KONFIGURÁCIÓS FÁJLOK
<<
Az ssh a következo forrásokból veszi a
konfigurácós adatait (ebben a sorrendben): parancssorbeli
opciók, felhasználó konfigurációs fájlai ($HOME/.ssh/config),
és a renszerszintu konfigurációs fájl (/etc/ssh/ssh_config).
Minden paraméter az így kapott elso értéket kapja. A
konfigurációs fájlok "Host" specifikációk által
behatárolt részeket tartalmaznak, és egy adott rész csak
azokra a gépekre vonatkozik, amelyek illeszkednek a
specifikációban megadott mintára. A parancssoron megadott
gépnév kerül illesztésre.
Mivel minden paraméter az elso értéket kapja, az inkább
egy adott gépre specifikus deklarációkat a fájl elején
érdemes megadni, az általánosabb defaultokat pedig a
végén.
A konfigurációs fájlnak a következo formátuma van:
Az üres sorok és a '#' el kezdodo sorok megjegyzések.
Egyébként pedig egy sor formátuma ,,kulcsszó argumentumok''
vagy ,,kulcsszó = argumentumok''. A lehetséges kulcsszavakat
és a jelentésüket lásd az alábbiakban (megjegyzés: a
konfigurációs fájlokban különbség van a kisbetu és a
nagybetu közott, de a kulcsszavaknál ez nem számít):
- Host
- Az ezt követo deklarációkat korlátozza, hogy csak a
kulcsszó után következo mintára illeszkedo
gépnevekre legyen érvényes (egészen a következo Host
kulcsszóig). A '*' és a '?' wildcardként
használható a mintákban. Ha a minta egyetlen '*' -bol
áll, akkor az az összes gépre vonatkozó globális
defaultot jelent. A gépnév ilyenkor a parancssoron
megadott hostname argumentum (vagyis a név nincs
kanonikus alakba hozva az illeszkedésvizsgálat elott).
- BatchMode
- Ha ez ,,yes'' -re van állítva, akkor a
jelszó/jelmondat megkérdezése letiltódik. Ez akkor
hasznos, ha szkriptekbol vagy egyéb automatizált
eszközökbol hívod, és nincs felhasználó, aki
megadhatná a jelszót. Az argumentum ,,yes'' vagy ,,no''
kell legyen.
- Cipher
- Meghatározza a session titkosításához használat
módszert. Jelenleg az idea, des, 3des, blowfish, arcfour
és none vannal támogatva. Az alapértelmezett az
,,idea'' (vagy a ,,3des'' ha az ,,idea''-t nem támogatja
mindkét gép). A ,,none'' esetén nincs titkosítás -
ezt csak hibakeresésre szabad használni, mert ilyenkor
a kapcsolat nem biztonságos.
- ClearAllForwardings
- Kitörli az összes forwardolást, miután beolvasta az
összes konfigurációs fájlt, és a parancssort is. Ez
arra jó, hogy a konfigurációs fájlokban található
forwardolásokat letiltsd, amikor egy második
kapcsolatot akarsz létrehozni egy olyan géppel,
amelynek a konfigurációs fájlában a forwardolás be
van állítva. Az scp ezt alapértelmezés szerint
beállítja, így muködni fog még akkor is, ha a
konfigurációs fájban forwardolások vannak
beállítva.
- Compression
- Meghatározza hogy legyen-e tömörítés használva. Az
argumentum ,,yes'' vagy ,,no'' kell legyen.
- CompressionLevel
- Meghatározza a tömörítés szintjét, ha a
tömörítés engedélyezve van. Az argumentum egy 1
(gyors) és 9 (lassú, de a legjobb) közötti szám kell
legyen. Az alapértelmezett szint 6, ami jó a legtöbb
alkalmazás szempontjából. Ezeknek az értékeknek a
jelentése ugyanaz, mint a GNU gzip esetén.
- ConnectionAttempts
- Meghatározza, hogy hányszor próbálkozzon
(másodpercenként egyszer), mielott az rsh-val
próbálkozna, vagy kilépne. Az argumentum egy egész
szám kell legyen. Ez hasznos lehet szkriptekben, ha a
kapcsolatfelvétel néha nem sikerül.
- EscapeChar
- Beállítja az escape karaktert (az alapértelmezett: ~).
Az escape karaktert a parancssoron is be lehet
állítani. Az argumentum egy betu által követett ''
kell legyen, vagy ``none'', hogy az escape karaktert
teljesen letiltsuk (és így a kapcsolatot átlátszóvá
tegyük a bináris adatok számára).
- FallBackToRsh
- Meghatározza, hogy ha az ssh kapcsolat nem sikerül
,,connection refused'' hiba miatt (amit valószínuleg az
okoz, hogy a másik gépen nem fut az sshd), akkor
az rsh legyen-e használva automatikusan helyette
(egy megfelelo figyelmeztetés után, mely szerint a
session nem lesz titkosítva). Az argumentum ,,yes'' vagy
,,no'' kell legyen.
