ឈ្មោះ
sshd - ដេមិន OpenSSH SSH
សង្ខេប
sshd [- deiqtD46 ] [- b ប៊ីត ] [- f config_file ] [- g login_grace_time ] [- h host_key_file ] [- k key_gen_time ] [- o ជម្រើស ] [- p កំពង់ ] [- u len ]
ការពិពណ៌នា
sshd (SSH Daemon) គឺជា កម្មវិធីដេមិន សម្រាប់ ssh (1) ។ រួមគ្នាកម្មវិធីទាំងនេះជំនួស rlogin និង rsh និងផ្ដល់នូវការ ទំនាក់ទំនងដែលបានអ៊ិនគ្រីបមាន សុវត្ថិភាពរវាងម៉ាស៊ីនពីរដែលមិនទុកចិត្តលើបណ្តាញគ្មានសុវត្ថិភាព។ កម្មវិធីនេះមានគោលបំណងងាយស្រួលក្នុងការតំឡើងនិងប្រើប្រាស់តាមដែលអាចធ្វើទៅបាន។
sshd ជាដេមិនដែលស្ដាប់ការតភ្ជាប់ពីម៉ាស៊ីនភ្ញៀវ។ វាត្រូវបានចាប់ផ្ដើមជាធម្មតានៅ boot ពី / etc / rc ។ វាដុះដេមិនថ្មីសម្រាប់ការតភ្ជាប់ចូលគ្នា។ ដេមិនដែលបានបង្ខំគ្រប់គ្រងការផ្លាស់ប្តូរសំខាន់ការអ៊ិនគ្រីបការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវការប្រតិបត្តិពាក្យបញ្ជានិងការផ្លាស់ប្តូរទិន្នន័យ។ ការអនុវត្ត sshd នេះ គាំទ្រទាំងពីរពិធីការ SSH ជំនាន់ទី 1 និង 2 ក្នុងពេលដំណាលគ្នា។
ពិធីការ SSH កំណែ 1
ម៉ាស៊ីននីមួយៗមានកូនសោសាលា RSA ជាក់លាក់ (ជាធម្មតា 1024 ប៊ីត) ដែលត្រូវបានប្រើដើម្បីកំណត់ម៉ាស៊ីន។ លើសពីនេះទៀតនៅពេលដេមិនចាប់ផ្តើមវាបង្កើតកូនសោ RSA របស់ម៉ាស៊ីនមេ (ជាធម្មតា 768 ប៊ីត) ។ គ្រាប់ចុចនេះត្រូវបានបង្កើតឡើងវិញជារៀងរាល់ម៉ោងបើវាត្រូវបានប្រើហើយមិនត្រូវបានរក្សាទុកនៅលើថាសឡើយ។
នៅពេលណាដែលម៉ាស៊ីនភ្ញៀវតភ្ជាប់តដេមិនឆ្លើយតបជាមួយម៉ាស៊ីនកូនសោសាធារណៈនិងម៉ាស៊ីនមេ។ ម៉ាស៊ីនភ្ញៀវប្រៀបធៀបកូនសោរបស់ម៉ាស៊ីន RSA ប្រឆាំងនឹងមូលដ្ឋានទិន្នន័យរបស់ខ្លួនដើម្បីផ្ទៀងផ្ទាត់ថាវាមិនបានផ្លាស់ប្តូរ។ ម៉ាស៊ីនភ្ញៀវបង្កើតលេខចៃដន្យ 256 ប៊ីត។ វាអ៊ិនគ្រីបលេខចៃដន្យនេះដោយប្រើទាំងកូនសោរម៉ាស៊ីននិងកូនសោម៉ាស៊ីននិងផ្ញើលេខដែលបានអ៊ិនគ្រីបទៅម៉ាស៊ីនមេ។ ភាគីទាំងពីរបន្ទាប់មកប្រើលេខចៃដន្យនេះជាគន្លឹះសម័យដែលត្រូវបានប្រើដើម្បីអ៊ិនគ្រីបការទំនាក់ទំនងបន្ថែមទាំងអស់នៅក្នុងវេន។ សម័យដែលនៅសល់ត្រូវបានអ៊ិនគ្រីបដោយប្រើលេខកូដឌីជីថលបច្ចុប្បន្ន Blowfish ឬ 3DES ដែល 3DES ត្រូវបានប្រើតាមលំនាំដើម។ ម៉ាស៊ីនភ្ញៀវជ្រើស ក្បួនដោះស្រាយការអ៊ិនគ្រីប ដើម្បីប្រើពីអ្វីដែលផ្តល់ដោយម៉ាស៊ីនបម្រើ។
បន្ទាប់មកម៉ាស៊ីនបម្រើនិងម៉ាស៊ីនភ្ញៀវបញ្ចូលប្រអប់ការផ្ទៀងផ្ទាត់។ ម៉ាស៊ីនភ្ញៀវព្យាយាមផ្ទៀងផ្ទាត់ដោយខ្លួនឯងដោយប្រើការផ្ទៀងផ្ទាត់ .rhosts ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ .rhosts រួមបញ្ចូលជាមួយការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវម៉ាស៊ីន RSA ការផ្ទៀងផ្ទាត់ឆ្លើយឆ្លងឆ្លើយឆ្លង RSA ឬការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ពាក្យសម្ងាត់ ។
