Anarana
sshd - OpenSSH SSH daemon
Synopsis
sshd [- deiqtD46 ] [- bits ] [- f config_file ] [- g login_grace_time ] [- h host_key_file ] [- k key_gen_time ] [- o opsyon ] [- p ports ] [- u len ]
Description
sshd (SSH Daemon) no programa daemon amin'ny ssh (1). Miara-miasa ireo programa ireo ary rsh , ary manome fifandraisana azo antoka ho an'ny fifandraisana eo amin'ny mpampiantrano roa tsy azo atokisana amin'ny tambajotra tsy azo antoka. Ny fandaharan'asa dia natao ho mora ny mametraka sy mampiasa araka izay azo atao.
sshd dia ilay daemon izay mihaino ny fifandraisana amin'ny mpanjifa. Amin'ny ankapobeny dia manomboka amin'ny boot izy io avy eo / etc / rc Manonona daemon vaovao ho an'ny fifandraisana miditra tsirairay izy io. Ny daemons mandroso dia mitantana ny fifanakalozana lehibe, ny fanalahidy, ny fanamarinana, ny fanatanterahana baiko, ary ny fifanakalozana data. Ity fampiharana sshd ity dia manohana ny protocole SSH 1 sy 2 miaraka.
SSH Protocol Version 1
Ny mpampiantrano tsirairay dia manana singa manan-danja RSA (amin'ny 1024 bits) ampiasaina hamantarana ny mpampiantrano. Ankoatra izany, rehefa manomboka ny daemon, dia miteraka mpizara RSA ny mpizara (ankapobeny 768 bit). Io famaha io dia averina indray mandeha isaky ny adiny iray raha efa nampiasaina, ary tsy misy tahirin-tsakafo mihitsy.
Isaky ny misy mpanjohy mampifandray ilay daemon dia mamaly ny mpizara ho an'ny daholobe sy ny fanalahidin'ny serivisy. Ny mpanjifa dia mampitaha ny fanalahidin'ny mpampiantrano RSA hanohitra ny tahirin-keviny manokana mba hanamarinana fa tsy niova izany. Ny mpanjifa dia miteraka tarehimarika tsipelina 256 bit. Izy io dia mametaka an'io nomerao io amin'ny fampiasana ny famandrihana ho an'ny tompony sy ny fanalahidin'ny serivisy ary mandefa ny nomerao nomerao amin'ny server. Ny roa tonta dia mampiasa an'io nomerao io ho toy ny fanalahidin'ny fivoriana izay ampiasaina amin'ny famenoana ny fifandraisana rehetra amin'ny session. Ny ambiny amin'ny session dia voahodina amin'ny fampiasana sifotra mahazatra, amin'izao fotoana izao Blowfish na 3DES, miaraka amin'ny 3DES ampiasaina amin'ny alàlan'ny default. Ny mpanjifa dia misafidy ny algorithm encryption ampiasaina amin'ireo izay atolotry ny server.
Avy eo, ny mpizara sy ny mpanjifa dia miditra amin'ny sehatr'asa fanamarinana. Ny mpividy dia manandrana manamarina ny tenany amin'ny fampiasana authentication .rhosts, authentication rhosts miaraka amin'ny authentication RSA ho an'ny Authentication, ny fanamarinana ny valin'ny fanandramana RSA, na ny fanamorana ny tenimiafina .
Ny fanamarinana Rhosts dia miala tsy ho tratra satria tsy azo antoka loatra izany, fa afaka alefa ao amin'ny tahiry fikandrana server raha azo atao. Ny fiarovana ny rafitra dia tsy mihatsara raha tsy rshd ny rlogind ary ny rexecd dia manilika (manakana tanteraka ny rlogin sy rsh ao amin'ny milina).
SSH Protocol Version 2
Toy izany koa ny Version 2: Ny mpampiantrano tsirairay dia manana famandrihana manokana (RSA na DSA) ampiasaina hamantarana ny mpampiantrano. Na izany aza, rehefa manomboka ny daemon dia tsy mamorona lohan-tserasera izy io. Ny fiarovana mialoha dia omena amin'ny alalan'ny fifanarahana lehibe amin'ny Diffie-Hellman. Ity fifanarahana manan-danja ity dia mitarika ny fanalahidin'ny fizarana iray.
