.\" -*- coding: UTF-8 -*-
.\"
.\" Author: Tatu Ylonen <ylo@cs.hut.fi>
.\" Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
.\"                    All rights reserved
.\"
.\" As far as I am concerned, the code I have written for this software
.\" can be used freely for any purpose.  Any derived versions of this
.\" software must be clearly marked as such, and if the derived work is
.\" incompatible with the protocol description in the RFC file, it must be
.\" called by a name other than "ssh" or "Secure Shell".
.\"
.\" Copyright (c) 1999,2000 Markus Friedl.  All rights reserved.
.\" Copyright (c) 1999 Aaron Campbell.  All rights reserved.
.\" Copyright (c) 1999 Theo de Raadt.  All rights reserved.
.\"
.\" Redistribution and use in source and binary forms, with or without
.\" modification, are permitted provided that the following conditions
.\" are met:
.\" 1. Redistributions of source code must retain the above copyright
.\"    notice, this list of conditions and the following disclaimer.
.\" 2. Redistributions in binary form must reproduce the above copyright
.\"    notice, this list of conditions and the following disclaimer in the
.\"    documentation and/or other materials provided with the distribution.
.\"
.\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
.\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
.\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
.\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
.\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
.\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
.\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
.\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
.\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
.\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
.\"
.\" $OpenBSD: ssh_config.5,v 1.394 2024/02/21 06:01:13 djm Exp $
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.Dd $Mdocdate: 21 février 2024 $
.Dt SSH_CONFIG 5
.Os
.Sh NOM
.Nm ssh_config
.Nd Fichier de configuration du client OpenSSH
.Sh DESCRIPTION
.Xr ssh 1
obtient ses données de configuration à partir des sources
suivantes et dans cet ordre :
.Pp
.Bl -enum -offset indent -compact
.It 
options de la ligne de commande
.It 
fichier de configuration de l’utilisateur
.Pq Pa ~/.ssh/config
.It 
fichier de configuration globale du système
.Pq Pa /etc/ssh/ssh_config
.El
.Pp
Sauf indication contraire, pour chaque paramètre, c’est la première valeur
obtenue qui sera utilisée. Les fichiers de configuration contiennent des
sections séparées par des spécifications de machine
.Cm Host ,
et chaque
section ne s’applique qu’à la machine dont le nom correspond à un des motifs
donnés dans la spécification de machine. Le nom de machine qui correspond
aux motifs est en général celui qui a été spécifié sur la ligne de commande
(voir l’option
.Cm CanonicalizeHostname
pour les exceptions).
.Pp
Comme c'est la première valeur obtenue pour chaque paramètre qui est
utilisée, les déclarations les plus spécifiques aux machines doivent être
vers le début du fichier, et les valeurs générales par défaut vers la fin.
.Pp
Le fichier contient des paires mot-clé/argument à raison d’une paire par
ligne. Les lignes commençant par « # » et les lignes vides sont interprétées
comme des commentaires. Pour spécifier des arguments contenant des espaces,
on peut les entourer de guillemets droits « " ». Les options de
configuration peuvent être séparées par des blancs ou un blanc facultatif et
exactement un signe égal « = » ; le deuxième format évite d’avoir à mettre
les blancs entre guillemets lors de la spécification d’options de
configuration en utilisant l’option
.Fl o
de
.Nm ssh ,
.Nm scp
et
.Nm sftp .
.Pp
Les mots-clés valables et leurs significations sont les suivants (notez que
les mots-clés ne sont pas sensibles à la casse, mais que les arguments le
sont :
.Bl -tag -width Ds
.It Cm Host
Cette option restreint l’application des déclarations suivantes (jusqu’au
prochain mot-clé
.Cm Host
ou
.Cm Match )
aux seules machines dont le
nom correspond à un des motifs indiqués après le mot-clé. Si plusieurs
motifs sont indiqués, ils doivent être séparés par des blancs. Le motif
« * » permet de définir des valeurs par défaut pour toutes les machines. La
machine correspond en général à l’argument
.Ar nom_machine
de la ligne de
commande (voir le mot-clé
.Cm CanonicalizeHostname
pour les exceptions).
.Pp
On peut inverser une entrée de motif en la préfixant avec un point
d’exclamation « ! ». Si une entrée inversée correspond, l’entrée
.Cm Host
correspondante est ignorée, qu’un autre motif de la ligne corresponde ou
non. Les correspondances inversées permettent ainsi de définir des
exceptions pour les correspondances avec caractères génériques.
.Pp
Voir
.Sx MOTIFS
pour plus d’informations à propos des motifs.
.It Cm Match
Cette option assujettit l’application des déclarations suivantes (jusqu’au
prochain mot-clé
.Cm Host
ou
.Cm Match )
au respect des conditions qui
suivent le mot-clé
.Cm Match .
Les conditions de correspondance sont
indiquées à l’aide d’un ou plusieurs critères ou du simple critère
.Cm all
qui implique une correspondance systématique. Les mots-clés valables
pour les critères sont :
.Cm canonical ,
.Cm final ,
.Cm exec ,
.Cm localnetwork ,
.Cm host ,
.Cm originalhost ,
.Cm tagged ,
.Cm user
et
.Cm localuser .
Le critère
.Cm all
doit apparaître seul ou
immédiatement après
.Cm canonical
ou
.Cm final .
Les autres critères
peuvent être combinés arbitrairement. À l’exception de
.Cm all ,
.Cm canonical
et
.Cm final ,
tous les critères nécessitent un argument. On
peut inverser un critère en le préfixant avec un point d’exclamation « ! ».
.Pp
Le mot-clé
.Cm canonical
n’implique une correspondance que lorsque le
fichier de configuration est relu après que le nom de la machine a été mis
sous forme canonique (voir l’option
.Cm CanonicalizeHostname ) .
Cela
permet d’indiquer des options qui ne fonctionnent qu’avec les noms de
machine canoniques.
.Pp
Le mot-clé
.Cm final
demande une relecture de la configuration (que
.Cm CanonicalizeHostname
soit activée ou non), et n'effectue de comparaison que
lors de cette passe finale. Si
.Cm CanonicalizeHostname
est activée,
.Cm canonical
et
.Cm final
effectuent une comparaison lors de la même
passe.
.Pp
Le mot-clé
.Cm exec
exécute la commande spécifiée sous l’interpréteur de
commande de l’utilisateur. Si la commande renvoie zéro comme code de retour,
la condition est considérée comme remplie. Les commandes contenant des
caractères blancs doivent être entourées de guillemets. Les arguments de
.Cm exec
acceptent les symboles décrits dans la section
.Sx SYMBOLES .
