Következő: 15.112.6 KÖRNYEZET Fel: 15.112 ssh(8) Előző: 15.112.4 OPCÍÓK   Index

15.112.5 KONFIGURÁCIÓS FÁJLOK

Az ssh a következő forrásokból veszi a konfigurácós adatait (ebben a sorrendben): parancssorbeli opciók, felhasználó konfigurációs fájlai ($HOME/.ssh/config), és a renszerszintű konfigurációs fájl (/etc/ssh/ssh_config). Minden paraméter az így kapott első értéket kapja. A konfigurációs fájlok "Host" specifikációk által behatárolt részeket tartalmaznak, és egy adott rész csak azokra a gépekre vonatkozik, amelyek illeszkednek a specifikációban megadott mintára. A parancssoron megadott gépnév kerül illesztésre.

Mivel minden paraméter az első értéket kapja, az inkább egy adott gépre specifikus deklarációkat a fájl elején érdemes megadni, az általánosabb default­okat pedig a végén.

A konfigurációs fájlnak a következő formátuma van:
Az üres sorok és a '#' ­el kezdődő sorok megjegyzések. Egyébként pedig egy sor formátuma ,,kulcsszó argumentumok'' vagy ,,kulcsszó = argumentumok''. A lehetséges kulcsszavakat és a jelentésüket lásd az alábbiakban (megjegyzés: a konfigurációs fájlokban különbség van a kisbetű és a nagybetű közott, de a kulcsszavaknál ez nem számít):

Host

Az ezt követő deklarációkat korlátozza, hogy csak a kulcsszó után következő mintára illeszkedő gépnevekre legyen érvényes (egészen a következő Host kulcsszóig). A '*' és a '?' wildcard­ként használható a mintákban. Ha a minta egyetlen '*' -ből áll, akkor az az összes gépre vonatkozó globális defaultot jelent. A gépnév ilyenkor a parancssoron megadott hostname argumentum (vagyis a név nincs kanonikus alakba hozva az illeszkedésvizsgálat előtt).

BatchMode

Ha ez ,,yes'' -re van állítva, akkor a jelszó/jelmondat megkérdezése letiltódik. Ez akkor hasznos, ha szkriptekből vagy egyéb automatizált eszközökből hívod, és nincs felhasználó, aki megadhatná a jelszót. Az argumentum ,,yes'' vagy ,,no'' kell legyen.

Cipher

Meghatározza a session titkosításához használat módszert. Jelenleg az idea, des, 3des, blowfish, arcfour és none vannal támogatva. Az alapértelmezett az ,,idea'' (vagy a ,,3des'' ha az ,,idea''-t nem támogatja mindkét gép). A ,,none'' esetén nincs titkosítás - ezt csak hibakeresésre szabad használni, mert ilyenkor a kapcsolat nem biztonságos.

ClearAllForwardings

Kitörli az összes forwardolást, miután beolvasta az összes konfigurációs fájlt, és a parancssort is. Ez arra jó, hogy a konfigurációs fájlokban található forwardolásokat letiltsd, amikor egy második kapcsolatot akarsz létrehozni egy olyan géppel, amelynek a konfigurációs fájlában a forwardolás be van állítva. Az scp ezt alapértelmezés szerint beállítja, így működni fog még akkor is, ha a konfigurációs fájban forwardolások vannak beállítva.

Compression

Meghatározza hogy legyen-e tömörítés használva. Az argumentum ,,yes'' vagy ,,no'' kell legyen.

CompressionLevel

Meghatározza a tömörítés szintjét, ha a tömörítés engedélyezve van. Az argumentum egy 1 (gyors) és 9 (lassú, de a legjobb) közötti szám kell legyen. Az alapértelmezett szint 6, ami jó a legtöbb alkalmazás szempontjából. Ezeknek az értékeknek a jelentése ugyanaz, mint a GNU gzip esetén.

ConnectionAttempts

Meghatározza, hogy hányszor próbálkozzon (másodpercenként egyszer), mielőtt az rsh-val próbálkozna, vagy kilépne. Az argumentum egy egész szám kell legyen. Ez hasznos lehet szkriptekben, ha a kapcsolatfelvétel néha nem sikerül.

EscapeChar

Beállítja az escape karaktert (az alapértelmezett: ~). Az escape karaktert a parancssoron is be lehet állítani. Az argumentum egy betű által követett '' kell legyen, vagy ``none'', hogy az escape karaktert teljesen letiltsuk (és így a kapcsolatot átlátszóvá tegyük a bináris adatok számára).

FallBackToRsh

Meghatározza, hogy ha az ssh kapcsolat nem sikerül ,,connection refused'' hiba miatt (amit valószínűleg az okoz, hogy a másik gépen nem fut az sshd), akkor az rsh legyen-e használva automatikusan helyette (egy megfelelő figyelmeztetés után, mely szerint a session nem lesz titkosítva). Az argumentum ,,yes'' vagy ,,no'' kell legyen.

