.\" -*- coding: UTF-8 -*- .\" .\" Author: Tatu Ylonen .\" Copyright (c) 1995 Tatu Ylonen , Espoo, Finland .\" All rights reserved .\" .\" As far as I am concerned, the code I have written for this software .\" can be used freely for any purpose. Any derived versions of this .\" software must be clearly marked as such, and if the derived work is .\" incompatible with the protocol description in the RFC file, it must be .\" called by a name other than "ssh" or "Secure Shell". .\" .\" Copyright (c) 1999,2000 Markus Friedl. All rights reserved. .\" Copyright (c) 1999 Aaron Campbell. All rights reserved. .\" Copyright (c) 1999 Theo de Raadt. All rights reserved. .\" .\" Redistribution and use in source and binary forms, with or without .\" modification, are permitted provided that the following conditions .\" are met: .\" 1. Redistributions of source code must retain the above copyright .\" notice, this list of conditions and the following disclaimer. .\" 2. Redistributions in binary form must reproduce the above copyright .\" notice, this list of conditions and the following disclaimer in the .\" documentation and/or other materials provided with the distribution. .\" .\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR .\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES .\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. .\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, .\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT .\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, .\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY .\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT .\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF .\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. .\" .\" $OpenBSD: ssh_config.5,v 1.394 2024/02/21 06:01:13 djm Exp $ .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .Dd $Mdocdate: 10. Februar 2024 $ .Dt SSH_CONFIG 5 .Os .Sh BEZEICHNUNG .Nm ssh_config .Nd OpenSSH-Client-Konfigurationsdatei .Sh BESCHREIBUNG .Xr ssh 1 erhält Konfigurationsdaten aus den folgenden Quellen in der folgenden Reihenfolge: .Pp .Bl -enum -offset indent -compact .It Befehlszeilenoptionen .It die Konfigurationsdatei des Benutzers .Pq Pa ~/.ssh/config .It die systemweite Konfigurationsdatei .Pq Pa /etc/ssh/ssh_config .El .Pp Falls nicht anders angegeben wird für jeden Parameter der erste erhaltene Wert verwandt. Die Konfigurationsdateien enthalten durch .Cm Host -Spezifikationen getrennte Abschnitte und dieser Abschnitt wird nur für Rechner angewandt, die auf ein in der Spezifikation angegebenes Muster passen. Der passende Rechnername wird normalerweise auf der Befehlszeile übergeben (siehe beispielsweise die Option .Cm CanonicalizeHostname für Ausnahmen). .Pp Da der erste erhaltene Wert für jeden Parameter verwandt wird, sollten die meisten Rechner-spezifischen Deklarationen in der Nähe des Anfangs der Datei und allgemeine Vorgaben am Ende angegeben werden. .Pp Die Datei enthält Schlüsselwort-Argument-Paare, eines pro Zeile. Leere Zeilen und solche, die mit .Ql # anfangen, werden als Kommentare interpretiert. Argumente können optional in englische doppelte Anführungszeichen .Pq \&" eingeschlossen werden, um Argumente, die Leerzeichen enthalten, darzustellen. Konfigurationsoptionen können durch Leerraum oder optionalen Leerraum und genau ein .Ql = abgetrennt werden; letzteres Format ist nützlich, um die Notwendigkeit von Anführungszeichen für Leerzeichen zu vermeiden, wenn Konfigurationsoptionen angegeben werden, die die Option .Nm ssh , .Nm scp und .Nm sftp .Fl o enthalten. .Pp Die möglichen Schlüsselwörter und ihre Bedeutung sind wie folgt (beachten Sie, dass die Groß-/Kleinschreibung bei Schlüsselwörtern egal, bei Argumenten dagegen relevant ist): .Bl -tag -width Ds .It Cm Host Beschränkt die folgenden Deklarationen (bis zum nächsten Schlüsselwort .Cm Host oder .Cm Match ) auf die Rechner, die auf eines der Muster passen, die nach dem Schlüsselwort angegeben sind. Falls mehr als ein Muster bereitgestellt wird, dann sollten sie durch Leerraum getrennt sein. Ein einzelnes .Ql * als Muster kann zur Bereitstellung globaler Vorgaben für alle Rechner verwandt werden. Der Rechner ist normalerweise das auf der Befehlszeile übergebene Argument .Ar Rechnername (siehe das Schlüsselwort .Cm CanonicalizeHostname für Ausnahmen. .Pp Ein Mustereintrag kann negiert werden, indem ihm ein Ausrufezeichen .Pq Sq !\& vorangestellt wird. Falls ein negierter Ausdruck passt, dann wird der Eintrag .Cm Host ignoriert, unabhängig davon, ob eines der anderen Muster auf der Zeile passt. Negierte Treffer sind daher nützlich, um Ausnahmen für Platzhalter-Treffer bereitzustellen. .Pp Siehe .Sx MUSTER für weitere Informationen über Muster. .It Cm Match Beschränkt die folgenden Deklarationen (bis zum nächsten Schlüsselwort .Cm Host oder .Cm Match ) auf die Fälle, bei denen die Bedingungen, die nach dem Schlüsselwort .Cm Match angegeben sind, erfüllt sind. Trefferbedingungen werden mittels einem oder mehreren Kriterien oder dem einzelnen Merkmal .Cm all , das immer zutrifft, festgelegt. Die verfügbaren Kriterienschlüsselwörter sind: .Cm canonical , .Cm final , .Cm exec , .Cm localnetwork , .Cm host , .Cm originalhost , .Cm tagged , .Cm user und .Cm localuser . Das Kriterium .Cm all muss alleine oder direkt nach .Cm canonical oder .Cm final auftauchen. Andere Kriterien können beliebig kombiniert werden. Alle Kriterien außer .Cm all , .Cm canonical und .Cm final benötigen ein Argument. Kriterien können negiert werden, in denen ihnen ein Ausrufezeichen .Pq Sq !\& vorangestellt wird. .Pp Das Schlüsselwort .Cm canonical passt nur, wenn die Konfigurationsdatei nach der Umwandlung des Rechnernamens in eine kanonische Form (siehe die Option .Cm CanonicalizeHostname ) erneut ausgewertet wird. Dies kann nützlich sein, um Bedingungen festzulegen, die nur mit kanonischen Rechnernamen funktionieren. .Pp Das Schlüsselwort .Cm final fordert, dass die Konfiguration neu ausgewertet werden soll (egal, ob .Cm CanonicalizeHostname aktiviert ist) und passt nur während des abschließenden Durchlaufs. Falls .Cm CanonicalizeHostname aktiviert ist, dann passen .Cm canonical und .Cm final während des gleichen Durchlaufs. .Pp Das Schlüsselwort .Cm exec führt den angegebenen Befehl unter der Shell des Benutzers aus. Falls der Befehl einen Exit-Status Null zurückliefert, dann wird die Bedingung als wahr betrachtet. Befehle, die Leerraumzeichen enthalten, müssen in englische Anführungszeichen gesetzt werden. Argumente von .Cm exec akzeptieren die im Abschnitt .Sx MERKMALE beschriebenen Merkmale. .Pp Das Schlüsselwort .Cm localnetwork vergleicht die Adressen der aktiven lokalen Netzwerkschnittstellen mit der bereitgestellten List von Netzwerken im CIDR-Format. Dies kann zur Überprüfung der effektiven Konfiguration von Geräten, die sich zwischen Netzwerken hin- und herbewegen, nützlich sein. Beachten Sie, dass eine Netzwerkadresse in vielen Situationen kein vertrauenswürdiges Kriterium ist (z.B. wenn das Netzwerk automatisch mittels DHCP konfiguriert wird). Daher sollte Vorsicht walten gelassen werden, falls dies zur Steuerung sicherheitsrelevanter Konfiguration verwandt wird. .Pp Die Kriterien der anderen Schlüsselwörter müssen einzelne Einträge oder Kommata-getrennte Listen sein und können die im Abschnitt .Sx MUSTER beschriebenen Platzhalter- und Negierungsoperatoren verwenden. Die Kriterien für das Schlüsselwort .Cm host werden mit dem Zielrechnernamen verglichen, nachdem alle Ersetzungen durch die Optionen .Cm Hostname oder .Cm CanonicalizeHostname erfolgt sind. Das Schlüsselwort .Cm originalhost passt auf den Rechnernamen, wie er auf der Befehlszeile angegeben wurde. Das Schlüsselwort .Cm tagged passt auf den Markierungsnamen, der durch eine vorhergehende Direktive .Cm Tag oder auf der Befehlszeile von .Xr ssh 1 mittels des Schalters .Fl P angegeben wurde. Das Schlüsselwort .Cm user passt auf den Zielbenutzernamen auf dem fernen Rechner. Das Schlüsselwort .Cm localuser passt auf den Namen des lokalen Benutzers, der .Xr ssh 1 ausführt (dieses Schlüsselwort kann in systemweiten .Nm ssh_config -Dateien nützlich sein). .It Cm AddKeysToAgent Gibt an, ob Schlüssel automatisch zu einem laufenden .Xr ssh-agent 1 hinzugefügt werden sollen. Falls diese Option auf .Cm yes gesetzt ist und ein Schlüssel aus einer Datei geladen wird, wird der Schlüssel und seine Passphrase zu dem Vermittler mit der Standard-Lebensdauer hinzugefügt, als ob .Xr ssh-add 1 verwandt worden wäre. Falls diese Option auf .Cm ask gesetzt ist, wird .Xr ssh 1 eine Bestätigung über das Programm .Ev SSH_ASKPASS benötigen, bevor ein Schlüssel hinzugefügt wird (siehe .Xr ssh-add 1 für Details). Falls diese Option auf .Cm confirm gesetzt ist, muss jede Verwendung eines Schlüssel bestätigt werden, als ob die Option .Fl c bei .Xr ssh-add 1 festgelegt worden wäre. Falls diese Option auf .Cm no gesetzt wird, werden keine Schlüssel zum Vermittler hinzugefügt. Alternativ kann diese Option als Zeitintervall, in dem im Abschnitt .Sx ZEITFORMATE von .Xr sshd_config 5 beschriebenen Format angegeben werden, um die Lebensdauer in .Xr ssh-agent 1 festzulegen, nach der er automatisch entfernt wird. Das Argument muss .Cm no (die Vorgabe), .Cm yes , .Cm confirm (optional gefolgt von einem Zeitintervall), .Cm ask oder ein Zeitintervall sein. .It Cm AddressFamily Legt die bei Verbindungen zu verwendende Adressfamilie fest. Gültige Argumente sind .Cm any (die Vorgabe), .Cm inet (nur IPv4 verwenden) und .Cm inet6 (nur IPv6 verwenden). .It Cm BatchMode Falls auf .Cm yes gesetzt, wird die Benutzerinteraktion wie Passwortabfragen und Bestätigungen von Rechnerschlüsselabfragen deaktiviert. Diese Option ist