.Pp
Le mot-clé
.Cm localnetwork
effectue une comparaison entre les adresses
des interfaces réseau locales actives et la liste de réseaux fournie au
format CIDR. Cette comparaison peut s’avérer utile pour adapter la
configuration effective des périphériques qui changent de réseau. Notez que
l’adresse réseau n’est pas un critère de confiance dans de nombreuses
situations (par exemple lorsque le réseau est configuré automatiquement à
l’aide de DHCP) et qu’il faut donc l’utiliser avec prudence pour contrôler
une configuration particulièrement sensible à la sécurité.
.Pp
Les autres critères des mots-clés doivent être des entrées simples ou des
listes séparées par des virgules et peuvent contenir des caractères
génériques et des opérateurs de négation comme décrit dans la section
.Sx MOTIFS .
Les critères pour le mot-clé
.Cm host
sont comparés avec le nom
de machine cible après toute substitution à l’aide des options
.Cm Hostname
ou
.Cm CanonicalizeHostname .
Le mot-clé
.Cm originalhost
effectue une comparaison avec le nom de machine tel qu’il a été indiqué sur
la ligne de commande. Le mot-clé
.Cm tagged
met en correspondance un nom
de symbole spécifié par une directive
.Cm Tag
précédente ou sur la ligne
de commande de
.Xr ssh 1
à l’aide du drapeau
.Fl P .
Le mot-clé
.Cm user
met en correspondance le nom d’utilisateur cible sur la machine
distante. Le mot-clé
.Cm localuser
met en correspondance le nom de
l’utilisateur local qui exécute
.Xr ssh 1
(ce mot-clé peut s’avérer utile
dans les fichiers de
.Nm ssh_config
globaux du système).
.It Cm AddKeysToAgent
Cette option permet de spécifier si les clés doivent être ajoutées
automatiquement à un
.Xr ssh-agent 1
en cours d’exécution. Si cette
option est définie à
.Cm yes
et si une clé est chargée depuis un fichier,
la clé et sa phrase de passe sont ajoutées à l’agent avec une durée de vie
par défaut, comme si on avait utilisé
.Xr ssh-add 1 .
Si cette option est
définie à
.Cm ask ,
.Xr ssh 1
nécessite une confirmation à l’aide du
programme
.Ev SSH_ASKPASS
avant d’ajouter une clé (voir
.Xr ssh-add 1
pour les détails). Si cette option est définie à
.Cm confirm ,
chaque
utilisation de la clé doit être confirmée comme si l’option
.Fl c
avait
été spécifiée avec
.Xr ssh-add 1 .
Si cette option est définie à
.Cm no ,
aucune clé n’est ajoutée à l’agent. Cette option peut aussi prendre
pour valeur un intervalle de temps en utilisant le format décrit dans la
section
.Sx FORMATS DE TEMPS
de
.Xr sshd_config 5
pour spécifier la
durée de vie de la clé au sein du
.Xr ssh-agent 1 ,
durée après laquelle
la clé sera automatiquement supprimée de l’agent. L’argument de cette option
peut prendre pour valeur
.Cm no
(la valeur par défaut),
.Cm yes ,
.Cm confirm
(optionnellement suivie d’un intervalle de temps),
.Cm ask
ou un
intervalle de temps.
.It Cm AddressFamily
Cette option permet de spécifier la famille d’adresses à utiliser lors de la
connexion. Les arguments valables sont
.Cm any
(la valeur par défaut),
.Cm inet
(utiliser seulement IPv4) ou
.Cm inet6
(utiliser seulement
IPv6).
.It Cm BatchMode
Si cette option est définie à
.Cm yes ,
les interactions avec
l’utilisateur comme les invites de mot de passe et de confirmation de la clé
d’hôte sont désactivées. Cette option s’avère utile dans le cas de scripts
et de toute tâche de traitement par lot où aucun utilisateur n’est présent
pour interagir avec
.Xr ssh 1 .
L’argument doit être
.Cm yes
ou
.Cm no
(la valeur par défaut).
.It Cm BindAddress
Utiliser l’adresse spécifiée sur la machine locale comme adresse source de
la connexion. Cette option n’est utile que sur les systèmes qui possèdent
plusieurs adresses.
.It Cm BindInterface
Utiliser l’adresse de l’interface spécifiée sur la machine locale comme
adresse source de la connexion.
.It Cm CanonicalDomains
Si
.Cm CanonicalizeHostname
est activée, cette option permet d’indiquer
la liste des suffixes de domaine dans laquelle rechercher la machine de
destination spécifiée.
.It Cm CanonicalizeFallbackLocal
Cette option indique s’il faut échouer avec une erreur lorsque la mise sous
forme canonique du nom de machine échoue. Avec la valeur par défaut,
.Cm yes ,
le nom de machine non qualifié sera recherché en utilisant les règles
de recherche du résolveur du système. Avec la valeur
.Cm no ,
.Xr ssh 1
échouera instantanément si
.Cm CanonicalizeHostname
est activé et si le
nom de la machine cible n’a pu être trouvé dans aucun des domaines spécifiés
à l’aide de
.Cm CanonicalDomains .
.It Cm CanonicalizeHostname
Cette option indique si une mise sous forme canonique explicite du nom de
machine doit être effectuée. Avec la valeur par défaut,
.Cm no ,
aucune
réécriture de nom n’est effectuée et le résolveur du système gère toutes les
recherches de nom de machine. Avec la valeur
.Cm yes
et pour les
connexions qui n’utilisent pas
.Cm ProxyCommand
ou
.Cm ProxyJump ,
.Xr ssh 1
va tenter de mettre sous forme canonique le nom de machine
spécifié sur la ligne de commande en utilisant les suffixes de
.Cm CanonicalDomains
et les règles de
.Cm CanonicalizePermittedCNAMEs .
Si
.Cm CanonicalizeHostname
est définie à
.Cm always ,
la mise sous forme
canonique s’applique aussi aux connexions mandatées.
.Pp
Si cette option est activée, les fichiers de configuration sont relus pour
prendre en compte le nouveau nom cible et ainsi détecter toute nouvelle
configuration dans les sections
.Cm Host
et
.Cm Match
correspondantes. Une valeur
.Cm none
désactive l’utilisation de la
machine
.Cm ProxyJump .
.It Cm CanonicalizeMaxDots
Cette option permet de spécifier le nombre maximal de caractères point « . »
dans un nom de machine au dessus duquel la mise sous forme canonique est
désactivée. La valeur par défaut, 1, ne permet qu’un seul point, comme dans
nom_machine.sous_domaine.
.It Cm CanonicalizePermittedCNAMEs
Cette option permet de spécifier des règles permettant de déterminer si les
CNAME doivent être suivis lors de la mise sous forme canonique des noms de
machine. Les règles consistent en un ou plusieurs arguments de la forme
.Ar liste_domaines_source : Ns Ar liste_domaines_cible
où
.Ar liste_domaines_source
est une liste de domaines sous forme de motifs qui
peuvent suivre les CNAME pour la mise sous forme canonique, et
.Ar liste_domaines_cible
une liste de domaines sous forme de motifs vers
lesquels ils peuvent être résolus
.Pp
Par exemple, « *.a.example.com:*.b.example.com,*.c.example.com » permet aux
noms de machine correspondant à « *.a.example.com » d’être mis sous forme
canonique vers des noms dans les domaines « *.b.example.com » ou
« *.c.example.com ».
.Pp
Si « none » est le seul argument, aucun CNAME ne fera l’objet d’une mise
sous forme canonique. Il s’agit du comportement par défaut.
.It Cm CASignatureAlgorithms
Cette option permet de spécifier les algorithmes autorisés pour la signature
des certificats par les autorités de certification (CA). Les algorithmes par
défaut sont :
.Bd -literal -offset indent
ssh-ed25519,ecdsa-sha2-nistp256,
ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
.Ed
.Pp
Si la liste fournie commence par un plus « + », les algorithmes qu’elle
contient seront ajoutés à la liste des algorithmes par défaut au lieu de les
remplacer. Si la liste fournie commence par un moins « - », les algorithmes
qu’elle contient (pouvant comporter des caractères génériques) seront
supprimés de la liste des algorithmes par défaut au lieu de les remplacer.
.Pp
.Xr ssh 1
n’acceptera aucun certificat de machine signé en utilisant un
algorithme autre que ceux spécifiés.
.It Cm CertificateFile
Cette option permet de spécifier un fichier à partir duquel le certificat de
l’utilisateur sera lu. Pour utiliser ce certificat, une clé privée
correspondante doit être fournie séparément à l’aide d’une directive
.Cm IdentityFile
ou du drapeau
.Fl i
à
.Xr ssh 1 ,
de
.Xr ssh-agent 1 ,
ou d’une directive
.Cm PKCS11Provider
ou
.Cm SecurityKeyProvider .
.Pp
Les arguments de
.Cm CertificateFile
peuvent utiliser la syntaxe avec
tilde « ~ » pour faire référence au répertoire personnel de l’utilisateur,
ainsi que les symboles décrits dans la section
.Sx SYMBOLES
et les
variables d’environnement comme décrit dans la section
.Sx VARIABLES D’ENVIRONNEMENT .
.Pp
Il est possible d’indiquer plusieurs fichiers de certificat dans les
fichiers de configuration ; ces certificats seront essayés
séquentiellement. Des directives
.Cm CertificateFile
multiples ajouteront
les certificats contenus dans les fichiers qu’elles indiquent à la liste des
certificats utilisés pour l’authentification.
.It Cm ChannelTimeout
Cette option permet de spécifier si
.Xr ssh 1
doit fermer les canaux
inactifs et au bout de combien de temps. Les délais sont indiqués sous forme
d’une ou plusieurs paires « type=intervalle » séparées par des blancs, où
« type » doit être le mot-clé spécial « global » ou un nom de type de canal
dans la liste ci-dessous et pouvant contenir des caractères génériques.
.Pp
La valeur du délai « intervalle » est indiquée en secondes ou toute unité
décrite dans la section
.Sx FORMATS DE TEMPS .
Par exemple, « session=5m »
signifierait la fermeture de la session interactive au bout de cinq minutes
d’inactivité. Une valeur de délai de zéro désactive le délai d’inactivité.
.Pp
Le délai spécial « global » s’applique à tous les canaux actifs pris dans
leur ensemble. Tout trafic sur un canal actif va réinitialiser le délai,
mais lorsque ce dernier arrivera à expiration, tous les canaux ouverts
seront fermés. Notez que ce délai global ne peut pas être spécifié avec des
caractères génériques et devra l’être explicitement.
.Pp
Les noms de types de canal valables sont :
.Bl -tag -width Ds
.It Cm agent-connection
Les connexions ouvertes vers
.Xr ssh-agent 1 .
.It Cm direct-tcpip , Cm direct-streamlocal@openssh.com
Les connexions ouvertes TCP ou de type socket Unix (respectivement) qui ont
été établies à partir d’une redirection locale de
.Xr ssh 1
comme
.Cm LocalForward
ou
.Cm DynamicForward .
.It Cm forwarded-tcpip , Cm forwarded-streamlocal@openssh.com
Les connexions ouvertes TCP ou de type socket Unix (respectivement) qui ont
été établies vers un démon
.Xr sshd 8
en écoute au nom d’une redirection
distante de
.Xr ssh 1 ,
c’est-à-dire
.Cm RemoteForward .
.It Cm session
La session interactive principale, à savoir la session de l’interpréteur de
commande, l’exécution de la commande,
.Xr scp 1 ,
.Xr sftp 1 ,
 etc.
.It Cm tun-connection
Connexions
.Cm TunnelForward
ouvertes.
.It Cm x11-connection
Sessions de redirection X11 ouvertes.
.El
.Pp
Notez que dans chacun des cas ci-dessus, fermer une session inactive ne
garantit pas la suppression de toutes les ressources associées à cette
session ; en particulier, les processus de l’interpréteur de commande ou les
clients X11 en rapport avec cette session peuvent continuer leur exécution.
.Pp
En outre, fermer une session ou un canal inactifs ne ferme pas
nécessairement la connexion SSH et n’empêche pas un client de demander un
autre canal du même type. En particulier, l’expiration d’une session de
redirection inactive n’empêche pas la création subséquente d’une autre
redirection identique.
.Pp
Le comportement par défaut consiste à ne fermer aucun canal de quelque type
que ce soit pour inactivité.
.It Cm CheckHostIP
Si l'argument est
.Cm yes ,
.Xr ssh 1
vérifie en plus l'adresse IP de
la machine dans le fichier
.Pa known_hosts ,
ce qui lui permet de vérifier
si une clé de machine a changé à cause d'une usurpation de DNS et ajoute les
adresses des machines de destination à
.Pa ~/.ssh/known_hosts
dans le
processus, quelle que soit la valeur de
.Cm StrictHostKeyChecking .
Si
l'argument est
.Cm no
(la valeur par défaut), la vérification n'est pas
effectuée.
.It Cm Ciphers
Cette option permet de spécifier les algorithmes de chiffrement autorisés
par ordre de préférence. Des algorithmes de chiffrement multiples doivent
être séparés par des virgules. Si la liste fournie commence par un plus
« + », les algorithmes qu’elle contient seront ajoutés à la liste des
algorithmes par défaut au lieu de les remplacer. Si la liste fournie
commence par un moins « - », les algorithmes qu’elle contient (pouvant
comporter des caractères génériques) seront supprimés de la liste des
algorithmes par défaut au lieu de les remplacer. Si la liste fournie
commence par un caret « ^ », les algorithmes qu’elle contient seront placés
en tête de la liste des algorithmes par défaut.
.Pp
Les algorithmes de chiffrement pris en charge sont :
.Bd -literal -offset indent
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
.Ed
.Pp
La liste d’algorithmes par défaut est :
.Bd -literal -offset indent
chacha20-poly1305@openssh.com,
aes128-ctr,aes192-ctr,aes256-ctr,
aes128-gcm@openssh.com,aes256-gcm@openssh.com
.Ed
.Pp
On peut aussi obtenir la liste des algorithmes de chiffrement disponibles en
exécutant la commande « ssh -Q cipher ».
.It Cm ClearAllForwardings
Cette option permet de spécifier que toutes les redirections de ports
locaux, distants et dynamiques spécifiées dans les fichiers de configuration
ou sur la ligne de commande doivent être supprimées. Cette option est
utilisée principalement sur la ligne de commande de
.Xr ssh 1
pour
supprimer les redirections de ports définies dans les fichiers de
configuration, et est définie automatiquement par
.Xr scp 1
et
.Xr sftp 1 .
Son argument est
.Cm yes
ou
.Cm no ,
.Cm no
étant la valeur par
défaut.
.It Cm Compression
Cette option permet de spécifier si on utilise la compression. L'argument
est
.Cm yes
ou
.Cm no ,
.Cm no
étant la valeur par défaut.
.It Cm ConnectionAttempts
Cette option permet de spécifier le nombre de tentatives (une par seconde)
avant d'abandonner. L'argument doit être un entier. Cette option peut
s’avérer utile dans les scripts s’il arrive que la connexion échoue. La
valeur par défaut est 1.
.It Cm ConnectTimeout
Cette option permet de spécifier le délai (en secondes) utilisé à la place
du délai TCP par défaut du système lors de la connexion au serveur SSH. Ce
délai est appliqué pour établir la connexion et pour effectuer la
négociation du protocole initiale et l’échange de clés.
.It Cm ControlMaster
Cette option active le partage de sessions multiples sur une seule connexion
réseau. Lorsque cette option est définie à
.Cm yes ,
.Xr ssh 1
va
écouter les connexions sur un socket de contrôle spécifié à l’aide de
l’argument de
.Cm ControlPath .
Si
.Cm ControlMaster
est définie à
.Cm no
(la valeur par défaut), des sessions additionnelles pourront se
connecter à ce même socket. Ces sessions vont tenter de réutiliser la
connexion réseau de l'instance principale au lieu d’en initier de nouvelles,
mais reviendront à une connexion normale si le socket de contrôle n’existe
pas ou n’est pas en écoute.
.Pp
Si cette option est définie à
.Cm ask ,
.Xr ssh 1
va écouter les
connexions de contrôle mais demander confirmation à l’aide de
.Xr ssh-askpass 1 .
Si le socket défini par
.Cm ControlPath
ne peut pas être
ouvert,
.Xr ssh 1
continuera sans se connecter à l’instance principale.
.Pp
Les redirections X11 et les redirections de l’agent
.Xr ssh-agent 1
sont
prises en charge sur ces connexions multiplexées ; cependant, le « display »
et l’agent redirigés seront ceux qui appartiennent à la connexion
principale ; autrement dit, il n’est pas possible de rediriger plusieurs
« display » ou agents.
.Pp
Cette option accepte deux valeurs supplémentaires qui permettent le
multiplexage opportuniste, c’est-à-dire essayer d’utiliser une connexion
principale mais revenir à une connexion normale en en créant une nouvelle
s’il n’en existe pas déjà une. Ces valeurs sont
.Cm auto
et
.Cm autoask .
La dernière nécessite une confirmation comme c’est le cas pour
.Cm ask .
.It Cm ControlPath
Cette option permet de spécifier le chemin du socket de contrôle utilisé
pour le partage de connexion décrit dans la section
.Cm ControlMaster
ci-dessus ou la chaîne
.Cm none
pour désactiver le partage de
connexion. Les arguments de
.Cm ControlPath
peuvent utiliser la syntaxe
avec tilde « ~ » pour faire référence au répertoire personnel de
l’utilisateur, ainsi que les symboles décrits dans la section
.Sx SYMBOLES
et les variables d’environnement comme décrit dans la section
.Sx VARIABLES D’ENVIRONNEMENT .
Il est recommandé d’inclure au moins %h,
%p et %r (ou %C) dans tout
.Cm ControlPath
utilisé pour le partage de
connexion opportuniste et de placer ce dernier dans un répertoire non
accessible en écriture pour les autres utilisateurs. Cela permet de
s’assurer que les connexions partagées sont identifiées de manière unique.
.It Cm ControlPersist
Lorsqu’elle est utilisée en conjonction avec
.Cm ControlMaster ,
cette
option indique que la connexion principale doit rester ouverte en
arrière-plan (en attente de connexions clientes) après que la connexion
cliente initiale a été fermée. Si elle est définie à
.Cm no
(la valeur
par défaut), la connexion ne sera pas placée en arrière-plan et se fermera
dès que la connexion cliente initiale sera elle-même fermée. Si elle est
définie à
.Cm yes
ou 0, la connexion principale restera en arrière-plan
indéfiniment (jusqu’à ce qu’elle soit tuée ou fermée à l’aide d’un mécanisme
comme « ssh -O exit »). Si elle définie à une durée en secondes ou sous un
des formats décrits dans
.Xr sshd_config 5 ,
la connexion principale en
arrière-plan sera automatiquement fermée après un délai d’inactivité (sans
connexions clientes) égal à la durée spécifiée.
.It Cm DynamicForward
Spécifie un port TCP sur la machine locale à rediriger par le tunnel
sécurisé. Le protocole de l'application est alors utilisé pour déterminer
vers où se connecter depuis la machine distante.
.Pp
L’argument doit être
.Sm off
.Oo Ar adr_sortie : Oc Ar port .
.Sm on
Les adresses IPv6 doivent être entourées de crochets. Par défaut, le port
local est associé en accord avec la définition de
.Cm GatewayPorts .
Il
est cependant possible d’utiliser une adresse
.Ar adr_source
explicite
pour associer la connexion à une adresse spécifique. Une adresse
.Ar adr_source
égale à
.Cm localhost
indique que le port d’écoute est
associé pour un usage local seulement, alors qu’une adresse vide ou « * »
indique que le port sera disponible sur toutes les interfaces.
.Pp
Les protocoles SOCKS4 et SOCKS5 sont actuellement pris en charge et
.Xr ssh 1
agit en tant que serveur SOCKS. Plusieurs redirections peuvent être
spécifiées et des redirections additionnelles peuvent être indiquées sur la
ligne de commande. Seul le superutilisateur peut rediriger des ports
privilégiés.
.It Cm EnableEscapeCommandline
Cette option active la ligne de commande dans le menu du caractère
d’échappement
.Cm EscapeChar
(par défaut « ~C ») pour les sessions
interactives. Par défaut, la ligne de commande est désactivée
.It Cm EnableSSHKeysign
Définir cette option à
.Cm yes
dans le fichier de configuration globale
du client
.Pa /etc/ssh/ssh_config
active le recours à l’utilitaire
.Xr ssh-keysign 8
lors de l’authentification
.Cm HostbasedAuthentication .
L’argument doit être
.Cm yes
ou
.Cm no
(la
valeur par défaut). Cette option doit être placée dans la section non
spécifique à une machine. Voir
.Xr ssh-keysign 8
pour plus
d’informations.
.It Cm EscapeChar
Cette option permet de définir le caractère d’échappement (par défaut
« ~ »). Le caractère d’échappement peut aussi être défini sur la ligne de
commande. L’argument doit être un caractère seul, « ^ » suivi d’une lettre
ou
.Cm none
pour désactiver totalement le caractère d’échappement, ce qui
rend la connexion transparente pour les données binaires.
.It Cm ExitOnForwardFailure
Cette option permet de spécifier si
.Xr ssh 1
doit fermer la connexion
s’il ne peut pas configurer toutes les redirections dynamiques, par tunnel,
locales et distantes demandées (par exemple si une des deux extrémités est
incapable de se lier et d’écouter sur un port donné). Notez que cette option
ne s’applique pas aux connexions établies à l’aide de redirections de port ;
par exemple, elle n’impliquera pas la terminaison de
.Xr ssh 1
si les
connexions TCP vers la destination de redirection finale
échouent. L’argument doit être
.Cm yes
ou
.Cm no
(la valeur par
défaut).
.It Cm FingerprintHash
Cette option permet de spécifier l’algorithme de hachage utilisé lors de
l’affichage des empreintes de clé. Les valeurs possibles sont
.Cm md5
et
.Cm sha256
(la valeur par défaut).
.It Cm ForkAfterAuthentication
Cette option permet de demander à
.Nm ssh
de passer en arrière-plan juste
avant l’exécution de la commande. Elle s’avère utile s’il est prévu que
.Nm ssh
demande des mots ou phrases de passe, et si l’utilisateur veut
que cela se passe en arrière-plan. Cela implique que l’option de
configuration
.Cm StdinNull
soit définie à
.Cm yes .
La méthode
recommandée pour lancer des programmes X11 sur un site distant consiste à
utiliser quelque chose du genre
.Ic ssh -f machine xterm ,
ce qui est
identique à
.Ic ssh machine xterm
si l’option de configuration
.Cm ForkAfterAuthentication
est définie à
.Cm yes .
.Pp
Si l’option de configuration
.Cm ExitOnForwardFailure
est définie à
.Cm yes ,
un client démarré avec l’option de configuration
.Cm ForkAfterAuthentication
définie à
.Cm yes
attendra que toutes les
redirections de port distantes soient établies avec succès avant de se
placer de lui-même en arrière-plan. L’argument de cette option doit être
.Cm yes
(même effet que l’option de ligne de commande
.Fl f )
ou
.Cm no
(la valeur par défaut).
.It Cm ForwardAgent
Cette option permet de spécifier si la connexion à l'agent
d'authentification (s'il existe) doit être redirigée vers la machine
distante. L'argument peut être
.Cm yes ,
.Cm no
(la valeur par défaut),
un chemin explicite vers un socket d’agent ou le nom d’une variable
d’environnement (commençant par « $ ») contenant ce chemin.
.Pp
La redirection d’agent doit être utilisée avec prudence. En effet, un
utilisateur ayant la possibilité de court-circuiter les permissions de
fichier sur la machine distante (pour le socket de domaine Unix de l’agent)
pourra accéder à l’agent local à travers la connexion redirigée. Un
attaquant ne pourra pas obtenir de données à propos des clés à partir de
l’agent, mais il pourra cependant effectuer des opérations sur ces dernières
qui lui permettront de s’authentifier en utilisant les identités chargées
dans l’agent.
.It Cm ForwardX11
Cette option permet de spécifier si les connexions X11 doivent être
redirigées automatiquement dans le canal sécurisé et la variable
d'environnement
.Ev DISPLAY
définie. L'argument doit être
.Cm yes
ou
.Cm no
(la valeur par défaut).
.Pp
La redirection X11 doit être utilisée avec prudence. En effet, un
utilisateur ayant la possibilité de court-circuiter les permissions de
fichier sur la machine distante (pour la base de données d’autorisations X11
de l’utilisateur) pourra accéder au « display » X11 local à travers la
connexion redirigée. Un attaquant pourra alors effectuer des opérations
comme l’interception des frappes de touches au clavier si l’option
.Cm ForwardX11Trusted
est elle aussi activée.
.It Cm ForwardX11Timeout
Cette option permet de spécifier un délai pour les redirections X11 non
fiables en utilisant le format décrit dans la section
.Sx FORMATS DE TEMPS
de
.Xr sshd_config 5 .
Les connexions X11 reçues par
.Xr ssh 1
après ce délai seront rejetées. Définir
.Cm ForwardX11Timeout
à zéro
désactive le délai et permet les redirections X11 pendant toute la durée de
vie de la connexion. Par défaut, une redirection X11 non fiable sera
désactivée après un délai de vingt minutes.
.It Cm ForwardX11Trusted
Si cette option est définie à
.Cm yes ,
les clients X11 distants auront un
accès total au « display » X11 originel.
.Pp
Si cette option est définie à
.Cm no
(la valeur par défaut), les clients
X11 distants seront considérés comme non fiables et ne pourront pas voler ou
altérer de données appartenant à des clients X11 fiables. En outre, le jeton
.Xr xauth 1
utilisé pour la session sera configuré pour expirer après 20
minutes. Les clients distants se verront refuser l’accès après ce délai.
.Pp
Voir les spécifications de l’extension X11 SECURITY pour tous les détails
des restrictions imposées aux clients non fiables.