Ny ambiny ao amin'ny session dia voahodina amin'ny fampiasana cipher symmetric, amin'izao fotoana izao 128 bit AES, Blowfish, 3DES, CAST128, Arcfour, 192 bit AES, na 256 bit AES. Ny mpanjifa dia misafidy ny algorithm encryption ampiasaina amin'ireo izay atolotry ny server. Ankoatra izany, ny fahamendrehana fivoriana dia omena amin'ny alàlan'ny baiko fanamarinana kriptografika hafatra (hmac-sha1 na hmac-md5).
Ny Protocol version 2 dia manome mpampiasa mpampiasa mibaribary (PubkeyAuthentication) na mpampiantrano mpanjifa (HostbasedAuthentication), fomba fanamarinana ny tenimiafina, ary fomba amam-panao enti-manentana.
Baiko ny fanatanterahana sy ny fandefasana ny data
Raha toa ny mpandraharaha mahomby amin'ny fahombiazany, dia miditra ny fifanakalozan-kevitra momba ny fanomanana azy. Amin'io fotoana io dia mety hangataka zavatra toy ny fametahana pseudo-tty ny mpanjifa, ny fandefasana ny fifandraisana X11, ny fandefasana ny fifandraisana TCP / IP, na ny fandefasana ny fifandraisana amin'ny solon'anarana momba ny serasera azo antoka.
Farany, mandefa baoritra na famonoana didy iray ilay mpanjifa. Ireo sisiny dia miditra amin'ny seho fivoriana. Amin'io fomba io, ny andaniny roa dia afaka mandefa angon-drakitra amin'ny fotoana rehetra, ary ny angon-drakitra toy izany dia alefa amin'ny / na ny shell na ny baiko amin'ny serivera, ary ny terminal terminal amin'ny client.
Rehefa tapaka ny programa mpampiasa ary nakatona ny X11 sy ny fifandraisana hafa, dia alefan'ny mpizara ny baiko mivoaka ny baiko momban'ny baiko sy ny roa tonta.
sshd dia azo ampiasaina amin'ny fampiasana safidy command-line na tahiry fikirakirana. Ny safidy Command-line dia mametra ny sanda voatondro ao anatin'ny rakitra fikirakirana.
sshd dia mamerina ny rakitra fikirakirana azy rehefa mahazo famantarana hangup, SIGHUP amin'ny fanatanterahany ny anarana natombony, toy ny / usr / sbin / sshd
Ireto ny safidy:
-b bits
Manamarina ny isan'ny bits ao amin'ny famaha seriver serivisy ho an'ny mpiblômôla 1 (default 768).
-d
Debug mode. Ny mpamadika dia mandefa ny adiresy debogno amin'ny alàlan'ny log de ligne ary tsy mametraka ny tenany ao ambadika. Ny server ihany koa dia tsy miasa ary tsy maintsy manova ny fifandraisana ihany. Ity safidy ity dia natao ho an'ny debugger amin'ny server. Safidy maro -d dia mampitombo ny haavon'ny debugging. Maximum is 3.
-e
Rehefa voatondro io safidy io, sshd dia mandefa ilay output ho diso ny mari-pana fa tsy ny log-ny.
-f configuration_file
Manondro ny anaran'ny rakitra fikirakirana. Ny default dia / etc / ssh / sshd_config sshd dia mandà tsy hanomboka raha tsy misy ny rakitra fikirakirana.
-g login_grace_time
Manome ny fahasoavana ho an'ny mpanjifa mba hanamarina ny tenany (120 segondra tokana). Raha toa ka tsy mahavita manamarina ny mpampiasa ao anatin'io segondra maro io ilay mpanjifa, dia esorina ny seriver, ary mivoaka. Ny sandan'ny zero dia manondro tsy misy fetra.
-h host_key_file
Manoritsoritra ny rakitra iray izay hamakiana ny famandrihana ankamantatra. Io safidy io dia tsy maintsy omena raha sshd dia tsy natao ho root (araka ny fichiers manan-drakim-peo tsotra dia tsy azo vakiana amin'ny olon-kafa, fa root). Ny default dia / etc / ssh / ssh_host_key ho an'ny protocol version 1, ary / etc / ssh / ssh_host_rsa_key ary / etc / ssh / ssh_host_dsa_key ho an'ny protocol version 2. Azo atao ny manana tahiry ankapobeny ho an'ny dikan-teny samihafa protocol algorithms.