ការផ្ទៀងផ្ទាត់ Rhosts ត្រូវបានបិទជាធម្មតាព្រោះវាមានសុវត្ថិភាពជាមូលដ្ឋានប៉ុន្តែអាចត្រូវបានបើកនៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនបម្រើបើសិនជាចង់បាន។ សុវត្ថិភាពប្រព័ន្ធមិនត្រូវបានធ្វើឱ្យប្រសើរទេលុះត្រាតែ rshd rlogind និង rexecd ត្រូវបានបិទ (ដូច្នេះការបិទ rlogin និង rsh ទាំងស្រុងលើម៉ាស៊ីន) ។
ពិធីការ SSH កំណែទី 2
កំណែទី 2 ធ្វើដូចគ្នានេះដែរ: ម៉ាស៊ីននីមួយៗមានកូនសោជាក់លាក់របស់ម៉ាស៊ីន (RSA ឬ DSA) ដែលត្រូវបានប្រើដើម្បីកំណត់ម៉ាស៊ីន។ ទោះយ៉ាងណាពេលដេមិនចាប់ផ្តើមវាមិនបង្កើតកូនសោម៉ាស៊ីនមេទេ។ សុវត្ថិភាពបញ្ជូនបន្តត្រូវបានផ្តល់តាមរយៈកិច្ចព្រមព្រៀងសំខាន់ Diffie -Helman ។ កិច្ចព្រមព្រៀងសំខាន់នេះនាំឱ្យមានគន្លឹះសម័យដែលបានចែករំលែក។
សល់នៃសម័យត្រូវបានអ៊ិនគ្រីបដោយប្រើស៊ីមេទិចស៊ីភីយូបច្ចុប្បន្ន AES 128 ប៊ីត Blowfish 3DES CAST128 Arcfour 192 ប៊ីត AES ឬ AES 256 ប៊ីត។ ម៉ាស៊ីនភ្ញៀវជ្រើសក្បួនដោះស្រាយការអ៊ិនគ្រីបដើម្បីប្រើពីអ្វីដែលផ្តល់ដោយម៉ាស៊ីនបម្រើ។ លើសពីនេះទៀតភាពត្រឹមត្រូវនៃសម័យត្រូវបានផ្តល់តាមរយៈកូដផ្ទៀងផ្ទាត់សារសម្ងាត់ (hmac-sha1 ឬ hmac-md5) ។
ពិធីការកំណែ 2 ផ្តល់នូវវិធីសាស្ត្រផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃអ្នកប្រើប្រាស់ (PubkeyAuthentication) ឬម៉ាស៊ីនមេ (HostbasedAuthentication) ដែលមានមូលដ្ឋានលើការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់និងវិធីសាស្ត្រដែលមានមូលដ្ឋានលើការឆ្លើយតប។
ការប្រតិបត្តិពាក្យបញ្ជានិងទិន្នន័យបញ្ជូនបន្ត
ប្រសិនបើអតិថិជនផ្ទៀងផ្ទាត់ដោយជោគជ័យដោយខ្លួនឯងប្រអប់សម្រាប់រៀបចំសម័យត្រូវបានបញ្ចូល។ នៅពេលនេះម៉ាស៊ីនភ្ញៀវអាចស្នើសុំនូវការចែកចាយប្រេកង់ pseudo-tty ការបញ្ជូនបន្ត X11 បញ្ជូនបន្ត TCP / IP ឬបញ្ជូនការភ្ជាប់ភ្នាក់ងារផ្ទៀងផ្ទាត់នៅលើឆានែលសុវត្ថិភាព។
ទីបំផុតម៉ាស៊ីនភ្ញៀវស្នើសែលឬប្រតិបត្តិពាក្យបញ្ជា។ ភាគីបន្ទាប់មកបញ្ចូលរបៀបវេន។ នៅក្នុងរបៀបនេះភាគីម្ខាងអាចផ្ញើទិន្នន័យនៅពេលណាមួយហើយទិន្នន័យបែបនេះត្រូវបានបញ្ជូនបន្តទៅ / ពីសែលឬពាក្យបញ្ជានៅលើម៉ាស៊ីនបម្រើនិងស្ថានីយអ្នកប្រើនៅខាងម៉ាស៊ីនភ្ញៀវ។
នៅពេលកម្មវិធីអ្នកប្រើបញ្ចប់ហើយ X11 បញ្ជូនបន្តនិងការតភ្ជាប់ផ្សេងទៀតត្រូវបានបិទម៉ាស៊ីនបម្រើនឹងបញ្ជូនស្ថានភាពចាកចេញពីពាក្យបញ្ជាទៅម៉ាស៊ីនភ្ញៀវនិងភាគីទាំងពីរ។
