Ключи запуска сервера SSH
Помимо конфигурационного файла, некоторые особенности функционирования сервера SSH можно задать, используя ключи запуска. Ниже приведены основные ключи запуска:
• -D – не отсоединяться от терминала при запуске;
• -b bits – ключ задает число битов ключа сервера (SSH1), по умолчанию 768;
• -d – переводит сервер в отладочный режим, использование нескольких ключей увеличивает количество отладочной информации;
• -е – ключ разрешает выводить сообщения на stderr вместо syslog (то есть не журналировать сообщения, а сразу выводить на стандартное устройство для вывода ошибок – обычно это текстовый терминал);
• -f имя-конфигурационного-файла – ключ определяет положение конфигурационного файла, удобно использовать при отладке;
• -g grace-time – ключ определяет время ожидания между вводом логина и пароля пользователя;
• -h файл-ключей – хоста – ключ определяет местоположение файла ключей;
• -k keygen-time – параметр задает интервал регенерации ключа сервера;
• -р порт – параметр определяет порт, который будет слушать сервер;
• -q – ключ запрещает выдачу информации на syslog (то есть запрщает журналирование событий);
• -t – с помощью этого параметра можно произвести проверку на отсутствие ошибок в конфигурационном файле и ключах;
• -u число – вместо имен хостов, превышающих число, в журнале utmp будет записываться IP-адрес: -u0 вызывает безусловную запись IP-адресов;
• -4 – использование протокола IPv4;
• -6 – использование протокола IPv6.
Ключи запуска клиента SSH
Как и для сервера, для изменения некоторых параметров клиента можно воспользоваться ключами запуска:
• -а – запретить перенаправление агента аутентификации;
• -A – разрешить перенаправление агента аутентификации;
• -b адрес – позволяет для хоста с несколькими интерфейсами использовать конкретный адрес;
• -c biowfish | 3des – задает используемый алгоритм шифрования (SSH1);
• -c список-алгоритмов-шифрования-через-запятую – алгоритм В начале списка имеет наибольший приоритет; по умолчанию: aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour, aes192-cbc, aes256-cbc (SSH2);
• -D локальный-порт – эмуляция SOC KS4-cepisepa (специфического proxy-сервера) по защищенному каналу;
• -e символ | ^символ | none – определяет escape-символ вместо тильды; попе обеспечивает прозрачную передачу данных;
• -f – перейти в фоновый режим после запроса пароля или парольной фразы;
• -F имя-конфигурационного-файла – разрешает использовать указанный файл в качестве конфигурационного;
• -g – разрешать удаленному хосту подсоединяться к локальным перенаправленным портам;
• -i имя-файла – определяет файл, хранящий RSA/DSA-приватный ключ;
• -k – запретить перенаправление Kerberos;
• -l имя-пользователя – от имени какого пользователя устанавливается соединение;
• -m список-алгоритмов-обеспечения-целостности-соединения – определяет алгоритмы подсчета контрольной суммы;
• -n – направить /dev/null на stdin и перейти в фоновый режим;
• -р порт – соединиться с указанным хостом на удаленном хосте;
• -P – использовать непривилегированный порт для исходящего соединения, чтобы обойти ограничения сетевого экрана;
• -R локальный-порт: хост: удаленный-порт – если происходит соединение на удаленный порт, то оно перенаправляется по защищенному каналу на локальный порт;
• -s – запуск подсистемы на сервере – например, sftp; имя подсистемы задается последним параметром;
• -t – требовать выделения псевдо-tty;
• -T – не выделять псевдо-tty;
• -х – запретить перенаправление XII;
• -X – разрешить перенаправление XII;
• -1 – использовать только SSHl-протокол;
• -2 – использовать только SSI-12-протокол;
• -4 – использовать IPv4;
• -6 – использовать IPv6.
Программы, входящие в пакет OpenSSH
Помимо клиента и сервера, в пакет OpenSSH входят программы, предназначенные для генерации ключей, аутентификации, и программы, призванные заменить набор r-команд.
Программа ssh-keygen
Программа ssh-keygen предназначена для генерации, преобразования и управления ключами. По умолчанию генерирует RSA-ключ. При генерации запрашивается парольная фраза. Забытую парольную фразу восстановить невозможно. Число битов по умолчанию – 1024. Имя файла для хранения публичного ключа образуется из имени файла для частного ключа добавлением суффикса. pub. Ключ хоста должен иметь пустую парольную фразу.
Возможные строки запуска:
• генерирует ключ по указанному пользователем алгоритму:
ssh-keygen [-t rsal|dsa|rsa] [-b бит] [-N парольная-фраза] [-C комментарий] [-f имя-файла-записи] [-q]
• изменить комментарий:
ssh-keygen -c [-Р парольная-фраза] [-С комментарий] [-f файл-с-ключами]
• читает приватный или публичный ключ в форматах OpenSSH и преобразует его в формат SECSH для экспорта в другие реализации SSH:
ssh-keygen -e [-f файл-с-ключами]
• читает приватный или публичный ключ в формате SSH2 или SECSH и преобразует его в формат OpenSSH:
ssh-keygen -i [-f файл-с-ключами]
• позволяет изменить парольную фразу:
ssh-keygen -р [-Р старая-парольная-фраза] [-N новая-парольная-фраза] [-f файл-с-ключами]
• читает приватный ключ OpenSSH DSA и выдает публичный ключ OpenSSH DSA:
