SSH-ADD(1) General Commands Manual SSH-ADD(1)

ssh-addadaugă identități cu cheie privată la agentul de autentificare OpenSSH

ssh-add [-cCDdKkLlqvXx] [-E hash-fingerprint] [-H fișier-cheie-gazdă] [-h restricție-destinație] [-S furnizor] [-t durata-de-viață] [file ...] ssh-add -s pkcs11 [-vC] [certificat ...] ssh-add -e pkcs11 ssh-add -T cheie-publică ...

ssh-add adaugă identități de chei private la agentul de autentificare, ssh-agent(1). Atunci când este executat fără argumente, adaugă fișierele ~/.ssh/id_rsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519, ~/.ssh/id_ed25519_sk și ~/.ssh/id_dsa. După încărcarea unei chei private, ssh-add va încerca să încarce informațiile corespunzătoare despre certificat din numele de fișier obținut prin adăugarea -cert.pub la numele fișierului de chei private. În linia de comandă se pot indica nume de fișiere alternative.

În cazul în care un fișier necesită o frază de acces, ssh-add solicită utilizatorului fraza de acces. Fraza de acces este citită de pe tty-ul utilizatorului. ssh-add încearcă din nou să folosească ultima frază de acces în cazul în care sunt furnizate mai multe fișiere de identitate.

Agentul de autentificare trebuie să ruleze, iar variabila de mediu SSH_AUTH_SOCK trebuie să conțină numele soclului acestuia pentru ca ssh-add să funcționeze.

Opțiunile sunt următoarele:

Indică faptul că identitățile adăugate trebuie să facă obiectul unei confirmări înainte de a fi utilizate pentru autentificare. Confirmarea este efectuată de ssh-askpass(1). Confirmarea reușită este semnalată de o stare de ieșire zero de la ssh-askpass(1), mai degrabă decât de textul introdus în solicitant.
La încărcarea cheilor în agent sau la ștergerea cheilor din agent, se procesează numai certificatele și se omit cheile simple.
Șterge toate identitățile din agent.
În loc să adauge identități, elimină identități din agent. Dacă ssh-add a fost executat fără argumente, cheile pentru identitățile implicite și certificatele corespunzătoare vor fi eliminate. În caz contrar, lista de argumente va fi interpretată ca o listă de rute către fișiere de chei publice pentru a specifica cheile și certificatele care urmează să fie eliminate din agent. În cazul în care nu se găsește nicio cheie publică într-o anumită rută, ssh-add va adăuga .pub și va încerca din nou. În cazul în care lista de argumente constă în “-”, atunci ssh-add va citi cheile publice care urmează să fie eliminate de la intrarea standard.
hash-fingerprint
Specifică algoritmul sumei de control utilizat la afișarea amprentelor cheilor. Opțiunile valide sunt: “md5” și “sha256”. Opțiunea implicită este “sha256”.
pkcs11
Elimină cheile furnizate de biblioteca partajată PKCS#11 pkcs11.
fișier-cheie-gazdă
Specifică un fișier de gazde cunoscut pentru a căuta chei de gazdă atunci când se utilizează chei cu restricții de destinație prin intermediul indicatorului -h. Această opțiune poate fi specificată de mai multe ori pentru a permite căutarea în mai multe fișiere. Dacă nu se specifică niciun fișier, ssh-add va utiliza fișierele gazdă cunoscute ssh_config(5) implicite: ~/.ssh/known_hosts, ~/.ssh/known_hosts2, /etc/ssh/ssh_known_hosts și /etc/ssh/ssh_known_hosts2.
restricție-destinație
Când se adaugă chei, le restricționează pentru a putea fi utilizate numai de către anumite gazde sau pentru anumite destinații.

Restricțiile de destinație de forma ‘[utilizator@]nume-gazdă-destinație’ permit utilizarea cheii numai de la gazda de origine (cea care rulează ssh-agent(1)) către gazda de destinație listată, cu numele de utilizator opțional.

Restricțiile de forma ‘nume-gazdă-sursă>[utilizator@]nume-gazdă-destinație’ permit ca o cheie disponibilă pe un ssh-agent(1) transmis să fie utilizată printr-o anumită gazdă (specificată de ‘nume-gazdă-sursă’) pentru a se autentifica la o altă gazdă, specificată de ‘nume-gazdă-destinație’.

La încărcarea cheilor pot fi adăugate mai multe restricții de destinație. Atunci când se încearcă autentificarea cu o cheie care are restricții de destinație, întreaga rută de conectare, inclusiv redirecționarea ssh-agent(1), este testată în funcție de aceste restricții și fiecare salt trebuie să fie permis pentru ca încercarea să reușească. De exemplu, dacă cheia este redirecționată către o gazdă la distanță, ‘gazda-b’, și se încearcă autentificarea la o altă gazdă, ‘gazda-c’, atunci operația va avea succes numai dacă ‘gazda-b’ a fost permisă de la gazda de origine și dacă saltul următor ‘gazda-b>gazda-c’ este, de asemenea, permis de restricțiile de destinație.

Gazdele sunt identificate prin cheile lor de gazdă și sunt căutate în fișierele de gazde cunoscute de către ssh-add. Se pot utiliza modele de caractere joker pentru numele de gazdă și sunt acceptate cheile de gazdă cu certificat. În mod implicit, cheile adăugate de ssh-add nu sunt restricționate în funcție de destinație.