sshd អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយប្រើជម្រើសបន្ទាត់ពាក្យបញ្ជាឬឯកសារកំណត់រចនាសម្ព័ន្ធ។ ជម្រើសបន្ទាត់ពាក្យបញ្ជាបដិសេធលើតម្លៃដែលបានបញ្ជាក់នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ។
sshd ពិនិត្យឡើងវិញនូវឯកសារកំណត់រចនាសម្ព័ន្ធរបស់វានៅពេលវាទទួលសញ្ញាផ្អាកមួយ SIGHUP ដោយការប្រតិបត្តិដោយខ្លួនឯងជាមួយឈ្មោះវាត្រូវបានចាប់ផ្តើមដូចជាឧ។ / usr / sbin / sshd
ជម្រើសមានដូចខាងក្រោម:
ប៊ីត
បញ្ជាក់ចំនួនប៊ីតនៅក្នុងកូនសោម៉ាស៊ីនកូនសោពិធីការទី 1 លេខ (លំនាំដើម 768) ។
-d
របៀបបំបាត់កំហុស។ ម៉ាស៊ីនបម្រើនឹងបញ្ជូនលទ្ធផលបំបាត់កំហុសទៅកំណត់ហេតុប្រព័ន្ធនិងមិនដាក់ខ្លួនវាក្នុងផ្ទៃខាងក្រោយទេ។ ម៉ាស៊ីនបម្រើក៏នឹងមិនដំណើរការហើយនឹងដំណើរការតែការភ្ជាប់មួយប៉ុណ្ណោះ។ ជម្រើសនេះត្រូវបានបម្រុងតែសម្រាប់បំបាត់កំហុសសម្រាប់ម៉ាស៊ីនមេប៉ុណ្ណោះ។ ជម្រើសពហុ -d បង្កើនកម្រិតបំបាត់កំហុស។ អតិបរមាគឺ 3 ។
- e
ពេលជម្រើសនេះត្រូវបានបញ្ជាក់ sshd នឹងផ្ញើលទ្ធផលទៅជាកំហុសស្តង់ដារជំនួសឱ្យកំណត់ហេតុប្រព័ន្ធ។
-f file configuration
បញ្ជាក់ឈ្មោះឯកសារកំណត់រចនាសម្ព័ន្ធ។ លំនាំដើមគឺ / etc / ssh / sshd_config sshd បដិសេធដើម្បីចាប់ផ្តើមប្រសិនបើមិនមានឯកសារកំណត់រចនាសម្ព័ន្ធទេ។
-g login_grace_time
ផ្តល់ពេលវេលាល្អសម្រាប់អតិថិជនដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវខ្លួនឯង (លំនាំដើម 120 វិនាទី) ។ ប្រសិនបើម៉ាស៊ីនភ្ញៀវបរាជ័យក្នុងការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ក្នុងរយៈពេលជាច្រើនវិនាទីនេះម៉ាស៊ីនមេនឹងផ្តាច់ចេញហើយចាកចេញ។ តម្លៃសូន្យបង្ហាញគ្មានដែនកំណត់។
-h ម៉ាស៊ីន host_key_
បញ្ជាក់ឯកសារមួយពីគ្រាប់ចុចម៉ាស៊ីនដែលត្រូវបានអាន។ ជម្រើសនេះត្រូវតែត្រូវបានផ្តល់ឱ្យប្រសិនបើ sshd មិនត្រូវបានរត់ជា root (ជាឯកសារកូនសោម៉ាស៊ីនធម្មតាមិនអាចអានបានដោយនរណាម្នាក់ទេប៉ុន្តែជា root) ។ លំនាំដើមគឺ / etc / ssh / ssh_host_key សម្រាប់ពិធីការកំណែទី 1 និង / etc / ssh / ssh_host_rsa_key និង / etc / ssh / ssh_host_dsa_key សម្រាប់ពិធីការកំណែ 2. វាអាចមានឯកសារកូនសោម៉ាស៊ីនសម្រាប់កំណែពិធីការផ្សេងគ្នានិងកូនសោរបស់ម៉ាស៊ីន។ ក្បួនដោះស្រាយ។
-i
បញ្ជាក់ថា sshd កំពុងដំណើរការពី inetd ។ sshd ជាទូទៅមិនដំណើរការពី inetd ពីព្រោះវាត្រូវការបង្កើតកូនសោម៉ាស៊ីនមេមុនពេលវាអាចឆ្លើយតបទៅនឹងម៉ាស៊ីនភ្ញៀវហើយវាអាចចំណាយពេលរាប់សិបវិនាទី។ អតិថិជននឹងត្រូវរង់ចាំយូរប្រសិនបើសោត្រូវបានបង្កើតឡើងវិញរាល់ពេល។ ទោះជាយ៉ាងណាក៏ដោយទំហំមេតូចៗ (ឧ។ 512) ដោយប្រើ sshd ពី inetd អាចជាលទ្ធភាព។
--k key_gen_time