in Skripten und anderen Stapelverarbeitungsaufträgen nützlich, bei denen kein Benutzer zur Interaktion mit .Xr ssh 1 verfügbar ist. Das Argument muss .Cm yes oder .Cm no (die Vorgabe) sein. .It Cm BindAddress Verwendet die festgelegte Adresse auf der lokalen Maschine als Quelladresse der Verbindung. Nur für Systeme mit mehr als einer Adresse nützlich. .It Cm BindInterface Verwendet die Adresse der festgelegten Schnittstelle auf der lokalen Maschine als die Quelladresse der Verbindung. .It Cm CanonicalDomains Diese Option gibt die Liste der Domain-Endungen an, in denen nach den angegeben Ziel-Rechnern gesucht werden soll, wenn .Cm CanonicalizeHostname aktiviert ist. .It Cm CanonicalizeFallbackLocal Legt fest, ob bei fehlgeschlagener Kanonisierung des Rechnernamens mit einem Fehler beendet werden soll. Die Vorgabe, .Cm yes , wird versuchen, den nicht qualifizierten Rechnernamen mittels der Auflösungssuchregeln des Systems nachzuschlagen. Ein Wert von .Cm no führt dazu, dass .Xr ssh 1 sofort fehlschlägt, falls .Cm CanonicalizeHostname aktiviert ist und der Zielrechnername nicht in einer der mittels .Cm CanonicalDomains festgelegten Domains gefunden werden kann. .It Cm CanonicalizeHostname Steuert, ob explizite Kanonisierung von Rechnernamen durchgeführt wird. Bei der Vorgabe, .Cm no , erfolgt keine Umschreibung und die Auflösung des Rechnernamens erfolgt durch die Systemauflöserroutinen. Falls auf .Cm yes gesetzt, dann wird .Xr ssh 1 versuchen, auf der Befehlszeile angegebene Rechnernamen für Verbindungen, die nicht .Cm ProxyCommand oder .Cm ProxyJump verwenden, mittels der Endungen .Cm CanonicalDomains und der Regeln .Cm CanonicalizePermittedCNAMEs zu kanonisieren. Falls .Cm CanonicalizeHostname auf .Cm always gesetzt ist, dann wird die Kanonisierung auch auf Verbindungen über Proxys angewandt. .Pp Falls diese Option aktiviert ist, dann werden die Konfigurationsdateien mittels der neuen Zielnamen erneut ausgewertet, um sämtliche neue Konfiguration aufgrund von passenden Abschnitten .Cm Host und .Cm Match einzusammeln. Der Wert .Cm none deaktiviert die Verwendung des .Cm ProxyJump -Rechners. .It Cm CanonicalizeMaxDots Gibt die maximale Anzahl an Punkten im Rechnernamen an, bevor die Kanonisierung deaktiviert wird. Die Vorgabe, 1, erlaubt einen einzelnen Punkt (d.h. Rechnername.Subdomain). .It Cm CanonicalizePermittedCNAMEs Legt die Regeln fest, nach denen bestimmt wird, ob CNAMEs gefolgt werden soll, wenn Rechnernamen kanonisiert werden. Die Regeln bestehen aus einem oder mehreren Argumenten der Form .Ar Quell-Domain-Liste : Ns Ar Ziel-Domain-Liste , wobei .Ar Quell-Domain-Liste eine Musterliste von Domains ist, die CNAMEs bei der Kanonisierung folgen dürfen und .Ar Ziel-Domain-Liste eine Musterliste von Domains ist, auf den diese aufgelöst werden dürfen. .Pp Beispielsweise wird es .Qq *.a.example.com:*.b.example.com,*.c.example.com erlauben, Rechnernamen, die auf .Qq *.a.example.com passen, auf Namen in den Domains .Qq *.b.example.com oder .Qq *.c.example.com kanonisiert zu werden. .Pp Ein einzelnes Argument .Qq none führt dazu, dass keine CNAMEs für die Kanonisierung berücksichtigt werden. Dies ist das Standardverhalten. .It Cm CASignatureAlgorithms Legt die Algorithmen fest, die zum Signieren von Zertifikaten durch Zertifizierungsstellen (CAs) erlaubt sind. Die Vorgabe ist: .Bd -literal -offset indent ssh-ed25519,ecdsa-sha2-nistp256, ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ssh-ed25519@openssh.com, sk-ecdsa-sha2-nistp256@openssh.com, rsa-sha2-512,rsa-sha2-256 .Ed .Pp Falls die festgelegte Liste mit einem »+«-Zeichen beginnt, werden die festgelegten Algorithmen an die Vorgabemenge angehängt, statt sie zu ersetzen. Falls die festgelegte Liste mit einem »-«-Zeichen beginnt, dann werden die festgelegten Algorithmen (einschließlich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt sie zu ersetzen. .Pp .Xr ssh 1 wird keine Rechnerzertifikate akzeptieren, die mit anderen als den festgelegten Algorithmen signiert sind. .It Cm CertificateFile Legt eine Datei fest, aus der das Zertifikat des Benutzers gelesen wird. Ein entsprechender privater Schlüssel muss separat in einer Direktive .Cm IdentityFile oder einem Schalter an .Xr ssh 1 , mittels .Xr ssh-agent 1 oder mittels einem .Cm PKCS11Provider oder einem .Cm SecurityKeyProvider bereitgestellt werden, um dieses Zertifikat zu benutzen. .Pp Argumente von .Cm CertificateFile können die Tilde-Syntax, um sich auf das Home-Verzeichnis des Benutzers zu beziehen, die im Abschnitt .Sx MERKMALE beschriebenen Merkmale und die im Abschnitt .Sx UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen verwenden. .Pp Es ist möglich, dass mehrere Zertifikatsdateien in Konfigurationsdateien festgelegt werden; diese Zertifikate werden der Reihen nach ausprobiert. Mehrere Direktiven .Cm CertificateFile fügen zu der Zertifikatsliste hinzu, die für die Authentifizierung verwandt wird. .It Cm ChannelTimeout Gibt an, ob und wie schnell .Xr ssh 1 inaktive Kanäle schließen soll. Zeitüberschreitungen werden als ein oder mehrere »Typ=Intervall«-Paare getrennt durch Leerraum angegeben, wobei »Typ« das besondere Schlüsselwort »global« oder ein Kanaltypname aus der nachfolgenden Liste sein muss, der optional Joker-Zeichen enthalten darf. .Pp Der Zeitüberschreitungswert »interval« wird in Sekunden angegeben oder kann eine der im Abschnitt .Sx ZEITFORMATE dokumentierten Einheiten verwenden. Beispielsweise würde »session=5m« dazu führen, dass inaktive Sitzungen nach 5 Minuten Inaktivität beendet würden. Durch Angabe des Wertes Null wird die Inaktivitätszeitüberschreitung deaktiviert. .Pp Das besondere Schlüsselwort »global« gilt für alle aktiven Kanäle zusammengenommen. Verkehr auf einem der aktiven Kanäle wird die Zeitüberschreitung zurücksetzen, aber wenn die Zeitüberschreitung abläuft, dann werden alle offenen Kanäle geschlossen. Beachten Sie, dass diese globale Zeitüberschreitung nicht mit Platzhalterzeichen übereinstimmt und explizit konfiguriert werden muss. .Pp Zu den verfügbaren Kanaltypnamen gehören: .Bl -tag -width Ds .It Cm agent-connection Offene Verbindungen zu .Xr ssh-agent 1 . .It Cm direct-tcpip , Cm direct-streamlocal@openssh.com Offene TCP- bzw. Unix-Socket-Verbindungen, die von einer lokalen Weiterleitung eines .Xr ssh 1 etabliert wurden, d.h. \& .Cm LocalForward oder .Cm DynamicForward . .It Cm forwarded-tcpip , Cm forwarded-streamlocal@openssh.com Offene TCP- bzw. Unix-Socket-Verbindungen, die zu einem .Xr sshd 8 etabliert wurden, der im Auftrag einer fernen Weiterleitung eines .Xr ssh 1 auf Anfragen warten, d.h.\& .Cm RemoteForward . .It Cm session Die interaktive Hauptsitzung, einschließlich der Shell-Sitzung, Befehlsausführung, .Xr scp 1 , .Xr sftp 1 , usw. .It Cm tun-connection Offene .Cm TunnelForward -Verbindungen. .It Cm x11-connection Offene X11-Weiterleitungssitzungen. .El .Pp Beachten Sie, dass in allen obigen Fällen die Beendigung einer inaktiven Sitzung nicht garantiert, dass alle der Sitzung zugeordnete Ressourcen entfernt werden, z.B. könnten Shell-Prozesse oder X11-Clients mit Bezug zu der Sitzung weiterhin ausgeführt werden. .Pp Desweiteren schließt das Beenden eines inaktiven Kanals oder einer inaktiven Sitzung nicht notwendigerweise die SSH-Verbindung noch verhindert es einen Client daran, einen weiteren Kanal des gleichen Typs anzufragen. Insbesondere verhindert das Ablaufen einer inaktiven Sitzung nicht, dass eine andere, identische Weiterleitung nachfolgend erstellt wird. .Pp Standardmäßig läuft kein Kanal irgendeines Typs aufgrund von Inaktivität ab. .It Cm CheckHostIP Falls auf .Cm yes gesetzt, wird .Xr ssh 1 zusätzlich die Rechner-IP-Adresse in der Datei .Pa known_hosts überprüfen. Dies ermöglicht die Erkennung, ob sich ein Rechnerschlüssel aufgrund von DNS-Fälschungen geändert hat und wird Adressen von Zielrechnern bei dem Prozess zu .Pa ~/.ssh/known_hosts hinzufügen, unabhängig von der Einstellung von .Cm StrictHostKeyChecking . Falls diese Option auf .Cm no (die Vorgabe) gesetzt ist, wird die Prüfung nicht durchgeführt. .It Cm Ciphers Legt die erlaubten Chiffren und deren Reihenfolge fest. Mehrere Chiffren müssen durch Kommata getrennt werden. Falls die festgelegte Liste mit einem »+« beginnt, dann werden die angegebenen Chiffren an die Vorgabemenge angehängt, statt diese zu ersetzen. Falls die angegebene Liste mit einem »-« beginnt, dann werden die angegebenen Chiffren (einschließlich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt sie zu ersetzen. Falls die angegebene Liste mit einem »^« beginnt, dann werden die angegebenen Chiffren am Anfang der Vorgabemenge abgelegt. .Pp Die unterstützten Chiffren sind: .Bd -literal -offset indent 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com .Ed .Pp Die Vorgabe ist: .Bd -literal -offset indent chacha20-poly1305@openssh.com, aes128-ctr,aes192-ctr,aes256-ctr, aes128-gcm@openssh.com,aes256-gcm@openssh.com .Ed .Pp Die Liste der verfügbaren Chiffen kann auch mit .Qq ssh -Q cipher erhalten werden. .It Cm ClearAllForwardings Gibt an, dass alle in den Konfigurationsdateien oder auf der Befehlszeile festgelegten lokalen, fernen und dynamischen Portweiterleitungen zurückgesetzt werden. Diese Option ist besonders nützlich, wenn sie von der Befehlszeile von .Xr ssh 1 verwandt wird, um alle Portweiterleitungen in den Konfigurationsdateien zurückzusetzen. Sie wird automatisch von .Xr scp 1 und .Xr sftp 1 gesetzt. Das Argument muss entweder .Cm yes oder .Cm no (die Vorgabe) sein. .It Cm Compression Legt fest, ob Kompression verwandt wird. Das Argument muss entweder .Cm yes oder .Cm no (die Vorgabe) sein. .It Cm ConnectionAttempts Legt die Anzahl der Versuche (einen pro Sekunde) fest, bevor beendet wird. Das Argument