სახელი
sshd - OpenSSH SSH დემონი
სინოფსისი
[ -h ] - [ s ] - [ s ] - [ s ] - [ lt ]
აღწერა
sshd (SSH Daemon) არის დემონი პროგრამა ssh (1). ერთად ეს პროგრამები შეცვლის rlogin და rsh , და უზრუნველყოს უსაფრთხო დაშიფრული კომუნიკაციების ორი untrusted მასპინძლებს მეტი არასაჭირო ქსელი. პროგრამები განკუთვნილია როგორც მარტივი ინსტალაცია და გამოყენება.
sshd არის daemon, რომელიც უსმენს კლიენტებს. ეს ჩვეულებრივ დაიწყო boot / / etc / rc ეს ჩანართი new daemon თითოეული შემომავალი კავშირი. Forked daemons გაუმკლავდეს გასაღები გაცვლა, შიფრაცია, ავტორიზაციის, ბრძანების შესრულების და მონაცემთა გაცვლა. ეს განხორციელება sshd მხარს უჭერს ორივე SSH პროტოკოლი ვერსია 1 და 2 ერთდროულად.
SSH პროტოკოლის ვერსია 1
თითოეულ მასპინძელს გააჩნია მასპინძელი სპეციფიკური RSA გასაღები (ჩვეულებრივ 1024 ბიტი), რომელიც გამოიყენება მასპინძლის იდენტიფიცირებისთვის. გარდა ამისა, როდესაც daemon იწყება, იგი ქმნის სერვერს RSA გასაღები (ჩვეულებრივ 768 ბიტი). ეს გასაღები ნორმალურად რეგენერაციას ახდენს ყოველ საათში, თუ იგი გამოიყენება და არ ინახება დისკზე.
როდესაც კლიენტი აკავშირებს daemon პასუხობს თავის საჯარო მასპინძელი და სერვერზე გასაღებები. კლიენტი ადარებს RSA- ს მასპინძელი გასაღები საკუთარი მონაცემთა ბაზის წინააღმდეგ, რათა გადაამოწმოს, რომ ის არ შეცვლილა. კლიენტი მაშინ ქმნის 256-bit შემთხვევითი რიცხვი. იგი encrypts ამ შემთხვევითი რიცხვის გამოყენებით მასპინძელი გასაღები და სერვერზე გასაღები და აგზავნის დაშიფრული ნომერი სერვერზე. ორივე მხარეს შემდეგ გამოიყენებს ამ შემთხვევითი რიცხვი, როგორც სესიის გასაღები, რომელიც გამოიყენება სხდომის შემდგომი კომუნიკაციების გაშიფვრისათვის. დანარჩენი სესია დაშიფრულია ჩვეულებრივი საიდუმლოებით, ამჟამად Blowfish ან 3DES. კლიენტი ირჩევს სერვერის მიერ გამოსაყენებელ სერვისებს.
შემდეგი, სერვერი და კლიენტი შესვლის ავტორიზაციის დიალოგი. კლიენტი ცდილობს თავად ავტორიზებულს გამოიყენოს .რეფოსტის ავთენტიფიკაცია .რომის ავტორიზაციის ერთად RSA მასპინძელი ავთენტიფიკაციის, RSA გამოწერის რეაგირების ავტორიზაციის ან პაროლით დაფუძნებული ავთენტიფიკაცია .
Rhosts ავტორიზაციის ჩვეულებრივ გამორთულია, რადგან ის ფუნდამენტურად დაუცველად, მაგრამ შეიძლება ჩართულია სერვერის კონფიგურაციის ფაილი, თუ სასურველი. სისტემის უსაფრთხოება არ არის გაუმჯობესებული, თუ rshd rlogind და rexecd გამორთულია (ამდენად მთლიანად გამორთვა rlogin და rsh მანქანაში).
SSH ოქმის ვერსია 2
ვერსია 2 მუშაობს ასევე: თითოეული მასპინძელი აქვს მასპინძელი სპეციფიკური გასაღები (RSA ან DSA), რომელიც გამოიყენება მასპინძლის იდენტიფიცირებისათვის. თუმცა, როდესაც daemon იწყება, ის არ ქმნის სერვერის გასაღებს. თავდაპირველი უსაფრთხოება გათვალისწინებულია Diffie-Hellman ძირითადი ხელშეკრულებით. ეს ძირითადი შეთანხმება იზიარებს საერთო სესიის გასაღები.