បញ្ជាក់ពីវិធីដែលកូនសោម៉ាស៊ីនបម្រើពិធីការទី 1 ជំនាន់ទី 1 ត្រូវបានបង្កើតឡើងវិញ (លំនាំដើម 3600 វិនាទីឬមួយម៉ោង) ។ ការលើកទឹកចិត្តសម្រាប់ការបង្កើតកូនសោឡើងវិញជារឿយៗគឺថាកូនសោមិនត្រូវបានរក្សាទុកនៅកន្លែងណាមួយទេហើយប្រហែលជា 1 ម៉ោងវាមិនអាចទៅរួចទេដើម្បីយកកូនសោរចេញសម្រាប់ការឌិគ្រីបការទំនាក់ទំនងដែលរារាំងទោះបីជាម៉ាស៊ីនត្រូវបានបង្ក្រាបឬរឹបអូសក៏ដោយ។ តម្លៃសូន្យបង្ហាញថាសោនឹងមិនត្រូវបានបង្កើតឡើងវិញទេ។
-o
អាចត្រូវបានប្រើដើម្បីផ្តល់ជម្រើសក្នុងទ្រង់ទ្រាយដែលបានប្រើនៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ។ នេះមានប្រយោជន៍សម្រាប់ការបញ្ជាក់ជម្រើសដែលគ្មានទង់បន្ទាត់ពាក្យបញ្ជាដាច់ដោយឡែក។
-p
បញ្ជាក់ច្រកដែលម៉ាស៊ីនបម្រើស្ដាប់ការតភ្ជាប់ (លំនាំដើម 22) ។ ជម្រើសច្រកច្រើនត្រូវបានអនុញ្ញាត។ ច្រកដែលបានបញ្ជាក់នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធត្រូវបានមិនអើពើនៅពេលបានបញ្ជាក់ច្រកបន្ទាត់ពាក្យបញ្ជា។
-q
របៀបស្ងប់ស្ងាត់។ មិនមានអ្វីត្រូវបានផ្ញើទៅកំណត់ហេតុប្រព័ន្ធទេ។ ជាធម្មតាការចាប់ផ្តើមការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនិងការបញ្ចប់នៃការតភ្ជាប់គ្នាត្រូវបានចូល។
- ត
របៀបធ្វើតេស្ត។ ពិនិត្យមើលតែសុពលភាពនៃឯកសារកំណត់រចនាសម្ព័ន្ធនិងភាពប្រក្រតីនៃកូនសោ។ វាមានប្រយោជន៍សម្រាប់ការធ្វើឱ្យ sshd ទាន់សម័យនៅពេលដែលជម្រើសកំណត់រចនាសម្ព័ន្ធអាចផ្លាស់ប្ដូរ។
- u len
ជម្រើសនេះត្រូវបានប្រើដើម្បីបញ្ជាក់ទំហំវាលក្នុងរចនាសម្ព័ន្ធ utmp ដែលមានឈ្មោះម៉ាស៊ីនពីចម្ងាយ។ ប្រសិនបើឈ្មោះម៉ាស៊ីនដែលបានដោះស្រាយវែងជាង ចង្វាក់ នោះគោលដប់នឹងត្រូវបានប្រើជំនួសវិញ។ នេះអនុញ្ញាតឱ្យបង្ហោះជាមួយឈ្មោះម៉ាស៊ីនវែងដែលហួសប្រមាណវាលនេះដើម្បីនៅតែត្រូវបានកំណត់អត្តសញ្ញាណតែមួយគត់។ ការបញ្ជាក់ - u0 បង្ហាញថាមានតែខ្ទង់ទសភាគដែលមានចំនុច ៗ គួរត្រូវបានដាក់នៅក្នុងឯកសារ utmp ។ - u0 ក៏ត្រូវបានគេប្រើផងដែរដើម្បីរារាំង sshd ពីការបង្កើត សំណើ DNS លុះត្រាតែយន្តការផ្ទៀងផ្ទាត់ឬការកំណត់រចនាសម្ព័ន្ធទាមទារវា។ យន្តការផ្ទៀងផ្ទាត់ដែលអាចទាមទារ DNS រួមបញ្ចូល RhostsAuthentication RhostsRSAAuthentication HostbasedAuthentication និងប្រើជម្រើស = pattern-list ក្នុងឯកសារកូនសោ។ ជម្រើសកំណត់រចនាសម្ព័ន្ធដែលត្រូវការ DNS រួមបញ្ចូលដោយប្រើលំនាំ USER @ HOST នៅក្នុង AllowUsers ឬ DenyUsers
-D
នៅពេលដែលជម្រើសនេះត្រូវបានបញ្ជាក់ sshd នឹងមិនផ្ដាច់ហើយមិនក្លាយជាដេមិន។ នេះអនុញ្ញាតឱ្យមានភាពងាយស្រួលក្នុងការត្រួតពិនិត្យ sshd
-4
បង្ខំឱ្យ sshd ប្រើអាសយដ្ឋាន IPv4 ប៉ុណ្ណោះ។
-6
បង្ខំឱ្យ sshd ប្រើអាសយដ្ឋាន IPv6 តែប៉ុណ្ណោះ។
ឯកសារកំណត់រចនាសម្ព័ន្ធ
