SSH_CONFIG(5) | File Formats Manual | SSH_CONFIG(5) |
ssh_config
—
OpenSSH-Client-Konfigurationsdatei
ssh(1) erhält Konfigurationsdaten aus den folgenden Quellen in der folgenden Reihenfolge:
Für jeden Parameter wird der erste erhaltene Wert verwandt.
Die Konfigurationsdateien enthalten durch Host
-Spezifikationen getrennte Abschnitte und dieser Abschnitt wird nur
für Rechner angewandt, die auf ein in der Spezifikation angegebenes
Muster passen. Der passende Rechnername wird normalerweise auf der
Befehlszeile übergeben (siehe beispielsweise die Option
CanonicalizeHostname
für Ausnahmen).
Da der erste erhaltene Wert für jeden Parameter verwandt wird, sollten die meisten Rechner-spezifischen Deklarationen in der Nähe des Anfangs der Datei und allgemeine Vorgaben am Ende angegeben werden.
Beachten Sie, dass das Debian-Paket
openssh-client
mehrere Optionen als Vorgabe in
/etc/ssh/ssh_config setzt, die in
ssh(1) nicht die Vorgabe sind:
Include
/etc/ssh/ssh_config.d/*.conf
SendEnv
LANG LC_*HashKnownHosts
yesGSSAPIAuthentication
yesDie Dateien /etc/ssh/ssh_config.d/*.conf werden am Anfang der systemweiten Konfigurationsdatei eingebunden, so dass dort gesetzte Optionen die in /etc/ssh/ssh_config gesetzten außer Kraft setzen werden.
Die Datei enthält Schlüsselwort-Argument-Paare,
eines pro Zeile. Leere Zeilen und solche, die mit
‘#
’ anfangen, werden als Kommentare
interpretiert. Argumente können optional in englische doppelte
Anführungszeichen (") eingeschlossen werden, um Argumente, die
Leerzeichen enthalten, darzustellen. Konfigurationsoptionen können
durch Leerraum oder optionalen Leerraum und genau ein
‘=
’ abgetrennt werden; letzteres
Format ist nützlich, um die Notwendigkeit von
Anführungszeichen für Leerzeichen zu vermeiden, wenn
Konfigurationsoptionen angegeben werden, die die Option
ssh
, scp
und
sftp
-o
enthalten.
Die möglichen Schlüsselwörter und ihre Bedeutung sind wie folgt (beachten Sie, dass die Groß-/Kleinschreibung bei Schlüsselwörtern egal, bei Argumenten dagegen relevant ist):
Host
Host
oder
Match
) auf die Rechner, die auf eines der Muster
passen, die nach dem Schlüsselwort angegeben sind. Falls mehr als
ein Muster bereitgestellt wird, dann sollten sie durch Leerraum getrennt
sein. Ein einzelnes ‘*
’ als Muster
kann zur Bereitstellung globaler Vorgaben für alle Rechner verwandt
werden. Der Rechner ist normalerweise das auf der Befehlszeile
übergebene Argument Rechnername (siehe das
Schlüsselwort CanonicalizeHostname
für Ausnahmen.
Ein Mustereintrag kann negiert werden, indem ihm ein
Ausrufezeichen (‘!’) vorangestellt wird. Falls ein
negierter Ausdruck passt, dann wird der Eintrag
Host
ignoriert, unabhängig davon, ob
eines der anderen Muster auf der Zeile passt. Negierte Treffer sind
daher nützlich, um Ausnahmen für Platzhalter-Treffer
bereitzustellen.
Siehe MUSTER für weitere Informationen über Muster.
Match
Host
oder
Match
) auf die Fälle, bei denen die
Bedingungen, die nach dem Schlüsselwort
Match
angegeben sind, erfüllt sind.
Trefferbedingungen werden mittels einem oder mehreren Kriterien oder dem
einzelnen Merkmal all
, das immer zutrifft,
festgelegt. Die verfügbaren Kriterienschlüsselwörter
sind: canonical
, final
,
exec
, host
,
originalhost
, user
und
localuser
. Das Kriterium
all
muss alleine oder direkt nach
canonical
oder final
auftauchen. Andere Kriterien können beliebig kombiniert werden.
Alle Kriterien außer all
,
canonical
und final
benötigen ein Argument. Kriterien können negiert werden, in
denen ihnen ein Ausrufezeichen (‘!’) vorangestellt wird.
Das Schlüsselwort canonical
passt nur, wenn die Konfigurationsdatei nach der Umwandlung des
Rechnernamens in eine kanonische Form (siehe die Option
CanonicalizeHostname
) erneut ausgewertet wird.
Dies kann nützlich sein, um Bedingungen festzulegen, die nur mit
kanonischen Rechnernamen funktionieren.
Das Schlüsselwort final
erbittet, dass die Konfiguration neu ausgewertet werden soll (egal, ob
CanonicalizeHostname
aktiviert ist) und passt
nur während des abschließenden Durchlaufs. Falls
CanonicalizeHostname
aktiviert ist, dann passen
canonical
und final
während des gleichen Durchlaufs.
Das Schlüsselwort exec
führt den angegebenen Befehl unter der Shell des Benutzers aus.
Falls der Befehl einen Exit-Status Null zurückliefert, dann wird
die Bedingung als wahr betrachtet. Befehle, die Leerraumzeichen
enthalten, müssen in englische Anführungszeichen gesetzt
werden. Argumente von exec
akzeptieren die im
Abschnitt MERKMALE beschriebenen
Merkmale.
Die Kriterien der anderen Schlüsselwörter
müssen einzelne Einträge oder Kommata-getrennte Listen
sein und können die im Abschnitt
MUSTER beschriebenen Platzhalter- und
Negierungsoperatoren verwenden. Die Kriterien für das
Schlüsselwort host
werden mit dem
Zielrechnernamen verglichen, nachdem alle Ersetzungen durch die Optionen
Hostname
oder
CanonicalizeHostname
erfolgt sind. Das
Schlüsselwort originalhost
passt auf den
Rechnernamen, wie er auf der Befehlszeile angegeben wurde. Das
Schlüsselwort user
passt auf den
Zielbenutzernamen auf dem fernen Rechner. Das Schlüsselwort
localuser
passt auf den Namen des lokalen
Benutzers, der ssh(1) ausführt (dieses
Schlüsselwort kann in systemweiten
ssh_config
-Dateien nützlich sein).
