nebo pomocí konfiguračního souboru. Volby v příkazovém řádku mají přednost před hodnotami zadanými v konfiguračním souboru.
Pokud je démonu sshd zaslán signál hangup (SIGHUP), načte znovu svůj konfigurační soubor.
VOLBY
−b bitů
Určuje počet bitů v klíči serveru (implicitně 768).
−d |
Ladící režim. Server zapisuje podrobný ladící výstup do systémového logu a neběží v pozadí. Server také nebude vytvářet podprocesy a bude zpracovávat pouze jedno spojení. Tato volba je určena pouze pro ladění serveru. |
−f konfig_soubor
Určuje jméno konfiguračního souboru. Implicitně /etc/ssh/sshd_config.
−g login_grace_time
Udává časový limit, v němž se klienti musí autentizovat (implicitně 600 sekund). Jestliže klient neautentizuje uživatele během zadané doby, server odpojí klienta a skončí. Hodnota nula znamená žádný limit.
−h host_key_file
Určuje soubor, z něhož se čte klíč počítače (implicitně /etc/ssh/ssh_host_key). Tato volba musí být zadána, jestliže sshd není spuštěn jako root (normálně tento soubor není čitelný kýmkoli kromě roota).
−i |
Definuje, že sshd je spuštěn z inetd. Sshd normálně z inetd spouštěn není, protože než může odpovědět klientovi, musí vygenerovat klíč serveru, což může trvat desítky sekund. Pokud by klíč byl pokaždé znovu generován, klienti by museli čekat příliš dlouho. Pro klíče malé délky (například 512 bitů) však může být spuštění sshd z inetd možné. |
−k key_gen_time
Určuje, jak často má být znovu generován klíč serveru (implicitně 3600 sekund neboli 1 hodina). Důvodem pro poměrně časté generování klíče je, že i v případě, že by se počítače zmocnil cracker nebo by byl ukraden, nebude přibližně po hodině možné získat klíč pro dešifrování zachycené komunikace (klíč není nikde uložen). Hodnota nula znamená, že klíč nebude nikdy znovu generován.
−p port
Určuje číslo portu, na kterém server očekává spojení (implicitně 22).
−q |
Tichý režim. Do systémového logu se nic nepíše. Normálně se tam zapisuje začátek, autentizace a ukončení každého spojení. −V Režim kompatibility s SSH verze 2. Server při zadání této volby předpokládá, že řetězec s číslem verze už od klienta přečetl SSH démon verze 2 a proto nebude trvat na zaslání tohoto řetězce. |
KONFIGURAČNÍ SOUBOR
Program sshd znovu načítá konfiguraci ze souboru /etc/ssh/sshd_config (nebo souboru zadaného volbou -f na příkazovém řádku). Soubor obsahuje řádky s dvojicemi klíčové_slovo-hodnota. Řádky začínající
Jsou povolena
následující klíčová
slova. V klíčových slovech se
nerozlišují malá a velká
písmena.
AllowGroups
Toto klíčové slovo může být následováno libovolným počtem vzorků jmen skupin oddělených mezerami. Pokud je zadáno, je přihlášení povoleno pouze jestliže jméno primární skupiny uživatele vyhovuje některému ze vzorků. Ve vzorcích mohou být použity znaky ’*’ a ’?’ jako žolíky. Implicitně je povoleno přihlášení všech uživatelů.
Pamatujte, že i v tomto případě musí být při přihlašování úspěšně provedeny všechny ostatní autentizační kroky. AllowGroups a DenyGroups jsou dodatečná omezení.
AllowHosts
Toto klíčové slovo může být následováno libovolným počtem vzorků jmen počítačů oddělených mezerou. Pokud je zadáno, přihlášení je povoleno pouze z počítačů, jejichž jméno vyhovuje některému ze vzorků. Ve vzorcích mohou být použity znaky ’*’ a ’?’ jako žolíky. Normálně je pro získání kanonického jména počítače použito DNS. Jestliže jméno není nalezeno, bude jako jméno počítače použita IP adresa. Implicitně je povoleno připojení ze všech počítačů.
Pamatujte, že sshd může být také zkonfigurováno pro použití tcp_wrapperu použitím konfigurační volby --with-libwrap při překladu.
AccountExpireWarningDays
Určuje, kolik dní před vypršením účtu se budou vypisovat varování o tom, že účet vyprší. Implicitní hodnota je 14 dní. Nastavení na 0 zakáže vypisování varování.
AllowSHosts
Klíčové slovo může být následováno libovolným počtem vzorků jmen počítačů oddělených mezerami. Je-li zadáno, bude přihlíženo k položkám v souborech .shosts (a .rhosts a /etc/hosts.equiv) pouze u těch počítačů, jejichž jméno vyhovuje některému ze vzorků. Ve vzorcích mohou být použity znaky ’*’ a ’?’ jako žolíky. Pro získání kanonického jména strojů bude použito DNS. Pokud nelze kanonické jméno získat, bude jako jméno stroje použita jeho IP adresa. Implicitně je dovoleno připojení všem počítačům.
AllowTcpForwarding
Určuje, zda je povolen TCP forwarding. Implicitní hodnota je "yes". Pamatujte, že zákaz TCP forwardingu nijak nezlepší bezpečnost, protože uživatelé si mohou vždy nainstalovat vlastní forwardery.
AllowUsers
Toto klíčové slovo může být následováno libovolným počtem vzorků jmen uživatelů nebo vzorků tvaru uživatel@stroj oddělených mezerami. Stroj může být zadán buď doménovým jménem nebo IP adresou. Pokud je zadáno, bude přihlášení povoleno pouze pro uživatele, jejichž jména vyhovují některému ze vzorků. Ve vzorcích mohou být použity znaky uživatelů.
Pamatujte, že všechny ostatní autentizační kroky musí být stále úspěšně provedeny. Volby AllowUsers a DenyUsers jsou dodatečná omezení.
CheckMail
Určuje, zda má sshd vypisovat informace, jestli uživatel má novou poštu, při interaktivním přihlášení. (Na některých systémech je tato informace vypisována shellem, nebo ze souboru /etc/profile nebo jeho ekvivalentu.) Implicitní hodnota je "yes".
DenyGroups
Toto klíčové slovo může být následováno libovolným počtem vzorků jmen skupin oddělených mezerami. Pokud je zadáno, je všem uživatelům, jejichž primární jméno skupiny vyhovuje některému ze vzorků, zakázáno přihlášení.
DenyHosts
Toto klíčové slovo může být následováno libovolným počtem vzorků jmen počítačů oddělených mezerami. Pokud je zadáno, je zakázáno přihlášení ze všech počítačů, jejichž jméno vyhovuje některému ze vzorků.
DenySHosts
Toto klíčové slovo může být následováno libovolným počtem vzorků jmen počítačů oddělených mezerami. Je-li zadáno budou ignorovány položky v souborech .shosts (a .rhosts a /etc/hosts.equiv) u strojů, jejichž jména vyhovují některému ze vzorků.
DenyUsers
Toto klíčové slovo může být následováno libovolným počtem vzorků jmen uživatelů nebo vzorků tvaru uživatel@stroj oddělených mezerami. Stroj může být zadán buď doménovým jménem nebo IP adresou. Pokud je zadáno, je všem uživatelům, jejichž jméno vyhovuje některému ze vzorků, zakázáno přihlášení.
FascistLogging
Určuje, zda použít podrobné logování. Porušuje soukromí uživatelů a není doporučeno. Argument musí být "yes" nebo "none" (bez uvozovek). Implicitní hodnota je "none".
ForcedEmptyPasswdChange
Určuje, zda donutit uživatele ke změně hesla pokud je heslo prázdné (při prvním přihlášení). Argument musí být "yes" nebo "no" (bez uvozovek). Implicitní hodnota je "no".
ForcedPasswdChange
Určuje, zda nutit uživatele ke změně hesla pokud je heslo prošlé. Argument musí být "yes" nebo "no" (bez uvozovek). Implicitní hodnota je "yes".
HostKey
Určuje jméno souboru, který obsahuje soukromý klíč počítače (implicitně /etc/ssh/ssh_host_key).
IdleTimeout čas
Specifikuje dobu udržování nečinného spojení. Pokud v žádném kanálu používajícím určité ssh spojení neprobíhá po zadaný časový interval žádná komunikace, bude odpovídající podproces sshd zabit signálem SIGHUP a spojení bude uzavřeno. Časový limit je možné zadat v sekundách (písmeno s za číslem nebo pouze číslo), minutách (m), hodinách (h), dnech (d), nebo týdnech (w).