Restricțiile de destinație au fost adăugate în versiunea OpenSSH 8.9. Este necesar să se ofere suport atât pentru clientul SSH la distanță, cât și pentru serverul SSH atunci când se utilizează chei cu restricții de destinație pe un canal ssh-agent(1) transmis.

De asemenea, este important de reținut că restricțiile de destinație pot fi aplicate de către ssh-agent(1) numai atunci când se utilizează o cheie sau când aceasta este transmisă de către un ssh(1). Mai exact, nu împiedică un atacator care are acces la un SSH_AUTH_SOCK la distanță să o redirecționeze din nou și să o folosească pe o altă gazdă (dar numai către o destinație permisă).

Încarcă cheile rezidente de la un autentificator FIDO.
La încărcarea cheilor în agent sau la ștergerea cheilor din agent, se procesează numai cheile private simple și se omit certificatele.
Listează parametrii de cheie publică ai tuturor identităților reprezentate în prezent de agent.
Listează amprentele digitale (fingerprint) ale tuturor identităților reprezentate în prezent de agent.
Rămâne silențios (fără ieșire) după o operație reușită.
furnizor
Specifică o rută către o bibliotecă care va fi utilizată la adăugarea cheilor găzduite de autentificatorul FIDO, înlocuind opțiunea implicită de utilizare a suportului USB HID intern.
pkcs11
Adaugă cheile furnizate de biblioteca partajată PKCS#11 pkcs11. Fișierele de certificate pot fi opțional enumerate ca argumente în linia de comandă. Dacă acestea sunt prezente, atunci vor fi încărcate în agent folosind orice chei private corespunzătoare încărcate din tokenul PKCS#11.
cheie-publică ...
Testează dacă cheile private care corespund fișierelor pubkey specificate sunt utilizabile, efectuând operații de semnare și verificare pe fiecare dintre acestea.
durata-de-viață
Stabilește o durată maximă de viață atunci când se adaugă identități la un agent. Durata de viață poate fi specificată în secunde sau într-un format de timp specificat în sshd_config(5).
Modul descriptiv. Face ca ssh-add să afișeze mesaje de depanare despre progresul său. Acest lucru este util pentru depanarea problemelor. Opțiunile multiple -v sporesc gradul de detalii a descrierii. Valoarea maximă este 3.
Deblochează agentul.
Blochează agentul cu o parolă.

, SSH_ASKPASS and SSH_ASKPASS_REQUIRE
Dacă ssh-add are nevoie de o frază de acces, aceasta va citi fraza de acces din terminalul curent, dacă a fost rulat de la un terminal. Dacă ssh-add nu are un terminal asociat, dar sunt definite DISPLAY și SSH_ASKPASS, acesta va executa programul specificat de SSH_ASKPASS (în mod implicit “ssh-askpass”) și va deschide o fereastră X11 pentru a citi fraza de acces. Acest lucru este deosebit de util atunci când se apelează ssh-add de la un script .xsession sau un script conex.

SSH_ASKPASS_REQUIRE permite un control suplimentar asupra utilizării unui program „askpass” (solicitare parole). Dacă această variabilă este stabilită la “never”, atunci ssh-add nu va încerca niciodată să folosească unul. Dacă este stabilită la “prefer”, atunci ssh-add va prefera să utilizeze programul «askpass» în locul TTY atunci când solicită parole. În cele din urmă, dacă variabila este stabilită la “force”, atunci programul «askpass» va fi utilizat pentru toate introducerile de fraze de acces, indiferent dacă DISPLAY este definită sau nu.

Identifică ruta unui soclu UNIX-domain utilizat pentru a comunica cu agentul.
Specifică o rută către o bibliotecă care va fi utilizată la încărcarea oricăror chei găzduite de autentificatorul FIDO, înlocuind opțiunea implicită de utilizare a suportului USB HID încorporat.

~/.ssh/id_dsa
 
~/.ssh/id_ecdsa
 
~/.ssh/id_ecdsa_sk
 
~/.ssh/id_ed25519
 
~/.ssh/id_ed25519_sk
 
~/.ssh/id_rsa
Conține identitatea de autentificare DSA, ECDSA, ECDSA găzduită de autentificator, Ed25519, Ed25519 găzduită de autentificator sau RSA a utilizatorului.

Fișierele de identitate nu ar trebui să poată fi citite decât de către utilizator. Rețineți că ssh-add ignoră fișierele de identitate în cazul în care acestea sunt accesibile altor persoane.

Starea de ieșire este 0 în caz de succes, 1 dacă comanda specificată eșuează și 2 dacă ssh-add nu poate contacta agentul de autentificare.

ssh(1), ssh-agent(1), ssh-askpass(1), ssh-keygen(1), sshd(8)

OpenSSH este un derivat al versiunii originale și libere ssh 1.2.12 de Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt și Dug Song au eliminat multe erori, au adăugat din nou caracteristici noi și au creat OpenSSH. Markus Friedl a contribuit la suportul pentru versiunile 1.5 și 2.0 ale protocolului SSH.

Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>

Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.

Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net

$Mdocdate: 18 decembrie 2023 $ Linux 6.8.2-arch2-1