AddKeysToAgent
yes
gesetzt ist und ein
Schlüssel aus einer Datei geladen wird, wird der Schlüssel
und seine Passphrase zu dem Vermittler mit der Standard-Lebensdauer
hinzugefügt, als ob ssh-add(1) verwandt worden
wäre. Falls diese Option auf ask
gesetzt
ist, wird ssh(1) eine Bestätigung über das
Programm SSH_ASKPASS
benötigen, bevor ein
Schlüssel hinzugefügt wird (siehe
ssh-add(1) für Details). Falls diese Option auf
confirm
gesetzt ist, muss jede Verwendung eines
Schlüssel bestätigt werden, als ob die Option
-c
bei ssh-add(1) festgelegt
worden wäre. Falls diese Option auf no
gesetzt wird, werden keine Schlüssel zum Vermittler
hinzugefügt. Alternativ kann diese Option als Zeitintervall, in dem
im Abschnitt TIME FORMATS von
sshd_config(5) beschriebenen Format angegeben werden, um
die Lebensdauer in ssh-agent(1) festzulegen, nach der er
automatisch entfernt wird. Das Argument muss no
(die Vorgabe), yes
,
confirm
(optional gefolgt von einem
Zeitintervall), ask
oder ein Zeitintervall
sein.AddressFamily
any
(die Vorgabe),
inet
(nur IPv4 verwenden) und
inet6
(nur IPv6 verwenden).BatchMode
yes
gesetzt, wird die
Benutzerinteraktion wie Passwortabfragen und Bestätigungen von
Rechnerschlüsselabfragen deaktiviert. Zusätzlich wird die
Option ServerAliveInterval
standardmäßig auf 300 Sekunden gesetzt (Debian-spezifisch).
Diese Option ist in Skripten und anderen
Stapelverarbeitungsaufträgen nützlich, bei denen kein
Benutzer zur Interaktion mit ssh(1) verfügbar
ist, und wo die schnelle Erkennung von Netzwerkfehlern gewünscht
ist. Das Argument muss yes
oder
no
(die Vorgabe) sein.BindAddress
BindInterface
CanonicalDomains
CanonicalizeHostname
aktiviert ist.CanonicalizeFallbackLocal
yes
, wird versuchen, den nicht qualifizierten
Rechnernamen mittels der Auflösungssuchregeln des Systems
nachzuschlagen. Ein Wert von no
führt dazu,
dass ssh(1) sofort fehlschlägt, falls
CanonicalizeHostname
aktiviert ist und der
Zielrechnername nicht in einer der mittels
CanonicalDomains
festgelegten Domains gefunden
werden kann.CanonicalizeHostname
no
, erfolgt keine
Umschreibung und die Auflösung des Rechnernamens erfolgt durch die
Systemauflöserroutinen. Falls auf yes
gesetzt, dann wird ssh(1) versuchen, auf der
Befehlszeile angegebene Rechnernamen für Verbindungen, die nicht
ProxyCommand
oder
ProxyJump
verwenden, mittels der Endungen
CanonicalDomains
und der Regeln
CanonicalizePermittedCNAMEs
zu kanonisieren. Falls
CanonicalizeHostname
auf
always
gesetzt ist, dann wird die Kanonisierung
auch auf Verbindungen über Proxys angewandt.
Falls diese Option aktiviert ist, dann werden die
Konfigurationsdateien mittels der neuen Zielnamen erneut ausgewertet, um
sämtliche neue Konfiguration aufgrund von passenden Abschnitten
Host
und Match
einzusammeln.
CanonicalizeMaxDots
CanonicalizePermittedCNAMEs
Beispielsweise wird es "*.a.example.com:*.b.example.com,*.c.example.com" erlauben, Rechnernamen, die auf "*.a.example.com" passen, auf Namen in den Domains "*.b.example.com" oder "*.c.example.com" kanonisiert zu werden.
CASignatureAlgorithms
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, ssh-ed25519,rsa-sha2-512,rsa-sha2-256,ssh-rsa
ssh(1) wird keine Rechnerzertifikate akzeptieren, die mit anderen als den festgelegten Algorithmen signiert sind.
CertificateFile
IdentityFile
oder einem Schalter an
ssh(1), mittels ssh-agent(1) oder
mittels einem PKCS11Provider
oder einem
SecurityKeyProvider
bereitgestellt werden, um
dieses Zertifikat zu benutzen.
Argumente von CertificateFile
können die Tilde-Syntax, um sich auf das Home-Verzeichnis des
Benutzers zu beziehen, die im Abschnitt
MERKMALE beschriebenen Merkmale und
die im Abschnitt
UMGEBUNGSVARIABLEN
beschriebenen Umgebungsvariablen verwenden.
Es ist möglich, dass mehrere Zertifikatsdateien in
Konfigurationsdateien festgelegt werden; diese Zertifikate werden der
Reihen nach ausprobiert. Mehrere Direktiven
CertificateFile
fügen zu der
Zertifikatsliste hinzu, die für die Authentifizierung verwandt
wird.
ChallengeResponseAuthentication
yes
(die Vorgabe) oder no
sein.CheckHostIP
yes
(die Vorgabe) gesetzt, wird
ssh(1) zusätzlich die Rechner-IP-Adresse in der
Datei known_hosts überprüfen. Dies
ermöglicht die Erkennung, ob sich ein Rechnerschlüssel
aufgrund von DNS-Fälschungen geändert hat und wird Adressen
von Zielrechnern bei dem Prozess zu
~/.ssh/known_hosts hinzufügen,
unabhängig von der Einstellung von
StrictHostKeyChecking
. Falls diese Option auf
no
gesetzt ist, wird die Prüfung nicht
durchgeführt.Ciphers
Die unterstützten Chiffren sind:
3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com
Die Vorgabe ist:
chacha20-poly1305@openssh.com, aes128-ctr,aes192-ctr,aes256-ctr, aes128-gcm@openssh.com,aes256-gcm@openssh.com
Die Liste der verfügbaren Chiffen kann auch mit "ssh -Q cipher" erhalten werden.