IgnoreRhosts
Určuje, že při autentizaci nabudou používány soubory rhosts a shosts. Soubory /etc/hosts.equiv a /etc/ssh/shosts.equiv budou stále používány. Implicitní hodnota je "none".
IgnoreRootRhosts
Určuje, že při autentizaci uživatele root nabudou používány soubory rhosts a shosts. Implicitní hodnotou je hodnota IgnoreRhosts.
KeepAlive
Specifikuje, zda má systém posílat protistraně udržovací zprávy (keepalive messages). Budou-li posílány, server bude schopen odhalit ukončení spojení nebo havárii klienta. Nevýhodou je, že k ukončení spojení může dojít i při dočasném přerušení komunikace (způsobeném například krátkým výpadkem sítě), což je pro některé uživatele nepřijatelné. Na druhou stranu, pokud udržovací zprávy nejsou zasílány, mohou na serveru zůstat viset neukončená spojení, která zatěžují server.
Implicitní hodnota je "yes" (posílat udržovací zprávy), při níž server bude informován o neočekávaných ukončeních spojení a bude uzavírat neaktivní session.
Pro zákaz posílání udržovacích zpráv, musí být hodnota nastavena na "none" v konfiguračním souboru serveru i klienta.
KerberosAuthentication
Určuje, zda je povolena autentizace protokolem Kerberos V5. Může být ve formě Kerberos tiketů, nebo pokud je povolena PasswordAuthentication, bude přihlašovací heslo zadané uživatelem ověřováno pomocí Kerberos KDC nebo DCE Security Server. Implicitní hodnota je yes.
KerberosOrLocalPasswd
Jestliže je nastaveno a selže autentizace přihlašovacího hesla protokolem Kerberos, pak bude přihlašovací heslo ověřováno pomocí lokálního mechanismu, jakým je soubor /etc/passwd nebo SecurID. Implicitní hodnota je "no".
KerberosTgtPassing
Určuje, zda může být Kerberos V5 TGT forwardován na server. Implicitní hodnota je yes.
KeyRegenerationInterval
Klíč serveru je opakovaně automaticky generován po uplynutí zadaného času (v sekundách). Účelem změn klíče je znemožnit dešifrování zachyceného spojení když by došlo k pozdějšímu proniknutí na počítač a krádeži klíčů. Klíč nikdy není nikde uložený. Je-li hodnota 0, klíč nebude nikdy znovu generován. Implicitní hodnota je 3600 (sekund).
ListenAddress
Určuje IP adresu rozhraní, na kterém je připojen server.
LoginGraceTime
Server se odpojí po uplynutí zadaného času, jestliže se uživatel nepřihlásí. Je-li hodnota 0, není žádný časový limit. Implicitní hodnota je 600 (sekund).
PasswordAuthentication
Určuje, zda je povolena autentizace přihlašovacím heslem. Implicitní hodnota je "yes".
PasswordExpireWarningDays
Určuje, kolik dní před vypršením hesla vypisovat varování. Implicitní hodnota je 14 dní. Nastavení na 0 způsobí, že varování nebudou vypisována.
PermitEmptyPasswords
Jestliže je povolena autentizace přihlašovacím heslem, určuje tato položka, zda server dovolí přihlášení na účet, který má prázdné přihlašovací heslo. Implicitní hodnota je "yes".
PermitRootLogin
Určuje, zda může být pomocí ssh přihlášen root. Může být nastaveno na "yes", "nopwd", nebo "none". Implicitní hodnota je "yes", která umožňuje, aby se uživatel root mohl přihlásit s použitím jakéhokoli autentizačního mechanismu povoleného pro jiné uživatele. Hodnota "nopwd" zakazuje autentizaci přihlašovacím heslem. Hodnota "none" zakazuje přihlašování uživatele root s použitím jakékoli autentizační metody. (Hodnoty "nopwd" a "none" jsou ekvivalentní, pokud nejsou v domovském adresáři uživatele root soubory .rhosts, .shosts, nebo .ssh/authorized_keys.)
Bez ohledu na hodnotu tohoto nastavení bude povoleno vzdálené provedení příkazu uživatelem root s RSA autentizací (tj. příkaz ssh musí obsahovat parametr "příkaz"). Užitečné například pro vzdálené zálohování.
PidFile
Určuje umístění souboru, který obsahuje process ID hlavního sshd démona (implicitně /etc/sshd.pid nebo /var/run/sshd.pid, podle systému).