.It Cm GatewayPorts
Cette option permet de spécifier si les machines distantes sont autorisées à
se connecter aux ports locaux redirigés. Par défaut
.Xr ssh 1
associe les
redirections de ports locaux à l’adresse de bouclage (loopback). Cela
empêche les autres machines distantes de se connecter à des ports
redirigés.
.Cm GatewayPorts
permet de spécifier que
.Xr ssh 1
doit
associer les redirections de ports locaux à l’adresse avec caractères
génériques (wildcard), et par conséquent, autorise les machines distantes à
se connecter aux ports redirigés. L'argument doit être
.Cm yes
ou
.Cm no
(la valeur par défaut).
.It Cm GlobalKnownHostsFile
Cette option permet de spécifier un ou plusieurs fichiers, séparés par des
blancs, de base de données globale des clés d’hôte à utiliser à la place des
fichiers par défaut
.Pa /etc/ssh/ssh_known_hosts
et
.Pa /etc/ssh/ssh_known_hosts2
.It Cm GSSAPIAuthentication
Cette option permet d’indiquer si l’authentification utilisateur basée sur
GSSAPI est autorisée. La valeur par défaut est
.Cm no .
.It Cm GSSAPIDelegateCredentials
Cette option permet de transférer (déléguer) les données de connexion au
serveur. La valeur par défaut est
.Cm no .
.It Cm HashKnownHosts
Cette option permet de spécifier que
.Xr ssh 1
doit hacher les adresses
et noms de machines lors de leur ajout à
.Pa ~/.ssh/known_hosts .
Ces noms
hachés peuvent être utilisés normalement par
.Xr ssh 1
et
.Xr sshd 8 ,
mais ils ne révèleront pas visuellement d’informations d’identification en
cas de divulgation du contenu du fichier. La valeur par défaut est
.Cm no .
Notez que les adresses et noms préexistants dans le fichier des
machines connues ne seront pas hachés automatiquement, mais pourront l’être
manuellement à l’aide de
.Xr ssh-keygen 1 .
.It Cm HostbasedAcceptedAlgorithms
Cette option permet de spécifier les algorithmes de signature qui seront
utilisés pour l’authentification basée sur la machine sous la forme d’une
liste de motifs séparés par des virgules. Si la liste d’algorithmes
spécifiée commence par le caractère « + », elle s’ajoutera à la liste par
défaut au lieu de la remplacer. Si la liste d’algorithmes spécifiée commence
par le caractère « - », elle sera supprimée (en tenant compte des caractères
génériques) de la liste par défaut au lieu de la remplacer. Si la liste
d’algorithmes spécifiée commence par un caret « ^ », elle sera placée à la
tête de la liste par défaut. La liste d’algorithmes par défaut est :
.Bd -literal -offset 3n
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
.Ed
.Pp
L’option
.Fl Q
de
.Xr ssh 1
permet d’afficher la liste des algorithmes
de signature pris en charge. Elle se nommait auparavant
.Cm HostbasedKeyTypes .
.It Cm HostbasedAuthentication
Cette option permet de spécifier si l’on tente d'utiliser l'authentification
basée sur les rhosts avec l'authentification par clé publique. L'argument
est
.Cm yes
ou
.Cm no
(la valeur par défaut).
.It Cm HostKeyAlgorithms
Cette option permet de spécifier les algorithmes de signature de la clé
d’hôte que le client souhaite utiliser par ordre de préférence. Si la liste
d’algorithmes spécifiée commence par le caractère « + », elle s’ajoutera à
la liste par défaut au lieu de la remplacer. Si la liste d’algorithmes
spécifiée commence par le caractère « - », elle sera supprimée (en tenant
compte des caractères génériques) de la liste par défaut au lieu de la
remplacer. Si la liste d’algorithmes spécifiée commence par un caret « ^ »,
elle sera placée à la tête de la liste par défaut. La liste d’algorithmes
par défaut est :
.Bd -literal -offset 3n
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ecdsa-sha2-nistp256@openssh.com,
sk-ssh-ed25519@openssh.com,
rsa-sha2-512,rsa-sha2-256
.Ed
.Pp
Si les clés d’hôte sont connues pour la machine de destination, cette liste
par défaut est modifiée
.Pp
La liste des algorithmes de signature disponibles peut aussi être obtenue à
l’aide de la commande « ssh -Q HostKeyAlgorithms ».
.It Cm HostKeyAlias
Cette option permet de spécifier un alias à utiliser à la place du vrai nom
de machine lors des recherches et des sauvegardes de clé d’hôte dans les
fichiers de base de données des clés d’hôte et lors de la validation de
certificats de machines. Cette option s’avère utile pour faire passer des
connexions SSH par un tunnel, ou si plusieurs serveurs tournent sur une
seule machine.
.It Cm Hostname
Cette option permet de spécifier le vrai nom de la machine sur laquelle on
se connecte. On peut l’utiliser pour spécifier des surnoms ou des diminutifs
de machines. Les arguments de
.Cm Hostname
acceptent les symboles décrits
dans la section
.Sx SYMBOLES .
Les adresses IP sont aussi autorisées, à la
fois sur la ligne de commande et par les spécifications de cette option. La
valeur par défaut est le nom donné sur la ligne de commande.
.It Cm IdentitiesOnly
Cette option permet de spécifier que
.Xr ssh 1
ne doit utiliser que les
fichiers de certificats et d’identités d’authentification configurés (les
fichiers par défaut ou ceux explicitement configurés dans les fichiers de
.Nm ssh_config
ou passés sur la ligne de commande de
.Xr ssh 1 ) ,
même si
.Xr ssh-agent 1 ,
.Cm PKCS11Provider
ou
.Cm SecurityKeyProvider
offrent
davantage d’identités. L’argument doit être
.Cm yes
ou
.Cm no
(la
valeur par défaut). Cette option est destinée aux situations où ssh-agent
offre de nombreuses identités différentes.
.It Cm IdentityAgent
Cette option permet de spécifier le socket de domaine Unix utilisé pour
communiquer avec l’agent d’authentification.
.Pp
Elle outrepasse la variable d’environnement
.Ev SSH_AUTH_SOCK
et permet
de sélectionner un agent particulier. Définir le nom du socket à
.Cm none
a pour effet de désactiver l’utilisation d’un agent d’authentification. Si
l’argument est « SSH_AUTH_SOCK », le chemin du socket sera extrait de la
variable d’environnement
.Ev SSH_AUTH_SOCK .
Autrement, si l’argument
commence par un caractère « $ », il sera traité en tant que variable
d’environnement contenant le chemin du socket.
.Pp
Les arguments de
.Cm IdentityAgent
peuvent utiliser la syntaxe avec tilde
« ~ » pour faire référence au répertoire personnel d’un utilisateur, les
symboles décrits dans la section
.Sx SYMBOLES
et les variables
d’environnement décrites dans la section
.Sx VARIABLES D’ENVIRONNEMENT .
.It Cm IdentityFile
Cette option permet de spécifier un fichier à partir duquel sera lue
l’identité d’authentification DSA, ECDSA, ECDSA hébergée par un
authentificateur, Ed25519, Ed25519 hébergée par un authentificateur ou RSA
de l’utilisateur. Vous pouvez aussi spécifier un fichier de clé publique
pour utiliser la clé privée correspondante chargée dans l’agent
.Xr ssh-agent 1
lorsque le fichier de clé privée n’est pas présent en
local. Les fichiers par défaut sont
.Pa ~/.ssh/id_rsa ,
.Pa ~/.ssh/id_ecdsa ,
.Pa ~/.ssh/id_ecdsa_sk ,
.Pa ~/.ssh/id_ed25519 ,
.Pa ~/.ssh/id_ed25519_sk
et
.Pa ~/.ssh/id_dsa .
En outre, toute identité
représentée par l’agent d’authentification pourra être utilisée pour
l’authentification, sauf si
.Cm IdentitiesOnly
est définie. Si aucun
certificat n’a été explicitement spécifié par
.Cm CertificateFile ,
.Xr ssh 1
essaiera de charger les informations de certificat à partir du
fichier dont le nom s’obtient en ajoutant
.Pa -cert.pub
au chemin du
fichier spécifié à l’aide de
.Cm IdentityFile .
.Pp
Les arguments de
.Cm IdentityFile
peuvent utiliser la syntaxe avec tilde
« ~ » pour faire référence au répertoire personnel d’un utilisateur ou les
symboles décrits dans la section
.Sx SYMBOLES .
Sinon, un argument de
valeur
.Cm none
permettra d’indiquer qu’aucun fichier d’identité ne doit
être chargé.
.Pp
Il est possible de spécifier plusieurs fichiers d’identité dans les fichiers
de configuration ; toutes ces identités seront essayées
séquentiellement. Les identités spécifiées par plusieurs directives
.Cm IdentityFile
s’ajouteront à la liste des identités essayées (ce
comportement est différent de celui des autres directives de configuration).
.Pp
.Cm IdentityFile
peut être utilisée en combinaison avec
.Cm IdentitiesOnly
pour sélectionner les identités disponibles dans un agent
lors de l’authentification.
.Cm IdentityFile
peut aussi être utilisée en
combinaison avec
.Cm CertificateFile
pour fournir tout certificat
nécessaire à l’authentification avec l’identité.
.It Cm IgnoreUnknown
Cette option permet de spécifier une liste sous forme de motifs d’options
inconnues qui devront être ignorées si elles sont rencontrées lors de
l’interprétation de la configuration. Elle permet d’éviter la survenue
d’erreurs au cas où
.Nm ssh_config
contiendrait des options non reconnues par
.Xr ssh 1 .
Il est recommandé de placer la directive
.Cm IgnoreUnknown
au
tout début du fichier de configuration, car elle ne s’applique qu’aux
options qui apparaissent après elle.
.It Cm Include
Cette option permet d’inclure le(s) fichier(s) de configuration
spécifié(s). Il est possible de spécifier plusieurs chemins de fichier,
chacun d’entre eux pouvant contenir des caractères génériques de
.Xr glob 7
et, pour les configurations utilisateur, des références au répertoire
personnel de l’utilisateur sous forme d’un caractère tilde « ~ » (dans le
style de l’interpréteur de commande). Les chemins avec caractères génériques
seront évalués et les fichiers résultants traités par ordre lexical. Les
fichiers dont le chemin est relatif sont supposés se trouver dans
.Pa ~/.ssh
s’ils sont inclus dans un fichier de configuration utilisateur, ou
dans
.Pa /etc/ssh
s’ils sont inclus dans le fichier de configuration du
système. La directive
.Cm Include
peut être placée dans un bloc
.Cm Match
ou
.Cm Host
afin d’effectuer une inclusion conditionnelle.
.It Cm IPQoS
Cette option permet de spécifier le type de service (TOS) IPv4 ou la classe
DSCP pour les connexions. Les valeurs possibles sont
.Cm af11 ,
.Cm af12 ,
.Cm af13 ,
.Cm af21 ,
.Cm af22 ,
.Cm af23 ,
.Cm af31 ,
.Cm af32 ,
.Cm af33 ,
.Cm af41 ,
.Cm af42 ,
.Cm af43 ,
.Cm cs0 ,
.Cm cs1 ,
.Cm cs2 ,
.Cm cs3 ,
.Cm cs4 ,
.Cm cs5 ,
.Cm cs6 ,
.Cm cs7 ,
.Cm ef ,
.Cm le ,
.Cm lowdelay ,
.Cm throughput ,
.Cm reliability ,
une valeur numérique ou
.Cm none
qui est équivalent à la
valeur par défaut du système d’exploitation. Cette option accepte un ou deux
arguments séparés par un blanc. Si un seul argument est spécifié, il est
utilisé comme classe de paquet sans condition. Si deux arguments sont
spécifiés, le premier est automatiquement sélectionné pour les sessions
interactives et le second pour les sessions non interactives. La valeur par
défaut est
.Cm af21
(données à faible latence) pour les sessions
interactives et
.Cm cs1
(effort moindre) pour les sessions non
interactives.
.It Cm KbdInteractiveAuthentication
Cette option permet d’indiquer l’utilisation de l’authentification
interactive à l’aide du clavier. L’argument doit être
.Cm yes
(la valeur
par défaut) ou
.Cm no .
.Cm ChallengeResponseAuthentication
est un
alias obsolète de cette option.
.It Cm KbdInteractiveDevices
Cette option permet de spécifier une liste de méthodes pour utiliser
l’authentification interactive à l’aide du clavier. Il est possible
d’indiquer plusieurs noms de méthode, ces derniers devant être séparés par
des virgules. Par défaut, c’est la liste spécifiée du serveur qui est
utilisée. Les méthodes disponibles varient en fonction de ce que le serveur
prend en charge. Pour un serveur OpenSSH par exemple, elles peuvent être
égales à une ou plusieurs parmi
.Cm bsdauth
et
.Cm pam .