ClearAllForwardings
yes
oder no
(die Vorgabe)
sein.Compression
yes
oder no
(die Vorgabe)
sein.ConnectionAttempts
ConnectTimeout
ControlMaster
yes
gesetzt, wird ssh(1) auf Verbindungen auf einem
Steuer-Socket warten, das mit dem Argument
ControlPath
festgelegt ist. Zusätzliche
Sitzungen können sich mit diesem Socket über den gleichen
ControlPath
mit
ControlMaster
gesetzt auf
no
(die Vorgabe) verbinden. Diese Sitzungen werden
versuchen, die Netzwerkverbindungsinstanz des Masters mit zu benutzen,
statt neue aufzubauen. Falls das Steuer-Socket nicht existiert oder nicht
auf Anfragen wartet, werden sie aber auf normalen Verbindungsaufbau
zurückfallen.
Wird dies auf ask
gesetzt, dann wartet
ssh(1) auf Steuerverbindungen, benötigt aber
die Bestätigung mittels ssh-askpass(1). Falls
der ControlPath
nicht geöffnet werden
kann, wird ssh(1) fortfahren, ohne sich mit der
Master-Instanz zu verbinden.
Die Weiterleitung von X11 und ssh-agent(1) über diese multiplexten Verbindungen wird unterstützt, allerdings werden die weitergeleiteten Display und Vermittler zu denen der Master-Verbindung gehören, d.h. es ist nicht möglich, mehrere Displays oder Vermittler weiterzuleiten.
Zwei zusätzliche Optionen ermöglichen
opportunistisches Multiplexing: es wird versucht, eine Master-Verbindung
zu verwenden, aber auf die Erstellung einer neuen zurückgefallen,
falls eine solche noch nicht existiert. Diese Optionen sind:
auto
und autoask
.
Letztere verlangt Bestätigung wie bei der Option
ask
.
ControlPath
ControlMaster
beschrieben oder der Zeichenkette
none
, um gemeinsame Benutzung von Verbindungen zu
deaktiveren, verwandt wird. Argumente für
ControlPath
können die Tilde-Syntax, um
sich auf das Home-Verzeichnis des Benutzers zu beziehen, die im Abschnitt
MERKMALE beschriebenen Merkmale und die
im Abschnitt
UMGEBUNGSVARIABLEN
beschrieben Umgebungsvariablen verwenden. Es wird empfohlen, dass alle
ControlPath
, die für opportunistische
gemeinsame Verwendung von Verbindungen verwandt werden, mindestens %h, %p
und %r (oder alternativ %C) enthalten und in einem Verzeichnis abgelegt
werden, das von anderen Benutzern nicht beschreibbar ist. Dies stellt
sicher, dass gemeinsam benutzte Verbindungen eindeutig identifiziert
sind.ControlPersist
ControlMaster
verwandt wird, legt dies fest, dass die Master-Verbindung im Hintergrund
offen bleiben (und auf zukünftige Client-Verbindungen warten) soll,
nachdem die anfängliche Client-Verbindung geschlossen wurde. Falls
auf die Vorgabe no
gesetzt, dann wird die
Master-Verbindung nicht in den Hintergrund gelegt und geschlossen, sobald
die anfängliche Verbindung geschlossen wird. Falls auf
yes
oder 0 gesetzt, wird die Master-Verbindung
zeitlich unbegrenzt im Hintergrund verbleiben (bis sie beendet oder
über einen Mechanismus wie "ssh -O exit" geschlossen
wird). Falls sie auf eine Zeit in Sekunden oder Zeit in einem der in
sshd_config(5) dokumentierten Formate gesetzt wird, dann
wird die im Hintergrund befindliche Master-Verbindung automatisch beendet,
nachdem sie für die festgelegte Zeit (ohne Client-Verbindungen) im
Leerlauf gewesen ist.DynamicForward
Das Argument muss
[Anbindeadresse:]Port sein.
IPv6-Adressen können durch Einschluss in eckige Klammern
angegeben werden. Standardmäßig wird der lokale Port in
Übereinstimmung mit der Einstellung
GatewayPorts
angebunden. Allerdings kann eine
explizite Anbindeadresse verwandt werden, um die
Verbindung an eine bestimmte Adresse anzubinden. Die Verwendung von
localhost
als
Anbindeadresse zeigt an, dass der Port, der auf
Anfragen wartet, nur für die lokale Verwendung angebunden wird,
während eine leere Adresse oder ‘*’ anzeigt, dass
der Port von allen Schnittstellen aus verfügbar sein soll.
Derzeit werden die Protokolle SOCKS4 und SOCKS5 unterstützt und ssh(1) agiert als ein SOCKS-Server. Es können mehrere Weiterleitungen festgelegt werden und zusätzliche Weiterleitungen können auf der Befehlszeile übergeben werden. Nur der Systemadministrator kann privilegierte Ports weiterleiten.
EnableSSHKeysign
yes
gesetzt, dann werden die Helfer-Programme
ssh-keysign(8) während
HostbasedAuthentication
aktiviert. Das Argument
muss yes
oder no
(die
Vorgabe) lauten. Die Option sollte außerhalb der
Rechner-spezifischen Optionen abgelegt werden. Siehe
ssh-keysign(8) für weitere Informationen.EscapeChar
~
’). Das Maskierzeichen kann auch
auf der Befehlszeile gesetzt werden. Das Argument sollte ein einzelnes
Zeichen, ‘^
’, gefolgt von einem
Buchstaben oder none
, um das Maskierzeichen
komplett zu deaktivieren (um die Verbindung transparent für
Binärdaten zu machen), sein.ExitOnForwardFailure
ExitOnForwardFailure
nicht auf Verbindungen
angewandt wird, die über Port-Weiterleitungen erstellt wurden und
beispielsweise nicht dazu führt, dass ssh(1) sich
beendet, falls TCP-Verbindungen zum endgültigen Weiterleitungsziel
fehlschlagen. Das Argument muss yes
oder
no
(die Vorgabe) sein.FingerprintHash
md5
und sha256
(die
Vorgabe).ForwardAgent
yes
, no
(die Vorgabe), ein
expliziter Pfad zu einem Socket des Vermittlers oder der Name einer
Umgebungsvariablen (beginnend mit ‘$’), in der der Pfad
gefunden werden kann, sein.
