SSH-ADD(1) General Commands Manual SSH-ADD(1) BEZEICHNUNG ssh-add - Fugt Identitaten aus privaten Schlusseln zum OpenSSH- Authentifizierungsvermittler hinzu UBERSICHT ssh-add [-cCDdKkLlqvXx] [-E Fingerabdruck-Hash] [-H Rechnerschlusseldatei] [-h Zielbeschrankung] [-S Anbieter] [-t Lebensdauer] [file ...] ssh-add -s pkcs11 ssh-add -e pkcs11 [-vC] [Zertifikat ] ssh-add -T offentlicher_Schlussel BESCHREIBUNG ssh-add fugt private Schlusselidentitaten zu dem Authentifizierungsvermittler ssh-agent(1) hinzu. Wird es ohne Argumente ausgefuhrt, fugt es die Dateien ~/.ssh/id_rsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519, ~/.ssh/id_ed25519_sk und ~/.ssh/id_dsa hinzu. Nach dem Laden des privaten Schlussels wird ssh-add versuchen, die entsprechenden Zertifikatsinformationen zu erlangen, wobei die Dateinamen gebildet werden, indem -cert.pub an die Namen der privaten Schlusseldateien angehangt wird. Alternativ konnen Dateinamen auf der Befehlszeile angegeben werden. Falls eine Datei eine Passphrase benotigt, fragt ssh-add den Benutzer nach der Passphrase. Die Passphrase wird vom TTY des Benutzers eingelesen. ssh-add versucht die letzte Passphrase erneut zu verwenden, falls mehrere Identitaten angegeben wurden. Der Authentifizierungsvermittler muss laufen und die Umgebungsvariable SSH_AUTH_SOCK muss den Namen seines Sockets enthalten, damit ssh-add funktioniert. Folgende Optionen stehen zur Verfugung: -c Zeigt an, dass hinzugefugte Identitaten bestatigt werden sollen, bevor sie zur Authentifizierung verwandt werden. Die Bestatigung erfolgt mit ssh-askpass(1). Die erfolgreiche Bestatigung wird durch den Exit-Status 0 von ssh-askpass(1) angezeigt, statt durch Text, den der Anfragende eingibt. -C Beim Laden von Schlusseln in den oder Loschen von Schlusseln aus dem Vermittler werden nur Zertifikate verarbeitet und einfache private Schlussel ubersprungen. -D Loscht alle Identitaten aus dem Vermittler. -d Statt Identitaten hinzuzufugen, werden Identitaten aus dem Vermittler entfernt. Falls ssh-add ohne Argumente ausgefuhrt wurde, werden die Schlussel fur die Vorgabeidentitaten und ihre entsprechenden Zertifikate entfernt. Andernfalls wird die Argumentenliste als Liste von Pfaden zu offentlichen Schlusseln interpretiert, die Schlussel und Zertifikate angeben, die aus dem Vermittler entfernt werden sollen. Falls unter den angegebenen Pfaden kein offentlicher Schlussel gefunden wird, wird ssh-add .pub anhangen und es erneut versuchen. Falls die Argumentenliste aus >>-<< besteht, wird ssh-add die zu entfernenden Schlussel aus der Standardeingabe lesen. -E Fingerabdruck-Hash Gibt den bei der Anzeige von Schlussel-Fingerabdrucken zu verwendenden Hash-Algorithmus an. Gultige Optionen sind >>md5<< und >>sha256<<. Die Vorgabe ist >>sha256<<. -e pkcs11 Entfernt Schlussel, die von der dynamischen PKCS#11-Bibliothek pkcs11 bereitgestellt werden. -H Rechnerschlusseldatei Gibt eine Datei bekannter Rechner an, in denen nach Rechnerschlusseln mit zielbeschrankten Schlusseln uber den Schalter -h nachgeschaut wird. Diese Option kann mehrfach angegeben werden, um das Durchsuchen mehrerer Dateien zu erlauben. Falls keine Dateien angegeben sind, wird ssh-add die standardmassigen bekannten Rechner aus ssh_config(5) verwenden: ~/.ssh/known_hosts, ~/.ssh/known_hosts2, /etc/ssh/ssh_known_hosts und /etc/ssh/ssh_known_hosts2. -h Zielbeschrankung Beim Hinzufugen von Schlusseln werden sie beschrankt, so