muss eine Ganzzahl sein. Dies kann in Skripten nützlich sein, wenn die Verbindung manchmal fehlschlägt. Die Vorgabe ist 1. .It Cm ConnectTimeout Legt die Zeitüberschreitung (in Sekunden) fest, die bei Verbindungen zum SSH-Server statt der Standard-System-TCP-Zeitüberschreitung verwandt werden soll. Diese Zeitüberschreitung wird sowohl auf den Aufbau der Verbindung als auch bei der Durchführung der initialen SSH-Protokoll-Datenflusssteuerung und dem Schlüsselaustausch verwandt. .It Cm ControlMaster Aktiviert die gemeinsame Benutzung von mehreren Sitzungen über eine einzelne Netzwerkverbindung. Falls auf .Cm yes gesetzt, wird .Xr ssh 1 auf Verbindungen auf einem Steuer-Socket warten, das mit dem Argument .Cm ControlPath festgelegt ist. Zusätzliche Sitzungen können sich mit diesem Socket über den gleichen .Cm ControlPath mit .Cm ControlMaster gesetzt auf .Cm no (die Vorgabe) verbinden. Diese Sitzungen werden versuchen, die Netzwerkverbindungsinstanz des Masters mit zu benutzen, statt neue aufzubauen. Falls das Steuer-Socket nicht existiert oder nicht auf Anfragen wartet, werden sie aber auf normalen Verbindungsaufbau zurückfallen. .Pp Wird dies auf .Cm ask gesetzt, dann wartet .Xr ssh 1 auf Steuerverbindungen, benötigt aber die Bestätigung mittels .Xr ssh-askpass 1 . Falls der .Cm ControlPath nicht geöffnet werden kann, wird .Xr ssh 1 fortfahren, ohne sich mit der Master-Instanz zu verbinden. .Pp Die Weiterleitung von X11 und .Xr ssh-agent 1 über diese multiplexten Verbindungen wird unterstützt, allerdings werden die weitergeleiteten Display und Vermittler zu denen der Master-Verbindung gehören, d.h. es ist nicht möglich, mehrere Displays oder Vermittler weiterzuleiten. .Pp Zwei zusätzliche Optionen ermöglichen opportunistisches Multiplexing: es wird versucht, eine Master-Verbindung zu verwenden, aber auf die Erstellung einer neuen zurückgefallen, falls eine solche noch nicht existiert. Diese Optionen sind: .Cm auto und .Cm autoask . Letztere verlangt Bestätigung wie bei der Option .Cm ask . .It Cm ControlPath Legt den Pfad zu dem Steuer-Socket fest, das für die gemeinsame Benutzung von Verbindungen, wie weiter oben in .Cm ControlMaster beschrieben oder der Zeichenkette .Cm none , um gemeinsame Benutzung von Verbindungen zu deaktivieren, verwandt wird. Argumente für .Cm ControlPath können die Tilde-Syntax, um sich auf das Home-Verzeichnis des Benutzers zu beziehen, die im Abschnitt .Sx MERKMALE beschriebenen Merkmale und die im Abschnitt .Sx UMGEBUNGSVARIABLEN beschrieben Umgebungsvariablen verwenden. Es wird empfohlen, dass alle .Cm ControlPath , die für opportunistische gemeinsame Verwendung von Verbindungen verwandt werden, mindestens %h, %p und %r (oder alternativ %C) enthalten und in einem Verzeichnis abgelegt werden, das von anderen Benutzern nicht beschreibbar ist. Dies stellt sicher, dass gemeinsam benutzte Verbindungen eindeutig identifiziert sind. .It Cm ControlPersist Wenn dies im Zusammenhang mit .Cm ControlMaster verwandt wird, legt dies fest, dass die Master-Verbindung im Hintergrund offen bleiben (und auf zukünftige Client-Verbindungen warten) soll, nachdem die anfängliche Client-Verbindung geschlossen wurde. Falls auf die Vorgabe .Cm no gesetzt, dann wird die Master-Verbindung nicht in den Hintergrund gelegt und geschlossen, sobald die anfängliche Verbindung geschlossen wird. Falls auf .Cm yes oder 0 gesetzt, wird die Master-Verbindung zeitlich unbegrenzt im Hintergrund verbleiben (bis sie beendet oder über einen Mechanismus wie .Qq ssh -O exit geschlossen wird). Falls sie auf eine Zeit in Sekunden oder Zeit in einem der in .Xr sshd_config 5 dokumentierten Formate gesetzt wird, dann wird die im Hintergrund befindliche Master-Verbindung automatisch beendet, nachdem sie für die festgelegte Zeit (ohne Client-Verbindungen) im Leerlauf gewesen ist. .It Cm DynamicForward Legt einen TCP-Port auf der lokalen Maschine fest, der über den sicheren Kanal weitergeleitet werden kann. Dann wird das Anwendungsprotokoll verwandt, um festzustellen, wo auf der fernen Maschine die Verbindung erfolgen soll. .Pp Das Argument muss .Sm off .Oo Ar Anbindeadresse : Oc Ar Port .Sm on sein. IPv6-Adressen können durch Einschluss in eckige Klammern angegeben werden. Standardmäßig wird der lokale Port in Übereinstimmung mit der Einstellung .Cm GatewayPorts angebunden. Allerdings kann eine explizite .Ar Anbindeadresse verwandt werden, um die Verbindung an eine bestimmte Adresse anzubinden. Die Verwendung von .Cm localhost als .Ar Anbindeadresse zeigt an, dass der Port, der auf Anfragen wartet, nur für die lokale Verwendung angebunden wird, während eine leere Adresse oder »*« anzeigt, dass der Port von allen Schnittstellen aus verfügbar sein soll. .Pp Derzeit werden die Protokolle SOCKS4 und SOCKS5 unterstützt und .Xr ssh 1 agiert als ein SOCKS-Server. Es können mehrere Weiterleitungen festgelegt werden und zusätzliche Weiterleitungen können auf der Befehlszeile übergeben werden. Nur der Systemadministrator kann privilegierte Ports weiterleiten. .It Cm EnableEscapeCommandline Aktiviert die Befehlszeilenoption in dem Menü .Cm EscapeChar für interaktive Sitzungen (standardmäßig .Ql ~C ) . Standardmäßig ist die Befehlszeile deaktiviert. .It Cm EnableSSHKeysign Wird diese Option in der globalen Client-Konfigurationsdatei .Pa /etc/ssh/ssh_config auf .Cm yes gesetzt, dann werden die Helfer-Programme .Xr ssh-keysign 8 während .Cm HostbasedAuthentication aktiviert. Das Argument muss .Cm yes oder .Cm no (die Vorgabe) lauten. Die Option sollte außerhalb der Rechner-spezifischen Optionen abgelegt werden. Siehe .Xr ssh-keysign 8 für weitere Informationen. .It Cm EscapeChar Setzt das Maskierzeichen (Vorgabe: .Ql ~ ) . Das Maskierzeichen kann auch auf der Befehlszeile gesetzt werden. Das Argument sollte ein einzelnes Zeichen, .Ql ^ , gefolgt von einem Buchstaben oder .Cm none , um das Maskierzeichen komplett zu deaktivieren (um die Verbindung transparent für Binärdaten zu machen), sein. .It Cm ExitOnForwardFailure Legt fest, ob .Xr ssh 1 die Verbindung beenden soll, falls es nicht alle dynamischen, Tunnel-, lokalen und fernen Port-Weiterleitungen einrichten kann (z.B. falls es an einem der Enden nicht gelingt, auf einem bestimmten Port anzubinden und dort auf Anfragen zu warten). Beachten Sie, dass .Cm ExitOnForwardFailure nicht auf Verbindungen angewandt wird, die über Port-Weiterleitungen erstellt wurden und beispielsweise nicht dazu führt, dass .Xr ssh 1 sich beendet, falls TCP-Verbindungen zum endgültigen Weiterleitungsziel fehlschlagen. Das Argument muss .Cm yes oder .Cm no (die Vorgabe) sein. .It Cm FingerprintHash Legt den Hash-Algorithmus fest, der bei der Anzeige der Fingerabdrücke verwandt wird. Gültige Optionen sind .Cm md5 und .Cm sha256 (die Vorgabe). .It Cm ForkAfterAuthentication Bittet .Nm ssh direkt vor der Ausführung des Befehls in den Hintergrund zu gehen. Dies ist nützlich, falls .Nm ssh nach Passwörtern oder Passphrasen fragen wird, aber der Benutzer es im Hintergrund möchte. Dies impliziert, dass die Konfigurationsoption .Cm StdinNull auf .Dq yes gesetzt ist. Die empfohlene Art, X-Programme auf einem fernen Rechner zu starten, ist etwas wie .Ic ssh -f Rechner xterm , was identisch zu .Ic ssh Rechner xterm ist, falls die Konfigurationsoption .Cm ForkAfterAuthentication auf .Dq yes gesetzt ist. .Pp Falls die Konfigurationsoption .Cm ExitOnForwardFailure auf .Dq yes gesetzt ist, dann wird ein Client, bei dem die Konfigurationsoption .Cm ForkAfterAuthentication auf .Dq yes gesetzt ist, darauf warten, dass alle fernen Port-Weiterleitungen erfolgreich etabliert wurden, bevor er sich selbst in den Hintergrund bringt. Das Argument für dieses Schlüsselwort muss .Cm yes (identisch zu der Option .Fl f ) oder .Cm no (die Vorgabe) sein. .It Cm ForwardAgent Legt fest, ob die Verbindung zum Authentifizierungsvermittler (falls vorhanden) auf die ferne Maschine weitergeleitet wird. Das Argument kann .Cm yes , .Cm no (die Vorgabe), ein expliziter Pfad zu einem Socket des Vermittlers oder der Name einer Umgebungsvariablen (beginnend mit »$«), in der der Pfad gefunden werden kann, sein. .Pp Die Weiterleitung des Vermittlers sollte mit Vorsicht aktiviert werden. Benutzer mit der Fähigkeit, auf dem fernen Rechner Dateiberechtigungen zu umgehen (für das Unix-Domain-Socket des Vermittlers), können über die weitergeleitete Verbindung auf den lokalen Vermittler zugreifen. Ein Angreifer kann vom Vermittler kein Schlüsselmaterial erlangen, er kann allerdings Aktionen auf den Schlüssel ausführen, die es ihm ermöglichen, sich mittels der im Vermittler geladenen Identitäten zu authentifizieren. .It Cm ForwardX11 Gibt an, ob X11-Verbindungen automatisch über den sicheren Kanal umgeleitet werden und .Ev DISPLAY gesetzt wird. Das Argument muss .Cm yes oder .Cm no (die Vorgabe) sein. .Pp Die X11-Weiterleitung sollte mit Vorsicht aktiviert werden. Benutzer mit der Fähigkeit, auf dem fernen Rechner Dateiberechtigungen zu umgehen (für die Autorisierungsdatenbank von X11) können auf die lokale X11-Anzeige durch die weitergeleitete Verbindung zugreifen. Ein Angreifer könnte dann in der Lage sein, Aktivitäten wie die Überwachung der Tastatureingaben durchzuführen, falls auch die Option .Cm ForwardX11Trusted aktiviert ist. .It Cm ForwardX11Timeout Legt eine Zeitüberschreitung für nicht vertrauenswürdige X11-Weiterleitung in dem im Abschnitt .Sx ZEITFORMATE von .Xr sshd_config 5 beschriebenen Format fest. X11-Verbindungen, die von .Xr ssh 1 nach dieser Zeit empfangen werden, werden abgelehnt. Wird .Cm ForwardX11Timeout auf 0 gesetzt, dann wird die Zeitüberschreitung deaktiviert und X11-Weiterleitung für die Lebensdauer der Verbindung erlaubt. Standardmäßig wird nicht vertrauenswürdige