დანარჩენი სხდომა დაშიფრულია სიმეტრიული შიფრის გამოყენებით, ამჟამად 128 ბიტიანი AES, Blowfish, 3DES, CAST128, Arcfour, 192 bit AES, ან 256 ბიტიანი AES. კლიენტი ირჩევს სერვერის მიერ გამოსაყენებელ სერვისებს. გარდა ამისა, სესიის მთლიანობა უზრუნველყოფილია კრიპტოგრაფიული შეტყობინების ავთენტიფიკაციის კოდით (hmac-sha1 ან hmac-md5).
პროტოკოლი ვერსია 2 უზრუნველყოფს საჯარო საკვანძო დაფუძნებულ მომხმარებელს (PubkeyAuthentication) ან კლიენტის მასპინძელს (HostbasedAuthentication) ავთენტიფიკაციის მეთოდი, ჩვეულებრივი პაროლის ავთენტიფიკაცია და გამოწვევის საპასუხო მეთოდები.
ბრძანების შესრულება და მონაცემთა გადაგზავნა
თუ კლიენტი წარმატებით ახდენს authenticates, დიალოგი სხდომის მომზადების მიზნით. ამ დროს კლიენტს შეუძლია მოითხოვოს ფსევდო-ტატიანი, X11 კავშირის გადაგზავნა, TCP / IP კავშირის გადაგზავნა, ანუ უსაფრთხო არხზე ავტორიზაციის აგენტის გადაგზავნა.
საბოლოო ჯამში, კლიენტი ან მოითხოვს ბრძანების შესრულებას ან შეასრულებს ბრძანებას. მხარეები შემდეგში შედიან სესიის რეჟიმში. ამ რეჟიმში, ნებისმიერ მხარეს შეუძლია მონაცემების გაგზავნა ნებისმიერ დროს, და ასეთი მონაცემები გადაგზავნილია / შელზე ან ბრძანებაზე სერვერზე, ხოლო მომხმარებლის ტერმინალი კლიენტის მხარეს.
როდესაც მომხმარებლის პროგრამა წყვეტს და ყველა გადაგზავნილი X11 და სხვა კავშირები დაიხურა, სერვერი კლიენტს გასცემს ბრძანების გასვლის სტატუსს და ორივე მხარეს გასვლა.
sshd შეიძლება კონფიგურაცია გამოყენებით ბრძანების ხაზი პარამეტრები ან კონფიგურაციის ფაილი. კონფიგურაციის ფაილში მითითებულ ბრძანებასთან დაკავშირებული პარამეტრების გადალახვა.
sshd rereads მისი კონფიგურაციის ფაილი, როდესაც იგი იღებს hangup სიგნალი, SIGHUP შესრულებით თავად სახელი დაიწყო, ანუ / usr / sbin / sshd
ვარიანტები შემდეგია:
-b ბიტი
განსაზღვრავს ბიტების რაოდენობა ეფრეულ პროტოკოლის ვერსია 1 სერვერის გასაღების (default 768).
-d
Debug რეჟიმი. სერვერი აგზავნის verbose debug output სისტემის სისტემა შესვლა და არ დააყენა თავად ფონზე. სერვერი ასევე არ იმუშავებს და მხოლოდ ერთი კავშირი იქნება. ეს ვარიანტი განკუთვნილია მხოლოდ სერვერის გამართვისთვის. მრავალრიცხოვანი პარამეტრები ზრდის დრეგბირების დონეს. მაქსიმუმი არის 3.
-ე
როდესაც ეს პარამეტრი მითითებულია, sshd გამოგიგზავნით გამომავალს სისტემის შეცვლის ნაცვლად სტანდარტულ შეცდომამდე.
-f configuration_file
განსაზღვრავს კონფიგურაციის ფაილის სახელი. ნაგულისხმევია / etc / ssh / sshd_config sshd უარს ამბობს დაიწყოს თუ არა კონფიგურაციის ფაილი.
-g login_grace_time
კლიენტებს მადლობის დრო გადასცემს საკუთარ თავს (ნაგულისხმევი 120 წამი). თუ კლიენტი ვერ ახდენს ავტორიზაციას მომხმარებლის ამ რამდენიმე წამში, სერვერზე გათიშულია და გასასვლელად. ნულის ღირებულება არ შეიცავს ლიმიტს.
-h host_key_file
განსაზღვრავს ფაილი, საიდანაც მასპინძელი გასაღები წაიკითხავს. ეს პარამეტრი უნდა მიეცეს იმ შემთხვევაში, თუ sshd არ არის გაშვებული როგორც root (როგორც ნორმალური მასპინძელი ძირითადი ფაილი ჩვეულებრივ არ იკითხება არავის მიერ, მაგრამ root). ნაგულისხმები არის პროტოკოლის ვერსია 1 და / etc / ssh / ssh_host_rsa_key და / etc / ssh / ssh_host_rsa_key და / etc / ssh / ssh_host_dsa_key პროტოკოლის ვერსია 2. შესაძლებელია სხვადასხვა მასპინძელი ძირითადი ფაილები სხვადასხვა პროტოკოლის ვერსიებისა და მასპინძლის გასაღები ალგორითმები.
-მე
განსაზღვრავს, რომ sshd მიმდინარეობს საწყისი inetd. sshd ჩვეულებრივ არ აწარმოებს inetd- ს, რადგან მას სერვერის გასაღების გენერირება სჭირდება, სანამ კლიენტს შეუძლია რეაგირება მოახდინოს და ეს შეიძლება ათი წამის განმავლობაში მიიღოს. კლიენტებს დიდი ხნის განმავლობაში უნდა დაელოდებინათ, თუ გასაღები ყველა დროის რეგენერაცია იყო. თუმცა, მცირე ზომის ზომის (მაგ., 512) გამოყენებით sdd from inetd შეიძლება იყოს შესაძლებელი.
-k key_gen_time
განსაზღვრავს, თუ რამდენად ხშირად ეფექტურად პროტოკოლის ვერსია 1 სერვერის გასაღები რეგენერირებულია (default 3600 წამი, ან ერთი საათი). გასაღების რეგენერაციის მოტივაცია ხშირია ის, რომ გასაღები არსად არ არის შენახული, ხოლო დაახლოებით ერთი საათის შემდეგ შეუძლებელია აღორძინება საკვანძო სიტყვის გაშიფვრისთვის, თუნდაც მანქანით ან ფიზიკურად დაიბრუნოს. ნულის ღირებულება მიუთითებს იმაზე, რომ გასაღები არასდროს იქნება რეგენერირებული.
-o ვარიანტი
შეიძლება გამოყენებულ იქნეს პარამეტრების კონფიგურაციის ფაილი გამოყენებული ფორმატში. ეს სასარგებლოა პარამეტრების დაზუსტებისთვის, რომლისთვისაც არ არსებობს ცალკე ბრძანების ხაზის დროშა.
-p პორტი
განსაზღვრავს პორტს, რომელზეც სერვერს უსმენს კავშირებს (ნაგულისხმევი 22). ნებადართულია პორტის მრავალი ვარიანტი. კონფიგურაციის ფაილში მითითებული პორტები იგნორირებულია როდესაც ბრძანებათა ხაზი პორტი მითითებულია.
-q
მშვიდი რეჟიმი. სისტემაში შესვლა არაფერი არ არის. ჩვეულებრივ, ყოველი კავშირის დასაწყისი, ავტორიზაცია და შეწყვეტა შესულია.
-t
ტესტური რეჟიმი. მხოლოდ შეამოწმეთ კონფიგურაციის ფაილი და გასაღების საღი აზრი. ეს სასარგებლოა sshd- ის განახლებისათვის, რადგან კონფიგურაციის პარამეტრების შეცვლა შეიძლება.
-უ len
ეს პარამეტრი გამოიყენება იმ ზომის ველის განსაზღვრას, რომელიც მდებარეობს უტილიტის სტრუქტურაში, რომელსაც გააჩნია დისტანციური მასპინძელი სახელი. თუ გადაწყდება მასპინძელი სახელწოდება უფრო ხანგრძლივ სიზუსტეზე , ვიდრე ნაცვლად გამოყენებული იქნება dotted ათობითი მნიშვნელობა. ეს საშუალებას აძლევს მასპინძლებს ძალიან დიდხანს მასპინძელი სახელები, რომ overflow ამ სფეროში კვლავ იყოს ცალსახად გამოვლენილი. მიუთითებს - u0 მიუთითებს, რომ მხოლოდ dotted ათობითი მისამართები უნდა ჩაიდოს utmp ფაილი. - u0 ასევე გამოიყენება sshd- ს თავიდან ასაცილებლად DNS- ის მოთხოვნისგან, თუ საჭიროა ავტორიზაციის მექანიზმი ან კონფიგურაცია. ავთენტიფიკაციის მექანიზმები, რომლებიც შეიძლება მოითხოვონ DNS- ს შორის, შეიცავს RhostsAuthentication RhostsRSAAuthentication HostbasedAuthentication და გამოიყენოს საწყისი = ნიმუში-სია პარამეტრის გასაღები ფაილი. კონფიგურაციის პარამეტრები, რომლებიც საჭიროებენ DNS- ს, შეიცავს USER @ HOST ნიმუშს AllowUsers- ში ან DenyUsers- ში
-D
როდესაც ეს პარამეტრი მითითებული sshd არ დაარქვა და არ გახდეს დემონი. ეს საშუალებას იძლევა ადვილად მონიტორინგი sshd
-4
ძალების sshd IPv4 მისამართების გამოყენება.
-6
ძალები sshd მხოლოდ IPv6 მისამართების გამოსაყენებლად.
კონფიგურაციის ფაილი
sshd კითხულობს კონფიგურაციის მონაცემებს / etc / ssh / sshd_config (ან ბრძანებათა სტრიქონით განსაზღვრული ფაილი). ფაილის ფორმატი და კონფიგურაციის პარამეტრები აღწერილია sshd_config5.
შესვლა პროცესი
როდესაც მომხმარებელი წარმატებით შესვლისას , sshd აკეთებს შემდეგს:
- თუ შესვლა არ არის tty- ზე და არ არის მითითებული ბრძანება, უკანასკნელი შესვლის დრო და / etc / motd (ან კონფიდენციალურობის ფაილიდან ან $ HOME / .hushlogin- ში იხილეთ SX FILES სექცია).
- თუ შესვლა არის tty, ჩანაწერი შესვლა დრო.
- Checks / etc / nologin თუ ის არსებობს, ბეჭდავს შინაარსი და ტოვებს (თუ root).
- ცვლილებები ნორმალური მომხმარებლის პრივილეგიებით გასაშვებად.
- ქმნის ძირითად გარემოს.
- წაიკითხავს $ HOME / .ssh / გარემოს თუ არსებობს და მომხმარებლებს უფლება აქვთ შეცვალონ თავიანთი გარემო. იხილეთ ნებართვათაშორისი გარემოს ვარიანტი sshd_config5.
- ცვლილებების მომხმარებლის მთავარი დირექტორია.
- თუ $ HOME / .ssh / rc არსებობს, გადის; თუ არსებობს / etc / ssh / sshrc არსებობს, გადის; სხვაგვარად გადის xauth. `Rc 'ფაილი მოცემულია X11 ავთენტიფიკაციის პროტოკოლს და ბმულს სტანდარტული შეყვანის რეჟიმში.
- აწარმოებს მომხმარებლის ჭურვი ან ბრძანება.
Authorized_Keys ფაილის ფორმატი
$ HOME / .ssh / authorized_keys არის ნაგულისხმევი ფაილი, რომელიც ჩამოთვლილია საჯარო გასაღებები, რომლებიც ნებადართულია RSA ავტორიზაციისთვის პროტოკოლის ვერსია 1-ში და საჯარო საკვანძო ავტორიზაციისთვის (PubkeyAuthentication) პროტოკოლის ვერსიაში 2. ავტორიზებული KeysFile შეიძლება გამოყენებულ იქნას ალტერნატიული ფაილის განსაზღვრაში.
თითოეული ხაზის ფაილი შეიცავს ერთ საკვანძო (ცარიელი ხაზები და ხაზები, რომლებიც იწყება "#" -ით, იგნორირებულია კომენტარებისთვის). თითოეული RSA საჯარო გასაღები შედგება შემდეგი სფეროებისგან, გამოყოფილი სივრცეებით: პარამეტრები, ბიტი, მაჩვენებლები, მოდულები, კომენტარი. თითოეული პროტოკოლის ვერსია 2 საჯარო გასაღები შედგება: ვარიანტი, keytype, base64 encoded key, კომენტარი. პარამეტრების ველი არის სურვილისამებრ; მისი ყოფნა განისაზღვრება თუ არა ხაზი იწყება ნომრით ან არა (პარამეტრების ველი არასდროს იწყება ნომრით). ბიტი, მაჩვენებელი, modulus და კომენტარი სფეროებში მისცეს RSA გასაღები პროტოკოლი ვერსია 1; კომენტარების ველი არ გამოიყენება არაფრისთვის (მაგრამ მოსახერხებელია მომხმარებლისთვის იდენტიფიცირებისათვის გასაღები). პროტოკოლის ვერსია 2-ისთვის არის საკვანძო სიტყვა `ssh-dss '' ან` ssh-rsa '
გაითვალისწინეთ, რომ ამ ფაილის ხაზები, როგორც წესი, რამდენიმე ასეული ბაიტი გრძელია (საზოგადოებრივი გასაღები კოდირების ზომის გამო). თქვენ არ გსურთ მათი ჩაწერა; ნაცვლად დააკოპირეთ პირადობის პირადობის მოწმობა. id_dsa.pub ან id_rsa.pub ფაილი და რედაქტირება.
sshd ახორციელებს მინიმუმ RSA საკვანძო მოდულის ზომა პროტოკოლის 1 და პროტოკოლის 2 გასაღებები 768 ბიტი.
პარამეტრები (თუ არსებობს) შედგება მძიმით გამოყოფილი ვარიანტი სპეციფიკაციები. დასაშვებია სივრცეები, გარდა ორმაგი ციტატებისა. მხარდაჭერა შემდეგი პარამეტრების მხარდაჭერა (გაითვალისწინეთ, რომ ვარიანტი საკვანძო სიტყვები შემთხვევითი):
დან = ნიმუში-სია
განსაზღვრავს, რომ საჯარო გასაღების ავტორიზაციის გარდა, დისტანციური მასპინძლის კანონიკური სახელი უნდა იყოს წარმოდგენილი ნიმუშების (`* 'და` `?? სიაში შეიძლება შეიცავდეს ნიმუშების უარყოფას პრეფიქსით მათ მიერ! ; თუ კანონიკური მასპინძელი სახელი შეესაბამება უარყოფით ნიმუშს, გასაღები არ არის მიღებული. ამ ვარიანტის მიზანს წარმოადგენს უსაფრთხოების გაზრდის აუცილებლობა: საზოგადოებრივი გასაღების ავტორიზაციის თავისთავად არ ენდობა ქსელის ან სახელის სერვერების ან სხვა რამეს (მაგრამ გასაღები); თუმცა, თუ ვინმეს როგორღაც იპარავს გასაღები, გასაღები იძლევა ინტელექტუარს შესვლას მსოფლიოს ნებისმიერ წერტილში. ეს დამატებითი პარამეტრი უფრო მეტად ხდის მოპარული გასაღები (სახელი სერვერები და / ან მარშრუტიზატორები უნდა იყოს კომპრომეტირებული გარდა მხოლოდ გასაღები).