- ForwardAgent
- Meghatározza, hogy egy authentikációs közvetítovel
való kapcsolat (ha van) forwardolva legyene a távoli
gépre. Az argumentum ,,yes'' vagy ,,no'' kell legyen.
- ForwardX11
- Meghatározza, hogy az X11 kapcsolatok automatikusan át
legyeneke irányítva a biztonságos csatornára a DISPLAY
beállításával egyidejuleg. Az argumentum ,,yes'' vagy
,,no'' kell legyen.
- GatewayPorts
- Meghatározza, hogy távoli gépek kapcsolódhatnake a
lokálisan forwardolt portokra. Az argumentum ,,yes''
vagy ,,no'' kell legyen.
- GlobalKnownHostsFile
- Meghatározza, hogy a /etc/ssh/ssh_known_hosts
helyett melyik fájl legyen használva.
- HostName
- Meghatátozza annak a gépnek az igazi nevét, amelyikre
be akarunk lépni. Ez arra jó, hogy rövidített neveket
használjunk. A default a parancssoron megadott név. A
numerikus IP címek szintén engedélyezve vannak (a
parancssoron is, és a HostName specifikációkban is).
- IdentityFile
- Meghatározza, hogy a felhasználó RSA authentikációs
kulcsa melyik fájlból legyen kiolvasva (az
alapértelmezett a .ssh/identity a felhasználó
home könyvtárában). Ezenkívül egy esetleges
authentikációs közvetíto által megadott identitások
is felhasználódnak. A fájl neve tartalmazhatja a
tildét, hogy a felhasználó home könyvtárát jelezze.
Több identitás-fájlt is meglehet adni a
konfigurációs fájlokban, ilyenkor ezek az adott
sorrendben lesznek kipróbálva.
- KeepAlive
- Meghatározza, hogy a rendszer küldjön-e ,,maradj
élve'' (keepalive) üzeneteket a túloldalnak. Ha küld,
akkor a kapcsolat megszunése, vagy a gépek egyikének a
meghalása megfeleloen észlelodik. Ugyanakkor ez azt is
jelenti, hogy a kapcsolatok megszakadnak akkor is, ha a
hálózat csak ideiglenesen nem muködik, és van aki ezt
idegesítonek tartja. Az alapértelmezett az, hogy
,,yes'' (küldjön ilyeneket), és a kliens észre fogja
venni ha a szerver vagy a hálózat lehal. Ez fontos a
scriptekben, és sok felhasználó szintén szereti. A
keepalives-ek letiltásához ezt az értéket ,,no''-ra
kell állítani mind a szerver,mind a kliens
konfigurációs fájljaiban.
- KerberosAuthentication
- Meghatározza, hogy legyen-e Kerberos V5 authentikáció
használva.
- KerberosTgtPassing
- Meghatározza, hogy legyen-e egy Kerberos V5 TGT a
szervernek elküldve.
- LocalForward
- Azt állítja be, hogy egy lokális TCP/IP port
forwardolva legyen a biztonságos csatornán keresztül a
megadott gép megadott portjára. Az elso argumentum egy
portszám kell legyen, a második meg egy gép:port.
Egyszerre több forwardolást is be lehet állítani, és
további forwardolásokat lehet a parancssoron
hozzáadni. Privilégizált portokat csak a root
forwadolhat.
- NumberOfPasswordPrompts
- Meghatározza, hogy az ssh hányszor kérje el a jelszót
mielott feladná. Mivel a szerver szintén limitálja a
próbálkozások számát (jelenleg 5 a maximum), ezért
hatástalan ennél nagyobb értékre állítani. Az
alapértelmezett érték egy.
- PasswordAuthentication
- Meghatározza legyen-e jelszó-authentikáció
használva. Az argumentum ,,yes'' vagy ,,no'' kell
legyen.
- PasswordPromptHost
- Meghatározza, hogy benne legyen-e a távoli gép neve a
jelszó promptban. Az argumentum ,,yes'' vagy ,,no'' kell
legyen.
- PasswordPromptLogin
- Meghatározza, hogy benne legyen-e a távoli login név a
jelszó promptban. Az argumentum ,,yes'' vagy ,,no'' kell
legyen.
- Port
- Meghatározza, hogy a távoli gépen milyen porton
probálkozzon. A default 22.
- ProxyCommand
- Meghatározza, hogy milyen parancs segítségével
kapcsolódjunk egy szerverre. A parancs-string a sor
végéig tart, a /bin/sh hajtja végre. A
parancs-stringben a %h helyére a szerver gép neve
kerül, %p helyére pedig a portszám. A parancs szinte
bármi lehet, a stdin-rol kell olvasnia, és a stdout-re
írnia. Végül egy valamilyen gépen futó sshd
szerverre kell kapcsolódnia, vagy sshd -i-t kell
futtatnia valahol. A gép-kulcs kezelése a szerver gép
HostName-ja segítségével (aminak a defaultja a
felhasználó által beírt név) történik.