X11-Weiterleitung nach dem Ablauf von 20 Minuten deaktiviert. .It Cm ForwardX11Trusted Falls diese Option auf .Cm yes gesetzt ist, haben ferne X11-Clients vollen Zugriff auf das ursprüngliche X11-Display. .Pp Falls diese Option auf .Cm no (die Vorgabe) gesetzt ist, werden ferne X11-Clients als unvertrauenswürdig betrachtet und daran gehindert, Daten, die zu vertrauenswürdigen X11-Clients gehören, zu stehlen oder zu verändern. Desweiteren wird der für die Sitzung verwandte .Xr xauth 1 -Eintrag so eingestellt, dass er nach 20 Minuten abläuft. Fernen Clients wird nach dieser Zeit ein Zugriff verweigert. .Pp Siehe die Spezifikation der X11-SECURITY-Erweiterungen für vollständige Details über die für nicht vertrauenswürdige Clients eingeführten Beschränkungen. .It Cm GatewayPorts Legt fest, ob es fernen Rechnern erlaubt ist, sich mit lokal weitergeleiteten Ports zu verbinden. Standardmäßig bindet .Xr ssh 1 lokale Port-Weiterleitungen an die Loopback-Adresse an. Dies hindert andere ferne Rechner am Verbinden mit weitergeleiteten Ports\&. .Cm GatewayPorts kann dazu verwandt werden, anzugeben, dass Ssh lokale Port-Weiterleitungen an die Platzhalter-Adressen anbindet, und es damit fernen Rechnern erlaubt, sich mit weitergeleiteten Ports zu verbinden. Das Argument muss .Cm yes oder .Cm no (die Vorgabe) sein. .It Cm GlobalKnownHostsFile Legt eine oder mehrere, durch Leerraum getrennte Dateien fest, die als globale Schlüsseldatenbank verwandt werden sollen. Die Vorgabe ist .Pa /etc/ssh/ssh_known_hosts , .Pa /etc/ssh/ssh_known_hosts2 . .It Cm GSSAPIAuthentication Legt fest, ob die GSSAPI-basierte Benutzerauthentifizierung erlaubt ist. Die Vorgabe ist .Cm no . .It Cm GSSAPIDelegateCredentials Leitet Anmeldedaten an den Server weiter (delegieren). Die Vorgabe ist .Cm no . .It Cm HashKnownHosts Zeigt an, dass .Xr ssh 1 Rechnernamen und -adressen hashen soll, wenn sie zu .Pa ~/.ssh/known_hosts hinzugefügt werden. Diese gehashten Namen können normal von .Xr ssh 1 und .Xr sshd 8 verwandt werden, sie stellen aber visuell keine identifizierenden Informationen dar, falls der Inhalt der Datei offengelegt wird. Die Vorgabe ist .Cm no . Beachten Sie, dass bestehende Namen und Adressen in Dateien bekannter Namen nicht automatisch konvertiert werden. Sie können aber manuell mittels .Xr ssh-keygen 1 gehasht werden. .It Cm HostbasedAcceptedAlgorithms Legt die für Rechner-basierte Authentifizierung zu verwendenden Signaturalgorithmen als Komma-getrennte Liste von Mustern fest. Falls alternativ die festgelegte Liste mit einem »+«-Zeichen beginnt, werden die festgelegten Signaturalgorithmen an die Vorgabemenge angehängt, statt sie zu ersetzen. Falls die festgelegte Liste mit einem »-«-Zeichen beginnt, dann werden die festgelegten Signaturalgorithmen (einschließlich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt sie zu ersetzen. Falls die festgelegte Liste mit einem »^«-Zeichen beginnt, dann werden die festgelegten Signaturalgorithmen an den Anfang der Vorgabemenge gestellt. Die Vorgabe für diese Option ist: .Bd -literal -offset 3n ssh-ed25519-cert-v01@openssh.com, ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-ed25519, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ssh-ed25519@openssh.com, sk-ecdsa-sha2-nistp256@openssh.com, rsa-sha2-512,rsa-sha2-256 .Ed .Pp Die Option .Fl Q von .Xr ssh 1 kann zur Anzeige unterstützter Signaturalgorithmen verwandt werden. Dies wurde früher HostbasedKeyTypes genannt. .It Cm HostbasedAuthentication Legt fest, ob ob asymmetrische Authentifizierung über Rhosts versucht werden soll. Das Argument muss .Cm yes oder .Cm no (die Vorgabe) sein. .It Cm HostKeyAlgorithms Legt die Rechnerschlüsselsignaturalgorithmen fest, die der Client benutzen möchte (der Präferenz nach sortiert). Falls die Liste alternativ mit »+« beginnt, dann werden die festgelegten Signaturalgorithmen an die Vorgabemenge angehängt, statt diese zu ersetzen. Falls die festgelegte Liste mit einem »-« beginnt, dann werden die festgelegten Signaturalgorithmen (einschließlich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt diese zu ersetzen. Falls die festgelegte Liste mit einem »^« beginnt, dann werden die festgelegten Signaturalgorithmen an den Anfang der Vorgabeliste gesetzt. Die Vorgabe für diese Option lautet: .Bd -literal -offset 3n ssh-ed25519-cert-v01@openssh.com, ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-ed25519, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ecdsa-sha2-nistp256@openssh.com, sk-ssh-ed25519@openssh.com, rsa-sha2-512,rsa-sha2-256 .Ed .Pp Falls die Rechnerschlüssel für den Zielrechner bekannt sind, dann wird diese Vorgabe verändert, um dessen Algorithmen zu bevorzugen. .Pp Die Liste der verfügbaren Signaturalgorithmen kann auch mittels .Qq ssh -Q HostKeyAlgorithms erhalten werden. .It Cm HostKeyAlias Legt einen Alias fest, der statt des echten Rechnernamens beim Nachschlagen oder Speichern des Rechnerschlüssels in den Rechnerschlüsseldatenbankdateien und beim Überprüfen von Rechnerzertifikaten verwandt werden soll. Diese Option ist zum Tunneln von SSH-Verbindungen oder für mehrere Server, die auf dem gleichen Rechner laufen, nützlich. .It Cm Hostname Legt den echten Rechnernamen, bei dem angemeldet werden soll, fest. Dies kann zur Angabe von Spitznamen oder Abkürzungen für Rechner verwandt werden. Argumente für .Cm Hostname akzeptieren die im Abschnitt .Sx MERKMALE beschriebenen Merkmale. Auch numerische Adressen sind erlaubt (sowohl auf der Befehlszeile als auch in .Cm Hostname -Angaben). Die Vorgabe ist der auf der Befehlszeile übergebene Name. .It Cm IdentitiesOnly Legt fest, dass .Xr ssh 1 nur die konfigurierten Authentifizierungsidentitäten und Zertifikatsdateien (entweder die Vorgabedateien oder solche, die explizit in den .Nm ssh_config -Dateien konfiguriert oder auf der Befehlszeile von .Xr ssh 1 übergeben wurden) verwenden soll, selbst falls .Xr ssh-agent 1 oder ein .Cm PKCS11Provider oder .Cm SecurityKeyProvider mehrere Identitäten anbieten. Das Argument für dieses Schlüsselwort muss .Cm yes oder .Cm no (die Vorgabe). Diese Option ist für Situationen gedacht, bei denen der Ssh-Vermittler viele verschiedene Identitäten anbietet. .It Cm IdentityAgent Legt das zur Kommunikation mit dem Authentifizierungsvermittler verwandte .Ux Ns -domain -Socket fest. .Pp Diese Option setzt die Umgebungsvariable .Ev SSH_AUTH_SOCK außer Kraft und kann zur Auswahl eines bestimmten Vermittlers verwandt werden. Durch Setzen des Socket-Namens auf .Cm none wird die Verwendung des Authentifizierungsvermittlers deaktiviert. Falls die Zeichenkette .Qq SSH_AUTH_SOCK festgelegt wird, wird der Ort des Sockets aus der Umgebungsvariablen .Ev SSH_AUTH_SOCK gelesen. Andernfalls, falls der festgelegte Wert mit einem »$« beginnt, wird er als eine Umgebungsvariable behandelt, die den Ort des Sockets enthält. .Pp Argumente für .Cm IdentityAgent können die Tilde-Syntax zur Referenz auf das Home-Verzeichnis des Benutzers, die im Abschnitt .Sx MERKMALE beschriebenen Merkmale und die im Abschnitt .Sx UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen verwenden. .It Cm IdentityFile Legt eine Datei fest, aus der die DSA-, ECDSA-, Authentifikator-basierte ECDSA-, Ed25519-, Authentifikator-basierte Ed25519- oder RSA-Authentifizierungs-Identität gelesen wird. Sie können auch eine öffentliche Schlüsseldatei festlegen, um den entsprechenden privaten Schlüssel zu verwenden, der in .Xr ssh-agent 1 geladen ist, wenn die private Schlüsseldatei lokal nicht vorhanden ist. Die Vorgabe ist .Pa ~/.ssh/id_rsa , .Pa ~/.ssh/id_ecdsa , .Pa ~/.ssh/id_ecdsa_sk , .Pa ~/.ssh/id_ed25519 , .Pa ~/.ssh/id_ed25519_sk und .Pa ~/.ssh/id_dsa . Zusätzlich werden alle im Authentifizierungsvermittler dargestellten Identitäten für die Authentifizierung verwandt, außer .Cm IdentitiesOnly ist gesetzt. Falls durch .Cm CertificateFile keine Zertifikate explizit festgelegt wurden, wird .Xr ssh 1 versuchen, Zertifikatsinformationen aus dem Dateinamen zu erlangen, der durch Anhängen von .Pa -cert.pub an den Pfad des festgelegten .Cm IdentityFile erhalten wird. .Pp Argumente für .Cm IdentityFile können die Tilde-Syntax zur Referenz auf das Home-Verzeichnis des Benutzers oder die im Abschnitt .Sx MERKMALE beschriebenen Merkmale verwenden. Alternativ kann ein Argument .Cm none verwandt werden, um anzuzeigen, dass keine Identitätsdatei geladen werden soll. .Pp Es ist möglich, in Konfigurationsdateien mehrere Identitäten festgelegt zu haben. Alle diese Identitäten werden nacheinander versucht. Mehrere Direktiven .Cm IdentityFile fügen zu der Liste der versuchten Identitäten hinzu (dieses Verhalten unterscheidet sich von dem anderer Konfigurationsdirektiven). .Pp .Cm IdentityFile kann zusammen mit .Cm IdentitiesOnly verwandt werden, um auszuwählen, welche Identitäten im Vermittler während der Authentifizierung angeboten werden. .Cm IdentityFile kann auch zusammen mit .Cm CertificateFile verwandt werden, um alle Zertifikate bereitzustellen, die auch für die Authentifizierung mit der Identität benötigt werden. .It Cm IgnoreUnknown Legt eine Musterliste von unbekannten Optionen fest, die ignoriert werden sollen, falls sie beim Auswerten von Konfigurationen angetroffen werden. Dies kann zur Unterdrückung von Fehlern verwandt werden, falls .Nm ssh_config Optionen enthält, die von .Xr ssh 1 nicht erkannt werden. Es wird empfohlen, dass .Cm IgnoreUnknown im Anfangsbereich der Konfigurationsdatei aufgeführt wird, da es nicht auf unbekannte Optionen angewandt wird, die davor stehen. .It Cm Include Bindet die festgelegten Konfigurationsdatei(en) ein. Es können mehrere Pfadnamen angegeben werden und jeder Pfadname kann .Xr glob 7 -Platzhalter enthalten und für Benutzerkonfigurationen auch