Port |
Určuje číslo portu, na němž sshd očekává spojení. Implicitní hodnota je 22. |
PrintMotd
Určuje, zda sshd bude vypisovat /etc/motd když se uživatel přihlásí interaktivně. (Na některých systémech se tento soubor vypisuje zvláštním příkazem umístěným v /etc/profile nebo obdobném souboru.) Implicitní hodnota je "yes".
QuietMode
Určuje, zda sshd běží v tichém režimu. V tomto režimu se do log souboru vypisují pouze fatální chyby (fatal errors). Implicitní hodnota je "none".
RandomSeed
Definuje jméno souboru obsahující hnízdo náhodných čísel pro server; tento soubor je vytvořen automaticky a pravidelně je aktualizován. Implicitní hodnota je /etc/ssh/ssh_random_seed.
RhostsAuthentication
Určuje, zda je dostačující autentizace pomocí souborů rhosts nebo /etc/hosts.equiv. Normálně tato metoda nesmí být povolena, protože je nebezpečná. Místo ní by měla být použita RhostsRSAAuthentication, protože kromě normální autentizace používající soubory rhosts nebo /etc/hosts.equiv provádí RSA autentizaci počítače. Implicitní hodnota je "none".
RhostsRSAAuthentication
Určuje, zda je dovolena rhosts nebo /etc/hosts.equiv autentizace spolu s úspěšnou RSA autentizací počítače. Implicitní hodnota je "yes".
RSAAuthentication
Určuje, zda je povolena samotná RSA autentizace. Implicitní hodnota je "yes".
ServerKeyBits
Udává délku klíče serveru v bitech. Minimální hodnota je 512, implicitní 768.
SilentDeny
Určuje, zda odmítnutá spojení jsou odmítnuta tiše (pouze se uzavře spojení bez zanesení informací do logu), nebo zda bude zasláno klientovi chybové hlášení a pokus o spojení bude zanesen do logu.
StrictModes
Určuje, zda ssh bude kontrolovat práva a vlastníka uživatelova domovského adresáře a souboru rhosts před přihlášením. Obvykle žádoucí, protože začátečníci někdy omylem nechají svůj adresář nebo své soubory zapisovatelné pro všechny. Implicitní hodnota je "yes".
SyslogFacility
Udává jméno facility použité programem sshd pro zanášení chybových hlášení do logu. Možné hodnoty jsou: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Implicitní hodnota je DAEMON.
TISAuthentication
Určuje, zdali je povolena autentizace pomocí TIS authsrv(8). Implicitní hodnota je "none".
Umask |
Nastaví implicitní hodnotu umask pro sshd a jeho podprocesy. Hodnota musí začínat číslicí 0, aby byla brána jako osmičkové číslo! Implicitně není umask nastavena. |
X11Forwarding
Určuje, zda X11 je povoleno forwardování. Implicitní hodnota je "yes". Pamatujte, že zákaz X11 forwardování nezlepší bezpečnost, protože uživatelé si mohou vždy nainstalovat svoje vlastní forwardery.
X11DisplayOffset
Určuje první číslo displeje použitelné pro X11 forwarding. Slouží k tomu, aby se čísla displejů používaných sshd nepřekrývala s čísly používanými skutečnými X11 servery.
XAuthLocation
Určuje cestu k programu xauth.
