Linux: Полное руководство
Шрифт:
Перед первым запуском sshd необходимо сгенерировать файлы, содержащие ключи кодирования. В сценариях, осуществляющих запуск сервера sshd, обычно предусмотрена проверка наличия этих файлов. В случае их отсутствия они генерируются автоматически.
Ключи, с которыми можно запускать sshd, перечислены в таблице 11.4.
Ключи сервера sshd Таблица 11.4
| Ключ | Назначение |
|---|---|
| – b биты | Определяет число битов для ключа сервера (по умолчанию 7681. Эту опцию можно использовать, только если вы используете протокол SSH версии 1 |
| – d | Режим отладки (DEBUG). В этом режиме сервер не переходит в фоновый режим, обрабатывает только одно соединение и подробно протоколирует свои действия в системном журнале. Ключ отладки особенно полезен для изучения работы сервера |
| – D | Так же, как и при использовании предыдущего ключа, сервер sshd не будет переходить в фоновый режим. Однако а отличие от -d ключ -D не переводит сервер в режим отладки |
| – e | Отправлять отладочные сообщения не в системный журнал, а на стандартный поток ошибок |
| – f файл | Задает альтернативный файл конфигурации вместо /etc/ssh/sshd_config |
| – g время | Предоставляет клиенту, не прошедшему аутентификацию, дополнительное время на ввод пароля. Значение 0 интерпретируется как бесконечное ожидание |
| – h файл_ключа | Задает альтернативным файл открытого ключи (ключ узла). По умолчанию используется файл /etc/ssh/ssh_host_key . Этот ключ может понадобиться, чтобы запускать sshd от имени непривилегированного пользователя. Также ключ – h часто применяется при запуске sshd из сценариев, задающих различные настройки в зависимости от времени суток (в рабочее и нерабочее время) |
| – i | Используется, если нужно запускать sshd через суперсервер xinetd. Обычно демон sshd запускается отдельно при загрузке системы. Связано это с тем, что демону sshd требуется некоторое время для генерирования ключа сервера, прежде чем он сможет ответить на запросы клиентов. При запуске через суперсервер при каждом соединении суперсервер будет заново вызывать sshd, а тот — заново генерировать ключ. Однако на современных компьютерах задержка практически не заметна. Поэтому вполне можно запускать sshd и через суперсервер |
| – k время | Задает время, спустя которое ключ сервера будет создан заново. По умолчанию время составляет 1 час. Эту опцию можно использовать только с протоколом SSH версии 1 |
| – p порт | Указывает альтернативный порт, который демон sshd будет прослушивать вместо порта 22 |
| – q | «Тихий ражим», не протоколировать сессию. Обычно протоколируется начало аутентификации. результат аутентификации и время окончания сессии |
| – t | Тестовый ражим. Применяется для проверки корректности файла конфигурации |
| – 4 | Разрешается использовать IP-адреса только в формате IPv4 |
| – 6 | Разрешается использовать IP-адреса только в формате IPv6 |
Клиентская программа ssh находится в пакете
Ключи программы ssh Таблица 11.5
| Ключ | Назначение |
|---|---|
| – а | Отключает перенаправление аутентификации агента соединения |
| – А | Включает перенаправление аутентификации агента соединения |
| – с blowfish|3des|des | Позволяет выбрать алгоритм шифрования при использовании первой версии протокола SSH. Можно указать blowfish, 3des или des |
| – c | Задает использование сжатия всех данных во всех выходных потоках с использованием gzip. |
| – f | Данная опция переводит ssh в фоновый режим после аутентификации пользователя. Рекомендуется использовать для запуска программы X11. Например: ssh -f host xterm |
| – i идент_файл | Задает нестандартный идентификационный файл (для нестандартной RSA/DSA-аутентификации) |
| – l логин_имя | Указывает, от имени какого пользователя будет осуществляться регистрации на удаленной машине |
| – p порт | Определяет порт, к которому подключится программа ssh (по умолчанию используется порт 22) |
| – q | Переводит программу ssh в «тихий режим>>. При этом будут отображаться только сообщения о фатальных ошибках. Все прочив предупреждающие сообщения а стандартный выходной поток выводиться не будут |
| – V | Включает отображение всей отладочной информации |
| – x | Отключить перенаправление X11 |
| – X | Включить перенаправление X11 |
| – 1 | Использовать только первую версию протокола SSH (принудительно) |
| – 2 | Использовать только вторую версию протокола SSH (принудительно) |
| – 4 | Разрешается использовать IP-адреса только в формате IPv4 |
| – 6 | Разрешается использовать IP-адреса только в формате IPv6 |
Формат команды:
Если последним аргументом указана команда, то после успешного входа пользователя она выполняется на удаленной машине вместо командной оболочки по умолчанию. Таким образом можно работать не в командной строке, а запустить на удаленной машине графический сеанс.
Аутентификация в SSH может производиться одним из следующих четырех способов:
♦ По принципу доверия. При этом способе проверяется, внесено ли имя компьютера, с которого производится доступ, в файл
♦ Усиленная аутентификация по принципу доверия. Этот способ в принципе повторяет предыдущий, за тем лишь исключением, что проверка имени компьютера (IP-адреса) производится в защищенном режиме. При этом используется шифрование открытым ключом. За включение и отключение данного механизма аутентификации отвечают директивы RhostsRSAAuthentication и IgnoreRHosts. Несмотря на некоторые усовершенствования, этот способ по-прежнему является небезопасным.
♦ Аутентификация самого пользователя с использованием шифрования с открытым ключом. На момент регистрации у пользователя должен быть доступ к файлу своего секретного ключа, и он должен предоставить пароль для его дешифровки. Этот способ аутентификации является самым надежным, но и самым неудобным. Кроме того, он вынуждает пользователей постоянно иметь под рукой файл с ключом. За включение и отключение этого способа отвечает директива PubkeyAulhentication (или RSAAuthentication в зависимости от версии).
♦ Аутентификация с помощью пароля. Это оптимальный способ: он удобен в использовании и в то же время достаточно безопасен. Именно он и используется в большинстве случаев. В отличие от telnet, пароль здесь передается в зашифрованном виде. Основной недостаток данного метода заключается в относительной слабости паролей (их длина зачастую составляет менее 8 символов). Это позволяет подбирать их с помощью специальных программ. За включение и отключение этого способа отвечает директива PasswordAnthentication.