Shell-artige »~«-Referenzen auf Home-Verzeichnisse von Benutzern. Platzhalter werden expandiert und in lexikalischer Reihenfolge verarbeitet. Dateien ohne absoluten Pfadnamen werden im Verzeichnis .Pa ~/.ssh angenommen, falls sie Teil einer Benutzerkonfigurationsdatei sind, oder in .Pa /etc/ssh , falls sie von einer Systemkonfigurationsdatei eingebunden werden. Die Direktive .Cm Include kann innerhalb eines .Cm Match - oder .Cm Host -Blocks auftauchen, um bedingte Einbindung durchzuführen. .It Cm IPQoS Legt die IPv4-Dienstetyp- oder DSCP-Klasse für Verbindungen fest. Akzeptierte Werte sind .Cm af11 , .Cm af12 , .Cm af13 , .Cm af21 , .Cm af22 , .Cm af23 , .Cm af31 , .Cm af32 , .Cm af33 , .Cm af41 , .Cm af42 , .Cm af43 , .Cm cs0 , .Cm cs1 , .Cm cs2 , .Cm cs3 , .Cm cs4 , .Cm cs5 , .Cm cs6 , .Cm cs7 , .Cm ef , .Cm le , .Cm lowdelay , .Cm throughput , .Cm reliability , ein numerischer Wert und .Cm none , um die Vorgabe des Betriebssystems zu verwenden. Diese Option akzeptiert ein oder zwei, durch Leerraum getrennte Argumente. Falls ein Argument festgelegt ist, wird es bedingungslos als Paketklasse verwandt. Falls zwei Argumente festgelegt sind, wird das erste automatisch für interaktive Sitzungen ausgewählt und das zweite für nichtinteraktive Sitzungen. Die Vorgabe ist .Cm af21 (Daten mit geringer Verzögerung) für interaktive Sitzungen und .Cm cs1 (geringerer Aufwand) für nichtinteraktive Sitzungen. .It Cm KbdInteractiveAuthentication Legt fest, ob interaktive Authentifizierung mit der Tastatur verwandt wird. Das Argument für dieses Schlüsselwort muss .Cm yes (die Vorgabe) oder .Cm no sein. .Cm ChallengeResponseAuthentication ist ein veralteter Alias hierfür. .It Cm KbdInteractiveDevices Legt die Liste der Methoden fest, die bei interaktiver Authentifizierung mit der Tastatur verwandt werden. Mehrere Methodennamen müssen durch Kommata getrennt werden. Die Vorgabe ist die Verwendung der vom Server festgelegten Liste. Die verfügbaren Methoden hängen von der Unterstützung durch den Server ab. Für einen OpenSSH-Server kann diese eines oder mehrere aus .Cm bsdauth und .Cm pam sein. .It Cm KexAlgorithms Legt die verfügbaren KEX- (Schlüsselaustausch-) Algorithmen fest. Mehrere Algorithmen müssen durch Kommata getrennt werden. Falls die festgelegte Liste mit einem »+« beginnt, dann werden die angegebenen Algorithmen an die Vorgabemenge angehängt, statt diese zu ersetzen. Falls die angegebene Liste mit einem »-« beginnt, dann werden die angegebenen Algorithmen (einschließlich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt sie zu ersetzen. Falls die angegebene Liste mit einem »^« beginnt, dann werden die angegebenen Algorithmen am Anfang der Vorgabemenge abgelegt. Die Vorgabe ist: .Bd -literal -offset indent sntrup761x25519-sha512@openssh.com, curve25519-sha256,curve25519-sha256@libssh.org, ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521, diffie-hellman-group-exchange-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512, diffie-hellman-group14-sha256 .Ed .Pp Die Liste der verfügbaren Schlüsselaustauschalgorithmen kann auch mittels .Qq ssh -Q kex erhalten werden. .It Cm KnownHostsCommand Legt einen Befehl fest, der zum Erlangen des Rechnerschlüssels verwandt werden soll, zusätzlich zu den in .Cm UserKnownHostsFile und .Cm GlobalKnownHostsFile aufgeführten. Dieser Befehl wird ausgeführt, nachdem diese Dateien gelesen wurden. Er kann Rechnerschlüsselzeilen auf die Standardausgabe schreiben, in einem Format, das identisch zu gewöhnlichen Dateien ist (beschrieben im Abschnitt .Sx RECHNERSCHLÜSSEL ÜBERPRÜFEN in .Xr ssh 1 ) . Argumente für .Cm KnownHostsCommand akzeptieren die in .Sx MERKMALE beschriebenen Merkmale. Dieser Befehl kann mehrfach pro Verbindung aufgerufen werden; einmal bei der Vorbereitung der Vorzugsliste der zu verwendenden Rechnerschlüsselalgorithmen, dann wieder, um den Rechnerschlüssel für den angeforderten Rechnernamen zu erlangen und, falls .Cm CheckHostIP aktiviert ist, noch einmal, um den Rechnerschlüssel zu erlangen, der auf die Adresse des Servers passt. Falls der Befehl sich nicht normal beendet oder ein von Null verschiedenen Exit-Status zurückliefert, wird die Verbindung beendet. .It Cm LocalCommand Legt einen Befehl fest, der nach erfolgreicher Verbindung zum Server auf der lokalen Maschine ausgeführt werden soll. Die Befehlszeichenkette geht bis zum Zeilenende und wird in der Shell des Benutzers ausgeführt. Die Argumente von .Cm LocalCommand akzeptieren die im Abschnitt .Sx MERKMALE beschriebenen Merkmale. .Pp Der Befehl wird synchron ausgeführt und muss keinen Zugriff auf die Sitzung von .Xr ssh 1 haben, die ihn erzeugte. Er sollte nicht für interaktive Befehle verwandt werden. .Pp Diese Direktive wird ignoriert, außer .Cm PermitLocalCommand wurde aktiviert. .It Cm LocalForward Legt fest, dass ein TCP-Port auf der lokalen Maschine über den sicheren Kanal zu dem festgelegten Rechner und Port auf der fernen Maschine weitergeleitet wird. Das erste Argument legt den auf Anfragen Wartenden fest und kann .Sm off .Oo Ar Anbindeadresse : Oc Ar Port .Sm on oder ein Unix-Domain-Socket-Pfad sein. Das zweite Argument ist das Ziel und kann .Ar Rechner : Ns Ar Rechnerport oder ein Unix-Domain-Socket-Pfad sein, falls dies der ferne Rechner unterstützt. .Pp IPv6-Adressen können durch Einschluss in eckige Klammern festgelegt werden. Es können mehrere Weiterleitungen festgelegt werden und zusätzliche Weiterleitungen können auf der Befehlszeile übergeben werden. Nur der Administrator kann privilegierte Ports weiterleiten. Standardmäßig ist der lokale Port gemäß der Einstellung .Cm GatewayPorts angebunden. Allerdings kann eine explizite .Ar Anbindeadresse verwandt werden, um die Verbindung an eine bestimmte Adresse anzubinden. Wird .Cm localhost als .Ar Anbindeadresse verwandt, so zeigt dies an, dass der Port, an dem auf Anfragen gewartet werden soll, nur für die lokale Verwendung angebunden ist, während eine leere Adresse oder »*« anzeigt, dass der Port von allen Schnittstellen aus verfügbar sein soll. Unix-Domain-Sockets können die im Abschnitt .Sx MERKMALE beschriebenen Merkmale und die im Abschnitt .Sx UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen verwenden. .It Cm LogLevel Gibt die Ausführlichkeitsstufe an, die beim Protokollieren von Nachrichten von .Xr ssh 1 verwandt werden soll. Die möglichen Werte sind: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 und DEBUG3. Die Vorgabe ist INFO. DEBUG und DEBUG1 sind äquivalent. DEBUG2 und DEBUG3 geben jeweils eine höhere Stufe der Ausführlichkeit der Ausgabe an. .It Cm LogVerbose Legt eine oder mehrere Außerkraftsetzungen für LogLevel fest. Eine Außerkraftsetzung besteht aus einer Musterliste, die auf die Quelldatei, Funktion und Zeilennummer passt, für die detaillierte Protokollierung erzwungen werden soll. Beispielsweise würde ein Außerkraftsetzungsmuster .Bd -literal -offset indent kex.c:*:1000,*:kex_exchange_identification():*,packet.c:* .Ed .Pp detaillierte Protokollierung für Zeile 1000 von .Pa kex.c , alles in der Funktion .Fn kex_exchange_identification und allen Code in der Datei .Pa packet.c aktivieren. Diese Option ist zur Fehlersuche gedacht und standardmäßig sind keine Außerkraftsetzungen aktiviert. .It Cm MACs Legt die MAC- (Nachrichtenauthentifizierungscode-)Algorithmen fest, in der Reihenfolge der Präferenz. Der MAC-Algorithmus wird für den Datenintegritätsschutz verwandt. Mehrere Algorithmen müssen durch Kommata getrennt werden. Beginnt die festgelegte Liste mit einem »+«, dann werden die festgelegten Algorithmen an die Vorgabemenge angehängt, statt diese zu ersetzen. Beginnt die festgelegte Liste mit einem »-«, dann werden die festgelegten Algorithmen (einschließlich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt diese zu ersetzen. Beginnt die festgelegte Liste mit einem »^«, dann werden die festgelegten Algorithmen an den Anfang der Vorgabemenge gelegt. .Pp Die Algorithmen, die .Qq -etm enthalten, berechnen die MAC nach der Verschlüsselung ((encrypt-then-mac). Diese werden als sicherer betrachtet und ihr Einsatz wird empfohlen. .Pp Die Vorgabe ist: .Bd -literal -offset indent umac-64-etm@openssh.com,umac-128-etm@openssh.com, hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com, hmac-sha1-etm@openssh.com, umac-64@openssh.com,umac-128@openssh.com, hmac-sha2-256,hmac-sha2-512,hmac-sha1 .Ed .Pp Die Liste der verfügbaren MAC-Algorithmen kann auch mittels .Qq ssh -Q mac erhalten werden. .It Cm NoHostAuthenticationForLocalhost Deaktiviert Rechner-basierte Authentifizierung für Localhost (Loopback-Adresse). Das Argument für dieses Schlüsselwort muss .Cm yes oder .Cm no (die Vorgabe) sein. .It Cm NumberOfPasswordPrompts Legt die Anzahl der Passworteingabeaufforderungen fest, bevor aufgegeben wird. Das Argument für dieses Schlüsselwort muss eine Ganzzahl sein. Die Vorgabe ist 3. .It Cm ObscureKeystrokeTiming Legt fest, ob .Xr ssh 1 versuchen soll, den zeitlichen Ablauf von Tastaturanschlägen gegenüber passiven Beobachtern des Netzwerkverkehrs zu verschleiern. Falls aktiviert, dann wird .Xr ssh 1 bei interaktiven Sitzungen die Tastaturanschläge in festen Zeitintervallen von wenigen zehn Mikrosekunden senden und fingierte Tastaturanschlagspakete einige Zeit nachdem das Tippen aufhört. Das Argument für dieses Schlüsselwort muss .Cm yes , .Cm no oder ein Intervallkennzeichner der Form .Cm interval:Millisekunden (z.B.\& .Cm interval:80 für 80 Millisekunden) sein. Standardmäßig werden Tastaturanschläge mittels eines 20 ms Paketintervalls verschleiert. Beachten Sie, dass kleinere Intervalle zu höheren Paketraten fingierter Tastaturanschläge führen werden. .It Cm PasswordAuthentication Legt fest, ob Passwort-Authentifizierung verwandt werden soll. Das Argument für dieses Schlüsselwort muss .Cm yes (die Vorgabe) oder .Cm no sein. .It Cm PermitLocalCommand Erlaubt die Ausführung lokaler Befehle mittels der Option .Ic LocalCommand oder mittels der Maskiersequenz .Ic !