sshd អានទិន្នន័យកំណត់រចនាសម្ព័ន្ធពី / etc / ssh / sshd_config (ឬឯកសារដែលបានបញ្ជាក់ជាមួយ - f នៅលើបន្ទាត់ពាក្យបញ្ជា) ។ ទ្រង់ទ្រាយឯកសារនិងជម្រើសកំណត់រចនាសម្ព័ន្ធត្រូវបានពិពណ៌នានៅក្នុង sshd_config5 ។
ដំណើរការចូល
នៅពេលអ្នកប្រើកត់ត្រាចូលដោយជោគជ័យនោះ sshd នឹងធ្វើដូចខាងក្រោម:
- ប្រសិនបើការចូលដំណើរការលើ tty ហើយគ្មានពាក្យបញ្ជាត្រូវបានបញ្ជាក់បោះពុម្ពពេលវេលាចូលចុងក្រោយហើយ / etc / motd (លុះត្រាតែត្រូវបានរារាំងនៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធឬដោយ $ HOME / .hushlogin សូមមើលផ្នែក Sx FILES) ។
- ប្រសិនបើការចូលគឺនៅលើ tty មួយកត់ត្រាចូលពេលវេលា។
- ពិនិត្យមើល / etc / nologin ប្រសិនបើវាមានបោះពុម្ពបោះពុម្ពមាតិកានិងចាកចេញ (លុះត្រាតែ root) ។
- ការផ្លាស់ប្តូរដើម្បីដំណើរការជាមួយសិទ្ធិអ្នកប្រើធម្មតា។
- បង្កើតបរិស្ថានមូលដ្ឋាន។
- អាន $ HOME / .ssh / environment ប្រសិនបើវាមានហើយអ្នកប្រើត្រូវបានអនុញ្ញាតឱ្យផ្លាស់ប្តូរបរិស្ថានរបស់ពួកគេ។ សូមមើលជម្រើស PermitUserEnvironment ក្នុង sshd_config5 ។
- ការផ្លាស់ប្តូរថតផ្ទះរបស់អ្នកប្រើ។
- ប្រសិនបើ $ HOME / .ssh / rc មានដំណើរការសូមដំណើរការវា។ ផ្សេងទៀតប្រសិនបើ / etc / ssh / sshrc មានដំណើរការវារត់វា។ បើមិនដូច្នេះទេរត់ xauth ។ ឯកសារ `` rc '' ត្រូវបានផ្ដល់ពិធីការផ្ទៀងផ្ទាត់ X11 និងខូគីក្នុងការបញ្ចូលស្តង់ដារ។
- រត់សែលឬពាក្យបញ្ជារបស់អ្នកប្រើ។
ទ្រង់ទ្រាយឯកសារបានអនុញ្ញាត
$ HOME / .ssh / authorized_keys គឺជាឯកសារលំនាំដើមដែលរាយកូនសោសាធារណៈដែលត្រូវបានអនុញ្ញាតសម្រាប់ការផ្ទៀងផ្ទាត់ RSA នៅក្នុងពិធីការកំណែ 1 និងសម្រាប់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃសោសាធារណៈ (PubkeyAuthentication) នៅក្នុងពិធីការកំណែ 2. Authorized KeysFile អាចត្រូវបានប្រើដើម្បីបញ្ជាក់ឯកសារជំនួស។
បន្ទាត់នីមួយៗរបស់ឯកសារមានគន្លឹះមួយ (បន្ទាត់ទទេនិងបន្ទាត់ដែលចាប់ផ្ដើមដោយ `# 'ត្រូវបានអើពើជាមតិយោបល់) ។ កូនសោសាធារណៈ RSA នីមួយមានវាលដូចខាងក្រោម, បំបែកដោយចន្លោះ: ជម្រើស, ប៊ីត, និទស្សន្ត, ម៉ូឌុល, សេចក្តីអធិប្បាយ។ កូនសោសាធារណៈនៃពិធីការនីមួយៗមាន 2 ជម្រើសគឺ keytype key64 ដែលបានអ៊ិនកូដពាក្យសំដី។ វាលជម្រើសគឺស្រេចចិត្ត; វត្តមានរបស់វាត្រូវបានកំណត់ដោយថាតើបន្ទាត់ចាប់ផ្តើមដោយលេខឬអត់ (វាលជម្រើសមិនចាប់ផ្តើមដោយលេខទេ) ។ វាលប៊ីតនិទស្សន្តម៉ូឌុលនិងមតិយោបល់ផ្តល់នូវកូនសោ RSA សម្រាប់ពិធីការកំណែ 1; វាលមតិយោបល់មិនត្រូវបានប្រើសម្រាប់អ្វីនោះទេ (ប៉ុន្តែអាចមានភាពងាយស្រួលសម្រាប់អ្នកប្រើដើម្បីកំណត់អត្តសញ្ញាណគ្រាប់ចុច) ។ សម្រាប់ពិធីការកំណែទី 2 ពាក្យគន្លឹះគឺ `` ssh-dss '' ឬ `` ssh-rsa ''