ბრძანება = ბრძანება
განსაზღვრავს, რომ ბრძანება შესრულებულია, როდესაც ეს გასაღები ავტორიზაციისთვის გამოიყენება. მომხმარებლის მიერ მოწოდებული ბრძანება იგნორირებულია. ბრძანება მართავენ pty თუ კლიენტი მოითხოვს Pty; წინააღმდეგ შემთხვევაში იგი ტარდება გარეშე tty. თუ 8-ბიტიანი სუფთა არხია საჭირო, არ უნდა მოითხოვოს Pty ან არ დააკონკრეტოთ P-P შეთავაზება ციტირებით შეიძლება შეყვანილი ბრძანებით შევსებული ბრძანებით. ეს ვარიანტი შეიძლება სასარგებლო იყოს გარკვეული საზოგადოებრივი გასაღების შეზღუდვა მხოლოდ კონკრეტული ოპერაციის შესრულების მიზნით. მაგალითად შეიძლება იყოს გასაღები, რომელიც იძლევა დისტანციურ სარეზერვო საშუალებას, მაგრამ სხვა არაფერი. გაითვალისწინეთ, რომ კლიენტს შეუძლია განსაზღვროს TCP / IP და / ან X11 გადაგზავნა, თუ ისინი პირდაპირ აკრძალულია. გაითვალისწინეთ, რომ ეს ვარიანტი ეხება ჭურვი, ბრძანება ან ქვესისტემის შესრულებას.
გარემოს = NAME = მნიშვნელობა
განსაზღვრავს, რომ ამ საკვანძო გამოყენებისას სტრიქონი უნდა დაემატოს გარემოს. გარემოს ცვლადები ამ გზით დააყენებს სხვა სტანდარტულ გარემოს ღირებულებებს. ამ ტიპის მრავალი ვარიანტი დასაშვებია. გარემოს დამუშავება გამორთულია და აკონტროლებს PermitUserEnvironment- ის ვარიანტს. ეს პარამეტრი ავტომატურად გამორთულია თუ UseLogin ჩართულია.
არ პორტი-გადაგზავნა
კრძალავს TCP / IP გადამისამართება, როდესაც ეს გასაღები ავტორიზაციისთვის გამოიყენება. კლიენტის მიერ მოთხოვნილი ნებისმიერი პორტი ითხოვს შეცდომას. ეს შეიძლება გამოყენებულ იქნას, მაგალითად, ბრძანების პარამეტრებთან დაკავშირებით.
no-X11- საექსპედიტორო
კრძალავს X11 საექსპედიტოროდ, როდესაც ეს გასაღები ავტორიზაციისთვის გამოიყენება. კლიენტის მიერ X11 წინამორბედი მოთხოვნა მოითხოვს შეცდომის დაბრუნებას.
არა-აგენტი-გადაგზავნა
ავტორიზაციის აუთენტიფიკაციის აგენტის გადაგზავნა, როდესაც ეს გასაღები ავტორიზაციისთვის გამოიყენება.
არა pty
აკრძალულია tty გამოყოფა (მოთხოვნის გამოყოფა pty იქნება ვერ).
permitopen = host: პორტი
შეზღუდვა ადგილობრივი `` ssh -L '' პორტის გადამისამართება ისეთია, რომ მას მხოლოდ დააკავშირებს მითითებულ ჰოსტსა და პორტს. IPv6 მისამართები შეიძლება განისაზღვროს ალტერნატიულ სინტაქსთან : მასპინძელი / პორტი მრავალჯერადი ნებართვის პარამეტრების გამოყენება შეიძლება გამოყენებულ იქნეს მძიმით. არარის ნიმუში დამთხვევა შესრულებული მითითებულ hostnames, ისინი უნდა იყოს ლიტერატურული დომენები ან მისამართები.
მაგალითები
1024 33 12121 ... 312314325 ylo@foo.bar
დან = "*. niksula.hut.fi,! pc.niksula.hut.fi" 1024 35 23 ... 2334 ylo @ niksula
ბრძანება = "ნაგავსაყრელი / სახლი", არაპტიმი, პორტი-გადაგზავნა 1024 33 23 ... 2323 backup.hut.fi
permitopen = "10.2.1.55:80", permitopen = "10.2.1.56:25" 1024 33 23 ... 2323
Ssh_Known_Hosts ფაილის ფორმატი
/ Etc / ssh / ssh_known_hosts და $ HOME / .ssh / known_hosts ფაილი შეიცავს მასპინძელი საჯარო გასაღებები ყველა ცნობილ მასპინძელს. გლობალური ფაილი უნდა მომზადდეს ადმინისტრატორის მიერ (სურვილისამებრ) და თითო მომხმარებლის ფაილი ავტომატურად ინახება: როდესაც მომხმარებელი უცნობი მასპინძელიდან აკავშირებს, მისი გასაღები დაემატება თითო-მომხმარებლის ფაილისთვის.