\& Ns Ar Befehl in .Xr ssh 1 . Das Argument muss .Cm yes oder .Cm no (die Vorgabe) sein. .It Cm PermitRemoteOpen Legt das Ziel fest, zu dem TCP-Port-Weiterleitung erlaubt ist, wenn .Cm RemoteForward als SOCKS-Proxy verwandt wird. Die Weiterleitungsfestlegung muss eine der folgenden Formen annehmen: .Pp .Bl -item -offset indent -compact .It .Cm PermitRemoteOpen .Sm off .Ar Rechner : Port .Sm on .It .Cm PermitRemoteOpen .Sm off .Ar IPv4-Adresse : Port .Sm on .It .Cm PermitRemoteOpen .Sm off .Ar \&[ IPv6-Adresse \&] : Port .Sm on .El .Pp Mehrere Weiterleitungen können angegeben werden, indem sie durch Leerraum getrennt werden. Ein Argument .Cm any kann verwandt werden, um alle Beschränkungen zu entfernen und alle Weiterleitungsanfragen zu erlauben. Ein Argument .Cm none kann verwandt werden, um alle Weiterleitungsanfragen zu verbieten. Der Platzhalter »*« kann für Rechner oder Port verwandt werden, um alle Rechner bzw. Ports zu erlauben. Darüber hinaus erfolgt kein Musterabgleich oder Adressabfragen bei bereitgestellten Namen. Standardmäßig sind alle Port-Weiterleitungsanfragen erlaubt. .It Cm PKCS11Provider Legt fest, welcher PKCS#11-Anbieter verwandt werden soll oder .Cm none (die Vorgabe), dass kein Anbieter verwandt werden soll. Das Argument für dieses Schlüsselwort ist ein Pfad zu einer dynamischen PKCS#11-Bibliothek, die .Xr ssh 1 zur Kommunikation mit einem PKCS#11-Token verwenden soll, der Schlüssel für die Benutzerauthentifizierung bereitstellt. .It Cm Port Legt die Nummer des Ports fest, mit dem auf dem fernen Rechner verbunden werden soll. Die Vorgabe ist 22. .It Cm PreferredAuthentications Legt die Reihenfolge fest, in der die Clients Authentifizierungsmethoden ausprobieren sollen. Dies erlaubt es Clients, eine bestimmte Methode (z.B.\& .Cm keyboard-interactive ) gegenüber anderen Methoden (z.B.\& .Cm password ) zu bevorzugen. Die Vorgabe lautet: .Bd -literal -offset indent gssapi-with-mic,hostbased,publickey, keyboard-interactive,password .Ed .It Cm ProxyCommand Legt den für Verbindungen zum Server zu verwendenden Befehl fest. Die Befehlszeichenkette geht bis zum Zeilenende und wird mittels der .Ql exec -Direktive der Shell des Benutzers ausgeführt, um einen schleppenden Shell-Prozess zu vermeiden. .Pp Argumente für .Cm ProxyCommand akzeptieren die im Abschnitt .Sx MERKMALE beschriebenen Merkmale. Der Befehl kann im Prinzip alles sein, und sollte von seiner Standardeingabe einlesen und zur Standardausgabe schreiben. Er sollte sich schließlich mit einem .Xr sshd 8 -Server verbinden, der auf irgendeiner Maschine läuft, oder .Ic sshd -i irgendwo ausführen. Die Schlüsselverwaltung erfolgt mittels des .Cm Hostname des Rechners, zu dem verbunden wird (standardmäßig der Name, den der Benutzer eingegeben hat). Durch Setzen des Befehl auf .Cm none wird diese Option komplett deaktiviert. Beachten Sie, dass .Cm CheckHostIP für Verbindungen mit einem Proxy-Befehl nicht verfügbar ist. .Pp Diese Direktive ist im Zusammenspiel mit .Xr nc 1 und seiner Proxy-Unterstützung nützlich. Die folgende Direktive würde sich beispielsweise mittels eines HTTP-Proxys zu 192.0.2.0 verbinden: .Bd -literal -offset 3n ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p .Ed .It Cm ProxyJump Legt einen oder mehrere Sprung-Proxys als entweder .Xo .Sm off .Op Ar Benutzer No @ .Ar Rechner .Op : Ns Ar Port .Sm on oder als eine SSH-URI .Xc fest. Mehrere Proxys können durch Kommata getrennt werden. Diese werden der Reihe nach besucht. Durch Setzen dieser Option wird sich .Xr ssh 1 mit dem Zielrechner verbinden, indem es zuerst eine .Xr ssh 1 -Verbindung zu dem festgelegten .Cm ProxyJump -Rechner aufbaut und dann eine TCP-Weiterleitung zu dem endgültigen Ziel von dort aus aufbaut. Durch Setzen des Rechners auf .Cm none wird diese Option komplett deaktiviert. .Pp Beachten Sie, dass diese Option im Wettstreit mit der Option .Cm ProxyCommand steht - die zuerst angegebene wird die nachfolgende nicht wirksam werden lassen. .Pp Beachten Sie auch, dass die Konfiguration für den Zielrechner (entweder auf der Befehlszeile übergeben oder aus der Konfigurationsdatei) im Allgemeinen für Sprung-Rechner nicht angewandt wird. Verwenden Sie .Pa ~/.ssh/config , falls für den Sprungrechner spezielle Konfiguration notwendig ist. .It Cm ProxyUseFdpass Legt fest, dass .Cm ProxyCommand einen verbundenen Dateideskriptor an .Xr ssh 1 zurückgeben wird, statt weiter auszuführen und Daten zu übergeben. Die Vorgabe ist .Cm no . .It Cm PubkeyAcceptedAlgorithms Legt die Signaturalgorithmen als Kommata-getrennte Liste von Mustern fest, die für asymmetrische Authentifizierung verwandt werden sollen. Falls die festgelegte Liste mit einem »+« beginnt, dann werden die danach festgelegten Algorithmen an die Vorgabemenge angehängt, statt diese zu ersetzen. Falls die festgelegte Liste mit einem »-« beginnt, dann werden die festgelegten Algorithmen (einschließlich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt sie zu ersetzen. Falls die festgelegte Liste mit einem »^« beginnt, dann werden die festgelegten Algorithmen am Anfang der Vorgabemenge abgelegt. Die Vorgabe für diese Option lautet: .Bd -literal -offset 3n ssh-ed25519-cert-v01@openssh.com, ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-ed25519, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ssh-ed25519@openssh.com, sk-ecdsa-sha2-nistp256@openssh.com, rsa-sha2-512,rsa-sha2-256 .Ed .Pp Die Liste der verfügbaren Signaturalgorithmen kann auch mittels .Qq ssh -Q PubkeyAcceptedAlgorithms erhalten werden. .It Cm PubkeyAuthentication Legt fest, ob asymmetrische Authentifizierung versucht werden soll. Das Argument dieses Schlüsselwortes muss .Cm yes (die Vorgabe), .Cm no , .Cm unbound oder .Cm host-bound sein. Die letzteren zwei Optionen aktivieren asymmetrische Authentifizierung bei gleichzeitiger Deaktivierung bzw. Aktivierung der rechnergebundenen Authentifizierungsprotokollerweiterung von OpenSSH, die zur Beschränkung der .Xr ssh-agent 1 -Weiterleitung benötigt wird. .It Cm RekeyLimit Legt die maximale Menge an Daten fest, die übetragen oder empfangen werden dürfen, bevor der Sitzungsschlüssel neu ausgehandelt wird. Optional kann eine maximale Zeitdauer anhängt werden, die vergehen darf, bevor der Sitzungsschlüssel neu ausgehandelt wird. Das erste Argument wird in Bytes angegeben und darf die Endungen »K« (für Kilobyte), »M« (für Megabyte) oder »G« (für Gigabyte) tragen. Die Vorgabe liegt zwischen »1G« und »4G«, abhängig von der Chiffre. Der optionale zweite Wert wird in Sekunden festgelegt und kann jede der im Abschnitt TIME FORMATS von .Xr sshd_config 5 angegebenen Einheiten verwenden. Der Vorgabewert für .Cm RekeyLimit ist .Cm default none . Dies bedeutet, dass Schlüsselneuaushandlung durchgeführt wird, wenn die Vorgabemenge der Chiffre von Daten gesandt oder empfangen wurde und keine zeitbasierte Schlüsselneuaushandlung erfolgt. .It Cm RemoteCommand Legt einen Befehl fest, der nach erfolgreicher Anmeldung am Server auf der fernen Maschine ausgeführt werden soll. Die Befehlszeichenkette geht bis zum Zeilenende und wird mit der Shell des Benutzers ausgeführt. Argumente für .Cm RemoteCommand akzeptieren die im Abschnitt .Sx MERKMALE beschriebenen Merkmale. .It Cm RemoteForward Legt fest, dass ein TCP-Port auf der fernen Maschine über den sicheren Kanal weitergeleitet wird. Der ferne Port kann entweder zu einem festgelegten Rechner und Port von der lokalen Maschine weitergeleitet werden oder er kann als SOCKS-4/5-Proxy agieren, der es einem fernen Client erlaubt, sich zu beliebigen Zielen von der lokalen Maschine zu verbinden. Das erste Argument ist die Festlegung für das Warten auf Anfragen. Dieses kann entweder .Sm off .Oo Ar Anbindeadresse : Oc Ar Port .Sm on oder ein Unix-Domain-Socketpfad sein, falls der ferne Rechner dies unterstützt. Falls zu einem bestimmten Ziel weitergeleitet wird, dann muss das zweite Argument .Ar Rechner : Ns Ar Rechnerport oder ein Unix-Domain-Socketpfad sein. Andernfalls wird das ferne Weiterleiten als ein SOCKS-Proxy realisiert, falls kein Zielargument festgelegt ist. Wird als SOCKS-Proxy agiert, dann kann das Ziel der Verbindung mittels .Cm PermitRemoteOpen eingeschränkt werden. .Pp Durch Einschluss der Adresse in eckigen Klammern werden IPv6-Adressen festgelegt. Mehrere Weiterleitungen können festgelegt werden und zusätzliche Weiterleitungen können auf der Befehlszeile übergeben werden. Privilegierte Ports können nur nach Anmeldung als root auf der fernen Maschine weitergeleitet werden. Unix-Domain-Socketpfade können die im Abschnitt .Sx MERKMALE beschriebenen Merkmale und die im Abschnitt .Sx UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen verwenden. .Pp Falls das Argument .Ar Port 0 ist, dann wird der Port, an dem auf Anfragen gewartet wird, dynamisch vom Server zugewiesen und dem Client zur Laufzeit übermittelt. .Pp Falls die .Ar Anbindeadresse nicht festgelegt ist, dann wird standardmäßig nur an die Loopback-Adresse angebunden. Falls die .Ar Anbindeadresse .Ql * oder die leere Zeichenkette ist, dann wird die Weiterleitung gebeten, auf allen Schnittstellen auf Anfragen zu warten. Die Festlegung einer fernen .Ar Anbindeadresse wird nur erfolgreich sein, falls die Option .Cm GatewayPorts des Servers aktiviert ist (siehe .Xr sshd_config 5 ) . .It Cm RequestTTY Legt fest, ob ein Pseudo-TTY für die Sitzung erbeten werden soll. Das Argument kann entweder .Cm no (niemals ein TTY erbeten), .Cm yes (immer ein TTY erbeten, wenn die Standardeingabe ein TTY ist), .Cm