-i
Manamarina fa sshd dia mihodina amin'ny inetd. sshd dia matetika tsy mandeha amin'ny inetd satria mila mamorona ny lohan-tserasera izy vao afaka mamaly ilay mpividy, ary mety haharitra segondra izany. Tsy maintsy miandry ela loatra ny mpanjifa raha averimberina indray ny fanalahidy. Na izany aza, noho ny sanda kely kely (ohatra, 512) mampiasa sshd avy amin'ny inetd dia azo atao.
-k key_gen_time
Ampahafantaro ny famerimberenana (teboka 3600 segondra, ora iray ora) ny famaha seriver de version 1 ho an'ny mpizara. Ny antony manosika ny famerenana indray ny fanalahidy dia matetika ny fanalahidy dia tsy mitahiry na aiza na aiza, ary rehefa afaka adiny iray eo ho eo, dia tsy ho azo atao ny manitsy ny fanalahidy handaminana ny fifandraisana anelanelam-pandaharana na dia voakorontana na voafehy ara-batana ilay milina. Ny sandan'ny zero dia manondro fa tsy hisy famerenana amin'ny laoniny intsony ny fanalahidy.
-o safidy
Azo ampiasaina hanomezana safidy amin'ny format ampiasaina ao amin'ny rakitra fikirakirana. Ity dia ilaina amin'ny famaritana ireo safidy izay tsy misy sainam-baomiera manokana.
-p port
Manamarina ny seranana izay mihaino ny serasera amin'ny fifandraisana (default 22). Safidy port maro no avela. Ny port izay voatondro ao anatin'ny rakitra fikirakirana dia tsy raharahiana raha voatondro ny seranan-tsambo baiko.
-q
Hetsika moka. Tsy misy na inona na inona alefa any amin'ny rafitra system. Amin'ny ankapobeny, ny fiandohana sy ny fanamarinana ary ny famaranana ny fifandraisana tsirairay dia voarakitra.
-t
Fomba fakana test. Hamarino fotsiny ny fanamarihan'ny rakitra fikirakirana sy ny fahamendrehan'ny fanalahidy. Ity dia ilaina amin'ny fanavaozana sshd azo antoka raha toa ka miova ny safidy.
-u len
Io safidy io dia ampiasaina hanondroana ny haben'ny sehatra ao amin'ny rafitra utmp izay mihazona ny anaran'ny toerana fametrahana. Raha toa ka lany ny anaran'ilay mpampiantrano voafidy raha oharina amin'ny lany ny laharam-pamaranana nomerika dia tsy ampiasaina. Izany dia ahafahan'ireo mpampiantrano manana anaran'olon-tokana maro be izay manaloka ity saha ity mba ho fantatra foana. Ny fametrahana - U0 dia manondro fa ny adiresy maimaim-poana dia tokony hiditra ao amin'ny file utmp. - u0 dia ampiasaina ihany koa mba hisorohana sshd tsy hanao fangatahana DNS raha tsy hoe angatahan'ny rafitra fanamarinana na fanovana azy io. Ny mombamomba ny fanamarinana izay mety mitaky ny DNS dia mampiditra RhostsAuthentication RhostsRSAAuthentication HostbasedAuthentication ary mampiasa fomba iray avy amin'ny = pattern-list ao anaty rakitra fototra. Ny safidy fametrahana izay mitaky DNS dia ahitana ny fampiasana USER @ HOST lamina ao amin'ny AllowUsers na ny DenyUsers
-D
Rehefa safidy io safidy sshd dia tsy manaisotra ary tsy lasa daemon. Izany dia ahafahana manara-maso ny sshd
-4
Sshd Forces ihany no mampiasa adiresy IPv4.
-6
Sshd ho an'ny mpampiasa adiresy IPv6 ihany.
Configuration File
sshd dia mamaky ny angon-drakitra arahina amin'ny / etc / ssh / sshd_config (na ny rakitra voatondro miaraka amin'ny - f amin'ny baiko). Ny safidin-drakitra sy ny safidin'ny fanoratana dia voafaritra ao amin'ny sshd_config5.