PROCES PŘIHLAŠOVÁNÍ
Když se uživatel úspěšně přihlásí, sshd provede následující akce:
1. |
Jestliže je přihlášen na tty, a nebyl zadán žádný příkaz, vypíše čas posledního přihlášení a obsah souboru /etc/motd (pokud není zakázáno v konfiguračním souboru nebo souborem $HOME/ . hushlogin; viz sekce SOUBORY). | ||
2. |
Jestliže je přihlášen na tty, zaznamená čas přihlášení. | ||
3. |
Zkontroluje /etc/nologin; pokud existuje, vypíše jeho obsah a skončí (není-li uživatel root). | ||
4. |
Přepne na normální uživatelova práva. | ||
5. |
Nastaví základní prostředí. | ||
6. |
Načte soubor /etc/environment, pokud existuje. | ||
7. |
Načte $HOME/.ssh/environment, pokud existuje. | ||
8. |
Přepne se do uživatelova domovského adresáře. | ||
9. |
Jestliže existuje soubor $HOME/.ssh/rc, interpretuje jej (uživatelovým shellem); jinak jestliže existuje /etc/ssh/sshrc, interpretuje jej (shellem /bin/sh); jinak spustí xauth. Soubory "rc" jsou dány X11 autentizačním protokolem a cookie na standardní vstupu. | ||
10. |
Spustí uživatelův shell nebo příkaz. |
FORMÁT SOUBORU AUTHORIZED_KEYS
Soubor $HOME/ . ssh/authorized_keys obsahuje seznam RSA klíčů pro RSA autentizaci. Každý řádek souboru obsahuje jeden klíč (prázdné řádky a řádky začínající znakem ’#’ jsou ignorovány jako komentáře). Každý řádek sestává z následujících položek, oddělených mezerami: volby, počet bitů, exponent, modulo, komentář. Položka volby je nepovinná; pokud řádek začíná číslem, položka není přítomna (položka volba nikdy nezačíná číslem). Položky počet bitů, exponent, modulo a komentář definují RSA klíč; položka komentář není povinná, ale může být užitečná pro uživatele pro identifikaci klíče.
Pamatujte, že řádky v tomto souboru jsou obvykle několik stovek bytů dlouhé (díky velikosti položky modulo RSA klíče). Uživatel je ale nemusí opisovat, stačí pouze zkopírovat soubor identity.pub a editovat jej.
Položka volby (pokud jsou přítomné) sestávají ze seznamu voleb oddělených čárkami. Nesmí obsahovat žádné mezery, kromě mezer uvnitř uvozovek. Ve jménech voleb se nerozlišují malá a velká písmena. Jsou podporovány následující volby: jsou supported:
from="seznam-vzorků"
Určuje, že kromě RSA autentizace, musí
být kanonické jméno
vzdáleného počítače uvedeno v
seznamu-vzorků. Seznam může obsahovat
několik položek oddělených
čárkou. Každá položka
může obsahovat znaky jestliže
kanonické jméno počítače
vyhovuje takovému vzorku, klíč nebude
akceptován. Účelem této volby je
další zvýšení
bezpečnosti: RSA autentizace nedůvěřuje
adrese nebo jménu serveru ani ničemu
jinému kromě klíče;
nicméně pokud někdo ukradne
klíč, bude se jeho použitím moci
přihlásit odkudkoli. Tato dodatečná
volba dále ztěžuje použití
ukradeného klíče (kromě
získání klíče musí
být zfalšováno ještě
jméno serveru nebo routeru).
command="příkaz"
Požaduje provedení zadaného
příkazu kdykoli je tento klíč
použit pro autentizaci. Uživatelem zadaný
příkaz bude ignorován. Tento
příkaz bude spuštěn na
pseudoterminálu jestliže spojení
pseudoterminál požaduje; jinak bude
spuštěn bez tty. Uvozovky v příkazu
musí být uvedeny znakem obrácené
lomítko. Tato volba může být
vhodná pro omezení, aby s jistým RSA
klíčem bylo možné provést
pouze určitou konkrétní operaci.
Příklade by mohl být klíč,
který umožní vzdálené
zálohování, ale nic jiného.
Klient může specifikovat TCP/IP nebo X11
forwardování, pokud není
explicitně zakázáno.
environment="NAME=hodnota"
Určuje výraz, který má být
přidán do prostředí při
přihlašování s tímto
klíčem. Hodnoty proměnných
prostředí nastavené tímto
způsobem mají přednost před
implicitními hodnotami. Je povoleno více voleb
tohoto typu.
idle-timeout=čas
Specifikuje dobu udržování
nečinného spojení. Pokud v
žádném kanálu
používajícím určité
ssh spojení neprobíhá po zadaný
časový interval žádná
komunikace, bude odpovídající podproces
sshd zabit signálem SIGHUP a spojení bude
uzavřeno. Časový limit je možné
zadat v sekundách (písmeno s za
číslem nebo pouze číslo),
minutách (m), hodinách (h), dnech (d), nebo
týdnech (w).
no-port-forwarding
Zakáže TCP/IP forwardování
když je tento klíč použit pro
autentizaci. Jakékoli požadavky na
forwardování portu z klient
vrátí chybu. Může být
použito například ve spojení s
volbou příkaz.
no-X11-forwarding
Zakáže X11 forwardování když
je tento klíč použit pro autentizaci.