force (immer ein TTY erbeten) oder .Cm auto (ein TTY erbeten, wenn eine Anmeldesitzung eröffnet wird) sein. Diese Option spiegelt die Schalter .Fl t und .Fl T von .Xr ssh 1 . .It Cm RequiredRSASize Legt die minimale RSA-Schlüsselgröße (in Bit) fest, die .Xr ssh 1 akzeptieren wird. Benutzer-Authentifizierungsschlüssel, die kleiner als diese Begrenzung sind, werden ignoriert. Server, die rechnerbasierte Schlüssel präsentieren, die kleiner als diese Begrenzung sind, führen dazu, dass die Verbindung beendet wird. Die Vorgabe ist .Cm 1024 bit. Beachten Sie, dass diese Beschränkung von der Vorgabe her nur angehoben werden kann. .It Cm RevokedHostKeys Legt gesperrte öffentliche Rechnerschlüssel fest. Bei denen in dieser Datei aufgeführten Schlüsseln wird Rechner-Authentifizierung abgelehnt. Beachten Sie, dass Rechner-Authentifizierung für alle Rechner abgelehnt wird, falls diese Datei nicht existiert oder nicht lesbar ist. Schlüssel müssen als Textdatei festgelegt werden, wobei ein öffentlicher Schlüssel pro Zeile aufgeführt wird, oder als eine OpenSSH-Schlüsselsperrliste (KRL), wie sie von .Xr ssh-keygen 1 erstellt wird. Für weitere Informationen über KRLs lesen Sie den Abschnitt SCHLÜSSELSPERRLISTEN in .Xr ssh-keygen 1 . Argumente für .Cm RevokedHostKeys können die Tilde-Syntax verwenden, um sich auf das Home-Verzeichnis eines Benutzer, den im Abschnitt .Sx MERKMALE beschriebenen Merkmalen und den in Abschnitt .Sx UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen zu beziehen. .It Cm SecurityKeyProvider Gibt einen Pfad zu einer Bibliothek an, die beim Laden jedes FIDO-Authentifikator-basierten Schlüssels verwandt wird. Dies setzt die standardmäßige, eingebaute USB-HID-Unterstützung außer Kraft. .Pp Falls der festgelegte Wert mit einem »$« beginnt, dann wird er als Umgebungsvariable behandelt, die den Pfad zu der Bibliothek enthält. .It Cm SendEnv Legt fest, welche Variablen von der lokalen .Xr environ 7 zum Server gesendet werden sollen. Der Server muss dies unterstützen und zu deren Empfang konfiguriert sein. Beachten Sie, dass die Umgebungsvariable .Ev TERM immer gesandt wird, wenn ein Pseudo-Terminal erbeten wird, da sie vom Protokoll benötigt wird. Zur Konfiguration des Servers lesen Sie .Cm AcceptEnv in .Xr sshd_config 5 . Variablen werden durch den Namen festgelegt und können Platzhalterzeichen enthalten. Mehrere Umgebungsvariablen können durch Leerraum getrennt oder über mehrere .Cm SendEnv -Direktiven verteilt werden. .Pp Siehe .Sx MUSTER für weitere Informationen über Muster. .Pp Vorher gesetzte .Cm SendEnv -Variablen können zurückgesetzt werden, indem ihnen .Pa - vorangestellt wird. Standardmäßig werden keine Umgebungsvariablen gesandt. .It Cm ServerAliveCountMax Setzt die Anzahl der (nachfolgend beschriebenen) Lebensmeldungen, die gesendet werden können, ohne dass .Xr ssh 1 eine Nachricht vom Server zurück erhält. Falls diese Schwelle erreicht wird, während die Lebensmeldungen des Servers gesandt werden, wird Ssh die Verbindung zum Server trennen und die Sitzung beenden. Es ist wichtig anzumerken, dass der Einsatz der Lebensmeldungen sich sehr von .Cm TCPKeepAlive (siehe unten) unterscheidet. Die Server-Lebensmeldungen werden durch den verschlüsselten Kanal übersandt und können daher nicht gefälscht werden. Die mittels .Cm TCPKeepAlive aktivierte TCP-Keepalive-Option kann gefälscht werden. Der Server-Lebensmechanismus ist wertvoll, wenn der Client oder Server davon abhängen, zu wissen, wann die Verbindung aufhörte, zu reagieren. .Pp Der Vorgabewert ist 3. Falls beispielsweise .Cm ServerAliveInterval (siehe unten) auf 15 gesetzt ist und .Cm ServerAliveCountMax auf der Vorgabe verbleibt, dann wird Ssh nach ca. 45 Sekunden die Verbindung trennen, falls der Server nicht mehr reagiert. .It Cm ServerAliveInterval Setzt ein Zeitüberschreitungsintervall in Sekunden, nach der .Xr ssh 1 eine Nachricht durch den verschlüsselten Kanal senden und um eine Reaktion vom Server bitten wird, falls keine Daten vom Server empfangen wurden. Die Vorgabe ist 0, was anzeigt, dass diese Nachrichten nicht an den Server gesandt werden. .It Cm SessionType Kann zur Erbitten eines Subsystems auf dem fernen Rechner oder zur kompletten Verhinderung eines fernen Befehlsaufrufs verwandt werden. Letzteres ist nützlich, um nur Ports weiterzuleiten. Das Argument für dieses Schlüsselwort muss .Cm none (wie bei der Option .Fl N ) , .Cm subsystem (wie bei der Option .Fl s ) oder .Cm default (Shell oder Befehlsausführung) sein. .It Cm SetEnv Legt das Senden von einer oder mehrerer Umgebungsvariablen und ihren Inhalt an den Server direkt fest. Ähnlich zu .Cm SendEnv , mit Ausnahme der Variable .Ev TERM , muss der Server bereit sein, Umgebungsvariablen zu akzeptieren. .It Cm StdinNull Leitet Stdin von .Pa /dev/null um (verhindert tatsächlich das Lesen von Stdin). Entweder dies oder die äquivalente Option .Fl n muss verwandt werden, wenn .Nm ssh im Hintergrund ausgeführt wird. Das Argument für dieses Schlüsselwort muss .Cm yes (wie bei der Option .Fl n ) oder .Cm no (die Vorgabe) sein. .It Cm StreamLocalBindMask Setzt die oktale Dateierstellungsmaske .Pq umask , die bei der Erstellung einer Unix-Domain-Socket-Datei für lokale oder ferne Port-Weiterleitung verwandt werden soll. Diese Option wird nur für Port-Weiterleitungen zu einer Unix-Domain-Socket-Datei verwandt. .Pp Der Vorgabewert ist 0177. Dadurch wird eine Unix-Domain-Socket-Datei erstellt, die nur der Eigentümer lesen und schreiben kann. Beachten Sie, dass nicht alle Betriebssysteme den Dateimodus bei Unix-Domain-Socket-Dateien berücksichtigen. .It Cm StreamLocalBindUnlink Legt fest, ob eine bestehende Unix-Domain-Socket-Datei für lokale oder ferne Port-Weiterleitung entfernt werden soll, bevor eine neue erstellt wird. Falls die Socket-Datei bereits existiert und .Cm StreamLocalBindUnlink nicht aktiviert ist, wird .Nm ssh nicht in der Lage sein, den Port zu der Unix-Domain-Socket-Datei weiterzuleiten. Diese Option wird nur für Port-Weiterleitungen zu einer Unix-Domain-Socket-Datei verwandt. .Pp Das Argument muss .Cm yes oder .Cm no (die Vorgabe) sein. .It Cm StrictHostKeyChecking Falls dieser Schalter auf .Cm yes gesetzt ist, wird .Xr ssh 1 niemals automatisch Rechnerschlüssel zu der Datei .Pa ~/.ssh/known_hosts hinzufügen und es ablehnen, sich zu Rechnern zu verbinden, deren Rechner-Schlüssel sich geändert hat. Dies bietet einen maximalen Schutz gegen Man-in-the-middle- (MITM-)Angriffe. Es kann aber auch nervend sein, wenn die Datei .Pa /etc/ssh/ssh_known_hosts schlecht gepflegt wird oder wenn häufig Verbindungen zu neuen Rechnern erfolgen. Diese Option zwingt den Benutzer, alle neuen Rechner manuell hinzuzufügen. .Pp Falls dieser Schalter auf .Cm accept-new gesetzt ist, dann wird Ssh neue Rechnerschlüssel automatische zu den Dateien .Pa known_hosts der Benutzer hinzufügen, wird aber keine Verbindungen zu Rechnern mit geänderten Rechnerschlüsseln erlauben. Falls dieser Schalter auf .Cm no oder .Cm off gesetzt ist, wird Ssh automatisch neue Rechnerschlüssel zu den Dateien der bekannten Rechner der Benutzer hinzufügen und mit dem Aufbau von Verbindungen zu Rechnern, deren Rechnerschlüssel sich geändert hat, fortfahren, allerdings unter ein paar Einschränkungen. Falls dieser Schalter auf .Cm ask (die Vorgabe) gesetzt ist, werden neue Rechnerschlüssel zu den Dateien der bekannten Rechner der Benutzer erst hinzugefügt, wenn der Benutzer bestätigt hat, dass er dies wirklich möchte. Auch wird Ssh Verbindungen zu Rechnern verweigern, deren Rechnerschlüssel sich geändert hat. Die Rechnerschlüssel aller bekannten Rechner werden automatisch in allen Fällen überprüft. .It Cm SyslogFacility Gibt den Code der Einrichtung an, die beim Protokollieren von Nachrichten durch .Xr ssh 1 verwandt wird. Die möglichen Werte sind: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Die Vorgabe ist USER. .It Cm TCPKeepAlive Legt fest, ob das System TCP-Keepalive-Meldungen zu der anderen Seite senden soll. Falls diese gesandt werden, wird der Tod der Verbindung oder der Absturz einer der beiden Maschinen korrekt bemerkt. Allerdings bedeutet dies, dass die Verbindung abstürzt, falls die Route temporär nicht existiert und einige Leute finden das nervend. .Pp Die Vorgabe ist .Cm yes (TCP-Keepalive-Meldungen senden) und der Client wird es bemerken, wenn das Netzwerk ausfällt oder der ferne Rechner stirbt. Dies ist für Skripte wichtig, und viele Benutzer möchten es ebenfalls. .Pp Um TCP-Keepalive-Meldungen zu deaktivieren, sollte der Wert auf .Cm no gesetzt werden. Siehe auch .Cm ServerAliveInterval für Keepalives auf Protokoll-Ebene. .It Cm Tag Gibt ein Konfigurationsmerkmalnamen an, der später über eine Direktive .Cm Match zur Auswahl eines Konfigurationsblocks verwandt werden kann. .It Cm Tunnel Fordert die .Xr tun 4 -Geräteweiterleitung zwischen dem Client und dem Server an. Das Argument muss .Cm yes , .Cm point-to-point (Layer 3), .Cm ethernet (Layer 2) oder .Cm no (die Vorgabe) sein. Festlegung von .Cm yes fordert den Standard-Tunnelmodus ( .Cm point-to-point ) an. .It Cm TunnelDevice Legt die auf dem Client .Pq Ar lokaler_Tun und dem Server .Pq Ar ferner_Tun zu öffnenden .Xr tun 4 -Geräte fest. .Pp Das Argument muss .Sm off .Ar lokaler_Tun Op : Ar ferner_Tun .Sm on sein. Die Geräte können über die numerische Kennung oder das Schlüsselwort .Cm any , das das nächste verfügbare Tunnel-Gerät verwendet, festgelegt sein. Falls .Ar ferner_Tun nicht festgelegt ist, ist die Vorgabe .Cm any . Die Vorgabe ist .Cm any:any . .It Cm UpdateHostKeys Legt fest, ob .Xr ssh 1 Benachrichtigungen vom Server über zusätzliche Rechnerschlüssel akzeptieren soll, die gesandt werden, nachdem die Authentifizierung abgeschlossen wurde, und diese dann