Login Process
Rehefa nahomby ny mpampiasa iray, sshd dia manao izao manaraka izao:
- Raha toa ka misy tty, ary tsy misy baiko voafaritra, dia mamoaka ny ora farany sy / etc / motd (raha tsy afangaro amin'ny rakitra fikirakirana na $ HOME / .hushlogin ny fizarana Sx FILES).
- Raha toa ka tafiditra ao amin'ny tty ny fanamarihana, fotoana fisoratana anarana.
- Mandinika / etc / nologin raha misy izy, mamoaka ny ao anatiny ary miala (raha tsy misy ny fakany).
- Fiovàna mihazakazaka miaraka amin'ireo tombontsoa amin'ny mpampiasa.
- Mametraka ny tontolo fototra.
- Mamaky $ HOME / .ssh / tontolo iainana raha misy izany ary avela hanova ny tontolo iainany ireo mpampiasa. Jereo ny safidy PermitUserEnvironment ao sshd_config5.
- Fiovana amin'ny lahatahiry an-trano.
- Raha toa ka $ HOME / .ssh / rc no misy, esory izany; raha toa ka misy / etc / ssh / sshrc dia misy, itony; raha tsy izany dia mihazakazaka xauth. Ny rakitra `rc 'dia nomena ny protocol protocol authentication X11 sy cookie amin'ny fidirana serial.
- Mandingana ny akorandriaka na baikon'ny mpampiasa.
Authorized_Keys File Format
$ HOME / .ssh / authorized_keys dia ny rakitra maoderina izay mamaritra ny fanalahidin'ny daholobe izay avela ho an'ny Authentication RSA ao amin'ny protocol version 1 ary ho an'ny fanamarinam-peo ho an'ny daholobe (PubkeyAuthentication) ao amin'ny protocol version 2. AuthorizedKeysFile dia azo ampiasaina hamaritra daty hafa.
Ny tsipika tsirairay ao amin'ny rakitra dia misy ny fanalahidy iray (ny tsipika sy ny tsipika manomboka amin'ny '#' dia tsy norahanana ho fanamarihana). Ny fanalahidin'ny olom-boafidy RSA tsirairay dia ahitana ireto sokajy manaraka ireto, misaraka amin'ny habaka: safidy, bits, exponent, modulus, fanehoan-kevitra. Ny laharam-pokonam-pampandrosoana tsirairay 2 dia misy: safidy, keytype, key64 encoded key, fanamarihana. Ny sahan-kevitra dia tsy mety; ny fisiany dia voafaritra raha manomboka amin'ny laharana iray ny tsipika na tsia (ny saha safidy tsy manomboka amin'ny isa). Ny bits, exponent, modulus ary sehatra fanehoan-kevitra dia manome ny RSA key for protocol version 1; Tsy ampiasaina na inona na inona ny sehatra fanehoan-kevitra (mety ho mety ho an'ny mpampiasa ny mamantatra ilay fanalahidy). Ho an'ny protocol version 2 dia ny sif-dss '`` or' ssh-rsa ''
Mariho fa ny andalana ao anatin'io rakitra io dia matetika zato isam-bolana (noho ny habetsaky ny famaham-baovaon'ny besinimaro). Tsy te hampiditra azy ireo ianao; Atsaharo ny kopia ny identity.pub id_dsa.pub na ny doka id_rsa.pub ary omeo azy io.
sshd dia mampihatra farafahakeliny farafahakeliny RSA lehibe ho an'ny protocol 1 sy ny protocol 2 2 keys amin'ny 768 bits.