ចំណាំថាបន្ទាត់ក្នុងឯកសារនេះមានប្រវែងច្រើនរយ បៃ (ជាទូទៅទំហំនៃការអ៊ិនកូដសោសាធារណៈ) ។ អ្នកមិនចង់បញ្ចូលពួកវា។ ជំនួសវិញចម្លងអត្តសញ្ញាណ .pab id_dsa.pub ឬឯកសារ id_rsa.pub និងកែសម្រួលវា។
sshd អនុវត្តទំហំម៉ូឌុលកូនសោ RSA អប្បបរមាសម្រាប់ពិធីការទី 1 និងកូនសោពិធីការចំនួន 2 នៃ 768 ប៊ីត។
ជម្រើស (បើមាន) មានជម្រើសបញ្ជាក់ដោយសញ្ញាក្បៀស។ មិនអនុញ្ញាតដកឃ្លាទេលើកលែងតែក្នុងសញ្ញាសម្រង់ទ្វេ។ លក្ខណៈពិសេសជម្រើសខាងក្រោមត្រូវបានគាំទ្រ (ចំណាំថាពាក្យគន្លឹះជម្រើសគឺមិនប្រកាន់អក្សរតូចធំ):
ពី = គំរូ - បញ្ជី
បញ្ជាក់ថាបន្ថែមពីលើការផ្ទៀងផ្ទាត់ពាក្យគន្លឹះសាធារណៈឈ្មោះ Canonical របស់ម៉ាស៊ីនពីចម្ងាយត្រូវតែមានវត្តមាននៅក្នុងបញ្ជីគំរូដែលបំបែកដោយសញ្ញាក្បៀស (`* 'និង`?' ដែលជាតួអក្សរជំនួស) ។ បញ្ជីនេះក៏អាចមានលំនាំដែលបានបដិសេធដោយដាក់បុព្វបទជាមួយពួកវាដោយ '!' ; បើសិនជាឈ្មោះម៉ាស៊ីនធរណីមាត្រត្រូវគ្នានឹងលំនាំវិជ្ជមានកូនសោមិនត្រូវបានទទួលយកទេ។ គោលបំណងនៃជម្រើសនេះគឺដើម្បីបង្កើនសុវត្ថិភាព: ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃកូនសោសាធារណៈដោយខ្លួនវាផ្ទាល់មិនទុកចិត្តបណ្តាញឬឈ្មោះម៉ាស៊ីនបម្រើឬអ្វីទេ (ប៉ុន្តែគន្លឹះ); ទោះយ៉ាងណាក៏ដោយប្រសិនបើអ្នកណាម្នាក់លួចកូនសោរនោះកូនសោអនុញ្ញាតឱ្យអ្នកចូលមកចូលពីគ្រប់ទីកន្លែងក្នុងពិភពលោក។ ជម្រើសបន្ថែមនេះធ្វើឱ្យការប្រើកូនសោលួចកាន់តែពិបាក (ឈ្មោះម៉ាស៊ីនមេនិង / ឬឧបករណ៍វែបសាយនឹងត្រូវបានសម្របសម្រួលបន្ថែមពីលើគ្រាប់ចុច) ។
ពាក្យបញ្ជា = ពាក្យបញ្ជា
បញ្ជាក់ថាពាក្យបញ្ជាត្រូវបានប្រតិបត្តិនៅពេលដែលគ្រាប់ចុចនេះត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។ ពាក្យបញ្ជាដែលផ្តល់ដោយអ្នកប្រើ (បើមាន) ត្រូវបានមិនអើពើ។ ពាក្យបញ្ជាត្រូវបានរត់នៅលើ pty មួយប្រសិនបើអតិថិជនស្នើ pty មួយ; បើមិនដូច្នេះទេវាត្រូវបានរត់ដោយគ្មានធីតា។ ប្រសិនបើឆានែលស្អាត 8 ប៊ីតត្រូវបានទាមទារមិនត្រូវស្នើសុំ pty ឬគួរតែបញ្ជាក់ no-pty ។ សម្រង់អាចត្រូវបានបញ្ចូលក្នុងពាក្យបញ្ជាដោយដកស្រង់វាដោយសញ្ញាឆូត។ ជម្រើសនេះអាចមានប្រយោជន៍ក្នុងការដាក់កម្រិតកូនសោសាធារណៈជាក់លាក់ដើម្បីអនុវត្តប្រតិបត្តិការជាក់លាក់។ ឧទាហរណ៍អាចជាកូនសោដែលអនុញ្ញាតឱ្យមានការបម្រុងទុកពីចម្ងាយប៉ុន្តែគ្មានអ្វីផ្សេងទៀត។ ចំណាំថាម៉ាស៊ីនភ្ញៀវអាចបញ្ជាក់ការបញ្ជូនបន្ត TCP / IP និង / ឬ X11 លុះត្រាតែពួកគេត្រូវបានហាមឃាត់យ៉ាងជាក់លាក់។ ។ ចំណាំថាជម្រើសនេះអនុវត្តចំពោះការប្រតិបត្តិសែលឬប្រព័ន្ធរង។
