SSH-ADD(1) General Commands Manual SSH-ADD(1) NOM ssh-add - Ajouter des identites de cle privee dans l'agent d'authentification d'OpenSSH SYNOPSIS ssh-add [-CcDdKkLlqvXx] [-E hachage_empreinte] [-H fichier_cle_hote] [-h restriction_destination] [-S fournisseur] [-t duree_de_vie] [fichier ...] ssh-add -s pkcs11 [-Cv] [certificat ...] ssh-add -e pkcs11 ssh-add -T cle_publique ... DESCRIPTION ssh-add ajoute des identites de cle privee dans l'agent d'authentification ssh-agent(1). Lorsqu'il est execute sans argument, il ajoute les fichiers ~/.ssh/id_rsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519 et ~/.ssh/id_ed25519_sk. Apres le chargement d'une cle privee, ssh-add tente de charger l'information du certificat correspondant depuis le fichier dont le nom est obtenu en suffixant le nom du fichier de cle privee avec -cert.pub. Il est possible de specifier des noms de fichiers differents sur la ligne de commande. Si l'un des fichiers necessite une phrase secrete, ssh-add la demandera a l'utilisateur. La phrase secrete est lue depuis le terminal de l'utilisateur. ssh-add tentera de rejouer la derniere phrase secrete si plusieurs fichiers d'identite sont fournis. L'agent d'authentification doit etre en cours d'execution et la variable d'environnement SSH_AUTH_SOCK doit contenir le nom de son socket pour que ssh-add puisse fonctionner. Les options sont les suivantes : -C Ne traiter que les certificats et delaisser les cles simples lors de l'ajout ou de la suppression de cles de l'agent. -c Indiquer que les identites ajoutees devront faire l'objet d'une confirmation avant d'etre utilisees pour l'authentification. La confirmation est realisee a l'aide du programme ssh-askpass(1). Au lieu d'afficher un texte dans l'interface, une confirmation fructueuse est signalee par un code de retour de 0 de ssh-askpass(1). -D Supprimer toutes les identites de l'agent. -d Supprimer des identites de l'agent au lieu d'en ajouter. Si ssh-add est execute sans argument, les cles des identites par defaut et les certificats correspondants sont supprimes. Sinon, la liste d'arguments est interpretee comme une liste de chemins de fichiers de cle publique pour specifier les cles et certificats a supprimer de l'agent. Si aucune cle publique n'est trouvee dans les chemins specifies, ssh-add ajoutera .pub a ces chemins et relancera la tentative de suppression. Si la liste d'arguments est << - >>, ssh-add lira les cles publiques a supprimer sur l'entree standard. -E hachage_empreinte Cette option permet de specifier l'algorithme de hachage utilise pour l'affichage des empreintes de cle. Les options valables sont << md5 >> et << sha256 >>. La valeur par defaut est << sha256 >>. -e pkcs11 Supprimer les cles fournies par la bibliotheque partagee PKCS#11 pkcs11. -H fichier_cle_hote Cette option permet de specifier un fichier des hotes connus pour rechercher des cles d'hote lorsque les cles de l'hote de destination sont restreintes a l'aide de l'option -h. Specifier cette option plusieurs fois permet d'effectuer la recherche dans plusieurs fichiers. Si aucun fichier n'est specifie, ssh-add utilisera les fichiers des hotes connus par defaut de ssh_config(5) : ~/.ssh/known_hosts, ~/.ssh/known_hosts2, /etc/ssh/ssh_known_hosts et /etc/ssh/ssh_known_hosts2. -h restriction_destination Lors de l'ajout de cles, restreindre leur utilisation a des hotes specifiques ou a certaines destinations. Les restrictions de destination de la forme << [utilisateur@]nom_hote_destination >> imposent l'utilisation de la cle depuis l'hote d'origine (celui qui execute ssh-agent(1)) vers l'hote de destination indique, optionnellement prefixe du nom d'utilisateur. Les restrictions de la forme << nom_hote_source>[utilisateur@]nom_hote_destination >> imposent, pour utiliser une cle disponible dans un ssh-agent(1) redirige, de passer par un hote particulier (specifie par << src- hostname >>) pour s'authentifier aupres d'un hote final (specifie par << dst-hostname >>). Il est possible d'ajouter plusieurs restrictions de destination lors d'un chargement de cle. Lors d'une tentative d'authentification avec une cle qui fait l'objet de restrictions de destination, l'ensemble du cheminement de la connexion, y compris la redirection de l'agent ssh-agent(1), est teste vis-a-vis de ces restrictions et chaque saut doit etre autorise pour que la tentative aboutisse. Par exemple, si une cle est redirigee vers l'hote distant << hote_b >> et est utilisee pour un authentification aupres de l'hote << hote_c >>, l'operation ne reussira que si << host-b >> a ete autorise depuis l'hote d'origine et si le saut subsequent << hote_b>hote_c >> est aussi autorise par les restrictions de destination. Les hotes sont identifies par leur cle d'hote et sont recherches dans les fichiers d'hotes connus par ssh-add. Il est possible d'utiliser des motifs avec caracteres generiques pour les noms d'hote et les cles d'hote sous forme de certificat sont prises en charge. Par defaut, les cles ajoutees par ssh-add ne presentent pas de restrictions de destination. Les restrictions de destination sont prises en charge depuis la version 8.9 d'OpenSSH. Cette prise en charge est requise a la fois au niveau du client SSH distant et du serveur lorsqu'on utilise des cles avec restrictions de destination sur un canal d'agent ssh-agent(1) redirige. Il est aussi important de noter que les restrictions de destination ne peuvent etre appliquees par ssh-agent(1) que si une cle est utilisee ou s'il est redirige par un ssh(1) cooperatif. En particulier, elles n'empecheront pas un attaquant ayant acces a un SSH_AUTH_SOCK distant de le rediriger a nouveau et de l'utiliser sur un autre hote (mais seulement vers une destination autorisee). -K Charger les cles residentes a partir d'un authentificateur FIDO. -k Lors du chargement de cles dans l'agent ou de suppressions de cles de l'agent, ne traiter que les cles privees simples et non les certificats. -L Lister les parametres de cles publiques de toutes les identites actuellement presentes dans l'agent. -l Lister les empreintes de toutes les identites actuellement presentes dans l'agent. -q Mode silencieux apres une operation reussie. -S fournisseur Cette option permet de specifier le chemin d'une bibliotheque qui sera utilisee lors de l'ajout de cles hebergees par un authentificateur FIDO ; elle outrepasse le comportement par defaut consistant a utiliser la prise en charge interne de USB HID. -s pkcs11 Cette option permet d'ajouter des cles fournies par la bibliotheque partagee PKCS#11 pkcs11. Il est possible de specifier des fichiers de certificat a l'aide d'arguments sur la ligne de commande. S'ils sont presents, ils seront charges dans l'agent en utilisant toute cle privee correspondante chargee depuis le jeton PKCS#11. -T cle_publique ... Cette option permet de tester si les cles privees qui correspondent aux fichiers cle_publique specifies sont utilisables, en effectuant des operations de signature et de verifications sur chacune d'entre elles. -t duree_de_vie Cette option permet de definir une duree de vie maximale lors de l'ajout d'identites dans l'agent. La duree de vie peut etre specifiee en secondes ou dans un format specifie dans sshd_config(5). -v Mode prolixe. Cette option permet de demander a ssh-add d'afficher des messages de debogage a propos de son execution. Cela s'avere utile pour deboguer les problemes. Plusieurs options -v (au maximum 3) augmentent le prolixite. -X Deverrouiller l'agent. -x Verrouiller l'agent avec un mot de passe. ENVIRONNEMENT DISPLAY, SSH_ASKPASS et SSH_ASKPASS_REQUIRE Si ssh-add a besoin d'une phrase secrete, il la lira sur le terminal actif s'il a ete lance dans un terminal. Si ssh-add n'a aucun terminal associe alors que DISPLAY et SSH_ASKPASS sont definies, il executera le programme specifie par SSH_ASKPASS (par defaut << ssh-askpass >>) et ouvrira une fenetre X11 pour lire la phrase secrete. Cela s'avere particulierement utile lors de l'appel de ssh-add depuis un fichier .xsession ou un script similaire. SSH_ASKPASS_REQUIRE permet de controler plus finement l'utilisation d'un programme askpass. Si cette variable est definie a << never >>, ssh-add n'en utilisera pas. Si elle est definie a << prefer >>, ssh-add preferera utiliser le programme askpass plutot que le terminal pour demander un mot de passe. Enfin, si la variable est definie a << force >>, le programme askpass sera utilise pour toutes les entrees de phrase secrete, que DISPLAY soit definie ou non. SSH_AUTH_SOCK Identifie le chemin du socket de domaine UNIX utilise pour communiquer avec l'agent. SSH_SK_PROVIDER Cette variable specifie le chemin d'une bibliotheque qui sera utilisee lors de l'ajout de cles hebergees par un authentificateur FIDO ; elle outrepasse le comportement par defaut consistant a utiliser la prise en charge interne de USB HID. FICHIERS ~/.ssh/id_ecdsa ~/.ssh/id_ecdsa_sk ~/.ssh/id_ed25519 ~/.ssh/id_ed25519_sk ~/.ssh/id_rsa Ces fichiers contiennent l'identite d'authentification ECDSA, ECDSA hebergee par un authentificateur, Ed25519, Ed25519 hebergee par un authentificateur ou RSA de l'utilisateur. Les fichiers d'identite ne doivent etre accessibles en lecture que pour l'utilisateur. Notez que ssh-add ignorera tout fichier d'identite s'il est accessible pour les autres. CODE DE RETOUR Le code de retour est 0 en cas de reussite, 1 si la commande specifiee echoue et 2 si ssh-add ne parvient pas a contacter l'agent d'authentification. VOIR AUSSI ssh(1), ssh-agent(1), ssh-askpass(1), ssh-keygen(1), sshd(8) AUTEURS OpenSSH est un derive de la version originale et libre 1.2.12 de ssh par Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt et Dug Song ont corrige de nombreux bogues, rajoute de nouvelles fonctionnalites et cree OpenSSH. Markus Friedl a contribue a la prise en charge des versions 1.5 et 2.0 du protocole SSH. TRADUCTION La traduction francaise de cette page de manuel a ete creee par Lucien Gentis Cette traduction est une documentation libre ; veuillez vous reporter a la GNU General Public License version 3: https://www.gnu.org/licenses/gpl-3.0.html concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITE LEGALE. Si vous decouvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message a debian-l10n-french@lists.debian.org Linux 6.11.5-arch1-1 $Mdocdate: 17 juin 2024 $ Linux 6.11.5-arch1-1