ამ ფაილებში თითოეული ხაზი შეიცავს შემდეგ სფეროებს: hostnames, bits, exponent, modulus, კომენტარი. სფეროები გამოყოფილია ფართებით.
მასპინძლები არიან ნიმუშების ('*' და '' 'მოქმედებები, როგორც ველური კარკებში) მძიმით გამოყოფილი სია; თითოეული ნიმუში, თავის მხრივ, შეესაბამება კანონიკური მასპინძლის სახელს (კლიენტის ავტორიზაციისას) ან მომხმარებელის მიერ მიწოდებული სახელის წინააღმდეგ (სერვერის დამოწმებისას). ნიმუში შეიძლება წინ უძღოდეს `! მიუთითოს უარყოფითი: თუ მასპინძელი სახელი უარყოფით ნიმუშს შეესაბამება, ეს არ არის მიღებული (ამ ხაზის მიხედვით) მაშინაც კი, თუ იგი შეესაბამება სხვა ნიმუში ხაზს.
ბიტი, ადეკვატური და მოდული ამოღებულია პირდაპირ RSA მასპინძელი გასაღებიდან; მათ შეუძლიათ მიიღონ, მაგალითად, /etc/ssh/ssh_host_key.pub სურვილისამებრ კომენტარების ველი განაგრძობს ხაზის ბოლოს და არ გამოიყენება.
კომენტარებს იგნორირებულია ხაზები, რომლებიც იწყება `# 'და ცარიელი ხაზებით.
მასპინძელი ავთენტიფიკაციის შესრულებისას, ავთენტიფიკაცია მიღებულია თუ შესაბამისი შესაბამისი ხაზი აქვს სათანადო საკვანძო. ამდენად, დასაშვებია (მაგრამ არ არის რეკომენდირებული) რამდენიმე ხაზი ან სხვადასხვა მასპინძელი გასაღებები იგივე სახელები. ეს აუცილებლად მოხდება მაშინ, როდესაც სხვადასხვა დომენების მასპინძელი სახელების მოკლე ფორმები ჩაიწერება. შესაძლებელია ფაილები შეიცავდეს კონფლიქტურ ინფორმაციას; ავთენტიფიკაცია მიღებულია თუ მართებული ინფორმაცია შეგიძლიათ იხილოთ არც ერთ ფაილზე.
გაითვალისწინეთ, რომ ამ ფაილების ხაზები, როგორც წესი, ასობით სიმბოლოა, და აუცილებლად არ გსურთ აკრიფოთ მასპინძელი გასაღებები ხელით. უფრო სწორად, გამოიმუშავებენ მათ სცენარით ან /etc/ssh/ssh_host_key.pub- ით და დასძინა მასპინძელი სახელები წინა ხაზზე.
მაგალითები
დახურვა, ..., 130.233.208.41 1024 37 159 ... 93 closeenet.hut.fi cvs.openbsd.org, 199.185.137.3 ssh-rsa AAAA1234 ..... =იხილეთ ასევე
spp (1), ssh (1), ssh-add1, ssh-agent1, ssh-keygen1, login.conf5, moduli (5), sshd_config5, sftp-server8
T. Ylonen T. Kivinen M. Saarinen თ. Rinne S. Lehtinen "SSH ოქმი არქიტექტურა" პროექტი- ietf-secsh-architecture-12.txt იანვარი 2002 მუშაობა მიმდინარეობს მასალა
M. ფრიდლი ნ. პროვოსი WA სიმპსონი "Diffie-Hellman ჯგუფი გაცვლითი SSH ტრანსპორტის ფენის პროტოკოლისათვის" პროექტი-ietf-secsh-dh-group-exchange-02.txt 2002 წლის იანვრიდან მუშაობა მიმდინარეობს
მნიშვნელოვანია: გამოიყენეთ კაცი ბრძანება ( % man ), რათა ნახოთ თუ როგორ ბრძანება გამოიყენება თქვენს კომპიუტერში.