បរិស្ថាន = NAME = តម្លៃ
បញ្ជាក់ថាខ្សែអក្សរត្រូវបានបន្ថែមទៅក្នុងបរិស្ថាននៅពេលកត់ត្រាចូលដោយប្រើគ្រាប់ចុចនេះ។ អថេរបរិស្ថានកំណត់វិធីនេះជាន់លើតម្លៃបរិស្ថានលំនាំដើមផ្សេងទៀត។ ជម្រើសច្រើនប្រភេទត្រូវបានអនុញ្ញាត។ ដំណើរការបរិស្ថានត្រូវបានបិទតាមលំនាំដើមហើយត្រូវបានគ្រប់គ្រងតាមជម្រើស PermitUserEnvironment ។ ជម្រើសនេះត្រូវបានបិទដំណើរការដោយស្វ័យប្រវត្តិបើសិនជា អ្នកប្រើប្រាស់ ត្រូវបានបើក។
គ្មានច្រក - បញ្ជូនបន្ត
Forbids បញ្ជូនបន្ត TCP / IP នៅពេលដែលគ្រាប់ចុចនេះត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់។ រាល់ការស្នើសុំច្រកទៅមុខរបស់ម៉ាស៊ីនភ្ញៀវនឹងត្រឡប់កំហុស។ វាអាចត្រូវបានប្រើឧទាហរណ៍ក្នុងការតភ្ជាប់ជាមួយជម្រើស ពាក្យបញ្ជា ។
គ្មានការបញ្ជូន X11
Forbids X11 បញ្ជូនបន្តនៅពេលដែលគ្រាប់ចុចនេះត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់។ សំណើ X11 ណាមួយទៅមុខដោយម៉ាស៊ីនភ្ញៀវនឹងត្រឡប់កំហុស។
គ្មានភ្នាក់ងារបញ្ជូនបន្ត
Forbids ភ្នាក់ងារផ្ទៀងផ្ទាត់បញ្ជូនបន្តនៅពេលដែលគ្រាប់ចុចនេះត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។
គ្មាន -pty
បង្ការការបែងចែក tty (សំណើសុំដើម្បីបែងចែក pty នឹងបរាជ័យ) ។
permitopen = ម៉ាស៊ីន: ច្រក
កំណត់ការបញ្ជូនច្រក `` ssh-L '' ក្នុងមូលដ្ឋានដូចនេះវាអាចភ្ជាប់តែម៉ាស៊ីននិងច្រកជាក់លាក់ប៉ុណ្ណោះ។ អាសយដ្ឋាន IPv6 អាចត្រូវបានបញ្ជាក់ជាមួយវាក្យសម្ព័ន្ធជំនួស: ម៉ាស៊ីន / ច្រក ជម្រើស អនុញ្ញាត permitopen ច្រើនអាចត្រូវបានអនុវត្តដោយបំបែកដោយសញ្ញាក្បៀស។ គ្មានការផ្គូផ្គងលំនាំត្រូវបានបំពេញនៅលើឈ្មោះម៉ាស៊ីនដែលបានបញ្ជាក់ទេពួកវាត្រូវតែជាដែនព្យញ្ជនៈឬអាសយដ្ឋាន។
ឧទាហរណ៍
1024 33 12121 ... 312314325 ylo@foo.bar
ពី = "* niksula.hut.fi,! pc.niksula.hut.fi" 1024 35 23 ... 2334 ylo @ niksula
ពាក្យបញ្ជា = "dump / home", no-pty, no-port-forwarding 1024 33 23 ... 2323 backup.hut.fi
permitopen = "10.2.1.55: 80", permitopen = "10.2.1.56:25" 1024 33 23 ... 2323
ទ្រង់ទ្រាយឯកសារ Ssh_Known_Hosts
ឯកសារ / etc / ssh / ssh_known_ និងផ្ទះ $ HOME / .ssh / known_hosts មានកូនសោសាធារណៈរបស់ម៉ាស៊ីនសម្រាប់ម៉ាស៊ីនដែលស្គាល់ទាំងអស់។ ឯកសារសកលគួរតែត្រូវបានរៀបចំដោយអ្នកគ្រប់គ្រង (ជាជម្រើស) ហើយឯកសារអ្នកប្រើម្នាក់ៗត្រូវបានរក្សាទុកដោយស្វ័យប្រវត្តិ: នៅពេលដែលអ្នកប្រើភ្ជាប់ពីម៉ាស៊ីនដែលមិនស្គាល់នោះកូនសោរបស់វាត្រូវបានបន្ថែមទៅឯកសារអ្នកប្រើម្នាក់ៗ។
បន្ទាត់នីមួយៗនៅក្នុងឯកសារទាំងនេះមានវាលដូចខាងក្រោម: ឈ្មោះម៉ាស៊ីន, ប៊ីត, និទស្សន្ត, ម៉ូឌុល, មតិយោបល់។ វាលត្រូវបានបំបែកដោយចន្លោះ។