zu .Cm UserKnownHostsFile hinzufügen soll. Das Argument muss .Cm yes , .Cm no oder .Cm ask sein. Diese Option erlaubt das Kennenlernen alternativer Rechnerschlüssel für einen Server und unterstützt taktvolle Schlüsselrotation, indem dem Server ermöglicht wird, den Ersatz für den öffentlichen Schlüssel zu senden, bevor die alten entfernt werden. .Pp Zusätzliche Rechnerschlüssel werden nur akzeptiert, falls dem zur Authentifizierung des Rechners verwandten Schlüssel bereits vertraut oder dieser vom Benutzer explizit akzeptiert wurde, der Rechner mittels .Cm UserKnownHostsFile (d.h. nicht .Cm GlobalKnownHostsFile ) authentifiziert wurde und der Rechner mittels einfachem Schlüssel und nicht einem Zertifikat authentifiziert wurde. .Pp .Cm UpdateHostKeys ist standardmäßig aktiviert, falls der Benutzer nicht die Vorgabeeinstellung .Cm UserKnownHostsFile außer Kraft gesetzt und nicht .Cm VerifyHostKeyDNS aktiviert hat. Andernfalls wird .Cm UpdateHostKeys auf .Cm no gesetzt. .Pp Falls .Cm UpdateHostKeys auf .Cm ask gesetzt ist, wird der Benutzer um Bestätigungen bei Veränderungen an der Datei »known_hosts« gebeten. Bestätigungen sind derzeit mit .Cm ControlPersist inkompatibel und werden deaktiviert, falls das aktiviert ist. .Pp Derzeit unterstützen nur .Xr sshd 8 von OpenSSH 6.8 und neuere die .Qq hostkeys@openssh.com -Protokollerweiterung für die Information der Clients über alle Rechnerschlüssel des Servers. .It Cm User Legt den Benutzernamen fest, der bei der Anmeldung verwandet werden soll. Dies kann nützlich sein, wenn sich der Benutzername auf verschiedenen Maschinen unterscheidet. Dies erspart den Aufwand, daran zu denken, den Benutzernamen auf der Befehlszeile anzugeben. .It Cm UserKnownHostsFile Legt eine oder mehrere, durch Leerraum getrennte, Dateien fest, die für die Rechnerschlüsseldatenbank des Benutzer verwandt werden sollen. Jeder Dateiname kann die Tilde-Notation, um sich auf das Home-Verzeichnis des Benutzers zu beziehen, die im Abschnitt .Sx MERKMALE beschriebenen Merkmale und die im Abschnitt .Sx UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen verwenden. Der Wert .Cm none führt dazu, dass .Xr ssh 1 alle benutzerspezifischen Dateien bekannter Rechner ignoriert. Die Vorgabe ist .Pa ~/.ssh/known_hosts , .Pa ~/.ssh/known_hosts2 . .It Cm VerifyHostKeyDNS Legt fest, ob der ferne Schlüssel mittels DNS- und SSHFP-Ressourcen-Datensätzen verifiziert werden soll. Falls diese Option auf .Cm yes gesetzt ist, wird der Client implizit Schlüsseln vertrauen, die auf einen sicheren Fingerabdruck aus dem DNS passen. Unsichere Fingerabdrücke werden so gehandhabt, als ob die Option auf .Cm ask gesetzt worden wäre. Falls diese Option auf .Cm ask gesetzt ist, werden Informationen über Fingerabruck-Übereinstimmungen angezeigt, aber der Benutzer muss dennoch den neuen Rechnerschlüssel gemäß der Option .Cm StrictHostKeyChecking bestätigen. Die Vorgabe ist .Cm no . .Pp Siehe auch .Sx RECHNERSCHLÜSSEL ÜBERPRÜFEN in .Xr ssh 1 . .It Cm VisualHostKey Falls dieser Schalter auf .Cm yes gesetzt ist, wird eine ASCII-Darstellung des Fingerabdrucks des fernen Rechners zusätzlich zur Zeichenkette mit dem Fingerabdruck selbst bei der Anmeldung und bei unbekannten Rechnerschlüsseln angezeigt. Falls dieser Schalter auf .Cm no (die Vorgabe) gesetzt ist, werden keine Fingerabdruck-Zeichenketten beim Anmelden angezeigt und die Fingerabdruck-Zeichenkette wird nur für unbekannte Rechnerschlüssel dargestellt. .It Cm XAuthLocation Legt den vollständigen Pfadnamen des Programms .Xr xauth 1 fest. Die Vorgabe ist .Pa /usr/bin/xauth . .El .Sh MUSTER Ein .Em Muster besteht aus keinem oder mehreren, von Leerraum verschiedenen Zeichen, »*« (einem Platzhalter, der auf keines odere mehrere Zeichen passt) und »?\&« (einem Platzhalter, der auf genau ein Zeichen passt). Um beispielsweise eine Gruppe von Deklarationen für alle Rechner in der Menge der .Qq .co.uk -Domains festzulegen, könnte folgendes Muster verwandt werden: .Pp .Dl Host *.co.uk .Pp Das folgende Muster würde auf jeden Rechner in dem Netzwerkbereich 192.168.0.[0-9] passen: .Pp .Dl Host 192.168.0.? .Pp Eine .Em Musterliste ist eine durch Kommata getrennte Liste von Mustern. Muster innerhalb von Musterlisten können negiert werden, indem ihnen ein Anführungszeichen .Pq Sq !\& vorangestellt wird. Um beispielsweise einem Schlüssel zu erlauben, von überall innerhalb der Organisation, außer aus dem .Qq dialup -Bereich verwandt zu werden, könnte folgender Eintrag (in »authorized_keys«) verwandt werden: .Pp .Dl from=\(dq!*.dialup.example.com,*.example.com\(dq .Pp Beachten Sie, dass ein negierter Treffer niemals selbst positive Ergebnisse erzeugen wird. Wird beispielsweise versucht, .Qq host3 mit der folgenden Musterliste zu vergleichen, so wird dies fehlschlagen: .Pp .Dl from=\(dq!host1,!host2\(dq .Pp Die Lösung besteht darin, einen Ausdruck aufzunehmen, der zu einem positiven Vergleich führt, wie z.B. mit einem Platzhalter: .Pp .Dl from=\(dq!host1,!host2,*\(dq .Sh MERKMALE Argumente für manche Schlüsselwörter können Merkmale verwenden, die zur Laufzeit expandiert werden: .Pp .Bl -tag -width XXXX -offset indent -compact .It %% Ein wörtliches »%«. .It \&%C Hash von %l%h%p%r%j. .It %d Das lokale Home-Verzeichnis des Benutzers. .It %f Der Fingerabdruck des Rechnerschlüssels des Servers. .It %H Der .Pa known_hosts Rechnername oder Adresse, nach der gesucht wird. .It %h Der ferne Rechnername. .It \%%I Eine Zeichenkette, die den Grund für eine .Cm KnownHostsCommand -Ausführung beschreibt: entweder .Cm ADDRESS , bei der Suche nach einem Rechner über die Adresse (nur wenn .Cm CheckHostIP aktiviert ist), .Cm HOSTNAME , bei der Suche über Rechnernamen oder .Cm ORDER , bei der Vorbereitung der Liste der bevorzugten Rechnerschlüssel-Algorithmen, die für den Zielrechner verwandt werden soll. .It %i Die lokale Benutzerkennung. .It %j Der Inhalt der Option ProxyJump oder die leere Zeichenkette, falls diese Option nicht gesetzt ist. .It %K Der Base64-kodierte Rechnerschlüssel. .It %k Der Rechnerschlüssel-Alias, falls festgelegt, andernfalls der ursprünglich auf der Befehlszeile übergebene ferne Rechnername. .It %L Der lokale Rechnername. .It %l Der lokale Rechnername, einschließlich des Domain-Namens. .It %n Der ursprüngliche ferne Rechnername, wie auf der Befehlszeile übergeben. .It %p Der ferne Port. .It %r Der ferne Benutzername. .It \&%T Die zugewiesene lokale .Xr tun 4 - oder .Xr tap 4 -Netzwerkschnittstelle, falls Tunnel-Weiterleitung erbeten wurde. Andernfalls .Qq NONE . .It %t Die Art des Server-Rechner-Schlüssels, z.B. .Cm ssh-ed25519 . .It %u Der lokale Benutzername. .El .Pp .Cm CertificateFile , .Cm ControlPath , .Cm IdentityAgent , .Cm IdentityFile , .Cm KnownHostsCommand , .Cm LocalForward , .Cm Match exec , .Cm RemoteCommand , .Cm RemoteForward , .Cm RevokedHostKeys und .Cm UserKnownHostsFile akzeptieren die Merkmale %%, %C, %d, %h, %i, %j, %k, %L, %l, %n, %p, %r und %u. .Pp .Cm KnownHostsCommand akzeptiert zusätzlich die Merkmale %f, %H, %I, %K und %t. .Pp .Cm Hostname akzeptiert die Merkmale %% und %h. .Pp .Cm LocalCommand akzeptiert alle Merkmale. .Pp .Cm ProxyCommand und .Cm ProxyJump akzeptieren die Merkmale %%, %h, %n, %p und %r. .Pp Beachten Sie, dass einige dieser Direktiven Befehle zur Ausführung mittels der Shell zusammenbauen. Da .Xr ssh 1 kein Filtern oder Maskieren der Zeichen, die eine besondere Bedeutung für Shell-Befehle haben (z.B. Anführungszeichen), durchführt, unterliegt es der Verantwortung des Benutzer sicherzustellen, dass die an .Xr ssh 1 übergebenen Argumente solche Zeichen nicht enthalten und das Merkmale entsprechend beim Einsatz maskiert sind. .Sh UMGEBUNGSVARIABLEN Argumente für einige Schlüsselwörter können zur Laufzeit aus Umgebungsvariablen auf dem Client expandiert werden, indem sie in .Ic ${} eingeschlossen werden. Beispielsweise würde sich .Ic ${HOME}/.ssh auf das \&.ssh-Verzeichnis des Benutzers beziehen. Falls eine festgelegte Umgebungsvariable nicht existiert, wird ein Fehler zurückgeliefert und die Einstellung für dieses Schlüsselwort wird ignoriert. .Pp Die Schlüsselwörter .Cm CertificateFile , .Cm ControlPath , .Cm IdentityAgent , .Cm IdentityFile , .Cm KnownHostsCommand und .Cm UserKnownHostsFile unterstützen Umgebungsvariablen. Die Schlüselwörter .Cm LocalForward und .Cm RemoteForward unterstützen Umgebungsvariablen nur für Unix-Domain-Socket-Pfade. .Sh DATEIEN .Bl -tag -width Ds .It Pa ~/.ssh/config Dies ist die benutzerbezogene Konfigurationsdatei. Das Format dieser Datei ist weiter oben beschrieben. Diese Datei wird vom SSH-Client verwandt. Aufgrund der Gefahr des Missbrauchs muss diese Datei strengen Berechtigungen unterliegen: Lesen/Schreiben für den Benutzer und nicht schreibbar für andere. .It Pa /etc/ssh/ssh_config Systemweite Konfigurationsdatei. Diese Datei stellt Vorgaben für die Werte bereit, die in der Konfigurationsdatei des Benutzers nicht festgelegt sind, und für die Benutzer, die keine Konfigurationsdatei haben. Die Datei muss für alle lesbar sein. .El .Sh SIEHE AUCH .Xr ssh 1 .Sh AUTOREN .An -nosplit OpenSSH ist eine Ableitung der ursprünglichen und freien SSH-1.2.12-Veröffentlichung durch .An Tatu Ylonen . .An Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt und .An Dug Song entfernten viele Fehler, fügten neue Funktionalitäten wieder hinzu und erstellten OpenSSH. .An Markus Friedl steuerte die Unterstützung für SSH-Protokollversion 1.5 und 2.0 bei. .Pp .Sh ÜBERSETZUNG Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. .Pp Diese Übersetzung ist Freie Dokumentation; lesen Sie die .Lk https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. .Pp Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer: .Mt debian-l10n-german@lists.debian.org .Me .