ForwardAgent

Meghatározza, hogy egy authentikációs közvetítővel való kapcsolat (ha van) forwardolva legyen­e a távoli gépre. Az argumentum ,,yes'' vagy ,,no'' kell legyen.

ForwardX11

Meghatározza, hogy az X11 kapcsolatok automatikusan át legyenek­e irányítva a biztonságos csatornára a DISPLAY beállításával egyidejűleg. Az argumentum ,,yes'' vagy ,,no'' kell legyen.

GatewayPorts

Meghatározza, hogy távoli gépek kapcsolódhatnak­e a lokálisan forwardolt portokra. Az argumentum ,,yes'' vagy ,,no'' kell legyen.

GlobalKnownHostsFile

Meghatározza, hogy a /etc/ssh/ssh_known_hosts helyett melyik fájl legyen használva.

HostName

Meghatátozza annak a gépnek az igazi nevét, amelyikre be akarunk lépni. Ez arra jó, hogy rövidített neveket használjunk. A default a parancssoron megadott név. A numerikus IP címek szintén engedélyezve vannak (a parancssoron is, és a HostName specifikációkban is).

IdentityFile

Meghatározza, hogy a felhasználó RSA authentikációs kulcsa melyik fájlból legyen kiolvasva (az alapértelmezett a .ssh/identity a felhasználó home könyvtárában). Ezenkívül egy esetleges authentikációs közvetítő által megadott identitások is felhasználódnak. A fájl neve tartalmazhatja a tildét, hogy a felhasználó home könyvtárát jelezze. Több identitás-fájlt is meglehet adni a konfigurációs fájlokban, ilyenkor ezek az adott sorrendben lesznek kipróbálva.

KeepAlive

Meghatározza, hogy a rendszer küldjön-e ,,maradj élve'' (keepalive) üzeneteket a túloldalnak. Ha küld, akkor a kapcsolat megszűnése, vagy a gépek egyikének a meghalása megfelelően észlelődik. Ugyanakkor ez azt is jelenti, hogy a kapcsolatok megszakadnak akkor is, ha a hálózat csak ideiglenesen nem működik, és van aki ezt idegesítőnek tartja. Az alapértelmezett az, hogy ,,yes'' (küldjön ilyeneket), és a kliens észre fogja venni ha a szerver vagy a hálózat lehal. Ez fontos a scriptekben, és sok felhasználó szintén szereti. A keepalives-ek letiltásához ezt az értéket ,,no''-ra kell állítani mind a szerver,mind a kliens konfigurációs fájljaiban.

KerberosAuthentication

Meghatározza, hogy legyen-e Kerberos V5 authentikáció használva.

KerberosTgtPassing

Meghatározza, hogy legyen-e egy Kerberos V5 TGT a szervernek elküldve.

LocalForward

Azt állítja be, hogy egy lokális TCP/IP port forwardolva legyen a biztonságos csatornán keresztül a megadott gép megadott portjára. Az első argumentum egy portszám kell legyen, a második meg egy gép:port. Egyszerre több forwardolást is be lehet állítani, és további forwardolásokat lehet a parancssoron hozzáadni. Privilégizált portokat csak a root forwadolhat.

NumberOfPasswordPrompts

Meghatározza, hogy az ssh hányszor kérje el a jelszót mielőtt feladná. Mivel a szerver szintén limitálja a próbálkozások számát (jelenleg 5 a maximum), ezért hatástalan ennél nagyobb értékre állítani. Az alapértelmezett érték egy.

PasswordAuthentication

Meghatározza legyen-e jelszó-authentikáció használva. Az argumentum ,,yes'' vagy ,,no'' kell legyen.

PasswordPromptHost

Meghatározza, hogy benne legyen-e a távoli gép neve a jelszó promptban. Az argumentum ,,yes'' vagy ,,no'' kell legyen.

PasswordPromptLogin

Meghatározza, hogy benne legyen-e a távoli login név a jelszó promptban. Az argumentum ,,yes'' vagy ,,no'' kell legyen.

Port

Meghatározza, hogy a távoli gépen milyen porton probálkozzon. A default 22.

ProxyCommand

Meghatározza, hogy milyen parancs segítségével kapcsolódjunk egy szerverre. A parancs-string a sor végéig tart, a /bin/sh hajtja végre. A parancs-stringben a %h helyére a szerver gép neve kerül, %p helyére pedig a portszám. A parancs szinte bármi lehet, a stdin-ről kell olvasnia, és a stdout-re írnia. Végül egy valamilyen gépen futó sshd szerverre kell kapcsolódnia, vagy sshd -i-t kell futtatnia valahol. A gép-kulcs kezelése a szerver gép HostName-ja segítségével (aminak a defaultja a felhasználó által beírt név) történik. (Megjegyzés: az ssh-t lehet úgy konfigurálni, hogy a SOCKS rendszert támogassa: ehhez fordításkor a -with-socks4 vagy -with-socks5 opciókat kell megadni).

