Читаем Linux полностью

Ключи запуска сервера SSH

Помимо конфигурационного файла, некоторые особенности функционирования сервера SSH можно задать, используя ключи запуска. Ниже приведены основные ключи запуска:

• -D – не отсоединяться от терминала при запуске;

• -b bits – ключ задает число битов ключа сервера (SSH1), по умолчанию 768;

• -d – переводит сервер в отладочный режим, использование нескольких ключей увеличивает количество отладочной информации;

• -е – ключ разрешает выводить сообщения на stderr вместо syslog (то есть не журналировать сообщения, а сразу выводить на стандартное устройство для вывода ошибок – обычно это текстовый терминал);

• -f имя-конфигурационного-файла – ключ определяет положение конфигурационного файла, удобно использовать при отладке;

• -g grace-time – ключ определяет время ожидания между вводом логина и пароля пользователя;

• -h файл-ключей – хоста – ключ определяет местоположение файла ключей;

• -k keygen-time – параметр задает интервал регенерации ключа сервера;

• -р порт – параметр определяет порт, который будет слушать сервер;

• -q – ключ запрещает выдачу информации на syslog (то есть запрщает журналирование событий);

• -t – с помощью этого параметра можно произвести проверку на отсутствие ошибок в конфигурационном файле и ключах;

• -u число – вместо имен хостов, превышающих число, в журнале utmp будет записываться IP-адрес: -u0 вызывает безусловную запись IP-адресов;

• -4 – использование протокола IPv4;

• -6 – использование протокола IPv6.

Ключи запуска клиента SSH

Как и для сервера, для изменения некоторых параметров клиента можно воспользоваться ключами запуска:

• -а – запретить перенаправление агента аутентификации;

• -A – разрешить перенаправление агента аутентификации;

• -b адрес – позволяет для хоста с несколькими интерфейсами использовать конкретный адрес;

• -c biowfish | 3des – задает используемый алгоритм шифрования (SSH1);

• -c список-алгоритмов-шифрования-через-запятую – алгоритм В начале списка имеет наибольший приоритет; по умолчанию: aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour, aes192-cbc, aes256-cbc (SSH2);

• -D локальный-порт – эмуляция SOC KS4-cepisepa (специфического proxy-сервера) по защищенному каналу;

• -e символ | ^символ | none – определяет escape-символ вместо тильды; попе обеспечивает прозрачную передачу данных;

• -f – перейти в фоновый режим после запроса пароля или парольной фразы;

• -F имя-конфигурационного-файла – разрешает использовать указанный файл в качестве конфигурационного;

• -g – разрешать удаленному хосту подсоединяться к локальным перенаправленным портам;

• -i имя-файла – определяет файл, хранящий RSA/DSA-приватный ключ;

• -k – запретить перенаправление Kerberos;

• -l имя-пользователя – от имени какого пользователя устанавливается соединение;

• -m список-алгоритмов-обеспечения-целостности-соединения – определяет алгоритмы подсчета контрольной суммы;

• -n – направить /dev/null на stdin и перейти в фоновый режим;

• -р порт – соединиться с указанным хостом на удаленном хосте;

• -P – использовать непривилегированный порт для исходящего соединения, чтобы обойти ограничения сетевого экрана;

• -R локальный-порт: хост: удаленный-порт – если происходит соединение на удаленный порт, то оно перенаправляется по защищенному каналу на локальный порт;

• -s – запуск подсистемы на сервере – например, sftp; имя подсистемы задается последним параметром;

• -t – требовать выделения псевдо-tty;

• -T – не выделять псевдо-tty;

• -х – запретить перенаправление XII;

• -X – разрешить перенаправление XII;

• -1 – использовать только SSHl-протокол;

• -2 – использовать только SSI-12-протокол;

• -4 – использовать IPv4;

• -6 – использовать IPv6.

Программы, входящие в пакет OpenSSH

Помимо клиента и сервера, в пакет OpenSSH входят программы, предназначенные для генерации ключей, аутентификации, и программы, призванные заменить набор r-команд.

Программа ssh-keygen

Программа ssh-keygen предназначена для генерации, преобразования и управления ключами. По умолчанию генерирует RSA-ключ. При генерации запрашивается парольная фраза. Забытую парольную фразу восстановить невозможно. Число битов по умолчанию – 1024. Имя файла для хранения публичного ключа образуется из имени файла для частного ключа добавлением суффикса. pub. Ключ хоста должен иметь пустую парольную фразу.

Возможные строки запуска:

• генерирует ключ по указанному пользователем алгоритму:

ssh-keygen [-t rsal|dsa|rsa] [-b бит] [-N парольная-фраза] [-C комментарий] [-f имя-файла-записи] [-q]

• изменить комментарий:

ssh-keygen -c [-Р парольная-фраза] [-С комментарий] [-f файл-с-ключами]

• читает приватный или публичный ключ в форматах OpenSSH и преобразует его в формат SECSH для экспорта в другие реализации SSH:

ssh-keygen -e [-f файл-с-ключами]

• читает приватный или публичный ключ в формате SSH2 или SECSH и преобразует его в формат OpenSSH:

ssh-keygen -i [-f файл-с-ключами]

• позволяет изменить парольную фразу:

ssh-keygen -р [-Р старая-парольная-фраза] [-N новая-парольная-фраза] [-f файл-с-ключами]

• читает приватный ключ OpenSSH DSA и выдает публичный ключ OpenSSH DSA: