പേര്
sshd - OpenSSH SSH ഡെമണ്
സംഗ്രഹം
sshd [- deiqtD46 ] [- ബി ബിറ്റുകൾ ] [- f config_file ] [- g login_grace_time ] [- h host_key_file ] [- k key_gen_time ] [- o ഓപ്ഷൻ ] [- p port ] [- u ലെൻ ]
വിവരണം
sshd (SSH ഡെമൺ) എന്നത് ssh (1) എന്നതിനുളള ഡെമൺ പ്രോഗ്രാം ആണ്. ഈ പ്രോഗ്രാമുകൾ ഒന്നിച്ച് rlogin- ന് പകരം വയ്ക്കുന്നു rsh എന്നിവ ഉപയോഗിക്കുകയും സുരക്ഷിതമല്ലാത്ത നെറ്റ്വർക്കിൽ രണ്ട് വിശ്വാസമില്ലാത്ത രണ്ട് ഹോസ്റ്റുകൾക്ക് ഇടയിൽ സുരക്ഷിതമായ എൻക്രിപ്റ്റഡ് ആശയവിനിമയങ്ങൾ നൽകുകയും ചെയ്യുന്നു. പ്രോഗ്രാമുകൾ കഴിയുന്നതും ഉപയോഗിക്കാൻ കഴിയുന്നതും ലളിതമായി ഉപയോഗിക്കാൻ ഉദ്ദേശിച്ചുള്ളതാണ്.
ക്ലയന്റുകളിൽ നിന്നുള്ള കണക്ഷനുകൾ ശ്രവിക്കുന്ന ഡെമൺ ആണ് sshd . ഇത് സാധാരണയായി / etc / rc ൽ നിന്നും ബൂട്ട് സമയത്ത് ആരംഭിക്കുന്നു ഇത് ഓരോ ഇൻകമിങ് കണക്ഷനും ഒരു പുതിയ ഡെമണിനെ പ്രേരിപ്പിക്കുന്നു. ഫോർകോഡ് ഡെമണുകൾ കീ എക്സ്ചേഞ്ച്, എൻക്രിപ്ഷൻ, ആധികാരികത, കമാൻഡ് എക്സിക്യൂഷൻ, ഡാറ്റ എക്സ്ചേഞ്ച് എന്നിവ കൈകാര്യം ചെയ്യുന്നു. Sshd- ന്റെ ഈ പ്റവറ്ത്തനം SSH പ്റോട്ടോക്കോൾ വേറ്ഷൻ 1, 2 എന്നിവ ഒരേ സമയം പിന്തുണയ്ക്കുന്നു.
എസ്എസ്എച്ച് പ്രോട്ടോക്കോൾ വേർഷൻ 1
ഓരോ ഹോസ്റ്റിലും ഹോസ്റ്റ് തിരിച്ചറിയുന്നതിനായി ഹോസ്റ്റ്-നിർദ്ദിഷ്ട RSA കീ (സാധാരണ 1024 ബിറ്റുകൾ) ഉപയോഗിക്കുന്നു. കൂടാതെ, ഡെമൺ ആരംഭിക്കുമ്പോൾ, ഒരു സെർവർ RSA കീ ഉണ്ടാക്കുന്നു (സാധാരണയായി 768 ബിറ്റുകൾ). ഈ കീ സാധാരണയായി ഉപയോഗിച്ചിട്ടുണ്ടെങ്കിൽ ഓരോ മണിക്കൂറും പുനർനിർമിക്കപ്പെടുന്നു, ഡിസ്കിൽ ഒരിക്കലും സംഭരിക്കപ്പെടുന്നില്ല.
ഒരു ക്ലയന്റ് ഡെബണിനെ ബന്ധപ്പെടുത്തുമ്പോഴെല്ലാം അതിന്റെ പൊതു ഹോസ്റ്റിലേക്കു്, സർവർ കീകൾ ഉപയോഗിയ്ക്കുന്നു. ഉപഭോക്താവ് അത് മാറ്റിയിട്ടില്ലെന്ന് ഉറപ്പുവരുത്താൻ ആർ എസ് എ ഹോസ്റ്റ് കീ അതിന്റെ ഡാറ്റാബേസുമായി താരതമ്യം ചെയ്യുന്നു. ക്ലയന്റ് ഒരു 256 ബിറ്റ് റാൻഡം നമ്പർ സൃഷ്ടിക്കുന്നു. ഹോസ്റ്റ് കീയും സെർവർ കീയും ഉപയോഗിച്ച് ഈ റാൻഡം നമ്പർ എൻക്രിപ്റ്റ് ചെയ്യുകയും സെർവറിലേക്ക് എൻക്രിപ്റ്റ് ചെയ്ത നമ്പർ അയക്കുകയും ചെയ്യും. സെഷനിലെ എല്ലാ ആശയവിനിമയങ്ങളും എൻക്രിപ്റ്റ് ചെയ്യുന്നതിന് ഉപയോഗിക്കുന്ന രണ്ടു സൈറ്റുകൾ സെഷൻ കീ ആയി ഈ റാൻഡം നമ്പർ ഉപയോഗിക്കും. സ്ഥിരസ്ഥിതിയായി 3DES ഉപയോഗിക്കുന്നുണ്ടെങ്കിൽ പരമ്പരാഗത സൈഫർ, നിലവിൽ ബ്ളോഫ് അല്ലെങ്കിൽ 3DES ഉപയോഗിച്ച് ശേഷിക്കുന്ന സെഷൻ എൻക്രിപ്റ്റ് ചെയ്തിരിക്കുന്നു. സെർവർ ഓഫർ ചെയ്യുന്നതിൽ നിന്നും ഉപയോഗിക്കാനായി എൻക്രിപ്ഷൻ അൽഗോരിതം ക്ലയന്റ് തിരഞ്ഞെടുക്കുന്നു.
അടുത്തതായി, സെർവറും ക്ലയന്റും ഒരു പ്രാമാണീകരണ ഡയലോഗിൽ നൽകുക. RSA ഹോസ്റ്റിന്റെ ആധികാരികത, RSA വെല്ലുവിളി ആധികാരികത ഉറപ്പാക്കൽ, അല്ലെങ്കിൽ രഹസ്യവാക്ക് അടിസ്ഥാനമാക്കിയുള്ള ആധികാരികത ഉറപ്പാക്കൽ എന്നിവയ്ക്കൊപ്പം ക്രോഡീകരിക്കുന്നു. റഹ്റുകളുടെ ആധികാരികത ഉറപ്പാക്കൽ .
Rhosts പ്രാമാണീകരണം സാധാരണയായി അപ്രാപ്തമാക്കിയിരിക്കുന്നതിനാൽ അത് പ്രവർത്തനരഹിതമാൺ, പക്ഷേ സെർവർ കോൺഫിഗറേഷൻ ഫയലിൽ അത് ആവശ്യമെങ്കിൽ പ്രാപ്തമാക്കാവുന്നതാണ്. Rshd rlogind , rexecd എന്നിവ പ്രവർത്തനരഹിതമാക്കാതെ സിസ്റ്റം സുരക്ഷ മെച്ചപ്പെടുത്തിയിട്ടില്ല. (അങ്ങനെ സിസ്റ്റം പൂർണ്ണമായും rlogin, rsh എന്നിവ പ്രവർത്തന രഹിതമാക്കുക).
എസ്എസ്എച്ച് പ്രോട്ടോക്കോൾ വേർഷൻ 2
പതിപ്പ് 2 സമാനമായി പ്രവർത്തിക്കുന്നു: ഓരോ ഹോസ്റ്റിലും ഒരു ഹോസ്റ്റ്-നിർദ്ദിഷ്ട കീ ഉണ്ട് (RSA അല്ലെങ്കിൽ DSA) ഹോസ്റ്റ് തിരിച്ചറിയാൻ ഉപയോഗിച്ചിരിക്കുന്നു. എന്നിരുന്നാലും, ഡെമൺ ആരംഭിക്കുമ്പോൾ, അത് ഒരു സെർവർ കീ ഉണ്ടാക്കുന്നില്ല. ഡിഫി-ഹെൽമാൻ കീ കരാർ വഴിയാണ് മുന്നോട്ട് സുരക്ഷ നൽകുന്നത്. ഈ കീ കരാർ പങ്കിട്ട സെഷൻ കീയിൽ ഫലമായി വരുന്നു.
ബാക്കിയുള്ള സെഷൻ നിലവിൽ ഒരു സിമെട്രിക് സൈഫർ ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്തിരിക്കുന്നു, നിലവിൽ 128 ബിറ്റ് എഇസ്, ബ്ളോഫ്, 3DES, CAST128, ആർക്ക്ഫോർ, 192 ബിറ്റ് എഇഎസ്, അല്ലെങ്കിൽ 256 ബിറ്റ് എഇസ് എന്നിവ ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്തിരിക്കുന്നു. സെർവർ ഓഫർ ചെയ്യുന്നതിൽ നിന്നും ഉപയോഗിക്കാനായി എൻക്രിപ്ഷൻ അൽഗോരിതം ക്ലയന്റ് തിരഞ്ഞെടുക്കുന്നു. കൂടാതെ, ക്രിപ്റ്റോഗ്രാഫിക് സന്ദേശ പ്രാമാണീകരണ കോഡ് (hmac-sha1 അല്ലെങ്കിൽ hmac-md5) വഴി സെഷൻ പരസ്പരവിനിമയം ലഭ്യമാക്കുന്നു.
പ്രോട്ടോക്കോൾ പതിപ്പ് 2 എല്ലാവർക്കുമുള്ള ഒരു അടിസ്ഥാന കീ ഉപയോക്താവിനെ (PubkeyAuthentication) അല്ലെങ്കിൽ ക്ലയന്റ് ഹോസ്റ്റ് (HostbasedAuthentication) ആധികാരികത ഉറപ്പാക്കൽ രീതി, പരമ്പരാഗത രഹസ്യവാക്ക് പ്രാമാണീകരണം, വെല്ലുവിളി ഉയർത്തുന്ന അടിസ്ഥാന രീതികൾ എന്നിവ ലഭ്യമാക്കുന്നു.
കമാൻഡ് എക്സിക്യൂഷൻ ആൻഡ് ഡാറ്റ ഫോർവേഡിങ്
ക്ലയന്റ് സ്വയം ആധികാരികത ഉറപ്പിക്കുകയാണെങ്കിൽ, സെഷൻ തയ്യാറാക്കുന്നതിനുള്ള ഒരു ഡയലോഗ് നൽകപ്പെടും. ഈ സമയത്ത് ക്ലയന്റ് ഒരു കപട-ട്യൂട്ടി, ഫോർവേഡ് X11 കണക്ഷനുകൾ, TCP / IP കണക്ഷനുകൾ ഫോർവേഡ് ചെയ്യൽ അല്ലെങ്കിൽ സുരക്ഷിത ചാനൽ വഴി പ്രാമാണീകരണ ഏജന്റ് കണക്ഷൻ ഫോർവേഡ് ചെയ്യൽ തുടങ്ങിയ കാര്യങ്ങൾ അഭ്യർത്ഥിക്കണം.
അവസാനമായി, ഒരു ആജ്ഞയുടെ ഷെൽ അല്ലെങ്കിൽ എക്സിക്യൂഷൻ ക്ലയന്റ് ആവശ്യപ്പെടുന്നു. അപ്പോൾ സൈഡ് മോഡ് നൽകുക. ഈ മോഡിൽ, ഏത് വശത്തും ഏതു സമയത്തും ഡാറ്റ അയയ്ക്കാം, അത്തരത്തിലുള്ള ഡാറ്റ സെർവറിന്റെ ഷെൽ അല്ലെങ്കിൽ ആജ്ഞയിൽ നിന്നും / ക്ലയന്റ് വശത്തുള്ള ഉപയോക്തൃ ടെർമിനലിലേക്കും കൈമാറുന്നു.
ഉപയോക്താവിന്റെ പ്രോഗ്രാം അവസാനിപ്പിക്കുകയും എല്ലാ X11- ഉം മറ്റ് കണക്ഷനുകളും അടയ്ക്കുമ്പോൾ സെർവർ കമാൻഡ് എക്സിറ്റ് നില ക്ലയന്റിലേക്ക് അയക്കുകയും ഇരു ഭാഗവും പുറത്തുകടക്കുകയും ചെയ്യും.
കമാൻഡ് ലൈൻ ഓപ്ഷനുകൾ അല്ലെങ്കിൽ കോൺഫിഗറേഷൻ ഫയൽ ഉപയോഗിച്ച് sshd കോൺഫിഗർ ചെയ്യാനാകും. കോൺഫിഗറേഷൻ ഫയലിൽ നൽകിയിരിക്കുന്ന കമാൻഡ്-ലൈൻ ഓപ്ഷനുകൾ അസാധുവാകുന്നു.
ഒരു ഹാംഗ്അപ്പ് സിഗ്നൽ ലഭിക്കുമ്പോൾ sshd അതിന്റെ കോൺഫിഗറേഷൻ ഫയൽ റീഡ് ചെയ്യുന്നു, SIGHUP അതിനെ ആരംഭിച്ച പേരുപയോഗിച്ച്, അതായത്, / usr / sbin / sshd
ഓപ്ഷനുകൾ താഴെ പറയുന്നു:
-b ബിറ്റുകൾ
എഫോമറൽ പ്രോട്ടോക്കോൾ പതിപ്പ് 1 സെർവർ കീ (സ്ഥിരസ്ഥിതി 768) ലെ ബിറ്റുകളുടെ എണ്ണം വ്യക്തമാക്കുന്നു.
-d
ഡീബഗ് മോഡ്. സെർവർ ലോഗിൽ സെർവർ വെർബോസ് ഡീബഗ് ഔട്ട്പുട്ട് അയയ്ക്കുകയും പശ്ചാത്തലത്തിൽ തന്നെ സ്ഥാപിക്കാതിരിക്കുകയും ചെയ്യുന്നു. സെർവർ പ്രവർത്തിക്കില്ല, ഒരു കണക്ഷൻ മാത്രമേ പ്രോസസ് ചെയ്യുകയുള്ളൂ. സെർവർ ഡീബഗ്ഗിങിനായി മാത്രമാണ് ഈ ഓപ്ഷൻ ഉദ്ദേശിച്ചത്. മൾട്ടി -ഡി ഓപ്ഷനുകൾ ഡീബഗ്ഗിംഗ് ലെവൽ വർദ്ധിപ്പിക്കുന്നു. പരമാവധി 3 ആണ്.
-ഇ
ഈ ഐച്ഛികം നൽകിയിരിയ്ക്കുമ്പോൾ, sshd ഔട്ട്പുട്ട് സിസ്റ്റം ലോജിനു് പകരം സ്റ്റാൻഡേർഡ് എറർയിലേക്കു് അയയ്ക്കുന്നു.
-f configuration_file
കോൺഫിഗറേഷൻ ഫയലിന്റെ പേര് വ്യക്തമാക്കുന്നു. ക്രമീകരണ ഫയൽ ഇല്ലെങ്കിൽ സ്വതവേയുള്ളതു് / etc / ssh / sshd_config sshd ആരംഭിയ്ക്കുന്നു.
-g login_grace_time
ഉപഭോക്താക്കൾക്ക് സ്വയം പ്രാമാണീകരിക്കാൻ കൃപ സമയം നൽകുന്നത് (സ്ഥിരസ്ഥിതി 120 സെക്കൻഡ്). ഈ പല സെക്കൻറിലും ഉപയോക്താവിനെ ആധികാരികപ്പെടുത്താൻ ക്ലയന്റ് പരാജയപ്പെടുകയാണെങ്കിൽ, സെർവർ വിച്ഛേദിക്കുന്നു, പുറത്തുകടക്കുന്നു. പൂജ്യം ഒരു പരിധി നിശ്ചയിക്കുന്നില്ല.
-h host_key_file
ഒരു ഹോസ്റ്റ് കീ വായിക്കുന്ന ഒരു ഫയൽ വ്യക്തമാക്കുന്നു. Sshd റൂട്ട് ആയി പ്രവർത്തിച്ചില്ലെങ്കിൽ (സാധാരണ ഹോസ്റ്റ് കീ ഫയലുകൾ സാധാരണയായി ആരെയും തിരിച്ചറിയുവാൻ സാധിക്കില്ല) ഈ ഐച്ഛികം നൽകണം. പ്രോട്ടോക്കോൾ വേർഷൻ 1 / etc / ssh / ssh_host_rsa_key, / etc / ssh / ssh_host_dsa_key എന്നിവയ്ക്കു് സ്വതവേയുള്ള / etc / ssh / ssh_host_key ആകുന്നു. വ്യത്യസ്തമായ പ്രോട്ടോക്കോൾ പതിപ്പുകൾക്കും ഹോസ്റ്റ് കീയ്ക്കു് അനവധി ഹോസ്റ്റ് കീ ഫയലുകൾ ലഭ്യമാണു് അൽഗോരിതം.
-i
Inetd- ൽ നിന്നും sshd പ്റവറ്ത്തിക്കുന്നു എന്ന് വ്യക്തമാക്കുന്നു. sshd സാധാരണയായി inetd ൽ നിന്നും പ്രവർത്തിയ്ക്കുന്നില്ല കാരണം ക്ലയന്റിലേക്ക് പ്രതികരിക്കാനാവുന്നതിന് മുമ്പ് സെർവർ കീ ജനറേറ്റ് ചെയ്യേണ്ടതുണ്ട്, ഇതിന് പതിനായിരക്കണക്കിന് സമയം എടുത്തേക്കാം. എല്ലാ സമയത്തും കീ വീണ്ടും പുനർനിർമിക്കപ്പെടുന്നുണ്ടെങ്കിൽ ക്ലയന്റുകൾ ദീർഘനേരം കാത്തിരിക്കേണ്ടി വരും. എന്നിരുന്നാലും, inetd- ൽ നിന്നും sshd ഉപയോഗിച്ചു് ചെറിയ കീ വ്യാപ്തികളോടെ (ഉദാ: 512) സാധ്യമാകുന്നു.
-k key_gen_time
എഫേമൽ പ്രോട്ടോക്കോൾ പതിപ്പ് 1 സെർവർ കീ പുനർജ്ജീവമാക്കിയിട്ടുണ്ടോ (സ്ഥിരസ്ഥിതി 3600 സെക്കൻഡ് അല്ലെങ്കിൽ ഒരു മണിക്കൂർ) എത്ര പ്രാവശ്യം പുനരാരംഭിക്കുന്നുവെന്നത് വ്യക്തമാക്കുന്നു. കീ വീണ്ടും സൃഷ്ടിക്കുന്നതിനുള്ള പ്രേരണ, കീ എവിടെയൊക്കെ സൂക്ഷിച്ചാലും ഒരു മണിക്കൂറിനു ശേഷവും മെഷീൻ പൊട്ടിച്ചെടുത്തോ അല്ലെങ്കിൽ ശാരീരികമായി പിടികൂടുമ്പോഴോ പോലും മറഞ്ഞിരിക്കുന്ന ആശയവിനിമയങ്ങളെ മറികടക്കാൻ അത് അസാധ്യമാണ്. പൂജ്യത്തിന്റെ മൂല്യം സൂചിപ്പിക്കുന്നത്, ഒരിക്കലും കീ വീണ്ടും സൃഷ്ടിക്കപ്പെടുകയില്ല എന്നാണ്.
-o ഐച്ഛികം
കോൺഫിഗറേഷൻ ഫയലിൽ ഉപയോഗിച്ചിരിക്കുന്ന ഫോർമാറ്റിൽ ഓപ്ഷനുകൾ നൽകാൻ ഉപയോഗിച്ചേക്കാം. പ്രത്യേകം കമാൻഡ്-ലൈൻ ഫ്ലാഗ് ഇല്ലാത്ത ഓപ്ഷനുകൾ വ്യക്തമാക്കുന്നതിന് ഇത് ഉപയോഗപ്രദമാണ്.
-p പോർട്ട്
കണക്ഷനുകൾക്കായി സെർവർ ശ്രവിക്കുന്ന പോർട്ട് (സ്ഥിരസ്ഥിതി 22) വ്യക്തമാക്കുന്നു. ഒന്നിലധികം പോർട്ട് ഓപ്ഷനുകൾ അനുവദനീയം. ഒരു കമാൻഡ്-ലൈൻ പോർട്ട് വ്യക്തമാക്കിയിരിക്കുമ്പോൾ ക്രമീകരണ ഫയലിലേക്കു് പറഞ്ഞിട്ടുള്ള പോർട്ടുകൾ ഉപേക്ഷിയ്ക്കുന്നു.
-ഖാ
നിശബ്ദ മോഡ്. സിസ്റ്റം ലോഗ് ലേക്ക് ഒന്നും അയയ്ക്കില്ല. സാധാരണയായി ഓരോ കണക്ഷനും ആരംഭിക്കുന്നതും ആധികാരികത ഉറപ്പാക്കുന്നതും അവസാനിപ്പിക്കുന്നതും ആണ്.
-t
ടെസ്റ്റ് മോഡ്. കോൺഫിഗറേഷൻ ഫയലിന്റെ സാധുത പരിശോധിച്ച് കീകളുടെ സത്വരവും മാത്രം പരിശോധിക്കുക. ക്രമീകരണ ഐച്ഛികങ്ങൾ മാറാവുന്നതിനാൽ sshd ആധികാരികത ഉറപ്പാക്കുന്നതിനായി ഇത് ഉപയോഗപ്പെടുന്നു.
-u ലെൻ
റിമോട്ട് ഹോസ്റ്റ് നെയിം സൂക്ഷിക്കുന്ന utmp ഘടനയിലുള്ള ഫീൽഡിന്റെ വ്യാപ്തി വ്യക്തമാക്കുന്നതിനു് ഈ ഐച്ഛികം ഉപയോഗിയ്ക്കുന്നു. നിശ്ചിത ഹോസ്റ്റ്നാമം ലെൻ എന്നതിലുപരി കൂടുതലാണ് എങ്കിൽ, ബാക്കിയുള്ള ദശാംശ മൂല്യം ഉപയോഗിക്കും. ഈ ഫീൽഡ് ഇപ്പോഴും അദ്വിതീയമായി തിരിച്ചറിയപ്പെടുന്ന ഏറ്റവും ദൈർഘ്യമേറിയ ഹോസ്റ്റ് പേരുകളുള്ള ഹോസ്റ്റുകൾക്ക് ഇത് അനുവദിക്കുന്നു. വ്യക്തമാക്കുന്നത് - U0 എന്ന് സൂചിപ്പിക്കുന്നത്, ഡോട്ടഡ് ഡെസിമൽ വിലാസങ്ങൾ മാത്രം utmp ഫയലിലേക്ക് നൽകണം എന്നാണ്. - u0 , ആധികാരികത ഉറപ്പാക്കൽ സംവിധാനമോ കോൺഫിഗറേഷനോ ആവശ്യപ്പെടുന്നില്ലെങ്കിൽ, ഡിഎൻഎസ് ആവശ്യപ്പെടുന്നതിൽ നിന്നും sshd തടയുന്നതിനായി ഉപയോഗിയ്ക്കുന്നു. ഡിഎൻഎസിനു് ആവശ്യമായ ആധികാരികത ഉറപ്പാക്കൽ സംവിധാനങ്ങൾ RhostsAuthentication RhostsRSAAhentication ഹോസ്റ്റബെയിസ്അഡ്രീക്റ്റേഷനാണു്. കൂടാതെ, ഒരു = ഫയൽ പാറ്റേൺ-ലിസ്റ്റ് ഐച്ഛികത്തിൽ ഒരു കീ ഫയലിൽ ഉപയോഗിയ്ക്കുന്നു. AllowUsers അല്ലെങ്കിൽ DenyUsers ൽ ഒരു USER @ HOST പാറ്റേൺ ഉപയോഗിച്ച് DNS ആവശ്യമായ കോൺഫിഗറേഷൻ ഓപ്ഷനുകൾ ഉൾപ്പെടുന്നു
-D
ഈ ഐച്ഛികം നൽകുമ്പോൾ sshd തടസ്സപ്പെടുത്തുകയും ഒരു ഡെമൺ ആയിത്തീരുകയും ചെയ്യും. Sshd- ന്റെ എളുപ്പത്തിലുള്ള നിരീക്ഷണം ഇത് അനുവദിക്കുന്നു
-4
IPv4 വിലാസങ്ങൾ മാത്രം ഉപയോഗിയ്ക്കാനായി sshd ഫോഴ്സ്.
-6
IPv6 വിലാസങ്ങൾ മാത്രം ഉപയോഗിയ്ക്കാനായി sshd നായി സൂക്ഷിക്കുക.