(Megjegyzés: az ssh-t lehet úgy konfigurálni,
hogy a SOCKS rendszert támogassa: ehhez fordításkor a
-with-socks4 vagy -with-socks5 opciókat kell megadni).
- RemoteForward
- Azt állítja be, hogy egy távoli TCP/IP port
forwardolva legyen a biztonságos csatornán keresztül a
megadott lokális gép megadott portjára. Az elso
argumentum egy portszám kell legyen, a második meg egy
gép:port. Egyszerre több forwardolást is be lehet
állítani, és további forwardolásokat lehet a
parancssoron hozzáadni. Privilégizált portokat csak a
root forwadolhat.
- RhostsAuthentication
- Meghatározza, hogy az rhosts authentikáció ki
legyen-e próbálva. Megjegyzés: ez a deklaráció csak
a kliens viselkedését befolyásolja, és a biztonságra
semmi hatása nincs. Az rhosts authentikációval
való próbálkozás letiltása csökkentheti az
authentikációs idot lassú kapcsolatok esetén, ha az
rhosts authentikáció nincs használatban. A legtöbb
szerver nem engedélyezi az rhosts authentikációt, mert
az nem biztonságos (lásd RhostsRSAAuthentication) Az
argumentum ,,yes'' vagy ,,no'' kell legyen.
- RhostsRSAAuthentication
- Meghatározza, hogy az RSA gépauthentikációval
kombinált rhosts authentikáció ki legyen-e próbálva.
Ez az elsodleges authentikációs módszer a legtöbb
esetben. Az argumentum ,,yes'' vagy ,,no'' kell legyen.
- RSAAuthentication
- Meghatározza, hogy az RSA authentikáció ki legyen-e
próbálva. Az argumentum ,,yes'' vagy ,,no'' kell
legyen. Az RSA authentikáció csak akkor lesz
megpróbálva, ha egy identity fájl létezik, vagy ha
egy authentikációs közvetíto fut.
- StrictHostKeyChecking
- Ha ez a flag ,,yes'' -re van állítva, akkor az ssh
soha nem fogja a gép-kulcsokat a $HOME/.ssh/known_hosts
fájlhoz automatikusan hozzáadni, és megtagadja, hogy
olyan gépekre lépjen be, amelyeknek a kulcsa
megváltozott. Ez maximális védelmet nyújt a trójai
faló típusú támadások ellen. Ugyanakkor eléggé
idegesíto tud lenni, ha nincs egy jó /etc/ssh/ssh_known_hosts
fájlod installálva és gyakran próbálsz új gépekre
kapcsolódni. Gyakorlatilag ez az opció arra
kényszeríti a felhasználót, hogy kézzel adja hozzá
az összes új gépet. Általában ,,ask''-ra állítják
ezt az opciót, és az új gépek automatikusan
hozzáadódnak az ismert gépeket tartalmazó fájlhoz,
miután a felhasználó megerosítette, hogy valóban ezt
akarja. Ha ez ,,no''-ra van állítva, akkor az új
gépek automatikusan adódnak hozzá az ismert gépeket
tartalmazó fájlhoz. Az ismert gépek kulcsai minden
esetben automatikusan ellenorizve lesznek. Az argumentum
,,yes'', ,,no'' vagy ,,ask'' kell legyen.
- TISAuthentication
- Meghatározza, hogy megpróbálkozzunk-e TIS
authentikációval. Az argumentum ,,yes'' vagy ,,no''
kell legyen.
- UsePrivilegedPort
- Meghatározza, hogy használjunk-e privilégizált
portokat, amikor a másik oldalhoz hozzákapcsolódunk.
Az alapértelmezett az, hogy ,,yes'', ha az rhosts
authentikációk engedélyezve vannak.
- User
- Meghatározza, hogy milyen felhasználóként lépjen be.
Ez akkor lehet hasznos, ha a különbözo gépeken
másmás a felhasználói neved, és nem akarod azzal
veszíteni az idot, hogy a parancssoron adod meg a
felhasználói nevet.
- UserKnownHostsFile
- Meghatározza, hogy a $HOME/.ssh/known_hosts
helyett milyen fájlt használjunk.
- UseRsh
- Meghatározza, hogy egy adott gépre rögtön az rlogin/rsh
legyen-e használva. Elofordulhat, hogy egy gép
egyáltalán nem támogatja az ssh protokollt.
Ilyenkor ssh rögtön elindítja az rsh-t.
Az összes többi opció (kivéve a HostName-t)
ignorálva lesz. Az argumentum ,,yes'' vagy ,,no'' kell
legyen.
- XAuthLocation
- Meghatározza a elérési utat a xauth programhoz.
-