Jakékoli požadavky na forwardování
X11 spojení z klienta vrátí chybu.
no-agent-forwarding
Zakáže forwardování pro
autentizačního agenta když je tento
klíč použit pro autentizaci.
no-pty
Zabrání přidělení
pseudoterminálu (požadavek na
přidělení pty skončí
chybou).
Příklady
1024 33 12121...312314325 ylo [AT] foo.bar
z="*.niksula.hut.fi,!pc.niksula.hut.fi" 1024 35 23...2334 ylo@niksula
command="dump /home",no-pty,no-port-forwarding 1024 33 23...2323 backup.hut.fi
SSH S TCP WRAPPERY
Pokud je sshd zkompilováno s knihovnami tcp wrapperu, soubory host.allow/deny ovlivňují, kdo se může připojit na porty forwardované programem sshd.
Jména programů v souborech hosts.allow/deny jsou sshdfwd-<služba>, sshdfwd-<číslo-portu> a sshdfwd-X11 pro forwardování portů, které ssh klient nebo server očekává.
Pokud má nějaký port přiřazeno jméno služby, musí být použito toto jméno.
SSH_KNOWN_HOSTS FILE FORMAT
Soubory /etc/ssh/ssh_known_hosts a $HOME/ . ssh/known_hosts obsahují veřejné klíče všech známých počítačů. První ze souborů (platí pro všechny uživatele) připravuje správce, zatímco soubory pro jednotlivé uživatele jsou spravovány automaticky: kdykoli se uživatel připojí na neznámý počítač, bude klíč tohoto počítače přidán do uživatelského souboru. Doporučeným způsobem vytvoření souboru /etc/ssh/ssh_known_hosts je použití příkazu make-ssh-known-hosts.
Každý řádek v těchto souborech obsahuje následující položky: jména počítačů, délka klíče v bitech, exponent, modulo a komentář. Pole jsou oddělena mezerami.
Jména počítačů je seznam vzorků oddělených čárkami (znaky ’*’ a ’?’ fungují jako žolíky); každý vzorek se porovnává s kanonickým jménem počítače (když se autentizuje klient) nebo se jménem zadaným uživatelem (když se autentizuje server). Znak vykřičník ’!’ před vzorkem znamená negaci: jestliže jméno počítače vyhovuje negovanému vzorku, nebude přijato (tímto řádkem) i když vyhovuje jinému vzorku na řádku.
Délka klíče v bitech, exponent a modulo jsou hodnoty charakterizující přímo klíč počítače; mohou být získány například ze souboru /etc/ssh/ssh_host_key.pub. Nepovinné pole komentáře může zabírat zbytek řádku, a nemá žádný význam.
Řádky začínající znakem ’#’ a prázdné řádky jsou ignorovány jako komentáře.
Autentizace počítače je úspěšná jestliže jakýkoli z řádků, který obsahuje vzorek vyhovující jménu počítače, má správný klíč. Proto je přípustné (ale nedoporučené) mít několik řádků nebo různé klíče počítačů pro stejná jména. K tomu nevyhnutelně dojde, když budou v souboru použita zkrácená jména počítačů z jiné domény. Je možné, že soubory budou obsahovat konfliktní informace; autentizace bude úspěšná, jestliže v některém ze souborů bude nalezena platná informace.
Pamatujte, že řádky v těchto souborech mají typicky stovky znaků dlouhé, a určitě je nikdo nebude zadávat ručně. Místo toho je možné je generovat skriptem (viz make-ssh-known-hosts(1)), nebo je možné zkopírovat soubory /etc/ssh/ssh_host_key.pub a na začátek řádku přidat jméno počítače.
Příklady
closenet,closenet.hut.fi,...,130.233.208.41 1024 37 159...93
closenet.hut.fi
SOUBORY
/etc/ssh/sshd_config
Obsahuje konfigurační data pro sshd. Tento soubor musí být zapisovatelný pouze uživatelem root, ale je doporučeno (i když nikoli nezbytné), aby byl čitelný pro všechny.
/etc/ssh/ssh_host_key
Obsahuje soukromý klíč počítače. Normálně je vytvořen automaticky příkazem "make install", ale může být vytvořen i ručně použitím příkazu ssh-keygen(1). Soubor musí být vlastněný uživatelem root, čitelný pouze pro uživatele root, a nedostupný pro ostatní.
/etc/ssh/ssh_host_key.pub
Obsahuje veřejný klíč počítače. Normálně je vytvořen automaticky příkazem "make install", ale může být vytvořen i ručně. Musí být čitelný pro všechny, ale zapisovatelný pouze uživatelem root. Jeho obsah musí odpovídat soukromému klíči. Tento soubor není je skutečnosti vůbec používán; slouží pouze k tomu, aby jeho obsah mohli uživatelé přidat do souborů se známými počítači na jiných počítačích.
/etc/ssh/ssh_random_seed
Soubor obsahuje hnízdo pro generátor náhodných čísel. Musí být přístupný pouze uživateli root.
/var/run/sshd.pid
Obsahuje číslo hlavního procesu sshd (jestliže existuje několik démonů běžících na různých portech, bude obsahovat pid posledního odstartovaného sshd procesu). Obsah tohoto souboru není senzitivní; může být čitelný pro všechny.
$HOME/ . ssh/authorized_keys
Obsahuje seznam RSA klíčů, které mohou být použity pro přihlášení na uživatelův účet. Soubor musí být čitelný uživatelem root (což může na některých strojích znamenat, že bude čitelný pro všechny, jestliže uživatelův domovský adresář je na disku NFS). Je však doporučeno, aby soubor nebyl čitelný pro nikoho kromě uživatele root. Formát tohoto souboru je popsaný výše.
/etc/ssh/ssh_known_hosts a $HOME/ . ssh/known_hosts
Tyto soubory jsou použity při kontrole veřejného klíče počítače při použití autentizace pomocí souborů rhosts spojené s ověřením RSA klíče počítače. Klíč musí být uveden v jednom z těchto souborů. (Klient používá stejné soubory pro verifikaci, že vzdálený počítač je ten, ke kterému se chtěl připojit.) Soubory musí být zapisovatelné pouze uživatelem root, respektive vlastníkem. /etc/ssh/ssh_known_hosts musí být čitelný pro všechny, a $HOME/ . ssh/known_hosts může ale nemusí být čitelný pro všechny.
/etc/nologin
Jestliže tento soubor existuje, sshd bude se moci přihlásit pouze uživatel root. Obsah souboru bude vypsán komukoli, kdo se pokusí přihlásit, a ne-root spojení budou odmítnuta. Soubor musí být čitelný pro všechny.
$HOME/ . rhosts
Tento soubor obsahuje dvojice počítač-jméno uživatele, oddělené mezerou, na každém řádku jeden. Daným uživatelům na odpovídajících počítačích je povoleno přihlášení bez přihlašovacího hesla. Stejný soubor je použit programem rlogind a rshd. Rozdíl mezi ssh a rlogind a rshd je v tom, že kromě ověření jména počítače pomocí domain name serveru požadují RSA autentizaci počítače (pokud nejsou přeloženy s konfigurační volbou −−s−rhosts). Soubor musí být zapisovatelný pouze uživatelem; doporučuje se, aby nebyl čitelný pro nikoho jiného.
V souboru je také možné použít netgroups. Jak jméno počítače tak uživatele může být ve formě +@groupname pro uvedení všech počítačů nebo všech uživatelů ve skupině.
$HOME/ . shosts
Pro ssh se používá tento soubor přesně stejným způsobem jako . rhosts. Protože však není používán programy rlogind a rshd, bude umožňovat pouze přístup pomocí ssh.
/etc/hosts.equiv
Tento soubor je použitý při autentizaci pomocí souboru . rhosts. V nejjednodušší formě obsahuje jména počítačů, na každém řádku jedno. Uživatelům z těchto počítačů je povoleno přihlášení bez uvedení hesla za podmínky, že mají stejné uživatelské jméno na obou strojích. Pokud je jméno počítače následováno jménem uživatele, bude se moci příslušný uživatel přihlásit pod jakýmkoli jménem na tomto stroji (kromě uživatele root). navíc může být použito +@group pro zadání netgroups. Negované položky začínají znakem ’-’.
Jestliže dvojice klientský počítač/uživatel je úspěšně nalezena v tomto souboru, bude automaticky povoleno přihlášení, pokud uživatelská jména na klientu a serveru jsou stejná. Navíc je normálně požadována úspěšná RSA autentizace počítače. Tento soubor musí být zapisovatelný pouze uživatelem root; doporučuje se, aby byl čitelný pro všechny.
Varování: Téměř nikdy není dobré uvádět v souboru hosts.equiv jména uživatelů. Znamená to, že uvedení uživatelé se mohou přihlásit jako kdokoli (včetně uživatelů bin, daemon, adm, a jiných uživatelů, kteří vlastní kritické programy a adresáře. Použití jména uživatele prakticky zajišťuje uživateli přístup roota. Jediné rozumné použití uživatelských jmen je proto v negovaných položkách. Pamatujte, že toto varování se také vztahuje na rsh/rlogin.
/etc/ssh/shosts.equiv
Tento soubor je zpracováván přesně stejně jako /etc/hosts.equiv. Může být užitečný v prostředích, kde se používá jak rsh/rlogin tak ssh.
/etc/environment
Tento soubor (jestliže existuje) je načten do prostředí (environmentu) při přihlášení. Může obsahovat pouze prázdné řádky, komentářové řádky (začínající znaky ’#’), a řádky ve tvaru jméno=hodnota. Tento soubor je zpracováván ve všech systémech (normální rsh/rlogin jej zpracovávají pouze na AIX). Soubor musí být zapisovatelný pouze uživatelem root, a musí být čitelný pro všechny.
$HOME/ . ssh/environment
Tento soubor je načten do prostředí po /etc/environment. Má stejný formát. Soubor musí být zapisovatelný pouze uživatelem; nemusí být čitelný nikým jiným.
$HOME/ . ssh/rc
Jestliže tento soubor existuje, bude interpretován uživatelovým shellem po načtení souborů environment, ale před spuštěním uživatelova shellu nebo příkazu. Jestliže se používá X11 spoofing, přijme pár "proto cookie" ze standardního vstupu (a proměnnou prostředí DISPLAY). Proto musí v tomto případě vyvolat xauth.
Primárním účelem tohoto souboru je spustit jakékoli inicializační rutiny, které mohou být potřebné než je dostupný uživatelův domovský adresář. Příkladem může být použití AFS.
Soubor pravděpodobně bude obsahovat nějaký inicializační kód následovaný něčím jako "if read proto cookie; then echo add $DISPLAY $proto $cookie | xauth -q -; fi".
Jestliže tento soubor neexistuje, bude spuštěn /etc/ssh/sshrc, a jestliže neexistuje ani ten, bude použito xauth pro uložení cookie.
Soubor musí být zapisovatelný pouze uživatelem, a nemusí být čitelný nikým jiným.
/etc/ssh/sshrc
Má stejný význam jako $HOME/ . ssh/rc, ale spouští se pomocí /bin/sh. Tento soubor může být použit pro specifikaci inicializací prováděných při přihlášení libovolného uživatele k danému stroji. Soubor musí být zapisovatelný pouze uživatelem root, a musí být čitelný pro všechny.
/etc/ssh/sshd_tis.map
Vytvoří mapování mezi a lokálním uživatelským jménem a odpovídajícím jménem v TIS databáze. Každý řádek obsahuje lokální jméno následované znakem ":" následovaným odpovídajícím jménem. Jestliže soubor neexistuje nebo uživatel není nalezen, předpokládá se že odpovídající jméno v TIS databáze je stejný.
INSTALACE
Program sshd se normálně spouští jako root. Jestliže není spuštěn jako root, může být použit pouze pro přihlašování uživatele, kterým je spuštěn, a pokud systém používá /etc/shadows, nebude fungovat autentizace přihlašovacím heslem. Také musí být použit alternativní soubor s klíčem počítače.
Program sshd se normálně startuje ze souboru /etc/rc.local nebo ekvivalentního při bootu systému.
Byla vynaložena značná práce, aby byl program sshd bezpečný. Pokud přesto objevíte bezpečnostní problém, oznamte to prosím ihned na <ssh-bugs [AT] cs.fi>.
AUTOR
Tatu Ylonen <ylo [AT] ssh.fi>
Informace o nových verzích, mailing listech, a podobně můžete nalézt na domovské WWW stránce programu ssh na http://www.cs.hut.fi/ssh.
VIZ TAKÉ
ssh(1), make-ssh-known-hosts(1), ssh-keygen(1), ssh-agent(1), ssh-add(1), scp(1), rlogin(1), rsh(1)
VAROVÁNÍ
Překlad je pravděpodobně zastaralý. Pokud chcete pomoci s jeho aktualizací, zamiřte na http://man-pages-cs-wiki.homelinux.net/