Ny safidy (raha misy) dia misy ny safidy safidy safidy. Tsy misy toerana azo ekena, afa-tsy ao amin'ny quotes indroa. Ireto safidy safidy manaraka ireto dia atolotra (mariho fa ny teny fanalahidy safidy dia tsy misy dikany):
from = modely-list
Manamarika fa ankoatra ny fanamarinam-panjakana, ny anarana kanônika ny mpanentana an-tariby dia tokony ho hita ao amin'ny lisitry ny karazam-panavahana (`* 'ary`?' Atao hoe karatra). Ny lisitra dia mety ahitana ihany koa ny lamina nolavina tamin'ny fanolorana azy ireo tamin'ny '!' ; Raha mifanandrify lamina tsy misy dikany ny anaran'ny mpampiantrano kanonika dia tsy raisina ny fanalahidy. Ny tanjon'ity safidy ity dia ny mampitombo ny fiarovana: ny fanamafisan'ny olom-pirenena dia tsy mitoky amin'ny tambajotra na ny anaran'ny serveur na zavatra hafa (fa ny fanalahidy); Na izany aza, raha misy olona mangalatra ny fanalahidy, ny fanalahidy dia mamela ny mpitsangantsangana hiditra avy any amin'ny toerana rehetra manerantany. Ity safidy fanampiny ity dia mampiasa ny fanalahidy hangalatra sarotra kokoa (ny server-ny anarana sy / na ny routers dia tsy maintsy ampandeferina ankoatry ny fanalahidy).
didy = didy
Manamarina fa ny baiko dia atao isaky ny ampiasaina io lakile io ho an'ny fanamarinana. Ny baikon'ny mpampiasa (raha misy) dia tsy raharahiana. Ny baiko dia mihazakazaka amin'ny pty raha mangataka pty ny client; raha tsy izany dia mihazakazaka tsy misy tty. Raha ilaina ny fantsom-pahitalavitra 8-bit, dia tsy tokony hangataka pty na tokony hanondro ny tsy misy-pty. Azonao ampidirina ao amin'ny baiko ny sombin-tsoratra amin'ny alalan'ny fitenenana azy miaraka amin'ny backlash. Io safidy io dia mety hanampy amin'ny famerana ny fanalahidy sasany ho an'ny besinimaro mba hanaovana asa manokana. Ny ohatra iray dia mety ho fanalahidy iray izay ahafahana manamboatra fivoarana fa tsy zavatra hafa. Mariho fa mety manondro ny fandefasana TCP / IP sy / na X11 ilay mpanjifa raha tsy voarara mazava. Mariho fa io safidy io dia mihatra amin'ny famaritana shell, baiko na subsystem.
tontolo iainana = NAME = sarobidy
Manamarina fa ny kofehy dia tokony ampidirina amin'ny tontolo iainana rehefa miditra amin'ny fampiasana ity fanalahidy ity. Ny fari-pahaizana momba ny tontolo iainana dia mamaritra ny soatoavin'ny tontolo iainana hafa. Safidy maro amin'ireto karazana ireto no avela. Ny fanodinana ny tontolo iainana dia voafehin'ny alalana ary voafehy amin'ny safidy PermitUserEnvironment . Io safidy io dia tsy mety raha toa ka ampiasaina ny UseLogin .
no-Port-nanatitra
Mandrara ny fandefasana TCP / IP rehefa ampiasaina io fanalahidy io ho an'ny fanamarinana. Ny fandefasana fanandevozana rehetra nalefan'ny mpanjifa dia hamerina fahadisoana. Azo ampiasaina izany, ohatra, mifandraika amin'ny safidy baiko .
no-X11-nanatitra
Mandrara ny fandefasana baiko X11 rehefa ampiasaina io fanalahidy io. Ny fangatahana rehetra nalefan'ny mpividy X11 dia hamerina fahadisoana.
no-mpandraharaha-nanatitra
Mandingana ny fanamorana ny solon'anarana rehefa alefa io fanalahidy io ho an'ny fanamarinana.
no-pty
Manakana ny fanondroana tty (tsy maintsy atao ny fangatahana famindrana pty).
permitopen = miaramila: seranan-tsambo
Amboary ny vavahadin-tseranana `ssh -l '' izay alefa any amin'ny mpampiantrano sy seranana voatondro. Ny adiresy IPv6 dia azo faritana miaraka amin'ny andian-teny hafa: host / port Safidy safidy permitopen dia azo ampiharina amin'ny takila. Tsy mifanaraka amin'ny anaran'ny mpampiantrano voatondro ny endriky ny lamina, tokony hanana domains ara-bakiteny na adiresy izy ireo.