dass sie nur uber bestimmte Rechner oder zu bestimmten Zielen einsetzbar sind. Zielbeschrankungen der Form >>[Benutzer@]Zielrechnername<< erlauben die Verwendung des Schlussels nur vom ursprunglichen Rechner (der ssh-agent(1) ausfuhrt) zu dem aufgefuhrten Zielrechner, mit dem optionalen Benutzernamen. Beschrankungen der Form >>Quellenrechnername>[Benutzer@]Zielrechnername<< erlauben es einem Schlussel, der in einem weitergeleiteten ssh-agent(1) verfugbar ist, uber einen bestimmten Rechner verwandt zu werden (wie in >>Quellrechnername<< angegeben), um sich bei einem weiteren Rechner zu authentifizieren, angegeben durch >>Zielrechnername<<. Beim Laden von Schlusseln konnen mehrere Schlusselbeschrankungen angegeben werden. Beim Versuch, sich mit einem Schlussel zu authentifizieren, der eine Zielbeschrankung hat, wird der gesamte Verbindungspfad, einschliesslich der Weiterleitung mit ssh-agent(1), gegen die Beschrankungen gepruft und jeder Sprung muss erlaubt sein, damit der Versuch gelingt. Wird der Schlussel beispielsweise an einen fernen Rechner >>host-b<< weitergeleitet und es wird eine Authentifizierung an einen anderen Rechner >>host-c<< versucht, dann wird die Aktion nur erfolgreich sein, falls >>host-b<< vom ursprunglichen Rechner aus und der nachfolgende Sprung >>host-b>host-c<< auch durch die Zielbeschrankungen erlaubt ist. Rechner werden durch ihre Rechnerschlussel identifiziert und werden in den Dateien bekannter Rechner von ssh-add nachgeschlagen. Platzhaltermuster konnen fur Rechnernamen verwandt werden und Zertifikat-Rechnerschlussel werden unterstutzt. Standardmassig sind durch ssh-add hinzugefugte Schlussel nicht zielbeschrankt. Zielbeschrankungen wurde in OpenSSH Veroffentlichung 8.9 hinzugefugt. Bei der Verwendung von zielbeschrankten Schlusseln uber einen weitergeleiteten ssh-agent(1) -Kanal ist es notwendig, dass sowohl der ferne Client als auch Server dies unterstutzen. Es ist auch wichtig anzumerken, dass die Zielbeschrankungen nur mit ssh-agent(1) durchgesetzt werden konnen, wenn ein Schlussel verwandt oder wenn er durch einen kooperierenden ssh(1) weitergeleitet wird. Insbesondere verhindert dies nicht, dass ein Angreifer mit Zugang zu einem fernen SSH_AUTH_SOCK ihn wieder weiterleitet und auf einem anderen Rechner verwendet (aber nur zu einem erlaubten Ziel). -K Ladt residente Schlussel von einem FIDO-Authentifikator. -k Beim Laden von Schlusseln in den oder Loschen von Schlusseln aus dem Vermittler werden nur einfache private Schlussel verarbeitet und Zertifikate ubersprungen. -L Listet Parameter der offentlichen Schlussel von allen in dem Vermittler dargestellten Identitaten auf. -l Listet Fingerabdrucke von allen in dem Vermittler dargestellten Identitaten auf. -q Keine Ausgabe nach einer erfolgreichen Aktion. -S Anbieter Gibt einen Pfad zu einer Bibliothek an, die beim Hinzufugen eines auf einem FIDO-Authentifikator liegenden Schlussels verwandt wird und die Vorgabe der internen USB-HID-Unterstutzung ausser Kraft setzt. -s pkcs11 Fugt von der dynamischen PKCS#11-Bibliothek pkcs11 bereitgestellte Schlussel hinzu. Zertifikatsdateien konnen optional als Befehlszeilenargumente aufgelistet werden. Falls diese vorhanden sind, dann werden sie in den Vermittler mittels entsprechender privater Schlussel, die vom PKCS#11-Token geladen wurden, geladen. -T offentlicher_Schlussel Pruft, ob die privaten Schlussel, die dem angegebenen