RemoteForward

Azt állítja be, hogy egy távoli TCP/IP port forwardolva legyen a biztonságos csatornán keresztül a megadott lokális gép megadott portjára. Az első argumentum egy portszám kell legyen, a második meg egy gép:port. Egyszerre több forwardolást is be lehet állítani, és további forwardolásokat lehet a parancssoron hozzáadni. Privilégizált portokat csak a root forwadolhat.

RhostsAuthentication

Meghatározza, hogy az rhosts authentikáció ki legyen-e próbálva. Megjegyzés: ez a deklaráció csak a kliens viselkedését befolyásolja, és a biztonságra semmi hatása nincs. Az rhosts authentikációval való próbálkozás letiltása csökkentheti az authentikációs időt lassú kapcsolatok esetén, ha az rhosts authentikáció nincs használatban. A legtöbb szerver nem engedélyezi az rhosts authentikációt, mert az nem biztonságos (lásd RhostsRSAAuthentication) Az argumentum ,,yes'' vagy ,,no'' kell legyen.

RhostsRSAAuthentication

Meghatározza, hogy az RSA gép­authentikációval kombinált rhosts authentikáció ki legyen-e próbálva. Ez az elsődleges authentikációs módszer a legtöbb esetben. Az argumentum ,,yes'' vagy ,,no'' kell legyen.

RSAAuthentication

Meghatározza, hogy az RSA authentikáció ki legyen-e próbálva. Az argumentum ,,yes'' vagy ,,no'' kell legyen. Az RSA authentikáció csak akkor lesz megpróbálva, ha egy identity fájl létezik, vagy ha egy authentikációs közvetítő fut.

StrictHostKeyChecking

Ha ez a flag ,,yes'' -re van állítva, akkor az ssh soha nem fogja a gép-kulcsokat a $HOME/.ssh/known_hosts fájlhoz automatikusan hozzáadni, és megtagadja, hogy olyan gépekre lépjen be, amelyeknek a kulcsa megváltozott. Ez maximális védelmet nyújt a trójai faló típusú támadások ellen. Ugyanakkor eléggé idegesítő tud lenni, ha nincs egy jó /etc/ssh/ssh_known_hosts fájlod installálva és gyakran próbálsz új gépekre kapcsolódni. Gyakorlatilag ez az opció arra kényszeríti a felhasználót, hogy kézzel adja hozzá az összes új gépet. Általában ,,ask''-ra állítják ezt az opciót, és az új gépek automatikusan hozzáadódnak az ismert gépeket tartalmazó fájlhoz, miután a felhasználó megerősítette, hogy valóban ezt akarja. Ha ez ,,no''-ra van állítva, akkor az új gépek automatikusan adódnak hozzá az ismert gépeket tartalmazó fájlhoz. Az ismert gépek kulcsai minden esetben automatikusan ellenőrizve lesznek. Az argumentum ,,yes'', ,,no'' vagy ,,ask'' kell legyen.

TISAuthentication

Meghatározza, hogy megpróbálkozzunk-e TIS authentikációval. Az argumentum ,,yes'' vagy ,,no'' kell legyen.

UsePrivilegedPort

Meghatározza, hogy használjunk-e privilégizált portokat, amikor a másik oldalhoz hozzákapcsolódunk. Az alapértelmezett az, hogy ,,yes'', ha az rhosts authentikációk engedélyezve vannak.

User

Meghatározza, hogy milyen felhasználóként lépjen be. Ez akkor lehet hasznos, ha a különböző gépeken más­más a felhasználói neved, és nem akarod azzal veszíteni az időt, hogy a parancssoron adod meg a felhasználói nevet.

UserKnownHostsFile

Meghatározza, hogy a $HOME/.ssh/known_hosts helyett milyen fájlt használjunk.

UseRsh

Meghatározza, hogy egy adott gépre rögtön az rlogin/rsh legyen-e használva. Előfordulhat, hogy egy gép egyáltalán nem támogatja az ssh protokollt. Ilyenkor ssh rögtön elindítja az rsh-t. Az összes többi opció (kivéve a HostName-t) ignorálva lesz. Az argumentum ,,yes'' vagy ,,no'' kell legyen.

XAuthLocation

Meghatározza a elérési utat a xauth programhoz.

Következő: 15.112.6 KÖRNYEZET Fel: 15.112 ssh(8) Előző: 15.112.4 OPCÍÓK   Index