SSH-AGENT(1) | General Commands Manual | SSH-AGENT(1) |
BEZEICHNUNG
ssh-agent
—
OpenSSH-Authentifizierungsvermittler
ÜBERSICHT
ssh-agent
[-c
|
-s
] [-Dd
]
[-a
Bindungsadresse]
[-E
Fingerabdruck-Hash]
[-P
erlaubte_Anbieter]
[-t
Lebensdauer]
ssh-agent
[-a
Bindungsadresse] [-E
Fingerabdruck-Hash] [-O
Option] [-P
erlaubte_Anbieter] [-t
Lebensdauer] Befehl
[Arg …] ssh-agent
[-c
| -s
]
-k
BESCHREIBUNG
ssh-agent
ist ein Programm zum Halten
privater Schlüssel, die für asymmetrische Authentifizierung
verwandt werden. Mittels Umgebungsvariablen kann der Vermittler gefunden und
automatisch zur Authentifizierung verwandt werden, wenn mittels
ssh(1) eine Anmeldung auf anderen
Maschinen erfolgt.
Folgende Optionen stehen zur Verfügung:
-a
Bindungsadresse- Bindet den Vermittler an das UNIX-domain -Socket Bindungsadresse. Die Vorgabe ist $TMPDIR/ssh-XXXXXXXXXX/agent.<PPID>.
-c
- Erstellt C-Shell-Befehle auf die
Standardausgabe
. Dies ist die Vorgabe, fallsSHELL
so aussieht, dass es eine Csh-artige Shell ist. -D
- Vordergrundmodus. Ist diese Option angegeben, wird
ssh-agent
kein »fork« durchführen. -d
- Fehlersuchmodus. Ist diese Option angegeben, wird
ssh-agent
kein »fork« durchführen und Fehlersuchinformationen auf die Standardfehlerausgabe schreiben. -E
Fingerabdruck-Hash- Gibt den bei der Anzeige von Schlüssel-Fingerabdrücken zu verwendenden Hash-Algorithmus an. Gültige Optionen sind »md5« und »sha256«. Die Vorgabe ist »sha256«.
-k
- Tötet den derzeitigen Vermittler (angegeben in der
Umgebungsvariablen
SSH_AGENT_PID
). -O
Option- Gibt beim Start von
ssh-agent
eine Option an. Derzeit werden zwei Optionen unterstützt:allow-remote-pkcs11
undno-restrict-websafe
.Die Option
allow-remote-pkcs11
erlaubt es Clients eines weitergeleitetenssh-agent
, PKCS#11- oder FIDO-Bereitstellungsbibliotheken zu laden. Standardmäßig dürfen nur lokale Clients diese Aktion durchführen. Beachten Sie, dass die Anzeige, dass einssh-agent
-Client in der Ferne ist, durch ssh(1) erfolgt und andere Werkzeuge zur Weiterleitung des Zugriffs auf den Vermittler-Socket diese Beschränkung umgehen könnten.Die Option
no-restrict-websafe
weistssh-agent
an, Signaturen mittels FIDO-Schlüsseln zu erlauben, die Web-Authentifizierungsanfragen sein könnten. Standardmäßig verweigertssh-agent
Signaturanfragen für FIDO-Schlüssel, bei denen die Schlüsselanwendungszeichenkette nicht mit »ssh:« beginnt und wenn die zu signierenden Daten nicht eine ssh(1) -Benutzerauthentifizierungsanfrage oder eine ssh-keygen(1) -Signatur zu sein scheinen. Das Standardverhalten verhindert weitergeleiteten Zugriff auf einen FIDO-Schlüssel auch durch implizites Weiterleiten der Fähigkeit, sich beim Webauftritten zu authentifizieren. -P
erlaubte_Anbieter- Gibt eine Musterliste von akzeptierbaren Pfaden für
PKCS#11-Anbieter- und dynamischen
FIDO-Authentifikator-Mittelschicht-Bibliotheken an, die mit der Option
-S
oder-s
von ssh-add(1) verwandt werden dürfen. Bibliotheken, die nicht auf die Musterliste passen, werden abgelehnt. Siehe MUSTER in ssh_config(5) für eine Beschreibung der Musterlisten-Syntax. Die Standard-Musterliste ist »usr/lib*/*,/usr/local/lib/*«. -s
- Erstellt Bourne-Shell-Befehle auf die
Standardausgabe
. Dies ist die Vorgabe, fallsSHELL
nicht nach einer Csh-artigen Shell aussieht. -t
Lebensdauer- Setzt einen Vorgabewert für die maximale Lebensdauer von in dem Vermittler hinzugefügten Identitäten fest. Die Lebensdauer kann in Sekunden oder in einem in sshd_config(5) spezifizierten Dateiformat angegeben werden. Eine für eine Identität mit ssh-add(1) angegebene Lebensdauer setzt diesen Wert außer Kraft. Ohne diese Option ist die maximale Lebensdauer standardmäßig »für immer«.