offentlichen_Schlussel entsprechen, funktionieren, indem mit jedem Schlussel Signier- und Signaturuberprufungsaktionen erfolgen. -t Lebensdauer Setzt eine maximale Lebensdauer beim Hinzufugen von Identitaten zum Vermittler. Die Lebensdauer kann in Sekunden oder in einem in sshd_config(5) spezifizierten Zeitformat angegeben werden. -v Ausfuhrlicher Modus. Fuhrt dazu, dass ssh-add Fehlersuchmeldungen uber seinen Fortschritt ausgibt. Dies ist zur Fehlersuche bei Problemen hilfreich. Wird die Option -v mehrmals angegeben, erhoht dies die Ausfuhrlichkeit. Maximal drei sind moglich. -X Entsperrt den Vermittler. -x Sperrt den Vermittler mit einem Passwort. UMGEBUNGSVARIABLEN DISPLAY, SSH_ASKPASS und SSH_ASKPASS_REQUIRE Falls ssh-add eine Passphrase benotigt, wird es diese vom aktuellen Terminal einlesen, falls es von einem Terminal ausgefuhrt wurde. Falls ssh-add uber kein zugeordnetes Terminal verfugt, sondern mit gesetztem DISPLAY und SSH_ASKPASS ausgefuhrt wurde, wird es das durch SSH_ASKPASS festgelegte Programm (standardmassig >>ssh-askpass<<) ausfuhren und ein X11-Fenster offnen, um die Passphrase einzulesen. Dies ist insbesondere nutzlich, wenn ssh-add von einer .xsession oder einem zugehorigen Skript ausgefuhrt wird. SSH_ASKPASS_REQUIRE erlaubt weitere Kontrolle uber die Verwendung eines Programms zur Abfrage eines Passworts. Falls diese Variable auf >>never<< gesetzt ist, dann wird ssh-add niemals versuchen, ein solches zu verwenden. Falls sie auf >>prefer<< gesetzt ist, dann wird ssh-add bevorzugt das Programm zur Abfrage eines Passworts statt des TTY verwenden, wenn es Passworter anfordert. Falls diese Variable schliesslich auf >>force<< gesetzt ist, dann wird das Programm zur Abfrage eines Passworts fur samtliche Passphraseneingaben verwandt, unabhangig davon, ob DISPLAY gesetzt ist. SSH_AUTH_SOCK Kennzeichnet den Pfad eines zur Kommunikation mit dem Vermittler verwandten UNIX-domain -Sockets. SSH_SK_PROVIDER Gibt einen Pfad zu einer Bibliothek an, die beim Laden jedes FIDO-Authentifikator-basierten Schlussels verwandt wird. Dies setzt die standardmassige, eingebaute USB-HID-Unterstutzung ausser Kraft. DATEIEN ~/.ssh/id_dsa ~/.ssh/id_ecdsa ~/.ssh/id_ecdsa_sk ~/.ssh/id_ed25519 ~/.ssh/id_ed25519_sk ~/.ssh/id_rsa Enthalt die DSA-, ECDSA-, Authentifikator-basierende ECDSA-, Ed25519-, Authentifikator-basierende Ed25519- oder RSA- Authentifizierungsidentitat des Benutzers. Identitatsdateien sollten ausschliesslich durch den Benutzer lesbar sein. Beachten Sie, dass ssh-add Identitatsdateien ignoriert, auf die andere zugreifen konnen. EXIT-STATUS Bei Erfolg ist der Exit-Status 0; 1 falls der angegebene Befehl fehlschlagt und 2 falls ssh-add nicht in der Lage ist, den Authentifzierungsvermittler zu erreichen. SIEHE AUCH ssh(1), ssh-agent(1), ssh-askpass(1), ssh-keygen(1), sshd(8) AUTOREN OpenSSH ist eine Ableitung der ursprunglichen und freien SSH-1.2.12-Veroffentlichung durch Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt und Dug Song entfernten viele Fehler, fugten neuere Funktionalitaten wieder hinzu und erstellten OpenSSH. Markus Friedl steuerte die Unterstutzung fur SSH- Protokollversion 1.5 und 2.0 bei. UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3: https://www.gnu.org/licenses/gpl-3.0.html oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer: debian-l10n-german@lists.debian.org Linux 6.8.2-arch2-1 $Mdocdate: 18. Dezember 2023 $ Linux 6.8.2-arch2-1