SSH_CONFIG(5) File Formats Manual SSH_CONFIG(5) BEZEICHNUNG ssh_config - OpenSSH-Client-Konfigurationsdatei BESCHREIBUNG ssh(1) erhalt Konfigurationsdaten aus den folgenden Quellen in der folgenden Reihenfolge: 1. Befehlszeilenoptionen 2. die Konfigurationsdatei des Benutzers (~/.ssh/config) 3. die systemweite Konfigurationsdatei (/etc/ssh/ssh_config) Falls nicht anders angegeben wird fur jeden Parameter der erste erhaltene Wert verwandt. Die Konfigurationsdateien enthalten durch Host -Spezifikationen getrennte Abschnitte und dieser Abschnitt wird nur fur Rechner angewandt, die auf ein in der Spezifikation angegebenes Muster passen. Der passende Rechnername wird normalerweise auf der Befehlszeile ubergeben (siehe beispielsweise die Option CanonicalizeHostname fur Ausnahmen). Da der erste erhaltene Wert fur jeden Parameter verwandt wird, sollten die meisten Rechner-spezifischen Deklarationen in der Nahe des Anfangs der Datei und allgemeine Vorgaben am Ende angegeben werden. Die Datei enthalt Schlusselwort-Argument-Paare, eines pro Zeile. Leere Zeilen und solche, die mit `#' anfangen, werden als Kommentare interpretiert. Argumente konnen optional in englische doppelte Anfuhrungszeichen (") eingeschlossen werden, um Argumente, die Leerzeichen enthalten, darzustellen. Konfigurationsoptionen konnen durch Leerraum oder optionalen Leerraum und genau ein `=' abgetrennt werden; letzteres Format ist nutzlich, um die Notwendigkeit von Anfuhrungszeichen fur Leerzeichen zu vermeiden, wenn Konfigurationsoptionen angegeben werden, die die Option ssh, scp und sftp -o enthalten. Die moglichen Schlusselworter und ihre Bedeutung sind wie folgt (beachten Sie, dass die Gross-/Kleinschreibung bei Schlusselwortern egal, bei Argumenten dagegen relevant ist): Host Beschrankt die folgenden Deklarationen (bis zum nachsten Schlusselwort Host oder Match) auf die Rechner, die auf eines der Muster passen, die nach dem Schlusselwort angegeben sind. Falls mehr als ein Muster bereitgestellt wird, dann sollten sie durch Leerraum getrennt sein. Ein einzelnes `*' als Muster kann zur Bereitstellung globaler Vorgaben fur alle Rechner verwandt werden. Der Rechner ist normalerweise das auf der Befehlszeile ubergebene Argument Rechnername (siehe das Schlusselwort CanonicalizeHostname fur Ausnahmen. Ein Mustereintrag kann negiert werden, indem ihm ein Ausrufezeichen (`!') vorangestellt wird. Falls ein negierter Ausdruck passt, dann wird der Eintrag Host ignoriert, unabhangig davon, ob eines der anderen Muster auf der Zeile passt. Negierte Treffer sind daher nutzlich, um Ausnahmen fur Platzhalter-Treffer bereitzustellen. Siehe MUSTER fur weitere Informationen uber Muster. Match Beschrankt die folgenden Deklarationen (bis zum nachsten Schlusselwort Host oder Match) auf die Falle, bei denen die Bedingungen, die nach dem Schlusselwort Match angegeben sind, erfullt sind. Trefferbedingungen werden mittels einem oder mehreren Kriterien oder dem einzelnen Merkmal all, das immer zutrifft, festgelegt. Die verfugbaren Kriterienschlusselworter sind: canonical, final, exec, localnetwork, host, originalhost, Tag, user und localuser. Das Kriterium all muss alleine oder direkt nach canonical oder final auftauchen. Andere Kriterien konnen beliebig kombiniert werden. Alle Kriterien ausser all, canonical und final benotigen ein Argument. Kriterien konnen negiert werden, in denen ihnen ein Ausrufezeichen (`!') vorangestellt wird. Das Schlusselwort canonical passt nur, wenn die Konfigurationsdatei nach der Umwandlung des Rechnernamens in eine kanonische Form (siehe die Option CanonicalizeHostname) erneut ausgewertet wird. Dies kann nutzlich sein, um Bedingungen festzulegen, die nur mit kanonischen Rechnernamen funktionieren. Das Schlusselwort final fordert, dass die Konfiguration neu ausgewertet werden soll (egal, ob CanonicalizeHostname aktiviert ist) und passt nur wahrend des abschliessenden Durchlaufs. Falls CanonicalizeHostname aktiviert ist, dann passen canonical und final wahrend des gleichen Durchlaufs. Das Schlusselwort exec fuhrt den angegebenen Befehl unter der Shell des Benutzers aus. Falls der Befehl einen Exit-Status Null zuruckliefert, dann wird die Bedingung als wahr betrachtet. Befehle, die Leerraumzeichen enthalten, mussen in englische Anfuhrungszeichen gesetzt werden. Argumente von exec akzeptieren die im Abschnitt MERKMALE beschriebenen Merkmale. Das Schlusselwort localnetwork vergleicht die Adressen der aktiven lokalen Netzwerkschnittstellen mit der bereitgestellten List von Netzwerken im CIDR-Format. Dies kann zur Uberprufung der effektiven Konfiguration von Geraten, die sich zwischen Netzwerken hin- und herbewegen, nutzlich sein. Beachten Sie, dass eine Netzwerkadresse in vielen Situationen kein vertrauenswurdiges Kriterium ist (z.B. wenn das Netzwerk automatisch mittels DHCP konfiguriert wird). Daher sollte Vorsicht walten gelassen werden, falls dies zur Steuerung sicherheitsrelevanter Konfiguration verwandt wird. Die Kriterien der anderen Schlusselworter mussen einzelne Eintrage oder Kommata-getrennte Listen sein und konnen die im Abschnitt MUSTER beschriebenen Platzhalter- und Negierungsoperatoren verwenden. Die Kriterien fur das Schlusselwort host werden mit dem Zielrechnernamen verglichen, nachdem alle Ersetzungen durch die Optionen Hostname oder CanonicalizeHostname erfolgt sind. Das Schlusselwort originalhost passt auf den Rechnernamen, wie er auf der Befehlszeile angegeben wurde. Das Schlusselwort tagged passt auf den Markierungsnamen, der durch eine vorhergehende Direktive Tag oder auf der Befehlszeile von ssh(1) mittels des Schalters -P angegeben wurde. Das Schlusselwort user passt auf den Zielbenutzernamen auf dem fernen Rechner. Das Schlusselwort localuser passt auf den Namen des lokalen Benutzers, der ssh(1) ausfuhrt (dieses Schlusselwort kann in systemweiten ssh_config -Dateien nutzlich sein). AddKeysToAgent Gibt an, ob Schlussel automatisch zu einem laufenden ssh-agent(1) hinzugefugt werden sollen. Falls diese Option auf yes gesetzt ist und ein Schlussel aus einer Datei geladen wird, wird der Schlussel und seine Passphrase zu dem Vermittler mit der Standard-Lebensdauer hinzugefugt, als ob ssh-add(1) verwandt worden ware. Falls diese Option auf ask gesetzt ist, wird ssh(1) eine Bestatigung uber das Programm SSH_ASKPASS benotigen, bevor ein Schlussel hinzugefugt wird (siehe ssh-add(1) fur Details). Falls diese Option auf confirm gesetzt ist, muss jede Verwendung eines Schlussel bestatigt werden, als ob die Option -c bei ssh-add(1) festgelegt worden ware. Falls diese Option auf no gesetzt wird, werden keine Schlussel zum Vermittler hinzugefugt. Alternativ kann diese Option als Zeitintervall, in dem im Abschnitt ZEITFORMATE von sshd_config(5) beschriebenen Format angegeben werden, um die Lebensdauer in ssh-agent(1) festzulegen, nach der er automatisch entfernt wird. Das Argument muss no (die Vorgabe), yes, confirm (optional gefolgt von einem Zeitintervall), ask oder ein Zeitintervall sein. AddressFamily Legt die bei Verbindungen zu verwendende Adressfamilie fest. Gultige Argumente sind any (die Vorgabe), inet (nur IPv4 verwenden) und inet6 (nur IPv6 verwenden). BatchMode Falls auf yes gesetzt, wird die Benutzerinteraktion wie Passwortabfragen und Bestatigungen von Rechnerschlusselabfragen deaktiviert. Diese Option ist in Skripten und anderen Stapelverarbeitungsauftragen nutzlich, bei denen kein Benutzer zur Interaktion mit ssh(1) verfugbar ist. Das Argument muss yes oder no (die Vorgabe) sein. BindAddress Verwendet die festgelegte Adresse auf der lokalen Maschine als Quelladresse der Verbindung. Nur fur Systeme mit mehr als einer Adresse nutzlich. BindInterface Verwendet die Adresse der festgelegten Schnittstelle auf der lokalen Maschine als die Quelladresse der Verbindung. CanonicalDomains Diese Option gibt die Liste der Domain-Endungen an, in denen nach den angegeben Ziel-Rechnern gesucht werden soll, wenn CanonicalizeHostname aktiviert ist. CanonicalizeFallbackLocal Legt fest, ob bei fehlgeschlagener Kanonisierung des Rechnernamens mit einem Fehler beendet werden soll. Die Vorgabe, yes, wird versuchen, den nicht qualifizierten Rechnernamen mittels der Auflosungssuchregeln des Systems nachzuschlagen. Ein Wert von no fuhrt dazu, dass ssh(1) sofort fehlschlagt, falls CanonicalizeHostname aktiviert ist und der Zielrechnername nicht in einer der mittels CanonicalDomains festgelegten Domains gefunden werden kann. CanonicalizeHostname Steuert, ob explizite Kanonisierung von Rechnernamen durchgefuhrt wird. Bei der Vorgabe, no, erfolgt keine Umschreibung und die Auflosung des Rechnernamens erfolgt durch die Systemaufloserroutinen. Falls auf yes gesetzt, dann wird ssh(1) versuchen, auf der Befehlszeile angegebene Rechnernamen fur Verbindungen, die nicht ProxyCommand oder ProxyJump verwenden, mittels der Endungen CanonicalDomains und der Regeln CanonicalizePermittedCNAMEs zu kanonisieren. Falls CanonicalizeHostname auf always gesetzt ist, dann wird die Kanonisierung auch auf Verbindungen uber Proxys angewandt. Falls diese Option aktiviert ist, dann werden die Konfigurationsdateien mittels der neuen Zielnamen erneut ausgewertet, um samtliche neue Konfiguration aufgrund von passenden Abschnitten Host und Match einzusammeln. Der Wert none deaktiviert die Verwendung des ProxyJump -Rechners. CanonicalizeMaxDots Gibt die maximale Anzahl an Punkten im Rechnernamen an, bevor die Kanonisierung deaktiviert wird. Die Vorgabe, 1, erlaubt einen einzelnen Punkt (d.h. Rechnername.Subdomain). CanonicalizePermittedCNAMEs Legt die Regeln fest, nach denen bestimmt wird, ob CNAMEs gefolgt werden soll, wenn Rechnernamen kanonisiert werden. Die Regeln bestehen aus einem oder mehreren Argumenten der Form Quell-Domain-Liste:Ziel-Domain-Liste, wobei Quell-Domain-Liste eine Musterliste von Domains ist, die CNAMEs bei der Kanonisierung folgen durfen und Ziel-Domain-Liste eine Musterliste von Domains ist, auf den diese aufgelost werden durfen. Beispielsweise wird es "*.a.example.com:*.b.example.com,*.c.example.com" erlauben, Rechnernamen, die auf "*.a.example.com" passen, auf Namen in den Domains "*.b.example.com" oder "*.c.example.com" kanonisiert zu werden. Ein einzelnes Argument "none" fuhrt dazu, dass keine CNAMEs fur die Kanonisierung berucksichtigt werden. Dies ist das Standardverhalten. CASignatureAlgorithms Legt die Algorithmen fest, die zum Signieren von Zertifikaten durch Zertifizierungsstellen (CAs) erlaubt sind. Die Vorgabe ist: ssh-ed25519,ecdsa-sha2-nistp256, ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ssh-ed25519@openssh.com, sk-ecdsa-sha2-nistp256@openssh.com, rsa-sha2-512,rsa-sha2-256 Falls die festgelegte Liste mit einem >>+<<-Zeichen beginnt, werden die festgelegten Algorithmen an die Vorgabemenge angehangt, statt sie zu ersetzen. Falls die festgelegte Liste mit einem >>-<<-Zeichen beginnt, dann werden die festgelegten Algorithmen (einschliesslich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt sie zu ersetzen. ssh(1) wird keine Rechnerzertifikate akzeptieren, die mit anderen als den festgelegten Algorithmen signiert sind. CertificateFile Legt eine Datei fest, aus der das Zertifikat des Benutzers gelesen wird. Ein entsprechender privater Schlussel muss separat in einer Direktive IdentityFile oder einem Schalter an ssh(1), mittels ssh-agent(1) oder mittels einem PKCS11Provider oder einem SecurityKeyProvider bereitgestellt werden, um dieses Zertifikat zu benutzen. Argumente von CertificateFile konnen die Tilde-Syntax, um sich auf das Home-Verzeichnis des Benutzers zu beziehen, die im Abschnitt MERKMALE beschriebenen Merkmale und die im Abschnitt UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen verwenden. Es ist moglich, dass mehrere Zertifikatsdateien in Konfigurationsdateien festgelegt werden; diese Zertifikate werden der Reihen nach ausprobiert. Mehrere Direktiven CertificateFile fugen zu der Zertifikatsliste hinzu, die fur die Authentifizierung verwandt wird. ChannelTimeout Gibt an, ob und wie schnell ssh(1) inaktive Kanale schliessen soll. Zeituberschreitungen werden als ein oder mehrere >>Typ=Intervall<<-Paare getrennt durch Leerraum angegeben, wobei >>Typ<< ein Kanaltypname sein muss (wie in der nachfolgenden Tabelle beschrieben), der optional Joker-Zeichen enthalten darf. Der Zeituberschreitungswert >>interval<< wird in Sekunden angegeben oder kann eine der im Abschnitt ZEITFORMATE dokumentierten Einheiten verwenden. Beispielsweise wurde >>session=5m<< dazu fuhren, dass inaktive Sitzungen nach funf Inaktivitatsminuten beendet wurden. Durch Angabe des Wertes Null wird die Inaktivitatszeituberschreitung deaktiviert. Zu den verfugbaren Kanaltypen gehoren: agent-connection Offene Verbindungen zu ssh-agent(1). direct-tcpip, direct-streamlocal@openssh.com Offene TCP- bzw. Unix-Socket-Verbindungen, die von einer lokalen Weiterleitung eines ssh(1) etabliert wurden, d.h. LocalForward oder DynamicForward. forwarded-tcpip, forwarded-streamlocal@openssh.com Offene TCP- bzw. Unix-Socket-Verbindungen, die zu einem sshd(8) etabliert wurden, der im Auftrag einer fernen Weiterleitung eines ssh(1) auf Anfragen warten, d.h. RemoteForward. session Die interaktive Hauptsitzung, einschliesslich der Shell- Sitzung, Befehlsausfuhrung, scp(1), sftp(1), usw. tun-connection Offene TunnelForward -Verbindungen. x11-connection Offene X11-Weiterleitungssitzungen. Beachten Sie, dass in allen obigen Fallen die Beendigung einer inaktiven Sitzung nicht garantiert, dass alle der Sitzung zugeordnete Ressourcen entfernt werden, z.B. konnten Shell- Prozesse oder X11-Clients mit Bezug zu der Sitzung weiterhin ausgefuhrt werden. Desweiteren schliesst das Beenden eines inaktiven Kanals oder einer inaktiven Sitzung nicht notwendigerweise die SSH-Verbindung noch verhindert es einen Client daran, einen weiteren Kanal des gleichen Typs anzufragen. Insbesondere verhindert das Ablaufen einer inaktiven Sitzung nicht, dass eine andere, identische Weiterleitung nachfolgend erstellt wird. Standardmassig lauft kein Kanal irgendeines Typs aufgrund von Inaktivitat ab. CheckHostIP Falls auf yes gesetzt, wird ssh(1) zusatzlich die Rechner-IP- Adresse in der Datei known_hosts uberprufen. Dies ermoglicht die Erkennung, ob sich ein Rechnerschlussel aufgrund von DNS- Falschungen geandert hat und wird Adressen von Zielrechnern bei dem Prozess zu ~/.ssh/known_hosts hinzufugen, unabhangig von der Einstellung von StrictHostKeyChecking. Falls diese Option auf no (die Vorgabe) gesetzt ist, wird die Prufung nicht durchgefuhrt. Ciphers Legt die erlaubten Chiffren und deren Reihenfolge fest. Mehrere Chiffren mussen durch Kommata getrennt werden. Falls die festgelegte Liste mit einem >>+<< beginnt, dann werden die angegebenen Chiffren an die Vorgabemenge angehangt, statt diese zu ersetzen. Falls die angegebene Liste mit einem >>-<< beginnt, dann werden die angegebenen Chiffren (einschliesslich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt sie zu ersetzen. Falls die angegebene Liste mit einem >>^<< beginnt, dann werden die angegebenen Chiffren am Anfang der Vorgabemenge abgelegt. Die unterstutzten Chiffren sind: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com Die Vorgabe ist: chacha20-poly1305@openssh.com, aes128-ctr,aes192-ctr,aes256-ctr, aes128-gcm@openssh.com,aes256-gcm@openssh.com Die Liste der verfugbaren Chiffen kann auch mit "ssh -Q cipher" erhalten werden. ClearAllForwardings Gibt an, dass alle in den Konfigurationsdateien oder auf der Befehlszeile festgelegten lokalen, fernen und dynamischen Portweiterleitungen zuruckgesetzt werden. Diese Option ist besonders nutzlich, wenn sie von der Befehlszeile von ssh(1) verwandt wird, um alle Portweiterleitungen in den Konfigurationsdateien zuruckzusetzen. Sie wird automatisch von scp(1) und sftp(1) gesetzt. Das Argument muss entweder yes oder no (die Vorgabe) sein. Compression Legt fest, ob Kompression verwandt wird. Das Argument muss entweder yes oder no (die Vorgabe) sein. ConnectionAttempts Legt die Anzahl der Versuche (einen pro Sekunde) fest, bevor beendet wird. Das Argument muss eine Ganzzahl sein. Dies kann in Skripten nutzlich sein, wenn die Verbindung manchmal fehlschlagt. Die Vorgabe ist 1. ConnectTimeout Legt die Zeituberschreitung (in Sekunden) fest, die bei Verbindungen zum SSH-Server statt der Standard-System-TCP- Zeituberschreitung verwandt werden soll. Diese Zeituberschreitung wird sowohl auf den Aufbau der Verbindung als auch bei der Durchfuhrung der initialen SSH-Protokoll-Datenflusssteuerung und dem Schlusselaustausch verwandt. ControlMaster Aktiviert die gemeinsame Benutzung von mehreren Sitzungen uber eine einzelne Netzwerkverbindung. Falls auf yes gesetzt, wird ssh(1) auf Verbindungen auf einem Steuer-Socket warten, das mit dem Argument ControlPath festgelegt ist. Zusatzliche Sitzungen konnen sich mit diesem Socket uber den gleichen ControlPath mit ControlMaster gesetzt auf no (die Vorgabe) verbinden. Diese Sitzungen werden versuchen, die Netzwerkverbindungsinstanz des Masters mit zu benutzen, statt neue aufzubauen. Falls das Steuer- Socket nicht existiert oder nicht auf Anfragen wartet, werden sie aber auf normalen Verbindungsaufbau zuruckfallen. Wird dies auf ask gesetzt, dann wartet ssh(1) auf Steuerverbindungen, benotigt aber die Bestatigung mittels ssh-askpass(1). Falls der ControlPath nicht geoffnet werden kann, wird ssh(1) fortfahren, ohne sich mit der Master-Instanz zu verbinden. Die Weiterleitung von X11 und ssh-agent(1) uber diese multiplexten Verbindungen wird unterstutzt, allerdings werden die weitergeleiteten Display und Vermittler zu denen der Master- Verbindung gehoren, d.h. es ist nicht moglich, mehrere Displays oder Vermittler weiterzuleiten. Zwei zusatzliche Optionen ermoglichen opportunistisches Multiplexing: es wird versucht, eine Master-Verbindung zu verwenden, aber auf die Erstellung einer neuen zuruckgefallen, falls eine solche noch nicht existiert. Diese Optionen sind: auto und autoask. Letztere verlangt Bestatigung wie bei der Option ask. ControlPath Legt den Pfad zu dem Steuer-Socket fest, das fur die gemeinsame Benutzung von Verbindungen, wie weiter oben in ControlMaster beschrieben oder der Zeichenkette none, um gemeinsame Benutzung von Verbindungen zu deaktivieren, verwandt wird. Argumente fur ControlPath konnen die Tilde-Syntax, um sich auf das Home- Verzeichnis des Benutzers zu beziehen, die im Abschnitt MERKMALE beschriebenen Merkmale und die im Abschnitt UMGEBUNGSVARIABLEN beschrieben Umgebungsvariablen verwenden. Es wird empfohlen, dass alle ControlPath, die fur opportunistische gemeinsame Verwendung von Verbindungen verwandt werden, mindestens %h, %p und %r (oder alternativ %C) enthalten und in einem Verzeichnis abgelegt werden, das von anderen Benutzern nicht beschreibbar ist. Dies stellt sicher, dass gemeinsam benutzte Verbindungen eindeutig identifiziert sind. ControlPersist Wenn dies im Zusammenhang mit ControlMaster verwandt wird, legt dies fest, dass die Master-Verbindung im Hintergrund offen bleiben (und auf zukunftige Client-Verbindungen warten) soll, nachdem die anfangliche Client-Verbindung geschlossen wurde. Falls auf die Vorgabe no gesetzt, dann wird die Master-Verbindung nicht in den Hintergrund gelegt und geschlossen, sobald die anfangliche Verbindung geschlossen wird. Falls auf yes oder 0 gesetzt, wird die Master-Verbindung zeitlich unbegrenzt im Hintergrund verbleiben (bis sie beendet oder uber einen Mechanismus wie "ssh -O exit" geschlossen wird). Falls sie auf eine Zeit in Sekunden oder Zeit in einem der in sshd_config(5) dokumentierten Formate gesetzt wird, dann wird die im Hintergrund befindliche Master-Verbindung automatisch beendet, nachdem sie fur die festgelegte Zeit (ohne Client-Verbindungen) im Leerlauf gewesen ist. DynamicForward Legt einen TCP-Port auf der lokalen Maschine fest, der uber den sicheren Kanal weitergeleitet werden kann. Dann wird das Anwendungsprotokoll verwandt, um festzustellen, wo auf der fernen Maschine die Verbindung erfolgen soll. Das Argument muss [Anbindeadresse:]Port sein. IPv6-Adressen konnen durch Einschluss in eckige Klammern angegeben werden. Standardmassig wird der lokale Port in Ubereinstimmung mit der Einstellung GatewayPorts angebunden. Allerdings kann eine explizite Anbindeadresse verwandt werden, um die Verbindung an eine bestimmte Adresse anzubinden. Die Verwendung von localhost als Anbindeadresse zeigt an, dass der Port, der auf Anfragen wartet, nur fur die lokale Verwendung angebunden wird, wahrend eine leere Adresse oder >>*<< anzeigt, dass der Port von allen Schnittstellen aus verfugbar sein soll. Derzeit werden die Protokolle SOCKS4 und SOCKS5 unterstutzt und ssh(1) agiert als ein SOCKS-Server. Es konnen mehrere Weiterleitungen festgelegt werden und zusatzliche Weiterleitungen konnen auf der Befehlszeile ubergeben werden. Nur der Systemadministrator kann privilegierte Ports weiterleiten. EnableEscapeCommandline Aktiviert die Befehlszeilenoption in dem Menu EscapeChar fur interaktive Sitzungen (standardmassig `~C'). Standardmassig ist die Befehlszeile deaktiviert. EnableSSHKeysign Wird diese Option in der globalen Client-Konfigurationsdatei /etc/ssh/ssh_config auf yes gesetzt, dann werden die Helfer- Programme ssh-keysign(8) wahrend HostbasedAuthentication aktiviert. Das Argument muss yes oder no (die Vorgabe) lauten. Die Option sollte ausserhalb der Rechner-spezifischen Optionen abgelegt werden. Siehe ssh-keysign(8) fur weitere Informationen. EscapeChar Setzt das Maskierzeichen (Vorgabe: `~'). Das Maskierzeichen kann auch auf der Befehlszeile gesetzt werden. Das Argument sollte ein einzelnes Zeichen, `^', gefolgt von einem Buchstaben oder none, um das Maskierzeichen komplett zu deaktivieren (um die Verbindung transparent fur Binardaten zu machen), sein. ExitOnForwardFailure Legt fest, ob ssh(1) die Verbindung beenden soll, falls es nicht alle dynamischen, Tunnel-, lokalen und fernen Port- Weiterleitungen einrichten kann (z.B. falls es an einem der Enden nicht gelingt, auf einem bestimmten Port anzubinden und dort auf Anfragen zu warten). Beachten Sie, dass ExitOnForwardFailure nicht auf Verbindungen angewandt wird, die uber Port- Weiterleitungen erstellt wurden und beispielsweise nicht dazu fuhrt, dass ssh(1) sich beendet, falls TCP-Verbindungen zum endgultigen Weiterleitungsziel fehlschlagen. Das Argument muss yes oder no (die Vorgabe) sein. FingerprintHash Legt den Hash-Algorithmus fest, der bei der Anzeige der Fingerabdrucke verwandt wird. Gultige Optionen sind md5 und sha256 (die Vorgabe). ForkAfterAuthentication Bittet ssh direkt vor der Ausfuhrung des Befehls in den Hintergrund zu gehen. Dies ist nutzlich, falls ssh nach Passwortern oder Passphrasen fragen wird, aber der Benutzer es im Hintergrund mochte. Dies impliziert, dass die Konfigurationsoption StdinNull auf "yes" gesetzt ist. Die empfohlene Art, X-Programme auf einem fernen Rechner zu starten, ist etwas wie ssh -f Rechner xterm, was identisch zu ssh Rechner xterm ist, falls die Konfigurationsoption ForkAfterAuthentication auf "yes" gesetzt ist. Falls die Konfigurationsoption ExitOnForwardFailure auf "yes" gesetzt ist, dann wird ein Client, bei dem die Konfigurationsoption ForkAfterAuthentication auf "yes" gesetzt ist, darauf warten, dass alle fernen Port-Weiterleitungen erfolgreich etabliert wurden, bevor er sich selbst in den Hintergrund bringt. Das Argument fur dieses Schlusselwort muss yes (identisch zu der Option -f) oder no (die Vorgabe) sein. ForwardAgent Legt fest, ob die Verbindung zum Authentifizierungsvermittler (falls vorhanden) auf die ferne Maschine weitergeleitet wird. Das Argument kann yes, no (die Vorgabe), ein expliziter Pfad zu einem Socket des Vermittlers oder der Name einer Umgebungsvariablen (beginnend mit >>$<<), in der der Pfad gefunden werden kann, sein. Die Weiterleitung des Vermittlers sollte mit Vorsicht aktiviert werden. Benutzer mit der Fahigkeit, auf dem fernen Rechner Dateiberechtigungen zu umgehen (fur das Unix-Domain-Socket des Vermittlers), konnen uber die weitergeleitete Verbindung auf den lokalen Vermittler zugreifen. Ein Angreifer kann vom Vermittler kein Schlusselmaterial erlangen, er kann allerdings Aktionen auf den Schlussel ausfuhren, die es ihm ermoglichen, sich mittels der im Vermittler geladenen Identitaten zu authentifizieren. ForwardX11 Gibt an, ob X11-Verbindungen automatisch uber den sicheren Kanal umgeleitet werden und DISPLAY gesetzt wird. Das Argument muss yes oder no (die Vorgabe) sein. Die X11-Weiterleitung sollte mit Vorsicht aktiviert werden. Benutzer mit der Fahigkeit, auf dem fernen Rechner Dateiberechtigungen zu umgehen (fur die Autorisierungsdatenbank von X11) konnen auf die lokale X11-Anzeige durch die weitergeleitete Verbindung zugreifen. Ein Angreifer konnte dann in der Lage sein, Aktivitaten wie die Uberwachung der Tastatureingaben durchzufuhren, falls auch die Option ForwardX11Trusted aktiviert ist. ForwardX11Timeout Legt eine Zeituberschreitung fur nicht vertrauenswurdige X11-Weiterleitung in dem im Abschnitt ZEITFORMATE von sshd_config(5) beschriebenen Format fest. X11-Verbindungen, die von ssh(1) nach dieser Zeit empfangen werden, werden abgelehnt. Wird ForwardX11Timeout auf 0 gesetzt, dann wird die Zeituberschreitung deaktiviert und X11-Weiterleitung fur die Lebensdauer der Verbindung erlaubt. Standardmassig wird nicht vertrauenswurdige X11-Weiterleitung nach dem Ablauf von 20 Minuten deaktiviert. ForwardX11Trusted Falls diese Option auf yes gesetzt ist, haben ferne X11-Clients vollen Zugriff auf das ursprungliche X11-Display. Falls diese Option auf no (die Vorgabe) gesetzt ist, werden ferne X11-Clients als unvertrauenswurdig betrachtet und daran gehindert, Daten, die zu vertrauenswurdigen X11-Clients gehoren, zu stehlen oder zu verandern. Desweiteren wird der fur die Sitzung verwandte xauth(1) -Eintrag so eingestellt, dass er nach 20 Minuten ablauft. Fernen Clients wird nach dieser Zeit ein Zugriff verweigert. Siehe die Spezifikation der X11-SECURITY-Erweiterungen fur vollstandige Details uber die fur nicht vertrauenswurdige Clients eingefuhrten Beschrankungen. GatewayPorts Legt fest, ob es fernen Rechnern erlaubt ist, sich mit lokal weitergeleiteten Ports zu verbinden. Standardmassig bindet ssh(1) lokale Port-Weiterleitungen an die Loopback-Adresse an. Dies hindert andere ferne Rechner am Verbinden mit weitergeleiteten Ports. GatewayPorts kann dazu verwandt werden, anzugeben, dass Ssh lokale Port-Weiterleitungen an die Platzhalter-Adressen anbindet, und es damit fernen Rechnern erlaubt, sich mit weitergeleiteten Ports zu verbinden. Das Argument muss yes oder no (die Vorgabe) sein. GlobalKnownHostsFile Legt eine oder mehrere, durch Leerraum getrennte Dateien fest, die als globale Schlusseldatenbank verwandt werden sollen. Die Vorgabe ist /etc/ssh/ssh_known_hosts, /etc/ssh/ssh_known_hosts2. GSSAPIAuthentication Legt fest, ob die GSSAPI-basierte Benutzerauthentifizierung erlaubt ist. Die Vorgabe ist no. GSSAPIDelegateCredentials Leitet Anmeldedaten an den Server weiter (delegieren). Die Vorgabe ist no. HashKnownHosts Zeigt an, dass ssh(1) Rechnernamen und -adressen hashen soll, wenn sie zu ~/.ssh/known_hosts hinzugefugt werden. Diese gehashten Namen konnen normal von ssh(1) und sshd(8) verwandt werden, sie stellen aber visuell keine identifizierenden Informationen dar, falls der Inhalt der Datei offengelegt wird. Die Vorgabe ist no. Beachten Sie, dass bestehende Namen und Adressen in Dateien bekannter Namen nicht automatisch konvertiert werden. Sie konnen aber manuell mittels ssh-keygen(1) gehasht werden. HostbasedAcceptedAlgorithms Legt die fur Rechner-basierte Authentifizierung zu verwendenden Signaturalgorithmen als Komma-getrennte Liste von Mustern fest. Falls alternativ die festgelegte Liste mit einem >>+<<-Zeichen beginnt, werden die festgelegten Signaturalgorithmen an die Vorgabemenge angehangt, statt sie zu ersetzen. Falls die festgelegte Liste mit einem >>-<<-Zeichen beginnt, dann werden die festgelegten Signaturalgorithmen (einschliesslich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt sie zu ersetzen. Falls die festgelegte Liste mit einem >>^<<-Zeichen beginnt, dann werden die festgelegten Signaturalgorithmen an den Anfang der Vorgabemenge gestellt. Die Vorgabe fur diese Option ist: ssh-ed25519-cert-v01@openssh.com, ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-ed25519, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ssh-ed25519@openssh.com, sk-ecdsa-sha2-nistp256@openssh.com, rsa-sha2-512,rsa-sha2-256 Die Option -Q von ssh(1) kann zur Anzeige unterstutzter Signaturalgorithmen verwandt werden. Dies wurde fruher HostbasedKeyTypes genannt. HostbasedAuthentication Legt fest, ob ob asymmetrische Authentifizierung uber Rhosts versucht werden soll. Das Argument muss yes oder no (die Vorgabe) sein. HostKeyAlgorithms Legt die Rechnerschlusselsignaturalgorithmen fest, die der Client benutzen mochte (der Praferenz nach sortiert). Falls die Liste alternativ mit >>+<< beginnt, dann werden die festgelegten Signaturalgorithmen an die Vorgabemenge angehangt, statt diese zu ersetzen. Falls die festgelegte Liste mit einem >>-<< beginnt, dann werden die festgelegten Signaturalgorithmen (einschliesslich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt diese zu ersetzen. Falls die festgelegte Liste mit einem >>^<< beginnt, dann werden die festgelegten Signaturalgorithmen an den Anfang der Vorgabeliste gesetzt. Die Vorgabe fur diese Option lautet: ssh-ed25519-cert-v01@openssh.com, ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-ed25519, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ecdsa-sha2-nistp256@openssh.com, sk-ssh-ed25519@openssh.com, rsa-sha2-512,rsa-sha2-256 Falls die Rechnerschlussel fur den Zielrechner bekannt sind, dann wird diese Vorgabe verandert, um dessen Algorithmen zu bevorzugen. Die Liste der verfugbaren Signaturalgorithmen kann auch mittels "ssh -Q HostKeyAlgorithms" erhalten werden. HostKeyAlias Legt einen Alias fest, der statt des echten Rechnernamens beim Nachschlagen oder Speichern des Rechnerschlussels in den Rechnerschlusseldatenbankdateien und beim Uberprufen von Rechnerzertifikaten verwandt werden soll. Diese Option ist zum Tunneln von SSH-Verbindungen oder fur mehrere Server, die auf dem gleichen Rechner laufen, nutzlich. Hostname Legt den echten Rechnernamen, bei dem angemeldet werden soll, fest. Dies kann zur Angabe von Spitznamen oder Abkurzungen fur Rechner verwandt werden. Argumente fur Hostname akzeptieren die im Abschnitt MERKMALE beschriebenen Merkmale. Auch numerische Adressen sind erlaubt (sowohl auf der Befehlszeile als auch in Hostname -Angaben). Die Vorgabe ist der auf der Befehlszeile ubergebene Name. IdentitiesOnly Legt fest, dass ssh(1) nur die konfigurierten Authentifizierungsidentitaten und Zertifikatsdateien (entweder die Vorgabedateien oder solche, die explizit in den ssh_config -Dateien konfiguriert oder auf der Befehlszeile von ssh(1) ubergeben wurden) verwenden soll, selbst falls ssh-agent(1) oder ein PKCS11Provider oder SecurityKeyProvider mehrere Identitaten anbieten. Das Argument fur dieses Schlusselwort muss yes oder no (die Vorgabe). Diese Option ist fur Situationen gedacht, bei denen der Ssh-Vermittler viele verschiedene Identitaten anbietet. IdentityAgent Legt das zur Kommunikation mit dem Authentifizierungsvermittler verwandte UNIX-domain -Socket fest. Diese Option setzt die Umgebungsvariable SSH_AUTH_SOCK ausser Kraft und kann zur Auswahl eines bestimmten Vermittlers verwandt werden. Durch Setzen des Socket-Namens auf none wird die Verwendung des Authentifizierungsvermittlers deaktiviert. Falls die Zeichenkette "SSH_AUTH_SOCK" festgelegt wird, wird der Ort des Sockets aus der Umgebungsvariablen SSH_AUTH_SOCK gelesen. Andernfalls, falls der festgelegte Wert mit einem >>$<< beginnt, wird er als eine Umgebungsvariable behandelt, die den Ort des Sockets enthalt. Argumente fur IdentityAgent konnen die Tilde-Syntax zur Referenz auf das Home-Verzeichnis des Benutzers, die im Abschnitt MERKMALE beschriebenen Merkmale und die im Abschnitt UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen verwenden. IdentityFile Legt eine Datei fest, aus der die DSA-, ECDSA-, Authentifikator- basierte ECDSA-, Ed25519-, Authentifikator-basierte Ed25519- oder RSA-Authentifizierungs-Identitat gelesen wird. Sie konnen auch eine offentliche Schlusseldatei festlegen, um den entsprechenden privaten Schlussel zu verwenden, der in ssh-agent(1) geladen ist, wenn die private Schlusseldatei lokal nicht vorhanden ist. Die Vorgabe ist ~/.ssh/id_rsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519, ~/.ssh/id_ed25519_sk und ~/.ssh/id_dsa. Zusatzlich werden alle im Authentifizierungsvermittler dargestellten Identitaten fur die Authentifizierung verwandt, ausser IdentitiesOnly ist gesetzt. Falls durch CertificateFile keine Zertifikate explizit festgelegt wurden, wird ssh(1) versuchen, Zertifikatsinformationen aus dem Dateinamen zu erlangen, der durch Anhangen von -cert.pub an den Pfad des festgelegten IdentityFile erhalten wird. Argumente fur IdentityFile konnen die Tilde-Syntax zur Referenz auf das Home-Verzeichnis des Benutzers oder die im Abschnitt MERKMALE beschriebenen Merkmale verwenden. Alternativ kann ein Argument none verwandt werden, um anzuzeigen, dass keine Identitatsdatei geladen werden soll. Es ist moglich, in Konfigurationsdateien mehrere Identitaten festgelegt zu haben. Alle diese Identitaten werden nacheinander versucht. Mehrere Direktiven IdentityFile fugen zu der Liste der versuchten Identitaten hinzu (dieses Verhalten unterscheidet sich von dem anderer Konfigurationsdirektiven). IdentityFile kann zusammen mit IdentitiesOnly verwandt werden, um auszuwahlen, welche Identitaten im Vermittler wahrend der Authentifizierung angeboten werden. IdentityFile kann auch zusammen mit CertificateFile verwandt werden, um alle Zertifikate bereitzustellen, die auch fur die Authentifizierung mit der Identitat benotigt werden. IgnoreUnknown Legt eine Musterliste von unbekannten Optionen fest, die ignoriert werden sollen, falls sie beim Auswerten von Konfigurationen angetroffen werden. Dies kann zur Unterdruckung von Fehlern verwandt werden, falls ssh_config Optionen enthalt, die von ssh(1) nicht erkannt werden. Es wird empfohlen, dass IgnoreUnknown im Anfangsbereich der Konfigurationsdatei aufgefuhrt wird, da es nicht auf unbekannte Optionen angewandt wird, die davor stehen. Include Bindet die festgelegten Konfigurationsdatei(en) ein. Es konnen mehrere Pfadnamen angegeben werden und jeder Pfadname kann glob(7) -Platzhalter enthalten und fur Benutzerkonfigurationen auch Shell-artige >>~<<-Referenzen auf Home-Verzeichnisse von Benutzern. Platzhalter werden expandiert und in lexikalischer Reihenfolge verarbeitet. Dateien ohne absoluten Pfadnamen werden im Verzeichnis ~/.ssh angenommen, falls sie Teil einer Benutzerkonfigurationsdatei sind, oder in /etc/ssh, falls sie von einer Systemkonfigurationsdatei eingebunden werden. Die Direktive Include kann innerhalb eines Match - oder Host -Blocks auftauchen, um bedingte Einbindung durchzufuhren. IPQoS Legt die IPv4-Dienstetyp- oder DSCP-Klasse fur Verbindungen fest. Akzeptierte Werte sind af11, af12, af13, af21, af22, af23, af31, af32, af33, af41, af42, af43, cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, ef, le, lowdelay, throughput, reliability, ein numerischer Wert und none, um die Vorgabe des Betriebssystems zu verwenden. Diese Option akzeptiert ein oder zwei, durch Leerraum getrennte Argumente. Falls ein Argument festgelegt ist, wird es bedingungslos als Paketklasse verwandt. Falls zwei Argumente festgelegt sind, wird das erste automatisch fur interaktive Sitzungen ausgewahlt und das zweite fur nichtinteraktive Sitzungen. Die Vorgabe ist af21 (Daten mit geringer Verzogerung) fur interaktive Sitzungen und cs1 (geringerer Aufwand) fur nichtinteraktive Sitzungen. KbdInteractiveAuthentication Legt fest, ob interaktive Authentifizierung mit der Tastatur verwandt wird. Das Argument fur dieses Schlusselwort muss yes (die Vorgabe) oder no sein. ChallengeResponseAuthentication ist ein veralteter Alias hierfur. KbdInteractiveDevices Legt die Liste der Methoden fest, die bei interaktiver Authentifizierung mit der Tastatur verwandt werden. Mehrere Methodennamen mussen durch Kommata getrennt werden. Die Vorgabe ist die Verwendung der vom Server festgelegten Liste. Die verfugbaren Methoden hangen von der Unterstutzung durch den Server ab. Fur einen OpenSSH-Server kann diese eines oder mehrere aus bsdauth und pam sein. KexAlgorithms Legt die verfugbaren KEX- (Schlusselaustausch-) Algorithmen fest. Mehrere Algorithmen mussen durch Kommata getrennt werden. Falls die festgelegte Liste mit einem >>+<< beginnt, dann werden die angegebenen Algorithmen an die Vorgabemenge angehangt, statt diese zu ersetzen. Falls die angegebene Liste mit einem >>-<< beginnt, dann werden die angegebenen Algorithmen (einschliesslich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt sie zu ersetzen. Falls die angegebene Liste mit einem >>^<< beginnt, dann werden die angegebenen Algorithmen am Anfang der Vorgabemenge abgelegt. Die Vorgabe ist: sntrup761x25519-sha512@openssh.com, curve25519-sha256,curve25519-sha256@libssh.org, ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521, diffie-hellman-group-exchange-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512, diffie-hellman-group14-sha256 Die Liste der verfugbaren Schlusselaustauschalgorithmen kann auch mittels "ssh -Q kex" erhalten werden. KnownHostsCommand Legt einen Befehl fest, der zum Erlangen des Rechnerschlussels verwandt werden soll, zusatzlich zu den in UserKnownHostsFile und GlobalKnownHostsFile aufgefuhrten. Dieser Befehl wird ausgefuhrt, nachdem diese Dateien gelesen wurden. Er kann Rechnerschlusselzeilen auf die Standardausgabe schreiben, in einem Format, das identisch zu gewohnlichen Dateien ist (beschrieben im Abschnitt RECHNERSCHLUSSEL UBERPRUFEN in ssh(1)). Argumente fur KnownHostsCommand akzeptieren die in MERKMALE beschriebenen Merkmale. Dieser Befehl kann mehrfach pro Verbindung aufgerufen werden; einmal bei der Vorbereitung der Vorzugsliste der zu verwendenden Rechnerschlusselalgorithmen, dann wieder, um den Rechnerschlussel fur den angeforderten Rechnernamen zu erlangen und, falls CheckHostIP aktiviert ist, noch einmal, um den Rechnerschlussel zu erlangen, der auf die Adresse des Servers passt. Falls der Befehl sich nicht normal beendet oder ein von Null verschiedenen Exit-Status zuruckliefert, wird die Verbindung beendet. LocalCommand Legt einen Befehl fest, der nach erfolgreicher Verbindung zum Server auf der lokalen Maschine ausgefuhrt werden soll. Die Befehlszeichenkette geht bis zum Zeilenende und wird in der Shell des Benutzers ausgefuhrt. Die Argumente von LocalCommand akzeptieren die im Abschnitt MERKMALE beschriebenen Merkmale. Der Befehl wird synchron ausgefuhrt und muss keinen Zugriff auf die Sitzung von ssh(1) haben, die ihn erzeugte. Er sollte nicht fur interaktive Befehle verwandt werden. Diese Direktive wird ignoriert, ausser PermitLocalCommand wurde aktiviert. LocalForward Legt fest, dass ein TCP-Port auf der lokalen Maschine uber den sicheren Kanal zu dem festgelegten Rechner und Port auf der fernen Maschine weitergeleitet wird. Das erste Argument legt den auf Anfragen Wartenden fest und kann [Anbindeadresse:]Port oder ein Unix-Domain-Socket-Pfad sein. Das zweite Argument ist das Ziel und kann Rechner:Rechnerport oder ein Unix-Domain-Socket- Pfad sein, falls dies der ferne Rechner unterstutzt. IPv6-Adressen konnen durch Einschluss in eckige Klammern festgelegt werden. Es konnen mehrere Weiterleitungen festgelegt werden und zusatzliche Weiterleitungen konnen auf der Befehlszeile ubergeben werden. Nur der Administrator kann privilegierte Ports weiterleiten. Standardmassig ist der lokale Port gemass der Einstellung GatewayPorts angebunden. Allerdings kann eine explizite Anbindeadresse verwandt werden, um die Verbindung an eine bestimmte Adresse anzubinden. Wird localhost als Anbindeadresse verwandt, so zeigt dies an, dass der Port, an dem auf Anfragen gewartet werden soll, nur fur die lokale Verwendung angebunden ist, wahrend eine leere Adresse oder >>*<< anzeigt, dass der Port von allen Schnittstellen aus verfugbar sein soll. Unix-Domain-Sockets konnen die im Abschnitt MERKMALE beschriebenen Merkmale und die im Abschnitt UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen verwenden. LogLevel Gibt die Ausfuhrlichkeitsstufe an, die beim Protokollieren von Nachrichten von ssh(1) verwandt werden soll. Die moglichen Werte sind: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 und DEBUG3. Die Vorgabe ist INFO. DEBUG und DEBUG1 sind aquivalent. DEBUG2 und DEBUG3 geben jeweils eine hohere Stufe der Ausfuhrlichkeit der Ausgabe an. LogVerbose Legt eine oder mehrere Ausserkraftsetzungen fur LogLevel fest. Eine Ausserkraftsetzung besteht aus einer Musterliste, die auf die Quelldatei, Funktion und Zeilennummer passt, fur die detaillierte Protokollierung erzwungen werden soll. Beispielsweise wurde ein Ausserkraftsetzungsmuster kex.c:*:1000,*:kex_exchange_identification():*,packet.c:* detaillierte Protokollierung fur Zeile 1000 von kex.c, alles in der Funktion kex_exchange_identification() und allen Code in der Datei packet.c aktivieren. Diese Option ist zur Fehlersuche gedacht und standardmassig sind keine Ausserkraftsetzungen aktiviert. MACs Legt die MAC- (Nachrichtenauthentifizierungscode-)Algorithmen fest, in der Reihenfolge der Praferenz. Der MAC-Algorithmus wird fur den Datenintegritatsschutz verwandt. Mehrere Algorithmen mussen durch Kommata getrennt werden. Beginnt die festgelegte Liste mit einem >>+<<, dann werden die festgelegten Algorithmen an die Vorgabemenge angehangt, statt diese zu ersetzen. Beginnt die festgelegte Liste mit einem >>-<<, dann werden die festgelegten Algorithmen (einschliesslich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt diese zu ersetzen. Beginnt die festgelegte Liste mit einem >>^<<, dann werden die festgelegten Algorithmen an den Anfang der Vorgabemenge gelegt. Die Algorithmen, die "-etm" enthalten, berechnen die MAC nach der Verschlusselung ((encrypt-then-mac). Diese werden als sicherer betrachtet und ihr Einsatz wird empfohlen. Die Vorgabe ist: umac-64-etm@openssh.com,umac-128-etm@openssh.com, hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com, hmac-sha1-etm@openssh.com, umac-64@openssh.com,umac-128@openssh.com, hmac-sha2-256,hmac-sha2-512,hmac-sha1 Die Liste der verfugbaren MAC-Algorithmen kann auch mittels "ssh -Q mac" erhalten werden. NoHostAuthenticationForLocalhost Deaktiviert Rechner-basierte Authentifizierung fur Localhost (Loopback-Adresse). Das Argument fur dieses Schlusselwort muss yes oder no (die Vorgabe) sein. NumberOfPasswordPrompts Legt die Anzahl der Passworteingabeaufforderungen fest, bevor aufgegeben wird. Das Argument fur dieses Schlusselwort muss eine Ganzzahl sein. Die Vorgabe ist 3. ObscureKeystrokeTiming Legt fest, ob ssh(1) versuchen soll, den zeitlichen Ablauf von Tastaturanschlagen gegenuber passiven Beobachtern des Netzwerkverkehrs zu verschleiern. Falls aktiviert, dann wird ssh(1) bei interaktiven Sitzungen die Tastaturanschlage in festen Zeitintervallen von wenigen zehn Mikrosekunden senden und fingierte Tastaturanschlagspakete einige Zeit nachdem das Tippen aufhort. Das Argument fur dieses Schlusselwort muss yes, no oder ein Intervallkennzeichner der Form interval:Millisekunden (z.B. interval:80 fur 80 Millisekunden) sein. Standardmassig werden Tastaturanschlage mittels eines 20 ms Paketintervalls verschleiert. Beachten Sie, dass kleinere Intervalle zu hoheren Paketraten fingierter Tastaturanschlage fuhren werden. PasswordAuthentication Legt fest, ob Passwort-Authentifizierung verwandt werden soll. Das Argument fur dieses Schlusselwort muss yes (die Vorgabe) oder no sein. PermitLocalCommand Erlaubt die Ausfuhrung lokaler Befehle mittels der Option LocalCommand oder mittels der Maskiersequenz !Befehl in ssh(1). Das Argument muss yes oder no (die Vorgabe) sein. PermitRemoteOpen Legt das Ziel fest, zu dem TCP-Port-Weiterleitung erlaubt ist, wenn RemoteForward als SOCKS-Proxy verwandt wird. Die Weiterleitungsfestlegung muss eine der folgenden Formen annehmen: PermitRemoteOpen Rechner:Port PermitRemoteOpen IPv4-Adresse:Port PermitRemoteOpen [IPv6-Adresse]:Port Mehrere Weiterleitungen konnen angegeben werden, indem sie durch Leerraum getrennt werden. Ein Argument any kann verwandt werden, um alle Beschrankungen zu entfernen und alle Weiterleitungsanfragen zu erlauben. Ein Argument none kann verwandt werden, um alle Weiterleitungsanfragen zu verbieten. Der Platzhalter >>*<< kann fur Rechner oder Port verwandt werden, um alle Rechner bzw. Ports zu erlauben. Daruber hinaus erfolgt kein Musterabgleich oder Adressabfragen bei bereitgestellten Namen. Standardmassig sind alle Port-Weiterleitungsanfragen erlaubt. PKCS11Provider Legt fest, welcher PKCS#11-Anbieter verwandt werden soll oder none (die Vorgabe), dass kein Anbieter verwandt werden soll. Das Argument fur dieses Schlusselwort ist ein Pfad zu einer dynamischen PKCS#11-Bibliothek, die ssh(1) zur Kommunikation mit einem PKCS#11-Token verwenden soll, der Schlussel fur die Benutzerauthentifizierung bereitstellt. Port Legt die Nummer des Ports fest, mit dem auf dem fernen Rechner verbunden werden soll. Die Vorgabe ist 22. PreferredAuthentications Legt die Reihenfolge fest, in der die Clients Authentifizierungsmethoden ausprobieren sollen. Dies erlaubt es Clients, eine bestimmte Methode (z.B. keyboard-interactive) gegenuber anderen Methoden (z.B. password) zu bevorzugen. Die Vorgabe lautet: gssapi-with-mic,hostbased,publickey, keyboard-interactive,password ProxyCommand Legt den fur Verbindungen zum Server zu verwendenden Befehl fest. Die Befehlszeichenkette geht bis zum Zeilenende und wird mittels der `exec' -Direktive der Shell des Benutzers ausgefuhrt, um einen schleppenden Shell-Prozess zu vermeiden. Argumente fur ProxyCommand akzeptieren die im Abschnitt MERKMALE beschriebenen Merkmale. Der Befehl kann im Prinzip alles sein, und sollte von seiner Standardeingabe einlesen und zur Standardausgabe schreiben. Er sollte sich schliesslich mit einem sshd(8) -Server verbinden, der auf irgendeiner Maschine lauft, oder sshd -i irgendwo ausfuhren. Die Schlusselverwaltung erfolgt mittels des Hostname des Rechners, zu dem verbunden wird (standardmassig der Name, den der Benutzer eingegeben hat). Durch Setzen des Befehl auf none wird diese Option komplett deaktiviert. Beachten Sie, dass CheckHostIP fur Verbindungen mit einem Proxy-Befehl nicht verfugbar ist. Diese Direktive ist im Zusammenspiel mit nc(1) und seiner Proxy- Unterstutzung nutzlich. Die folgende Direktive wurde sich beispielsweise mittels eines HTTP-Proxys zu 192.0.2.0 verbinden: ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p ProxyJump Legt einen oder mehrere Sprung-Proxys als entweder [Benutzer@]Rechner[:Port] oder als eine SSH-URI fest. Mehrere Proxys konnen durch Kommata getrennt werden. Diese werden der Reihe nach besucht. Durch Setzen dieser Option wird sich ssh(1) mit dem Zielrechner verbinden, indem es zuerst eine ssh(1) -Verbindung zu dem festgelegten ProxyJump -Rechner aufbaut und dann eine TCP-Weiterleitung zu dem endgultigen Ziel von dort aus aufbaut. Durch Setzen des Rechners auf none wird diese Option komplett deaktiviert. Beachten Sie, dass diese Option im Wettstreit mit der Option ProxyCommand steht - die zuerst angegebene wird die nachfolgende nicht wirksam werden lassen. Beachten Sie auch, dass die Konfiguration fur den Zielrechner (entweder auf der Befehlszeile ubergeben oder aus der Konfigurationsdatei) im Allgemeinen fur Sprung-Rechner nicht angewandt wird. Verwenden Sie ~/.ssh/config, falls fur den Sprungrechner spezielle Konfiguration notwendig ist. ProxyUseFdpass Legt fest, dass ProxyCommand einen verbundenen Dateideskriptor an ssh(1) zuruckgeben wird, statt weiter auszufuhren und Daten zu ubergeben. Die Vorgabe ist no. PubkeyAcceptedAlgorithms Legt die Signaturalgorithmen als Kommata-getrennte Liste von Mustern fest, die fur asymmetrische Authentifizierung verwandt werden sollen. Falls die festgelegte Liste mit einem >>+<< beginnt, dann werden die danach festgelegten Algorithmen an die Vorgabemenge angehangt, statt diese zu ersetzen. Falls die festgelegte Liste mit einem >>-<< beginnt, dann werden die festgelegten Algorithmen (einschliesslich Platzhalter-Zeichen) aus der Vorgabemenge entfernt, statt sie zu ersetzen. Falls die festgelegte Liste mit einem >>^<< beginnt, dann werden die festgelegten Algorithmen am Anfang der Vorgabemenge abgelegt. Die Vorgabe fur diese Option lautet: ssh-ed25519-cert-v01@openssh.com, ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-ed25519, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ssh-ed25519@openssh.com, sk-ecdsa-sha2-nistp256@openssh.com, rsa-sha2-512,rsa-sha2-256 Die Liste der verfugbaren Signaturalgorithmen kann auch mittels "ssh -Q PubkeyAcceptedAlgorithms" erhalten werden. PubkeyAuthentication Legt fest, ob asymmetrische Authentifizierung versucht werden soll. Das Argument dieses Schlusselwortes muss yes (die Vorgabe), no, unbound oder host-bound sein. Die letzteren zwei Optionen aktivieren asymmetrische Authentifizierung bei gleichzeitiger Deaktivierung bzw. Aktivierung der rechnergebundenen Authentifizierungsprotokollerweiterung von OpenSSH, die zur Beschrankung der ssh-agent(1) -Weiterleitung benotigt wird. RekeyLimit Legt die maximale Menge an Daten fest, die ubetragen oder empfangen werden durfen, bevor der Sitzungsschlussel neu ausgehandelt wird. Optional kann eine maximale Zeitdauer anhangt werden, die vergehen darf, bevor der Sitzungsschlussel neu ausgehandelt wird. Das erste Argument wird in Bytes angegeben und darf die Endungen >>K<< (fur Kilobyte), >>M<< (fur Megabyte) oder >>G<< (fur Gigabyte) tragen. Die Vorgabe liegt zwischen >>1G<< und >>4G<<, abhangig von der Chiffre. Der optionale zweite Wert wird in Sekunden festgelegt und kann jede der im Abschnitt TIME FORMATS von sshd_config(5) angegebenen Einheiten verwenden. Der Vorgabewert fur RekeyLimit ist default none. Dies bedeutet, dass Schlusselneuaushandlung durchgefuhrt wird, wenn die Vorgabemenge der Chiffre von Daten gesandt oder empfangen wurde und keine zeitbasierte Schlusselneuaushandlung erfolgt. RemoteCommand Legt einen Befehl fest, der nach erfolgreicher Anmeldung am Server auf der fernen Maschine ausgefuhrt werden soll. Die Befehlszeichenkette geht bis zum Zeilenende und wird mit der Shell des Benutzers ausgefuhrt. Argumente fur RemoteCommand akzeptieren die im Abschnitt MERKMALE beschriebenen Merkmale. RemoteForward Legt fest, dass ein TCP-Port auf der fernen Maschine uber den sicheren Kanal weitergeleitet wird. Der ferne Port kann entweder zu einem festgelegten Rechner und Port von der lokalen Maschine weitergeleitet werden oder er kann als SOCKS-4/5-Proxy agieren, der es einem fernen Client erlaubt, sich zu beliebigen Zielen von der lokalen Maschine zu verbinden. Das erste Argument ist die Festlegung fur das Warten auf Anfragen. Dieses kann entweder [Anbindeadresse:]Port oder ein Unix-Domain-Socketpfad sein, falls der ferne Rechner dies unterstutzt. Falls zu einem bestimmten Ziel weitergeleitet wird, dann muss das zweite Argument Rechner:Rechnerport oder ein Unix-Domain-Socketpfad sein. Andernfalls wird das ferne Weiterleiten als ein SOCKS-Proxy realisiert, falls kein Zielargument festgelegt ist. Wird als SOCKS-Proxy agiert, dann kann das Ziel der Verbindung mittels PermitRemoteOpen eingeschrankt werden. Durch Einschluss der Adresse in eckigen Klammern werden IPv6-Adressen festgelegt. Mehrere Weiterleitungen konnen festgelegt werden und zusatzliche Weiterleitungen konnen auf der Befehlszeile ubergeben werden. Privilegierte Ports konnen nur nach Anmeldung als root auf der fernen Maschine weitergeleitet werden. Unix-Domain-Socketpfade konnen die im Abschnitt MERKMALE beschriebenen Merkmale und die im Abschnitt UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen verwenden. Falls das Argument Port 0 ist, dann wird der Port, an dem auf Anfragen gewartet wird, dynamisch vom Server zugewiesen und dem Client zur Laufzeit ubermittelt. Falls die Anbindeadresse nicht festgelegt ist, dann wird standardmassig nur an die Loopback-Adresse angebunden. Falls die Anbindeadresse `*' oder die leere Zeichenkette ist, dann wird die Weiterleitung gebeten, auf allen Schnittstellen auf Anfragen zu warten. Die Festlegung einer fernen Anbindeadresse wird nur erfolgreich sein, falls die Option GatewayPorts des Servers aktiviert ist (siehe sshd_config(5)). RequestTTY Legt fest, ob ein Pseudo-TTY fur die Sitzung erbeten werden soll. Das Argument kann entweder no (niemals ein TTY erbeten), yes (immer ein TTY erbeten, wenn die Standardeingabe ein TTY ist), force (immer ein TTY erbeten) oder auto (ein TTY erbeten, wenn eine Anmeldesitzung eroffnet wird) sein. Diese Option spiegelt die Schalter -t und -T von ssh(1). RequiredRSASize Legt die minimale RSA-Schlusselgrosse (in Bit) fest, die ssh(1) akzeptieren wird. Benutzer-Authentifizierungsschlussel, die kleiner als diese Begrenzung sind, werden ignoriert. Server, die rechnerbasierte Schlussel prasentieren, die kleiner als diese Begrenzung sind, fuhren dazu, dass die Verbindung beendet wird. Die Vorgabe ist 1024 bit. Beachten Sie, dass diese Beschrankung von der Vorgabe her nur angehoben werden kann. RevokedHostKeys Legt gesperrte offentliche Rechnerschlussel fest. Bei denen in dieser Datei aufgefuhrten Schlusseln wird Rechner- Authentifizierung abgelehnt. Beachten Sie, dass Rechner- Authentifizierung fur alle Rechner abgelehnt wird, falls diese Datei nicht existiert oder nicht lesbar ist. Schlussel mussen als Textdatei festgelegt werden, wobei ein offentlicher Schlussel pro Zeile aufgefuhrt wird, oder als eine OpenSSH-Schlusselsperrliste (KRL), wie sie von ssh-keygen(1) erstellt wird. Fur weitere Informationen uber KRLs lesen Sie den Abschnitt SCHLUSSELSPERRLISTEN in ssh-keygen(1). Argumente fur RevokedHostKeys konnen die Tilde-Syntax verwenden, um sich auf das Home-Verzeichnis eines Benutzer, den im Abschnitt MERKMALE beschriebenen Merkmalen und den in Abschnitt UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen zu beziehen. SecurityKeyProvider Gibt einen Pfad zu einer Bibliothek an, die beim Laden jedes FIDO-Authentifikator-basierten Schlussels verwandt wird. Dies setzt die standardmassige, eingebaute USB-HID-Unterstutzung ausser Kraft. Falls der festgelegte Wert mit einem >>$<< beginnt, dann wird er als Umgebungsvariable behandelt, die den Pfad zu der Bibliothek enthalt. SendEnv Legt fest, welche Variablen von der lokalen environ(7) zum Server gesendet werden sollen. Der Server muss dies unterstutzen und zu deren Empfang konfiguriert sein. Beachten Sie, dass die Umgebungsvariable TERM immer gesandt wird, wenn ein Pseudo- Terminal erbeten wird, da sie vom Protokoll benotigt wird. Zur Konfiguration des Servers lesen Sie AcceptEnv in sshd_config(5). Variablen werden durch den Namen festgelegt und konnen Platzhalterzeichen enthalten. Mehrere Umgebungsvariablen konnen durch Leerraum getrennt oder uber mehrere SendEnv -Direktiven verteilt werden. Siehe MUSTER fur weitere Informationen uber Muster. Vorher gesetzte SendEnv -Variablen konnen zuruckgesetzt werden, indem ihnen - vorangestellt wird. Standardmassig werden keine Umgebungsvariablen gesandt. ServerAliveCountMax Setzt die Anzahl der (nachfolgend beschriebenen) Lebensmeldungen, die gesendet werden konnen, ohne dass ssh(1) eine Nachricht vom Server zuruck erhalt. Falls diese Schwelle erreicht wird, wahrend die Lebensmeldungen des Servers gesandt werden, wird Ssh die Verbindung zum Server trennen und die Sitzung beenden. Es ist wichtig anzumerken, dass der Einsatz der Lebensmeldungen sich sehr von TCPKeepAlive (siehe unten) unterscheidet. Die Server- Lebensmeldungen werden durch den verschlusselten Kanal ubersandt und konnen daher nicht gefalscht werden. Die mittels TCPKeepAlive aktivierte TCP-Keepalive-Option kann gefalscht werden. Der Server-Lebensmechanismus ist wertvoll, wenn der Client oder Server davon abhangen, zu wissen, wann die Verbindung aufhorte, zu reagieren. Der Vorgabewert ist 3. Falls beispielsweise ServerAliveInterval (siehe unten) auf 15 gesetzt ist und ServerAliveCountMax auf der Vorgabe verbleibt, dann wird Ssh nach ca. 45 Sekunden die Verbindung trennen, falls der Server nicht mehr reagiert. ServerAliveInterval Setzt ein Zeituberschreitungsintervall in Sekunden, nach der ssh(1) eine Nachricht durch den verschlusselten Kanal senden und um eine Reaktion vom Server bitten wird, falls keine Daten vom Server empfangen wurden. Die Vorgabe ist 0, was anzeigt, dass diese Nachrichten nicht an den Server gesandt werden. SessionType Kann zur Erbitten eines Subsystems auf dem fernen Rechner oder zur kompletten Verhinderung eines fernen Befehlsaufrufs verwandt werden. Letzteres ist nutzlich, um nur Ports weiterzuleiten. Das Argument fur dieses Schlusselwort muss none (wie bei der Option -N), subsystem (wie bei der Option -s) oder default (Shell oder Befehlsausfuhrung) sein. SetEnv Legt das Senden von einer oder mehrerer Umgebungsvariablen und ihren Inhalt an den Server direkt fest. Ahnlich zu SendEnv, mit Ausnahme der Variable TERM, muss der Server bereit sein, Umgebungsvariablen zu akzeptieren. StdinNull Leitet Stdin von /dev/null um (verhindert tatsachlich das Lesen von Stdin). Entweder dies oder die aquivalente Option -n muss verwandt werden, wenn ssh im Hintergrund ausgefuhrt wird. Das Argument fur dieses Schlusselwort muss yes (wie bei der Option -n) oder no (die Vorgabe) sein. StreamLocalBindMask Setzt die oktale Dateierstellungsmaske (umask), die bei der Erstellung einer Unix-Domain-Socket-Datei fur lokale oder ferne Port-Weiterleitung verwandt werden soll. Diese Option wird nur fur Port-Weiterleitungen zu einer Unix-Domain-Socket-Datei verwandt. Der Vorgabewert ist 0177. Dadurch wird eine Unix-Domain-Socket- Datei erstellt, die nur der Eigentumer lesen und schreiben kann. Beachten Sie, dass nicht alle Betriebssysteme den Dateimodus bei Unix-Domain-Socket-Dateien berucksichtigen. StreamLocalBindUnlink Legt fest, ob eine bestehende Unix-Domain-Socket-Datei fur lokale oder ferne Port-Weiterleitung entfernt werden soll, bevor eine neue erstellt wird. Falls die Socket-Datei bereits existiert und StreamLocalBindUnlink nicht aktiviert ist, wird ssh nicht in der Lage sein, den Port zu der Unix-Domain-Socket-Datei weiterzuleiten. Diese Option wird nur fur Port-Weiterleitungen zu einer Unix-Domain-Socket-Datei verwandt. Das Argument muss yes oder no (die Vorgabe) sein. StrictHostKeyChecking Falls dieser Schalter auf yes gesetzt ist, wird ssh(1) niemals automatisch Rechnerschlussel zu der Datei ~/.ssh/known_hosts hinzufugen und es ablehnen, sich zu Rechnern zu verbinden, deren Rechner-Schlussel sich geandert hat. Dies bietet einen maximalen Schutz gegen Man-in-the-middle- (MITM-)Angriffe. Es kann aber auch nervend sein, wenn die Datei /etc/ssh/ssh_known_hosts schlecht gepflegt wird oder wenn haufig Verbindungen zu neuen Rechnern erfolgen. Diese Option zwingt den Benutzer, alle neuen Rechner manuell hinzuzufugen. Falls dieser Schalter auf accept-new gesetzt ist, dann wird Ssh neue Rechnerschlussel automatische zu den Dateien known_hosts der Benutzer hinzufugen, wird aber keine Verbindungen zu Rechnern mit geanderten Rechnerschlusseln erlauben. Falls dieser Schalter auf no oder off gesetzt ist, wird Ssh automatisch neue Rechnerschlussel zu den Dateien der bekannten Rechner der Benutzer hinzufugen und mit dem Aufbau von Verbindungen zu Rechnern, deren Rechnerschlussel sich geandert hat, fortfahren, allerdings unter ein paar Einschrankungen. Falls dieser Schalter auf ask (die Vorgabe) gesetzt ist, werden neue Rechnerschlussel zu den Dateien der bekannten Rechner der Benutzer erst hinzugefugt, wenn der Benutzer bestatigt hat, dass er dies wirklich mochte. Auch wird Ssh Verbindungen zu Rechnern verweigern, deren Rechnerschlussel sich geandert hat. Die Rechnerschlussel aller bekannten Rechner werden automatisch in allen Fallen uberpruft. SyslogFacility Gibt den Code der Einrichtung an, die beim Protokollieren von Nachrichten durch ssh(1) verwandt wird. Die moglichen Werte sind: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Die Vorgabe ist USER. TCPKeepAlive Legt fest, ob das System TCP-Keepalive-Meldungen zu der anderen Seite senden soll. Falls diese gesandt werden, wird der Tod der Verbindung oder der Absturz einer der beiden Maschinen korrekt bemerkt. Allerdings bedeutet dies, dass die Verbindung absturzt, falls die Route temporar nicht existiert und einige Leute finden das nervend. Die Vorgabe ist yes (TCP-Keepalive-Meldungen senden) und der Client wird es bemerken, wenn das Netzwerk ausfallt oder der ferne Rechner stirbt. Dies ist fur Skripte wichtig, und viele Benutzer mochten es ebenfalls. Um TCP-Keepalive-Meldungen zu deaktivieren, sollte der Wert auf no gesetzt werden. Siehe auch ServerAliveInterval fur Keepalives auf Protokoll-Ebene. Tag Gibt ein Konfigurationsmerkmalnamen an, der spater uber eine Direktive Match zur Auswahl eines Konfigurationsblocks verwandt werden kann. Tunnel Fordert die tun(4) -Gerateweiterleitung zwischen dem Client und dem Server an. Das Argument muss yes, point-to-point (Layer 3), ethernet (Layer 2) oder no (die Vorgabe) sein. Festlegung von yes fordert den Standard-Tunnelmodus ( point-to-point) an. TunnelDevice Legt die auf dem Client (lokaler_Tun) und dem Server (ferner_Tun) zu offnenden tun(4) -Gerate fest. Das Argument muss lokaler_Tun[:ferner_Tun] sein. Die Gerate konnen uber die numerische Kennung oder das Schlusselwort any, das das nachste verfugbare Tunnel-Gerat verwendet, festgelegt sein. Falls ferner_Tun nicht festgelegt ist, ist die Vorgabe any. Die Vorgabe ist any:any. UpdateHostKeys Legt fest, ob ssh(1) Benachrichtigungen vom Server uber zusatzliche Rechnerschlussel akzeptieren soll, die gesandt werden, nachdem die Authentifizierung abgeschlossen wurde, und diese dann zu UserKnownHostsFile hinzufugen soll. Das Argument muss yes, no oder ask sein. Diese Option erlaubt das Kennenlernen alternativer Rechnerschlussel fur einen Server und unterstutzt taktvolle Schlusselrotation, indem dem Server ermoglicht wird, den Ersatz fur den offentlichen Schlussel zu senden, bevor die alten entfernt werden. Zusatzliche Rechnerschlussel werden nur akzeptiert, falls dem zur Authentifizierung des Rechners verwandten Schlussel bereits vertraut oder dieser vom Benutzer explizit akzeptiert wurde, der Rechner mittels UserKnownHostsFile (d.h. nicht GlobalKnownHostsFile) authentifiziert wurde und der Rechner mittels einfachem Schlussel und nicht einem Zertifikat authentifiziert wurde. UpdateHostKeys ist standardmassig aktiviert, falls der Benutzer nicht die Vorgabeeinstellung UserKnownHostsFile ausser Kraft gesetzt und nicht VerifyHostKeyDNS aktiviert hat. Andernfalls wird UpdateHostKeys auf no gesetzt. Falls UpdateHostKeys auf ask gesetzt ist, wird der Benutzer um Bestatigungen bei Veranderungen an der Datei >>known_hosts<< gebeten. Bestatigungen sind derzeit mit ControlPersist inkompatibel und werden deaktiviert, falls das aktiviert ist. Derzeit unterstutzen nur sshd(8) von OpenSSH 6.8 und neuere die "hostkeys@openssh.com" -Protokollerweiterung fur die Information der Clients uber alle Rechnerschlussel des Servers. User Legt den Benutzernamen fest, der bei der Anmeldung verwandet werden soll. Dies kann nutzlich sein, wenn sich der Benutzername auf verschiedenen Maschinen unterscheidet. Dies erspart den Aufwand, daran zu denken, den Benutzernamen auf der Befehlszeile anzugeben. UserKnownHostsFile Legt eine oder mehrere, durch Leerraum getrennte, Dateien fest, die fur die Rechnerschlusseldatenbank des Benutzer verwandt werden sollen. Jeder Dateiname kann die Tilde-Notation, um sich auf das Home-Verzeichnis des Benutzers zu beziehen, die im Abschnitt MERKMALE beschriebenen Merkmale und die im Abschnitt UMGEBUNGSVARIABLEN beschriebenen Umgebungsvariablen verwenden. Der Wert none fuhrt dazu, dass ssh(1) alle benutzerspezifischen Dateien bekannter Rechner ignoriert. Die Vorgabe ist ~/.ssh/known_hosts, ~/.ssh/known_hosts2. VerifyHostKeyDNS Legt fest, ob der ferne Schlussel mittels DNS- und SSHFP- Ressourcen-Datensatzen verifiziert werden soll. Falls diese Option auf yes gesetzt ist, wird der Client implizit Schlusseln vertrauen, die auf einen sicheren Fingerabdruck aus dem DNS passen. Unsichere Fingerabdrucke werden so gehandhabt, als ob die Option auf ask gesetzt worden ware. Falls diese Option auf ask gesetzt ist, werden Informationen uber Fingerabruck-Ubereinstimmungen angezeigt, aber der Benutzer muss dennoch den neuen Rechnerschlussel gemass der Option StrictHostKeyChecking bestatigen. Die Vorgabe ist no. Siehe auch RECHNERSCHLUSSEL UBERPRUFEN in ssh(1). VisualHostKey Falls dieser Schalter auf yes gesetzt ist, wird eine ASCII- Darstellung des Fingerabdrucks des fernen Rechners zusatzlich zur Zeichenkette mit dem Fingerabdruck selbst bei der Anmeldung und bei unbekannten Rechnerschlusseln angezeigt. Falls dieser Schalter auf no (die Vorgabe) gesetzt ist, werden keine Fingerabdruck-Zeichenketten beim Anmelden angezeigt und die Fingerabdruck-Zeichenkette wird nur fur unbekannte Rechnerschlussel dargestellt. XAuthLocation Legt den vollstandigen Pfadnamen des Programms xauth(1) fest. Die Vorgabe ist /usr/bin/xauth. MUSTER Ein Muster besteht aus keinem oder mehreren, von Leerraum verschiedenen Zeichen, >>*<< (einem Platzhalter, der auf keines odere mehrere Zeichen passt) und >>?<< (einem Platzhalter, der auf genau ein Zeichen passt). Um beispielsweise eine Gruppe von Deklarationen fur alle Rechner in der Menge der ".co.uk" -Domains festzulegen, konnte folgendes Muster verwandt werden: Host *.co.uk Das folgende Muster wurde auf jeden Rechner in dem Netzwerkbereich 192.168.0.[0-9] passen: Host 192.168.0.? Eine Musterliste ist eine durch Kommata getrennte Liste von Mustern. Muster innerhalb von Musterlisten konnen negiert werden, indem ihnen ein Anfuhrungszeichen (`!') vorangestellt wird. Um beispielsweise einem Schlussel zu erlauben, von uberall innerhalb der Organisation, ausser aus dem "dialup" -Bereich verwandt zu werden, konnte folgender Eintrag (in >>authorized_keys<<) verwandt werden: from="!*.dialup.example.com,*.example.com" Beachten Sie, dass ein negierter Treffer niemals selbst positive Ergebnisse erzeugen wird. Wird beispielsweise versucht, "host3" mit der folgenden Musterliste zu vergleichen, so wird dies fehlschlagen: from="!host1,!host2" Die Losung besteht darin, einen Ausdruck aufzunehmen, der zu einem positiven Vergleich fuhrt, wie z.B. mit einem Platzhalter: from="!host1,!host2,*" MERKMALE Argumente fur manche Schlusselworter konnen Merkmale verwenden, die zur Laufzeit expandiert werden: %% Ein wortliches >>%<<. %C Hash von %l%h%p%r%j. %d Das lokale Home-Verzeichnis des Benutzers. %f Der Fingerabdruck des Rechnerschlussels des Servers. %H Der known_hosts Rechnername oder Adresse, nach der gesucht wird. %h Der ferne Rechnername. %I Eine Zeichenkette, die den Grund fur eine KnownHostsCommand -Ausfuhrung beschreibt: entweder ADDRESS, bei der Suche nach einem Rechner uber die Adresse (nur wenn CheckHostIP aktiviert ist), HOSTNAME, bei der Suche uber Rechnernamen oder ORDER, bei der Vorbereitung der Liste der bevorzugten Rechnerschlussel-Algorithmen, die fur den Zielrechner verwandt werden soll. %i Die lokale Benutzerkennung. %j Der Inhalt der Option ProxyJump oder die leere Zeichenkette, falls diese Option nicht gesetzt ist. %K Der Base64-kodierte Rechnerschlussel. %k Der Rechnerschlussel-Alias, falls festgelegt, andernfalls der ursprunglich auf der Befehlszeile ubergebene ferne Rechnername. %L Der lokale Rechnername. %l Der lokale Rechnername, einschliesslich des Domain-Namens. %n Der ursprungliche ferne Rechnername, wie auf der Befehlszeile ubergeben. %p Der ferne Port. %r Der ferne Benutzername. %T Die zugewiesene lokale tun(4) - oder tap(4) -Netzwerkschnittstelle, falls Tunnel-Weiterleitung erbeten wurde. Andernfalls "NONE". %t Die Art des Server-Rechner-Schlussels, z.B. ssh-ed25519. %u Der lokale Benutzername. CertificateFile, ControlPath, IdentityAgent, IdentityFile, KnownHostsCommand, LocalForward, Match exec, RemoteCommand, RemoteForward, RevokedHostKeys und UserKnownHostsFile akzeptieren die Merkmale %%, %C, %d, %h, %i, %j, %k, %L, %l, %n, %p, %r und %u. KnownHostsCommand akzeptiert zusatzlich die Merkmale %f, %H, %I, %K und %t. Hostname akzeptiert die Merkmale %% und %h. LocalCommand akzeptiert alle Merkmale. ProxyCommand und ProxyJump akzeptieren die Merkmale %%, %h, %n, %p und %r. Beachten Sie, dass einige dieser Direktiven Befehle zur Ausfuhrung mittels der Shell zusammenbauen. Da ssh(1) kein Filtern oder Maskieren der Zeichen, die eine besondere Bedeutung fur Shell-Befehle haben (z.B. Anfuhrungszeichen), durchfuhrt, unterliegt es der Verantwortung des Benutzer sicherzustellen, dass die an ssh(1) ubergebenen Argumente solche Zeichen nicht enthalten und das Merkmale entsprechend beim Einsatz maskiert sind. UMGEBUNGSVARIABLEN Argumente fur einige Schlusselworter konnen zur Laufzeit aus Umgebungsvariablen auf dem Client expandiert werden, indem sie in ${} eingeschlossen werden. Beispielsweise wurde sich ${HOME}/.ssh auf das .ssh-Verzeichnis des Benutzers beziehen. Falls eine festgelegte Umgebungsvariable nicht existiert, wird ein Fehler zuruckgeliefert und die Einstellung fur dieses Schlusselwort wird ignoriert. Die Schlusselworter CertificateFile, ControlPath, IdentityAgent, IdentityFile, KnownHostsCommand und UserKnownHostsFile unterstutzen Umgebungsvariablen. Die Schluselworter LocalForward und RemoteForward unterstutzen Umgebungsvariablen nur fur Unix-Domain-Socket-Pfade. DATEIEN ~/.ssh/config Dies ist die benutzerbezogene Konfigurationsdatei. Das Format dieser Datei ist weiter oben beschrieben. Diese Datei wird vom SSH-Client verwandt. Aufgrund der Gefahr des Missbrauchs muss diese Datei strengen Berechtigungen unterliegen: Lesen/Schreiben fur den Benutzer und nicht schreibbar fur andere. /etc/ssh/ssh_config Systemweite Konfigurationsdatei. Diese Datei stellt Vorgaben fur die Werte bereit, die in der Konfigurationsdatei des Benutzers nicht festgelegt sind, und fur die Benutzer, die keine Konfigurationsdatei haben. Die Datei muss fur alle lesbar sein. SIEHE AUCH ssh(1) AUTOREN OpenSSH ist eine Ableitung der ursprunglichen und freien SSH-1.2.12-Veroffentlichung durch Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt und Dug Song entfernten viele Fehler, fugten neue Funktionalitaten wieder hinzu und erstellten OpenSSH. Markus Friedl steuerte die Unterstutzung fur SSH-Protokollversion 1.5 und 2.0 bei. UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3: https://www.gnu.org/licenses/gpl-3.0.html oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer: debian-l10n-german@lists.debian.org Linux 6.9.7-arch1-1 $Mdocdate: 12. Oktober 2023 $ Linux 6.9.7-arch1-1