- Befehl [Arg …]
- Wenn ein Befehl (und optionale Argumente) übergeben werden, wird dieser als Unterprozess des Vermittlers ausgeführt. Der Vermittler beendet sich automatisch, wenn der auf der Befehlszeile übergebene Befehl sich beendet.
Es gibt zwei grundsätzliche Arten, den Vermittler
einzurichten. Die erste ist beim Start der X-Sitzung, wobei alle anderen
Fenster und Programme als Kind des Programms
ssh-agent
gestartet werden. Der Vermittler startet
einen Befehl, unter dem seine Umgebungsvariablen exportiert werden,
beispielsweise ssh-agent xterm &
. Wenn sich der
Befehl beendet, beendet sich auch der Vermittler.
Die zweite Methode wird für Anmeldesitzungen verwandt. Wenn
ssh-agent
gestartet wird, gibt es die Shell-Befehle
aus, die benötigt werden, um seine Umgebungsvariablen zu setzen, die
wieder in der aufrufenden Shell ausgewertet werden können. Beispiel:
eval `ssh-agent -s`
.
In beiden Fällen schaut sich ssh(1) diese Umgebungsvariablen an und verwendet sie, um eine Verbindung zum Vermittler aufzubauen.
Der Vermittler hat anfänglich keine privaten
Schlüssel. Schlüssel werden mittels
ssh-add(1) oder durch
ssh(1), wenn
AddKeysToAgent
in
ssh_config(5) gesetzt ist,
hinzugefügt. In ssh-agent
können
mehrere Identitäten gleichzeitig gespeichert werden und
ssh(1) wird diese automatisch
verwenden, falls vorhanden. Mittels
ssh-add(1) werden auch
Schlüssel aus ssh-agent
entfernt und darin
befindliche Schlüssel abgefragt.
Verbindungen zu ssh-agent
können
von weiteren fernen Rechnern mittels der Option -A
von ssh(1) weitergeleitet werden
(lesen Sie aber die dort dokumentierten Warnungen), wodurch die
Notwendigkeit des Speicherns von Authentifizierungsdaten auf anderen
Maschinen vermieden wird. Authentifizierungs-Passphrasen und private
Schlüssel werden niemals über das Netz übertragen: die
Verbindung zu dem Vermittler wird über ferne SSH-Verbindungen
weitergeleitet und das Ergebnis wird dem Anfragenden zurückgeliefert,
wodurch der Benutzer überall im Netzwerk auf sichere Art Zugriff auf
seine Identitäten hat.
UMGEBUNGSVARIABLEN
SSH_AGENT_PID
- Wenn
ssh-agent
startet, speichert es den Namen der Prozesskennung (PID) des Vermittlers in dieser Variablen. SSH_AUTH_SOCK
- Wenn
ssh-agent
startet, erstellt es einen UNIX-domain -Socket und speichert seinen Pfadnamen in dieser Variablen. Darauf kann nur der aktuelle Benutzer zugreifen, aber dies kann leicht von root oder einer anderen Instanz des gleichen Benutzers missbraucht werden.
DATEIEN
- $TMPDIR/ssh-XXXXXXXXXX/agent.<ppid>
- Die UNIX-domain -Sockets, die die Verbindung zum Authentifizierungsvermittler enthalten. Diese Sockets sollten nur durch den Eigentümer lesbar sein. Die Sockets sollten automatisch entfernt werden, wenn sich der Vermittler beendet.
SIEHE AUCH
AUTOREN
OpenSSH ist eine Ableitung der ursprünglichen und freien SSH-1.2.12-Veröffentlichung durch Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt und Dug Song entfernten viele Fehler, fügten neue Funktionalitäten wieder hinzu und erstellten OpenSSH. Markus Friedl steuerte die Unterstützung für SSH-Protokollversion 1.5 und 2.0 bei.
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org
$Mdocdate: 10. August 2023 $ | Linux 6.10.2-arch1-1 |