Die Weiterleitung des Vermittlers sollte mit Vorsicht aktiviert werden. Benutzer mit der Fähigkeit, auf dem fernen Rechner Dateiberechtigungen zu umgehen (für das Unix-Domain-Socket des Vermittlers), können über die weitergeleitete Verbindung auf den lokalen Vermittler zugreifen. Ein Angreifer kann vom Vermittler kein Schlüsselmaterial erlangen, er kann allerdings Aktionen auf den Schlüssel ausführen, die es ihm ermöglichen, sich mittels der im Vermittler geladenen Identitäten zu authentifizieren.
ForwardX11
DISPLAY
gesetzt wird. Das
Argument muss yes
oder no
(die Vorgabe) sein.
Die X11-Weiterleitung sollte mit Vorsicht aktiviert werden.
Benutzer mit der Fähigkeit, auf dem fernen Rechner
Dateiberechtigungen zu umgehen (für die Autorisierungsdatenbank
von X11) können auf die lokale X11-Anzeige durch die
weitergeleitete Verbindung zugreifen. Ein Angreifer könnte dann
in der Lage sein, Aktivitäten wie die Überwachung der
Tastatureingaben durchzuführen, falls auch die Option
ForwardX11Trusted
aktiviert ist.
ForwardX11Timeout
ForwardX11Timeout
auf 0 gesetzt, dann wird die
Zeitüberschreitung deaktiviert und X11-Weiterleitung für die
Lebensdauer der Verbindung erlaubt. Standardmäßig wird nicht
vertrauenswürdige X11-Weiterleitung nach dem Ablauf von 20 Minuten
deaktiviert.ForwardX11Trusted
yes
(die Debian-spezifische
Vorgabe) gesetzt wird, werden ferne X11-Clients Vollzugriff auf die
ursprüngliche X11-Anzeige haben.
Falls diese Option auf no
(die Vorgabe
der Originalautoren) gesetzt ist, werden X11-Clients als nicht
vertrauenswürdig betrachtet und sie daran gehindert, Daten, die
zu vertrauenswürdigen X11-Clients gehören, zu stehlen oder
zu verändern. Desweiteren wird das für die Sitzung
verwandte Merkmal xauth(1) auf einen Ablauf nach 20
Minuten gesetzt. Fernen Clients wird danach der Zugriff verweigert.
Siehe die Spezifikation der X11-SECURITY-Erweiterungen für vollständige Details über die für nicht vertrauenswürdige Clients eingeführten Beschränkungen.
GatewayPorts
GatewayPorts
kann dazu
verwandt werden, anzugeben, dass Ssh lokale Port-Weiterleitungen an die
Platzhalter-Adressen anbindet, und es damit fernen Rechnern erlaubt, sich
mit weitergeleiteten Ports zu verbinden. Das Argument muss
yes
oder no
(die Vorgabe)
sein.GlobalKnownHostsFile
GSSAPIAuthentication
no
.GSSAPIClientIdentity
GSSAPIDelegateCredentials
no
.GSSAPIKeyExchange
GSSAPIRenewalForcesRekey
Es erfolgen Überprüfungen, um sicherzustellen, dass die Anmeldedaten nur weitergeleitet werden, wenn die neuen Anmeldedaten auf die alten auf dem Ursprungs-Client passen und bei denen der empfangende Server immer noch den alten Satz in seinem Zwischenspeicher hat.
Die Vorgabe ist “no”.
Damit dies funktioniert, muss
GSSAPIKeyExchange
auf dem Server aktiviert und
auch vom Client verwandt werden.
GSSAPIServerIdentity
GSSAPITrustDns
GSSAPIKexAlgorithms
gss-gex-sha1-, gss-group1-sha1-, gss-group14-sha1-, gss-group14-sha256-, gss-group16-sha512-, gss-nistp256-sha256-, gss-curve25519-sha256-
Die Vorgabe ist “gss-group14-sha256-,gss-group16-sha512-,gss-nistp256-sha256-,gss-curve25519-sha256-,gss-gex-sha1-,gss-group14-sha1-”. Diese Option gilt nur bei Verbindungen, die GSSAPI verwenden.
HashKnownHosts
no
. Beachten Sie, dass bestehende Namen und
Adressen in Dateien mit bekannten Namen nicht automatisch konvertiert
werden, aber manuell mittels ssh-keygen(1) gehasht
werden können. Die Verwendung dieser Option könnte
Einrichtungen beschädigen, die von dem Auslesen von
Klartext-Rechnernamen aus ~/.ssh/known_hosts
abhängen. Ein Beispiel hierfür ist die
Tab-Vervollständigung.HostbasedAuthentication
yes
oder
no
(die Vorgabe) sein.HostbasedKeyTypes
ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, ssh-ed25519-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-rsa-cert-v01@openssh.com, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ecdsa-sha2-nistp256@openssh.com, ssh-ed25519,sk-ssh-ed25519@openssh.com, rsa-sha2-512,rsa-sha2-256,ssh-rsa
Die Option -Q
von
ssh(1) kann zur Anzeige unterstützter
Schlüsseltypen verwandt werden.
HostKeyAlgorithms
ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, ssh-ed25519-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-rsa-cert-v01@openssh.com, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ecdsa-sha2-nistp256@openssh.com, ssh-ed25519,sk-ssh-ed25519@openssh.com, rsa-sha2-512,rsa-sha2-256,ssh-rsa
Falls die Rechnerschlüssel für den Zielrechner bekannt sind, dann wird diese Vorgabe verändert, um dessen Algorithmen zu bevorzugen.
Die Liste der verfügbaren Schlüsseltypen kann auch mittels "ssh -Q HostKeyAlgorithms" erhalten werden.
HostKeyAlias
Hostname
Hostname
akzeptieren die im Abschnitt MERKMALE
beschriebenen Merkmale. Auch numerische Adressen sind erlaubt (sowohl auf
der Befehlszeile als auch in Hostname
-Angaben).
Die Vorgabe ist der auf der Befehlszeile übergebene Name.IdentitiesOnly
ssh_config
-Dateien konfiguriert oder auf der
Befehlszeile von ssh(1) übergeben wurden)
verwenden soll, selbst falls ssh-agent(1) oder ein
PKCS11Provider
oder
SecurityKeyProvider
mehrere Identitäten
anbieten. Das Argument für dieses Schlüsselwort muss
yes
oder no
(die Vorgabe).
Diese Option ist für Situationen gedacht, bei denen der
Ssh-Vermittler viele verschiedene Identitäten anbietet.IdentityAgent
Diese Option setzt die Umgebungsvariable
SSH_AUTH_SOCK
außer Kraft und kann zur
Auswahl eines bestimmten Vermittlers verwandt werden. Durch Setzen des
Socket-Namens auf none
wird die Verwendung des
Authentifizierungsvermittlers deaktiviert. Falls die Zeichenkette
"SSH_AUTH_SOCK" festgelegt wird, wird der Ort des Sockets aus
der Umgebungsvariablen SSH_AUTH_SOCK
gelesen.
Andernfalls, falls der festgelegte Wert mit einem ‘$’
beginnt, wird er als eine Umgebungsvariable behandelt, die den Ort des
Sockets enthält.
Argumente für IdentityAgent
können die Tilde-Syntax zur Referenz auf das Home-Verzeichnis des
Benutzers, die im Abschnitt MERKMALE
beschriebenen Merkmale und die im Abschnitt
UMGEBUNGSVARIABLEN
beschriebenen Umgebungsvariablen verwenden.
IdentityFile
IdentitiesOnly
ist gesetzt. Falls durch
CertificateFile
keine Zertifikate explizit
festgelegt wurden, wird ssh(1) versuchen,
Zertifikatsinformationen aus dem Dateinamen zu erlangen, der durch
Anhängen von -cert.pub an den Pfad des
festgelegten IdentityFile
erhalten wird.
Argumente für IdentityFile
können die Tilde-Syntax zur Referenz auf das Home-Verzeichnis des
Benutzers oder die im Abschnitt
MERKMALE beschriebenen Merkmale
verwenden.
Es ist möglich, in Konfigurationsdateien mehrere
Identitäten festgelegt zu haben. Alle diese Identitäten
werden nacheinander versucht. Mehrere Direktiven
IdentityFile
fügen zu der Liste der
versuchten Identitäten hinzu (dieses Verhalten unterscheidet sich
von dem anderer Konfigurationsdirektiven).
IdentityFile
kann zusammen mit
IdentitiesOnly
verwandt werden, um
auszuwählen, welche Identitäten im Vermittler
während der Authentifizierung angeboten werden.
IdentityFile
kann auch zusammen mit
CertificateFile
verwandt werden, um alle
Zertifikate bereitzustellen, die auch für die Authentifizierung
mit der Identität benötigt werden.
IgnoreUnknown
ssh_config
Optionen enthält, die von
ssh(1) nicht erkannt werden. Es wird empfohlen, dass
IgnoreUnknown
im Anfangsbereich der
Konfigurationsdatei aufgeführt wird, da es nicht auf unbekannte
Optionen angewandt wird, die davor stehen.Include
Include
kann innerhalb eines
Match
- oder Host
-Blocks
auftauchen, um bedingte Einbindung durchzuführen.IPQoS
af11
,
af12
, af13
,
af21
, af22
,
af23
, af31
,
af32
, af33
,
af41
, af42
,
af43
, cs0
,
cs1
, cs2
,
cs3
, cs4
,
cs5
, cs6
,
cs7
, ef
,
le
, lowdelay
,
throughput
, reliability
,
ein numerischer Wert und none
, um die Vorgabe des
Betriebssystems zu verwenden. Diese Option akzeptiert ein oder zwei, durch
Leerraum getrennte Argumente. Falls ein Argument festgelegt ist, wird es
bedingungslos als Paketklasse verwandt. Falls zwei Argumente festgelegt
sind, wird das erste automatisch für interaktive Sitzungen
ausgewählt und das zweite für nichtinteraktive Sitzungen.
Die Vorgabe ist lowdelay
für interaktive
Sitzungen und throughput
für
nichtinteraktive Sitzungen.KbdInteractiveAuthentication
yes
(die Vorgabe) oder no
sein.KbdInteractiveDevices
bsdauth
und pam
sein.KexAlgorithms
curve25519-sha256,curve25519-sha256@libssh.org, ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521, diffie-hellman-group-exchange-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512, diffie-hellman-group14-sha256
Die Liste der verfügbaren Schlüsselaustauschalgorithmen kann auch mittels "ssh -Q kex" erhalten werden.
LocalCommand
LocalCommand
akzeptieren die im Abschnitt
MERKMALE beschriebenen Merkmale.
Der Befehl wird synchron ausgeführt und muss keinen Zugriff auf die Sitzung von ssh(1) haben, die ihn erzeugte. Er sollte nicht für interaktive Befehle verwandt werden.
Diese Direktive wird ignoriert, außer
PermitLocalCommand
wurde aktiviert.
LocalForward
IPv6-Adressen können durch Einschluss in eckige
Klammern festgelegt werden. Es können mehrere Weiterleitungen
festgelegt werden und zusätzliche Weiterleitungen können
auf der Befehlszeile übergeben werden. Nur der Administrator kann
privilegierte Ports weiterleiten. Standardmäßig ist der
lokale Port gemäß der Einstellung
GatewayPorts
angebunden. Allerdings kann eine
explizite Anbindeadresse verwandt werden, um die
Verbindung an eine bestimmte Adresse anzubinden. Wird
localhost
als
Anbindeadresse verwandt, so zeigt dies an, dass
der Port, an dem auf Anfragen gewartet werden soll, nur für die
lokale Verwendung angebunden ist, während eine leere Adresse oder
‘*’ anzeigt, dass der Port von allen Schnittstellen aus
verfügbar sein soll. Unix-Domain-Sockets können die im
Abschnitt MERKMALE beschriebenen
Merkmale und die im Abschnitt
UMGEBUNGSVARIABLEN
beschriebenen Umgebungsvariablen verwenden.
LogLevel
MACs
Die Algorithmen, die "-etm" enthalten, berechnen die MAC nach der Verschlüsselung ((encrypt-then-mac). Diese werden als sicherer betrachtet und ihr Einsatz wird empfohlen.
Die Vorgabe ist:
umac-64-etm@openssh.com,umac-128-etm@openssh.com, hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com, hmac-sha1-etm@openssh.com, umac-64@openssh.com,umac-128@openssh.com, hmac-sha2-256,hmac-sha2-512,hmac-sha1
Die Liste der verfügbaren MAC-Algorithmen kann auch mittels "ssh -Q mac" erhalten werden.
NoHostAuthenticationForLocalhost
yes
oder no
(die
Vorgabe) sein.NumberOfPasswordPrompts
PasswordAuthentication
yes
(die Vorgabe) oder no
sein.PermitLocalCommand
LocalCommand
oder mittels der Maskiersequenz
!
Befehl in
ssh(1). Das Argument muss yes
oder no
(die Vorgabe) sein.PKCS11Provider
none
(die Vorgabe), dass kein Anbieter verwandt
werden soll. Das Argument für dieses Schlüsselwort ist ein
Pfad zu einer dynamischen PKCS#11-Bibliothek, die ssh(1)
zur Kommunikation mit einem PKCS#11-Token verwenden soll, der
Schlüssel für die Benutzerauthentifizierung
bereitstellt.Port
PreferredAuthentications
keyboard-interactive
) gegenüber anderen
Methoden (z.B. password
) zu bevorzugen. Die
Vorgabe lautet:
gssapi-with-mic,hostbased,publickey, keyboard-interactive,password
ProxyCommand
exec
’ -Direktive der Shell des
Benutzers ausgeführt, um einen schleppenden Shell-Prozess zu
vermeiden.
Argumente für ProxyCommand
akzeptieren die im Abschnitt MERKMALE
beschriebenen Merkmale. Der Befehl kann im Prinzip alles sein, und
sollte von seiner Standardeingabe einlesen und zur Standardausgabe
schreiben. Er sollte sich schließlich mit einem
sshd(8) -Server verbinden, der auf irgendeiner
Maschine läuft, oder sshd -i
irgendwo
ausführen. Die Schlüsselverwaltung erfolgt mittels des
Hostname
des Rechners, zu dem verbunden wird
(standardmäßig der Name, den der Benutzer eingegeben hat).
Durch Setzen des Befehl auf none
wird diese
Option komplett deaktiviert. Beachten Sie, dass
CheckHostIP
für Verbindungen mit einem
Proxy-Befehl nicht verfügbar ist.
Diese Direktive ist im Zusammenspiel mit nc(1) und seiner Proxy-Unterstützung nützlich. Die folgende Direktive würde sich beispielsweise mittels eines HTTP-Proxys zu 192.0.2.0 verbinden:
ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p
ProxyJump
ProxyJump
-Rechner aufbaut und dann
eine TCP-Weiterleitung zu dem endgültigen Ziel von dort aus
aufbaut.
Beachten Sie, dass diese Option im Wettstreit mit der Option
ProxyCommand
steht - die zuerst angegebene wird
die nachfolgende nicht wirksam werden lassen.
Beachten Sie auch, dass die Konfiguration für den Zielrechner (entweder auf der Befehlszeile übergeben oder aus der Konfigurationsdatei) im Allgemeinen für Sprung-Rechner nicht angewandt wird. Verwenden Sie ~/.ssh/config, falls für den Sprungrechner spezielle Konfiguration notwendig ist.
ProxyUseFdpass
ProxyCommand
einen verbundenen
Dateideskriptor an ssh(1) zurückgeben wird, statt
weiter auszuführen und Daten zu übergeben. Die Vorgabe ist
no
.PubkeyAcceptedKeyTypes
ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, ssh-ed25519-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-rsa-cert-v01@openssh.com, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ecdsa-sha2-nistp256@openssh.com, ssh-ed25519,sk-ssh-ed25519@openssh.com, rsa-sha2-512,rsa-sha2-256,ssh-rsa
Die Liste der verfügbaren Schlüsseltypen kann auch mittels "ssh -Q PubkeyAcceptedKeyTypes" erhalten werden.
PubkeyAuthentication
yes
(die Vorgabe) oder no
sein.RekeyLimit
RekeyLimit
ist
default none
. Dies bedeutet, dass
Schlüsselneuaushandlung durchgeführt wird, wenn die
Vorgabemenge der Chiffre von Daten gesandt oder empfangen wurde und keine
zeitbasierte Schlüsselneuaushandlung erfolgt.RemoteCommand
RemoteCommand
akzeptieren die im Abschnitt
MERKMALE beschriebenen Merkmale.RemoteForward
Durch Einschluss der Adresse in eckigen Klammern werden IPv6-Adressen festgelegt. Mehrere Weiterleitungen können festgelegt werden und zusätzliche Weiterleitungen können auf der Befehlszeile übergeben werden. Privilegierte Ports können nur nach Anmeldung als root auf der fernen Maschine weitergeleitet werden. Unix-Domain-Socketpfade können die im Abschnitt MERKMALE beschriebenen Merkmale und die im Abschnitt UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen verwenden.
Falls das Argument Port 0 ist, dann wird der Port, an dem auf Anfragen gewartet wird, dynamisch vom Server zugewiesen und dem Client zur Laufzeit übermittelt.
Falls die Anbindeadresse nicht
festgelegt ist, dann wird standardmäßig nur an die
Loopback-Adresse angebunden. Falls die
Anbindeadresse
‘*
’ oder die leere Zeichenkette
ist, dann wird die Weiterleitung gebeten, auf allen Schnittstellen auf
Anfragen zu warten. Die Festlegung einer fernen
Anbindeadresse wird nur erfolgreich sein, falls
die Option GatewayPorts
des Servers aktiviert
ist (siehe sshd_config(5)).
RequestTTY
no
(niemals ein TTY
erbeten), yes
(immer ein TTY erbeten, wenn die
Standardeingabe ein TTY ist), force
(immer ein TTY
erbeten) oder auto
(ein TTY erbeten, wenn eine
Anmeldesitzung eröffnet wird) sein. Diese Option spiegelt die
Schalter -t
und -T
von
ssh(1).RevokedHostKeys
SecurityKeyProvider
Falls der festgelegte Wert mit einem ‘$’ beginnt, dann wird er als Umgebungsvariable behandelt, die den Pfad zu der Bibliothek enthält.
SendEnv
TERM
immer gesandt
wird, wenn ein Pseudo-Terminal erbeten wird, da sie vom Protokoll
benötigt wird. Zur Konfiguration des Servers lesen Sie
AcceptEnv
in sshd_config(5).
Variablen werden durch den Namen festgelegt und können
Platzhalterzeichen enthalten. Mehrere Umgebungsvariablen können
durch Leerraum getrennt oder über mehrere
SendEnv
-Direktiven verteilt werden.
Siehe MUSTER für weitere Informationen über Muster.
Vorher gesetzte SendEnv
-Variablen
können zurückgesetzt werden, indem ihnen
- vorangestellt wird.
Standardmäßig werden keine Umgebungsvariablen gesandt.
ServerAliveCountMax
TCPKeepAlive
(siehe unten)
unterscheidet. Die Server-Lebensmeldungen werden durch den
verschlüsselten Kanal übersandt und können daher
nicht gefälscht werden. Die mittels
TCPKeepAlive
aktivierte TCP-Keepalive-Option kann
gefälscht werden. Der Server-Lebensmechanismus ist wertvoll, wenn
der Client oder Server davon abhängen, zu wissen, wann die
Verbindung aufhörte, zu reagieren.
Der Vorgabewert ist 3. Falls beispielsweise
ServerAliveInterval
(siehe unten) auf 15 gesetzt
ist und ServerAliveCountMax
auf der Vorgabe
verbleibt, dann wird Ssh nach ca. 45 Sekunden die Verbindung trennen,
falls der Server nicht mehr reagiert.
ServerAliveInterval
BatchMode
gesetzt ist (Debian-spezifisch).
ProtocolKeepAlives
und
SetupTimeOut
sind Debian-spezifische
Kompatibilitäts-Aliase für diese Option.SetEnv
SendEnv
muss der Server bereit sein,
Umgebungsvariablen zu akzeptieren.StreamLocalBindMask
Der Vorgabewert ist 0177. Dadurch wird eine Unix-Domain-Socket-Datei erstellt, auf die nur der Eigentümer lesen und schreiben kann. Beachten Sie, dass nicht alle Betriebssysteme den Dateimodus bei Unix-Domain-Socket-Dateien berücksichtigen.
StreamLocalBindUnlink
StreamLocalBindUnlink
nicht aktiviert ist, wird
ssh
nicht in der Lage sein, den Port zu der
Unix-Domain-Socket-Datei weiterzuleiten. Diese Option wird nur für
Port-Weiterleitungen zu einer Unix-Domain-Socket-Datei verwandt.
Das Argument muss yes
oder
no
(die Vorgabe) sein.
StrictHostKeyChecking
yes
gesetzt ist, wird
ssh(1) niemals automatisch Rechnerschlüssel zu
der Datei ~/.ssh/known_hosts hinzufügen und
es ablehnen, sich zu Rechnern zu verbinden, deren Rechner-Schlüssel
sich geändert hat. Dies bietet einen maximalen Schutz gegen
Man-in-the-middle- (MITM-)Angriffe. Es kann aber auch nervend sein, wenn
die Datei /etc/ssh/ssh_known_hosts schlecht
gepflegt wird oder wenn häufig Verbindungen zu neuen Rechnern
erfolgen. Diese Option zwingt den Benutzer, alle neuen Rechner manuell
hinzuzufügen.
Falls dieser Schalter auf “accept-new” gesetzt
ist, dann wird Ssh neue Rechnerschlüssel automatische zu den
Dateien der bekannten Rechner der Benutzer hinzufügen, wird aber
keine Verbindungen zu Rechnern mit geänderten
Rechnerschlüsseln erlauben. Falls dieser Schalter auf
“no” oder “off” gesetzt ist, wird Ssh
automatisch neue Rechnerschlüssel zu den Dateien der bekannten
Rechner der Benutzer hinzufügen und mit dem Aufbau von
Verbindungen zu Rechnern, deren Rechnerschlüssel sich
geändert hat, fortfahren, allerdings unter ein paar
Einschränkungen. Falls dieser Schalter auf
ask
(die Vorgabe) gesetzt ist, werden neue
Rechnerschlüssel zu den Dateien der bekannten Rechner der
Benutzer erst hinzugefügt, wenn der Benutzer bestätigt
hat, dass er dies wirklich möchte. Auch wird Ssh Verbindungen zu
Rechnern verweigern, deren Rechnerschlüssel sich geändert
hat. Die Rechnerschlüssel aller bekannten Rechner werden
automatisch in allen Fällen überprüft.
SyslogFacility
TCPKeepAlive
ServerAliveInterval
verwenden. Allerdings bedeutet dies, dass die Verbindung abstürzt,
falls die Route temporär nicht existiert und einige Leute finden
das nervend.
Die Vorgabe ist yes
(TCP-Keepalive-Meldungen senden) und der Client wird es bemerken, wenn
das Netzwerk ausfällt oder der ferne Rechner stirbt. Dies ist
für Skripte wichtig, und viele Benutzer möchten es
ebenfalls.
Um TCP-Keepalive-Meldungen zu deaktivieren, sollte der Wert
auf no
gesetzt werden. Siehe auch
ServerAliveInterval
für Keepalives auf
Protokoll-Ebene.
Tunnel
yes
,
point-to-point
(Layer 3),
ethernet
(Layer 2) oder no
(die Vorgabe) sein. Festlegung von yes
erbittet
den Standard-Tunnelmodus ( point-to-point
).TunnelDevice
Das Argument muss
lokaler_Tun[:ferner_Tun]
sein. Die Geräte können über die numerische Kennung
oder das Schlüsselwort any
, das das
nächste verfügbare Tunnel-Gerät verwendet,
festgelegt sein. Falls ferner_Tun nicht festgelegt
ist, ist die Vorgabe any
. Die Vorgabe ist
any:any
.
UpdateHostKeys
UserKnownHostsFile
hinzufügen
soll. Das Argument muss yes
,
no
oder ask
sein. Diese
Option erlaubt das Kennenlernen alternativer Rechnerschlüssel
für einen Server und unterstützt taktvolle
Schlüsselrotation, indem dem Server ermöglicht wird, den
Ersatz für den öffentlichen Schlüssel zu senden,
bevor die alten entfernt werden. Zusätzliche
Rechnerschlüssel werden nur akzeptiert, falls dem zur
Authentifizierung verwandten Schlüssel bereits vertraut oder dieser
vom Benutzer explizit akzeptiert wurde.
UpdateHostKeys
ist
standardmäßig aktiviert, falls der Benutzer nicht die
Vorgabeeinstellung UserKnownHostsFile
außer Kraft gesetzt hat. Andernfalls wird
UpdateHostKeys
auf ask
gesetzt.
Falls UpdateHostKeys
auf
ask
gesetzt ist, wird der Benutzer um
Bestätigungen bei Veränderungen an der Datei
»known_hosts« gebeten. Bestätigungen sind derzeit
mit ControlPersist
inkompatibel und werden
deaktiviert, falls das aktiviert ist.
Derzeit unterstützen nur sshd(8) von OpenSSH 6.8 und neuere die "hostkeys@openssh.com" -Protokollerweiterung für die Information der Clients über alle Rechnerschlüssel des Servers.
User
UserKnownHostsFile
VerifyHostKeyDNS
yes
gesetzt ist, wird der Client
implizit Schlüsseln vertrauen, die auf einen sicheren Fingerabdruck
aus dem DNS passen. Unsichere Fingerabdrücke werden so gehandhabt,
als ob die Option auf ask
gesetzt worden
wäre. Falls diese Option auf ask
gesetzt
ist, werden Informationen über
Fingerabruck-Übereinstimmungen angezeigt, aber der Benutzer muss
dennoch den neuen Rechnerschlüssel gemäß der Option
StrictHostKeyChecking
bestätigen. Die
Vorgabe ist no
.
Siehe auch RECHNERSCHLÜSSEL ÜBERPRÜFEN in ssh(1).
VisualHostKey
yes
gesetzt ist, wird
eine ASCII-Darstellung des Fingerabdrucks des fernen Rechners
zusätzlich zur Zeichenkette mit dem Fingerabdruck selbst bei der
Anmeldung und bei unbekannten Rechnerschlüsseln angezeigt. Falls
dieser Schalter auf no
(die Vorgabe) gesetzt ist,
werden keine Fingerabdruck-Zeichenketten beim Anmelden angezeigt und die
Fingerabdruck-Zeichenkette wird nur für unbekannte
Rechnerschlüssel dargestellt.XAuthLocation
Ein Muster besteht aus keinem oder mehreren, von Leerraum verschiedenen Zeichen, ‘*’ (einem Platzhalter, der auf keines odere mehrere Zeichen passt) und ‘?’ (einem Platzhalter, der auf genau ein Zeichen passt). Um beispielsweise eine Gruppe von Deklarationen für alle Rechner in der Menge der ".co.uk" -Domains festzulegen, könnte folgendes Muster verwandt werden:
Host *.co.uk
Das folgende Muster würde auf jeden Rechner in dem Netzwerkbereich 192.168.0.[0-9] passen:
Host 192.168.0.?
Eine Musterliste ist eine durch Kommata getrennte Liste von Mustern. Muster innerhalb von Musterlisten können negiert werden, indem ihnen ein Anführungszeichen (‘!’) vorangestellt wird. Um beispielsweise einem Schlüssel zu erlauben, von überall innerhalb der Organisation, außer aus dem "dialup" -Bereich verwandt zu werden, könnte folgender Eintrag (in »authorized_keys«) verwandt werden:
from="!*.dialup.example.com,*.example.com"
Beachten Sie, dass ein negierter Treffer niemals selbst positive Ergebnisse erzeugen wird. Wird beispielsweise versucht, "host3" mit der folgenden Musterliste zu vergleichen, so wird dies fehlschlagen:
from="!host1,!host2"
Die Lösung besteht darin, einen Ausdruck aufzunehmen, der zu einem positiven Vergleich führt, wie z.B. mit einem Platzhalter:
from="!host1,!host2,*"
Argumente für manche Schlüsselwörter können Merkmale verwenden, die zur Laufzeit expandiert werden:
CertificateFile
,
ControlPath
, IdentityAgent
,
IdentityFile
, LocalForward
,
Match exec
, RemoteCommand
,
RemoteForward
und
UserKnownHostsFile
akzeptieren die Merkmale %%, %C,
%d, %h, %i, %L, %l, %n, %p, %r und %u.
Hostname
akzeptiert die Merkmale %% und
%h.
LocalCommand
akzeptiert alle Merkmale.
ProxyCommand
akzeptiert die Merkmale %%,
%h, %n, %p und %r.
Argumente für einige Schlüsselwörter
können zur Laufzeit aus Umgebungsvariablen auf dem Client expandiert
werden, indem sie in ${}
eingeschlossen werden.
Beispielsweise würde sich ${HOME}/.ssh
auf
das .ssh-Verzeichnis des Benutzers beziehen. Falls eine festgelegte
Umgebungsvariable nicht existiert, wird ein Fehler zurückgeliefert
und die Einstellung für dieses Schlüsselwort wird
ignoriert.
Die Schlüsselwörter
CertificateFile
,
ControlPath
, IdentityAgent
,
IdentityFile
und
UserKnownHostsFile
unterstützen
Umgebungsvariablen. Die Schlüselwörter
LocalForward
und
RemoteForward
unterstützen Umgebungsvariablen
nur für Unix-Domain-Socket-Pfade.
OpenSSH ist eine Ableitung der ursprünglichen und freien SSH-1.2.12-Veröffentlichung durch Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt und Dug Song entfernten viele Fehler, fügten neue Funktionalitäten wieder hinzu und erstellten OpenSSH. Markus Friedl steuerte die Unterstützung für SSH-Protokollversion 1.5 und 2.0 bei.
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer
$Mdocdate: 11. August 2020 $ | Debian |