ohatra
1024 33 12121 ... 312314325 ylo@foo.bar
avy amin'ny = "*. niksula.hut.fi,! pc.niksula.hut.fi" 1024 35 23 ... 2334 ylo @ niksula
Command = "dump / home", no-pty, tsy misy port-forwarding 1024 33 23 ... 2323 backup.hut.fi
permitopen = "10.2.1.55:80", permitopen = "10.2.1.56:25" 1024 33 23 ... 2323
Ssh_Known_Hosts File Format
Ny / etc / ssh / ssh_known_hosts ary $ HOME / .ssh / fantatra_hosts rakitra dia ahitana fanalahidy ho an'ny daholobe ho an'ny mpampiantrano fantatra rehetra. Ny rakitra manerantany dia tokony homanin'ny administrateur (fakan-kevitra), ary ny tahiry isam-paritra dia voatazona ho azy: isaky ny mampifandray amin'ny mpampiantrano iray tsy fantatra ny fampiasana azy dia ampidirina amin'ny dossier per user.
Ny tsipika tsirairay amin'ireny rakitra ireny dia ahitana ireto faritra ireto: mpampiantrano, bits, exponent, modulus, fanehoan-kevitra. Ny saha dia misaraka amin'ny toerana.
Hostnames dia lisitry ny karazan-tsarimihetsika ('*' sy '?' Atao toy ny karatra); Ny lamina tsirairay, amin'ny ampandehony, dia mifanohitra amin'ny anarana mpampiantrano kanonika (rehefa manamarina ny mpividy iray) na manohitra ny anaran'ny mpampiasa (rehefa manamarina mpizara iray). Misy lamina iray koa mety alohan'ny '! mba hanondroana ny tsy fanarahan-dalàna: raha mifanandrify amina lozisialy tsy mifanaraka amin'ny anaran'ny mpampiantrano, dia tsy ekena (amin'ny alalan'io tsipika io) na dia mifanaraka amin'ny lamina hafa ao amin'ny tsipika.
Ny bits, ny exponent ary ny modulus dia nalaina mivantana avy amin'ny fanalahidin'ny RSA; Azonao atao ny mahazo azy, ohatra, avy amin'ny /etc/ssh/ssh_host_key.pub Ny sehatry ny fanamarihana fanampiny dia manohy ny faran'ny andalana ary tsy ampiasaina.
Ny tsipika manomboka amin'ny `# 'sy ny tsipika anaty dia tsy noraharahiana ho fanehoan-kevitra.
Rehefa manamarina ny fanamarinana ny tompona, dia ekena ny fanamarinana raha toa ka misy ny fanalahidy mety. Izany dia azo ekena (saingy tsy voatery) hanana andalana maromaro na fanalahidy maro ho an'ny anarana mitovy. Tsy maintsy hitranga izany raha toa ka ampidirina ao anaty rakitra ny anaran'ny mpampiantrano avy amin'ny sehatra samihafa. Azo atao ny manana fampahalalana mifanohitra; Ny fanamarinana dia azo ekena raha toa ka misy ny fampahalalana azo antoka azo avy amin'ny rakitra iray.
Mariho fa ny andalana ao anatin'io antontan-taratasy io dia matetika karazana an-jatony maro, ary tsy tianareo velively ny manendry ny fanalahidy an-tanan'ny tanana. Alefaso kosa amin'ny alalan'ny script izy ireo na tsidiho ny /etc/ssh/ssh_host_key.pub ary ampio ny anaran'ny mpampiantrano eo anoloana.
ohatra
closeenet, ..., 130.233.208.41 1024 37 159 ... 93 closenet.hut.fi cvs.openbsd.org, 199.185.137.3 ssh -rsa AAAA1234 ..... =Jereo ihany koa
scp (1), sftp (1), ssh (1), ssh-add1, ssh-agent1, ssh-keygen1, login.conf5, moduli (5), sshd_config5, sftp-server8
T. Ylonen T. Kivinen M. Saarinen T. Rinne S. Lehtinen "SSH Protocol Architecture" drafitra-ietf-secsh-architecture-12.txt Janoary 2002 miasa amin'ny fitaovam-pandrosoana
M. Friedl N. Provos WA Simpson "Ny Diffie-Hellman Group Exchange amin'ny Protocole Transfert SSH" draft-ietf-secsh-dh-group-exchange-02.txt Janoary 2002
Zava-dehibe: Ampiasao ny baikon'ny lehilahy ( % man ) mba hahitana ny fomba ampiasan'ny baiko amin'ny solosainao manokana.