ឈ្មោះម៉ាស៊ីនមេជាបញ្ជីគំរូដែលបំបែកដោយសញ្ញាក្បៀស ('*' និង '?' ធ្វើជាតួអក្សរជំនួស) ។ លំនាំនីមួយៗត្រូវបានផ្គូរផ្គងប្រឆាំងនឹងឈ្មោះម៉ាស៊ីនត្រឹមត្រូវ (នៅពេលផ្ទៀងផ្ទាត់ម៉ាស៊ីនភ្ញៀវ) ឬប្រឆាំងនឹងឈ្មោះដែលផ្តល់ដោយអ្នកប្រើ (នៅពេលផ្ទៀងផ្ទាត់ម៉ាស៊ីនមេ) ។ លំនាំអាចត្រូវបានបន្តដោយ `! ' ដើម្បីចង្អុលការ negation: ប្រសិនបើឈ្មោះម៉ាស៊ីនផ្គូផ្គងនឹងលំនាំបដិសេធនោះវានឹងមិនត្រូវបានទទួល (ដោយបន្ទាត់នោះទេ) បើទោះបីជាវាត្រូវបានផ្គូផ្គងគំរូមួយទៀតនៅលើបន្ទាត់ក៏ដោយ។
ប៊ីតនិទស្សន្តនិងម៉ូឌុលត្រូវបានយកដោយផ្ទាល់ពីគ្រាប់ចុចម៉ាស៊ីន RSA ។ ពួកវាអាចត្រូវបានទទួលឧ។ ពី /etc/ssh/ssh_host_key.pub វាលមតិយោបល់បន្តទៅចុងបន្ទាត់ហើយមិនត្រូវបានប្រើទេ។
បន្ទាត់ដែលចាប់ផ្ដើមដោយ `# 'និងបន្ទាត់ទទេត្រូវបានអើពើជាមតិយោបល់។
នៅពេលអនុវត្តការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវត្រូវបានទទួលប្រសិនបើបន្ទាត់ដែលផ្គូផ្គងមានគ្រាប់ចុចត្រឹមត្រូវ។ វាត្រូវបានអនុញ្ញាតដូច្នេះ (ប៉ុន្តែមិនត្រូវបានផ្ដល់អនុសាសន៍) ដើម្បីឱ្យមានបន្ទាត់ជាច្រើនឬកូនសោម៉ាស៊ីនផ្សេងគ្នាសម្រាប់ឈ្មោះដូចគ្នា។ នេះនឹងកើតឡើងដោយចេតនានៅពេលដែលទម្រង់ខ្លីនៃឈ្មោះម៉ាស៊ីនពីដែនផ្សេងគ្នាត្រូវបានដាក់នៅក្នុងឯកសារ។ វាអាចទៅរួចដែលឯកសារមានព័ត៌មានដែលផ្ទុយគ្នា។ ការផ្ទៀងផ្ទាត់ត្រូវបានទទួលយកប្រសិនបើព័ត៌មានត្រឹមត្រូវអាចរកបានពីឯកសារណាមួយ។
ចំណាំថាបន្ទាត់ក្នុងឯកសារទាំងនេះគឺមានជាធម្មតារាប់រយតួអក្សរហើយអ្នកពិតជាមិនចង់វាយគ្រាប់ចុចម្ចាស់ដោយដៃ។ ជាជាងបង្កើតពួកវាដោយស្គ្រីបឬដោយយក /etc/ssh/ssh_host_key.pub និងបន្ថែមឈ្មោះម៉ាស៊ីននៅផ្នែកខាងមុខ។
ឧទាហរណ៍
closenet ... 130.233.208.41 1024 37 159 ... 93 shutenet.hut.fi cvs.openbsd.org, 199.185.137.3 ssh-rsa AAAA1234 ..... =សូមមើលផងដែរ
scp (1), sftp (1), ssh (1), ssh- add1, ssh- agent1, ssh- keygen1, login.conf5, ម៉ូឌុល (5), sshd_config5, sftp-server8
T. Ylonen T. Kivinen M. Saarinen T. Rinne S. Lehtinen "ស្ថាបត្យកម្មពិធីការ SSH" draft-ietf-secsh-architecture-12.txt ខែមករាឆ្នាំ 2002 ការងារកំពុងដំណើរការ
លោក Friedl N. Provos លោក WA Simpson "ការផ្លាស់ប្តូរឌីស្កេ - ក្រុម Hellman សម្រាប់ពិធីសារស្រទាប់ដឹកជញ្ជូន SSH" សេចក្តីព្រាង - ietf-secsh-dh-group-exchange-02.txt ខែមករាឆ្នាំ 2002 ធ្វើការនៅក្នុងវឌ្ឍនភាពសម្ភារៈ
សំខាន់: ប្រើពាក្យបញ្ជា man ( % man ) ដើម្បីមើលពីរបៀបប្រើពាក្យបញ្ជាលើកុំព្យូទ័រជាក់លាក់របស់អ្នក។