കോൺഫിഗറേഷൻ ഫയൽ
sshd കോൺഫിഗറേഷൻ ഡാറ്റ / etc / ssh / sshd_config (അല്ലെങ്കിൽ കമാൻഡ് ലൈനിൽ f -മായി നൽകിയിരിയ്ക്കുന്ന ഫയൽ) ൽ നിന്നും ലഭ്യമാക്കുന്നു. ഫയൽ ഫോർമാറ്റും ക്രമീകരണങ്ങളും sshd_config5 -ൽ വിവരിയ്ക്കുന്നു.
ലോഗിൻ പ്രക്രിയ
ഒരു ഉപയോക്താവ് വിജയകരമായി ലോഗിന് ചെയ്യുമ്പോള്, sshd ഇനീഷ്യല് ചെയ്യുക :
- പ്രവേശനം ഒരു tty- ലും, കൂടാതെ ഒരു കമാൻഡും വ്യക്തമാക്കിയിട്ടില്ലെങ്കിൽ, അവസാന ലോഗിൻ സമയം കൂടാതെ / etc / motd പ്രിന്റ് ചെയ്യുന്നു. (കോൺഫിഗറേഷൻ ഫയലിൽ തടഞ്ഞുവച്ചിട്ടില്ലെങ്കിൽ അല്ലെങ്കിൽ $ HOME / .hushlogin Sx FILES വിഭാഗം കാണുക).
- ലോഗിൻ ഒരു tty ൽ ആണെങ്കിൽ, രേഖകൾ പ്രവേശിക്കുന്ന സമയം.
- പരിശോധനകൾ / etc / nologin ഉണ്ടെങ്കിൽ, പ്രിന്റ് ഉള്ളടക്കം കൂടാതെ quits (റൂട്ട് അല്ലാതെ).
- സാധാരണ ഉപയോക്തൃ മുൻഗണനകളോടെ പ്രവർത്തിപ്പിക്കുന്ന മാറ്റങ്ങൾ.
- അടിസ്ഥാന പരിതസ്ഥിതി സജ്ജീകരിക്കുന്നു.
- $ HOME / .ssh / എൻവിറോൺമെൻറിൽ നിലനിൽക്കുന്നുണ്ടെങ്കിൽ ഉപയോക്താക്കൾക്ക് അവരുടെ പരിസ്ഥിതിയിൽ മാറ്റം വരുത്താൻ അനുമതിയുണ്ട്. Sshd_config5- ൽ PermitUserEnvironment ഉപാധി കാണുക.
- ഉപയോക്താവിന്റെ ഹോം ഡയറക്ടറിയ്ക്കുള്ള മാറ്റങ്ങൾ.
- $ HOME / .ssh / rc നിലവിലുണ്ടെങ്കിൽ അത് പ്രവർത്തിപ്പിക്കുന്നു; / etc / ssh / sshrc നിലവിലുണ്ടെങ്കിൽ, ഇത് പ്രവർത്തിപ്പിക്കുന്നു; അല്ലെങ്കിൽ xauth പ്രവർത്തിപ്പിക്കുന്നു. `Rc 'ഫയലുകൾക്ക് X11 പ്രാമാണീകരണ പ്രോട്ടോക്കോളും സ്റ്റാൻഡേർഡ് ഇൻപുട്ടിലുള്ള കുക്കി നൽകുന്നു.
- ഉപയോക്താവിന്റെ ഷെൽ അല്ലെങ്കിൽ കമാൻഡ് പ്രവർത്തിപ്പിക്കുന്നു.
അംഗീകൃത ഫയൽ ഫോർമാറ്റ്
$ HOME / .ssh / authorized_keys എന്നത് പ്രോട്ടോക്കോൾ പതിപ്പിൽ RSA പ്രാമാണീകരണത്തിനും പ്രോട്ടോക്കോൾ പതിപ്പിലെ പബ്ലിക് കീ പ്രാമാണീകരണത്തിനും (PubkeyAuthentication) 2-ൽ അനുവദിച്ചിട്ടുള്ള പൊതു കീകൾ കാണിക്കുന്ന സ്വതവേയുള്ള ഫയലും ആണ്. 2) AuthorizedKeysFile ഒരു ഇതര ഫയൽ വ്യക്തമാക്കാൻ ഉപയോഗിച്ചേക്കാം.
ഫയലിന്റെ ഓരോ വരിയും ഒരു കീ അടങ്ങിയിരിക്കുന്നു (`# 'എന്ന് തുടങ്ങുന്ന ശൂന്യമായ രേഖകളും വരികളും കമന്റുകൾ പോലെ അവഗണിക്കുന്നു). ഓരോ ആർഎസ്എ പബ്ലിക് കീയിലും താഴെപ്പറയുന്ന ഫീൽഡുകൾ ഉൾപ്പെടുന്നു: സ്പെയിസുകളാൽ വേർതിരിച്ചിരിക്കുന്നു: ഓപ്ഷനുകൾ, ബിറ്റുകൾ, ഘടകം, മോഡുലസ്, അഭിപ്രായം. ഓരോ പ്രോട്ടോക്കോൾ പതിപ്പ് 2 പൊതു കീ ഉൾകൊള്ളുന്നു: ഓപ്ഷനുകൾ, കീ ടൈപ്പ്, ബേസ്ബൺ64 എൻകോഡ് ചെയ്ത കീ, കമന്റ്. ഓപ്ഷനുകൾ ഫീൽഡ് ഓപ്ഷണൽ ആണ്; അതിന്റെ സാന്നിധ്യം വരിയിൽ ഒരു നമ്പർ അല്ലെങ്കിൽ ആരംഭിക്കണമോ എന്ന് നിർണ്ണയിക്കപ്പെടുന്നു (ഓപ്ഷൻ ഫീൽഡ് ഒരിക്കലും ഒരു നമ്പർ ഇല്ലാതെ). ബിറ്റുകൾ, ഡീബേസ്, മോഡുലസ്, കമന്റ് ഫീൽഡുകൾ എന്നിവ പ്രോട്ടോക്കോൾ വേർഷൻ 1 ന് RSA കീ നൽകുന്നു. കമന്റ് ഫീൽഡ് എവിടേയും ഉപയോഗിച്ചിട്ടില്ല (എന്നാൽ കീ തിരിച്ചറിയാൻ ഉപയോക്താവിന് അനുയോജ്യമാണ്). പ്രോട്ടോകോൾ പതിപ്പ് 2 ന് കീ വേർതിരിവ് `` ssh-dss '' അല്ലെങ്കിൽ `` ssh-rsa 'ആണ്
ഈ ഫയലിലുള്ള വരികൾ സാധാരണയായി നൂറ് ബൈറ്റുകൾ ദീർഘമാണ് (പൊതു കീ എൻകോഡിംഗിന്റെ വലുപ്പം കാരണം). നിങ്ങൾ അവ ടൈപ്പുചെയ്യാൻ ആഗ്രഹിക്കുന്നില്ല; പകരം, ഐഡന്റിറ്റി.pub id_dsa.pub അല്ലെങ്കിൽ id_rsa.pub ഫയൽ പകർത്തി അത് എഡിറ്റ് ചെയ്യുക.
പ്രോട്ടോകോൾ 1, 768 ബിറ്റ് പ്രോട്ടോക്കോൾ 2 കീകൾ എന്നിവയ്ക്ക് sshd കുറഞ്ഞ RSA കീ മോഡുലസ് സൈസ് നിർവ്വഹിക്കുന്നു.
ഓപ്ഷനുകൾ (നിലവിലുണ്ടെങ്കിൽ) കോമയാൽ വേർതിരിച്ച ഓപ്ഷൻ നിർദ്ദേശങ്ങൾ ഉൾക്കൊള്ളുന്നു. ഇരട്ട ഉദ്ധരണികൾക്കുള്ളിൽ സ്പെയ്സുകളൊന്നും അനുവദനീയമല്ല. താഴെ പറയുന്നവ ഓപ്ഷൻ സ്പെസിഫിക്കേഷനുകൾ പിന്തുണയ്ക്കുന്നു (ഓപ്ഷൻ കീവേഡുകൾ കേസിൽ ഉൾപ്പെടാത്തവയാണെന്നത് ശ്രദ്ധിക്കുക):
മുതൽ = പാറ്റേൺ-പട്ടിക
പൊതു കീ പ്രാമാണീകരണത്തിനു പുറമേ, പാറ്റേണുകളുടെ കോമയാൽ വേർതിരിച്ച ലിസ്റ്റിൽ (* * 'ഒപ്പം'? 'വൈൾഡ് കാർഡുകളായി സേവിക്കുന്നു) റിമോട്ട് ഹോസ്റ്റിന്റെ കാനോനിക്കൽ പേര് ഉണ്ടായിരിക്കണം എന്ന് നിർദ്ദേശിക്കുന്നു. പട്ടികയിൽ 'മുൻപുള്ള' മുൻഗണന നൽകി നിരസിക്കുന്ന പാറ്റേണുകൾ അടങ്ങിയിരിക്കാം ; കാനോനിക്കൽ ഹോസ്റ്റ് നാമം ഒരു നിരസിക്കാത്ത പാറ്റേണുമായി പൊരുത്തപ്പെടുകയാണെങ്കിൽ, കീ സ്വീകരിക്കപ്പെടുന്നതല്ല. ഈ ഉപാധിയുടെ ഉദ്ദേശ്യം സുരക്ഷ വർദ്ധിപ്പിക്കുന്നതിനുള്ളതാണ്: പബ്ലിക് കീ പ്രാഥമികം തന്നത്താൻ നെറ്റ്വർക്ക് അല്ലെങ്കിൽ നാമ സെർവറുകൾ അല്ലെങ്കിൽ എന്തിന് വിശ്വസനീയമല്ല (പക്ഷേ കീ); എന്നിരുന്നാലും, ആരെങ്കിലും ഒരുപക്ഷേ കീകൾ മോഷ്ടിക്കുകയാണെങ്കിൽ, ലോകത്തിലെവിടെ നിന്നും ലോഗ് ഇൻ ചെയ്യാനുള്ള ഒരു ആക്രമീകരണത്തെ കീ അനുവദിക്കുന്നു. ഈ അധിക ഓപ്ഷൻ ഒരു മോഷ്ടിച്ച കീ ഉപയോഗിക്കുന്നത് കൂടുതൽ പ്രയാസമാണ് (നാമ സെർവറുകൾ കൂടാതെ / അല്ലെങ്കിൽ റൂട്ടറുകൾ മാത്രം കീയ്ക്ക് പുറമെ).
command = കമാൻഡ്
ആധികാരികത ഉറപ്പാക്കുന്നതിനായി ഈ കീ ഉപയോഗിക്കുന്പോൾ കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുന്നു എന്നു് വ്യക്തമാക്കുന്നു. ഉപയോക്താവു് നൽകുന്നതു് (അവയുണ്ടെങ്കിൽ) അവഗണിക്കപ്പെടുന്നു. ക്ലയന്റ് ഒരു pty ആവശ്യപ്പെടുന്നെങ്കിൽ കമാൻഡ് ഒരു പകുതിയിൽ പ്രവർത്തിക്കുന്നു; അല്ലെങ്കിൽ അത് ഒരു tty ഇല്ലാതെ പ്രവർത്തിക്കുന്നു. ഒരു 8-ബിറ്റ് ക്ലീൻ ചാനൽ ആവശ്യമാണെങ്കിൽ, ഒരെണ്ണം പൂരിപ്പിക്കരുത് അല്ലെങ്കിൽ നോട്ടിഫിക്കേഷൻ നൽകരുത് കോഡിൽ ഒരു ഉദ്ധരണി ഉദ്ധരിക്കേണ്ടത് ബാക്ക്സ്ലാഷ് കൊണ്ട് ഉദ്ധരിക്കുക വഴി. ചില നിർദ്ദിഷ്ട കീകൾ ഒരു നിർദ്ദിഷ്ട പ്രവർത്തനം നടപ്പിലാക്കാൻ ഈ ഓപ്ഷൻ ഉപയോഗപ്പെടും. ഒരു ഉദാഹരണം റിമോട്ട് ബാക്കപ്പുകളെ അനുവദിക്കുന്ന ഒരു കീ ആയിരിക്കാം, എന്നാൽ മറ്റൊന്നും. വ്യക്തമായി നിരോധിച്ചിട്ടില്ലാത്ത പക്ഷം, ക്ലയന്റ് TCP / IP കൂടാതെ / അല്ലെങ്കിൽ X11 ഫോർവേഡിങ്ങ് വ്യക്തമാക്കുമെന്നത് ശ്രദ്ധിക്കുക. ഷെൽ, കമാൻഡ് അല്ലെങ്കിൽ സബ്സിസ്റ്റം എക്സിക്യൂഷൻ എന്നിവയ്ക്കായി ഈ ഐച്ഛികം ഉപയോഗിയ്ക്കുന്നു.
environment = NAME = മൂല്യം
ഈ കീ ഉപയോഗിച്ചു് ലോഗ് ചെയ്യുമ്പോൾ പരിസ്ഥിതിയിലേക്കു് സ്ട്രിങ് ചേർക്കേണ്ടതുണ്ടു്. എൻവയോൺമെന്റ് വേരിയബിളുകൾ ഇതിനെ മറ്റ് സ്ഥിരസ്ഥിതി പരിസ്ഥിതി മൂല്യങ്ങളെ അസാധുവാക്കുന്നു. ഈ തരത്തിലുള്ള ഒന്നിലധികം ഓപ്ഷനുകൾ അനുവദനീയമാണ്. സ്ഥിരമായി പരിസ്ഥിതി പ്രോസസ്സ് അപ്രാപ്തമാക്കിയിരിക്കുന്നു, ഇത് PermitUserEnvironment ഓപ്ഷൻ വഴി നിയന്ത്രിക്കപ്പെടുന്നു. UseLogin പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടെങ്കിൽ ഈ ഓപ്ഷൻ സ്വപ്രേരിതമായി അപ്രാപ്തമാക്കും.
നോ-പോർട്ട് ഫോർവേഡിങ്
ആധികാരികതയ്ക്കായി ഈ കീ ഉപയോഗിക്കുന്പോൾ TCP / IP ഫോർവേഡിങിനെ വിലക്കുന്നു. ക്ലയന്റ് നൽകുന്ന ഏതെങ്കിലും പോർട്ട് ഫോർവേഡ് അഭ്യർത്ഥനകൾ ഒരു പിശക് കാണിക്കും. കമാൻഡ് ഓപ്ഷൻ ഉപയോഗിച്ച് ഇത് ഉദാഹരണം.
no-X11-forwarding
ആധികാരികതയ്ക്കായി ഈ കീ ഉപയോഗിയ്ക്കുമ്പോൾ X11 ഫോർവേഡിങ് തടയുന്നു. ക്ലയന്റ് നൽകുന്ന X11 ഫോർവേഡ് അഭ്യർത്ഥനകൾ ഒരു പിശക് കാണിക്കും.
no-agent-forwarding
ആധികാരികതയ്ക്കായി ഈ കീ ഉപയോഗിയ്ക്കുമ്പോൾ ആധികാരികത ഉറപ്പാക്കുന്നതിനുള്ള ഏജന്റ് ഫോർവേഡിങ് തടയുന്നു.
നം
Tty അലോക്കേഷൻ തടയുന്നു (ഒരു പിടിയെ അനുവദിക്കുന്നതിനുള്ള അഭ്യർത്ഥന പരാജയപ്പെടും).
permitopen = ഹോസ്റ്റ്: പോർട്ട്
നിർദ്ദിഷ്ട ഹോസ്റ്റും പോർട്ടും മാത്രം ബന്ധിപ്പിക്കാൻ പ്രാദേശിക "ssh -L" പോർട്ട് ഫോർവേഡിനെ പരിമിതപ്പെടുത്തുക. ബദൽ സിന്റാക്സ് ഉപയോഗിച്ച് IPv6 വിലാസങ്ങൾ നൽകാം: ഹോസ്റ്റ് / പോർട്ട് ഒന്നിലധികം പെർമിറ്റോൺ ഓപ്ഷനുകൾ കോമ ഉപയോഗിച്ച് വേർതിരിച്ചേക്കാം. നിർദ്ദിഷ്ട ഹോസ്റ്റ്നാമങ്ങളിൽ പാറ്റേൺ പൊരുത്തപ്പെടൽ ഒന്നും തന്നെ നടന്നിട്ടില്ല, അവ അക്ഷരാർത്ഥത്തിലുള്ള ഡൊമെയ്നുകളോ വിലാസങ്ങളോ ആയിരിക്കണം.
ഉദാഹരണങ്ങൾ
1024 33 12121 ... 312314325 ylo@foo.bar
from = "* .niksula.hut.fi,! pc.niksula.hut.fi" 1024 35 23 ... 2334 ylo @ niksula
കമാൻഡ് = "ഡംപ് / ഹോം", നോ-പൈട്ടി, പോർട്ട് ഫോർവേഡിങ് 1024 33 23 ... 2323 backup.hut.fi
permitopen = "10.2.1.55:80", permitopen = "10.2.1.56:25" 1024 33 23 ... 2323
ഫയൽ ഫോർമാറ്റ് Ssh_Known_Hosts
അറിയപ്പെടുന്ന ഹോസ്റ്റുകൾക്കു് / etc / ssh / ssh_known_hosts, $ HOME / .ssh / known_hosts ഫയലുകളിൽ ഹോസ്റ്റ് പബ്ളിക് കീകൾ അടങ്ങുന്നു. ഗ്ലോബൽ ഫയൽ അഡ്മിനിസ്ട്രേറ്ററാണ് (ഓപ്ഷണൽ) തയ്യാറാക്കേണ്ടത്. ഓരോ ഉപയോക്തൃനാമവും യാന്ത്രികമായി കൈകാര്യം ചെയ്യുന്നു: ഒരു അജ്ഞാത ഹോസ്റ്റിൽ നിന്നും ഉപയോക്താവിനെ ബന്ധിപ്പിക്കുമ്പോൾ ഓരോ കീയും ഓരോ ഉപയോക്താവിനും ചേർക്കുന്നു.
ഈ ഫയലുകളിലെ ഓരോ വരിയും ഇനി പറയുന്ന ഫീൽഡുകൾ ഉണ്ട്: hostnames, bits, exponent, modulus, comment. ഫീൽഡുകൾ സ്പേസ് ഉപയോഗിച്ച് വേർതിരിച്ചിരിക്കുന്നു.
ഹോസ്റ്റ് നെയിംസ് എന്നത് പാറ്റേണുകളുടെ കോമ കൊണ്ട് വേർതിരിച്ച ലിസ്റ്റ് (വൈൽഡ്കാർഡുകളായി '*', '?' ഓരോ പാറ്റേണും അതാകട്ടെ, കനോനിക്കൽ ഹോസ്റ്റ് നെയിം (ഒരു ക്ലയന്റ് ആധികാരികപ്പെടുത്തുമ്പോഴോ) അല്ലെങ്കിൽ ഉപയോക്താവിനുള്ള വിതരണ നാമം (ഒരു സെർവറിലേക്ക് ആധികാരികമാക്കുമ്പോൾ) എന്നിവയുമായി പൊരുത്തപ്പെടുന്നു. ഒരു പാറ്റേണേ അതിനു മുമ്പായി ``! നെഗറ്റീവ് സൂചകം സൂചിപ്പിക്കാൻ: ഹോസ്റ്റ് നാമം ഒരു നിരസിച്ച പാറ്റേണുമായി പൊരുത്തപ്പെടുകയാണെങ്കിൽ, അത് ലൈനിലെ മറ്റൊരു പാറ്റേൺ പൊരുത്തപ്പെട്ടാൽ പോലും (ആ വരിയിലൂടെ) സ്വീകരിക്കപ്പെടുന്നില്ല.
ബിറ്റ്, എക്സ്പონსന്റ്, മോഡുലസ് എന്നിവ RSA ഹോസ്റ്റ് കീയിൽ നിന്നും നേരിട്ട് എടുക്കുന്നു; അവ ലഭിക്കുന്നു, ഉദാഹരണത്തിന്, /etc/ssh/ssh_host_key.pub ഓപ്ഷണൽ കമന്റ് ഫീൽഡ് രേഖയുടെ അവസാനം വരെ തുടരുകയും ഉപയോഗിക്കുകയും ചെയ്തില്ല.
`# 'ഉം ശൂന്യമായ ലൈനുകളും ഉപയോഗിച്ച് ആരംഭിക്കുന്ന വരികൾ അഭിപ്രായങ്ങളെ അവഗണിക്കപ്പെടുന്നു.
ഹോസ്റ്റു് ആധികാരികത ഉറപ്പാക്കുന്നതിനു്, പൊരുത്തമുള്ള രേഖകൾക്കു് ഉചിതമായ കീ ഉണ്ടെങ്കിൽ ആധികാരികത ഉറപ്പാക്കുന്നു. ഒരേ പേരുകൾക്കായി പല വരികളും അല്ലെങ്കിൽ വ്യത്യസ്ത ഹോസ്റ്റുകളും ഉണ്ടായിരിക്കാൻ ഇത് അനുവദനീയമാണ് (പക്ഷേ ശുപാർശചെയ്യുന്നില്ല). വ്യത്യസ്ത ഡൊമെയ്നുകളിൽ നിന്നുള്ള ഹോസ്റ്റ് പേരുകളുടെ ഹ്രസ്വ രൂപങ്ങൾ ഫയലിൽ സൂക്ഷിക്കുമ്പോൾ ഇത് സംഭവിക്കും. ഫയലുകളിൽ വൈരുദ്ധ്യമുള്ള വിവരങ്ങൾ അടങ്ങിയിട്ടുണ്ട്; ഒന്നിലധികം ഫയലിൽ നിന്ന് സാധുവായ വിവരങ്ങൾ കണ്ടെത്താമെങ്കിൽ ആധികാരികത അംഗീകരിക്കപ്പെടും.
ഈ ഫയലുകളിലെ ലൈനുകൾ സാധാരണയായി നൂറുകണക്കിന് പ്രതീകങ്ങൾ ആണെന്നതും ശ്രദ്ധിക്കുക ഹോസ്റ്റ് കീകളിൽ തന്നെ നിങ്ങൾക്ക് ടൈപ്പുചെയ്യാൻ താൽപര്യമില്ല. പകരം, ഒരു സ്ക്രിപ്റ്റ് ഉപയോഗിച്ച് അല്ലെങ്കിൽ /etc/ssh/ssh_host_key.pub എടുക്കുകയും ഹോസ്റ്റ് പേരുകൾ മുന്നിൽ ചേർക്കുകയും ചെയ്യുക.
ഉദാഹരണങ്ങൾ
ക്ലോസ്വേണറ്റ്, ..., 130.233.208.41 1024 37 159 ... 93 ക്ലോസ്വെറ്റ്.ഹട്ട്.ഫിറ്റ് സിവീസ്.ഓഫൻബ്സ്.കേർഷൻസ്, 199.185.137.3 ssh-rsa AAAA1234 ..... =ഇതും കാണുക
spp (1), ssh (1), ssh-add1, ssh-agent1, ssh-keygen1, login.conf5, moduli (5), sshd_config5, sftp-server8
T. Ylonen T. Kivinen M. സാരിനീൻ ടി. റിൻ എസ്. ലെട്ടിനിയൻ "എസ്.എച്ച്. പ്രോട്ടോകോൾ ആർക്കിടെക്ചർ" ഡ്രാഫ്റ്റ്-ഇറ്റ്ഫ്-സെഷ്ഷ്-ആർക്കിടെക്ചർ -12 ടിഎക്സ്ടെക്സ് ജനുവരി 2002 പുരോഗമന സാമഗ്രികൾ
M. Friedl N. Provos WA സിംപ്സൺ "ഡിഫ്റ്റി-ഹെൽമാൻ ഗ്രൂപ്പ് എക്സ്ചേഞ്ച് എസ്എസ്എച്ച് ട്രാൻസ്പോർട്ട് ലേൺ പ്രോട്ടോക്കോൾ" ഡ്രാഫ്റ്റ്- ietf-secsh-dh-group-exchange-02.txt 2002 ജനുവരി സൃഷ്ടി പുരോഗതിയിൽ
പ്രധാനപ്പെട്ടതു്: നിങ്ങളുടെ കംപ്യൂട്ടറിൽ എങ്ങനെയാണ് കമാൻഡ് ഉപയോഗിക്കേണ്ടത് എന്ന് കാണുവാൻ man command ( % man ) ഉപയോഗിക്കുക.