.It Cm KexAlgorithms
Cette option permet de spécifier la liste des algorithmes d’échange de clés
KEX (Key Exchange) disponibles. Les noms d’algorithme multiples doivent être
séparés par des virgules. Si la liste d’algorithmes spécifiée commence par
le caractère « + », elle s’ajoutera à la liste par défaut au lieu de la
remplacer. Si la liste d’algorithmes spécifiée commence par le caractère
« - », elle sera supprimée (en tenant compte des caractères génériques) de
la liste par défaut au lieu de la remplacer. Si la liste d’algorithmes
spécifiée commence par un caret « ^ », elle sera placée à la tête de la
liste par défaut. La liste d’algorithmes par défaut est :
.Bd -literal -offset indent
sntrup761x25519-sha512@openssh.com,
curve25519-sha256,curve25519-sha256@libssh.org,
ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
diffie-hellman-group-exchange-sha256,
diffie-hellman-group16-sha512,
diffie-hellman-group18-sha512,
diffie-hellman-group14-sha256
.Ed
.Pp
On peut aussi obtenir la liste des algorithmes d’échange de clés disponibles
à l’aide de la commande « ssh -Q kex ».
.It Cm KnownHostsCommand
Cette option permet de spécifier une commande permettant d’obtenir une liste
de clés d’hôte venant s’ajouter à celles listées dans les fichiers
.Cm UserKnownHostsFile
et
.Cm GlobalKnownHostsFile .
Cette commande est
exécutée une fois les fichiers lus. Elle peut afficher les lignes de clés de
machine sur la sortie standard dans un format identique à celui des fichiers
habituels (décrit dans la section
.Sx VÉRIFIER LES CLÉS DE LA MACHINE
de
.Xr ssh 1 ) .
Les arguments de
.Cm KnownHostsCommand
acceptent les
symboles décrits dans la section
.Sx SYMBOLES .
La commande peut être
invoquée plusieurs fois au cours d’une même connexion : une fois lors de la
préparation de la liste des algorithmes de clés d’hôte préférés à utiliser,
une autre fois pour obtenir la clé d’hôte pour le nom de machine demandé et
une dernière fois, si
.Cm CheckHostIP
est activée, pour obtenir la clé
d’hôte correspondant à l’adresse du serveur. Si la commande quitte
anormalement ou renvoie un code de retour différent de zéro, la connexion
est fermée.
.It Cm LocalCommand
Cette option permet de spécifier une commande à exécuter sur la machine
locale après une connexion réussie au serveur. La commande s’étend jusqu’à
la fin de la ligne et est exécutée avec l’interpréteur de commande de
l’utilisateur. Les arguments de
.Cm LocalCommand
acceptent les symboles
décrits dans la section
.Sx SYMBOLES .
.Pp
La commande est exécutée en mode synchrone et n’a pas accès à la session du
.Xr ssh 1
qui l’a générée. Elle ne doit pas être utilisée pour les
commandes interactives.
.Pp
Cette directive est ignorée si
.Cm PermitLocalCommand
n’a pas été
activée.
.It Cm LocalForward
Cette option permet de spécifier qu'un port TCP sur la machine locale doit
être redirigé par le tunnel sécurisé vers les machine et port spécifiés à
partir de la machine distante. Le premier argument spécifie le point
d’écoute et peut être
.Sm off
.Oo Ar adr_sortie : Oc Ar port
.Sm on
ou le chemin d’un socket de domaine Unix. Le second argument spécifie la
destination et peut être
.Ar machine : Ns Ar port_machine
ou le chemin
d’un socket de domaine Unix si la machine distante le prend en charge.
.Pp
On peut spécifier des adresses IPv6 en les entourant de crochets. Il est
possible de spécifier plusieurs redirections et des redirections
additionnelles peuvent être indiquées sur la ligne de commande. Seul le
superutilisateur peut rediriger des ports privilégiés. Par défaut, le port
local est lié en tenant compte de la définition de
.Cm GatewayPorts .
Il
est cependant possible d’indiquer une adresse
.Ar adr_sortie
explicite
pour lier la connexion à une adresse particulière. Une adresse
.Ar adr_sortie
égale à
.Cm localhost
indique que le port d’écoute ne doit
être lié que pour un usage local, alors qu’une adresse vide ou « * » indique
que le port sera disponible sur toutes les interfaces. Les chemins de socket
de domaine Unix peuvent utiliser les symboles décrits dans la section
.Sx SYMBOLES
et les variables d’environnement comme décrit dans la section
.Sx VARIABLES D’ENVIRONNEMENT .
.It Cm LogLevel
Cette option permet de spécifier le niveau de prolixité qui sera utilisé
lors de la journalisation des messages en provenance de
.Xr ssh 1 .
Les
valeurs possibles sont : QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1,
DEBUG2 et DEBUG3. La valeur par défaut est INFO. DEBUG et DEBUG1 sont
équivalents. DEBUG2 et DEBUG3 correspondent à des niveaux supérieurs de
prolixité pour la sortie.
.It Cm LogVerbose
Cette option permet de définir un ou plusieurs outrepassements de
LogLevel. Un outrepassement consiste en une liste de motifs qui
correspondent au fichier source, à la fonction et au numéro de ligne pour
lesquels la journalisation sera plus détaillée. Par exemple, le motif
d’outrepassement suivant :
.Bd -literal -offset indent
kex.c:*:1000,*:kex_exchange_identification():*,packet.c:*
.Ed
.Pp
activerait la journalisation détaillée pour la ligne 1000 de
.Pa kex.c ,
tout ce qui concerne la fonction
.Fn kex_exchange_identification
et
l’ensemble du code contenu dans le fichier
.Pa packet.c .
Cette option
s’utilise à des fins de débogage et aucun outrepassement n’est activé par
défaut.
.It Cm MACs
Cette option permet de spécifier les algorithmes MAC (message authentication
code) par ordre de préférence. L'algorithme MAC est utilisé pour la
protection de l'intégrité des données. On peut spécifier plusieurs
algorithmes en les séparant par des virgules. Si la liste d’algorithmes
spécifiée commence par le caractère « + », elle s’ajoutera à la liste par
défaut au lieu de la remplacer. Si la liste d’algorithmes spécifiée commence
par le caractère « - », elle sera supprimée (en tenant compte des caractères
génériques) de la liste par défaut au lieu de la remplacer. Si la liste
d’algorithmes spécifiée commence par un caret « ^ », elle sera placée à la
tête de la liste par défaut.
.Pp
Les algorithmes dont le nom contient « -etm » calculent le MAC après
chiffrement (encrypt-then-mac). Ils sont considérés comme plus sûrs et leur
utilisation est recommandée.
.Pp
La liste d’algorithmes par défaut est :
.Bd -literal -offset indent
umac-64-etm@openssh.com,umac-128-etm@openssh.com,
hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,
hmac-sha1-etm@openssh.com,
umac-64@openssh.com,umac-128@openssh.com,
hmac-sha2-256,hmac-sha2-512,hmac-sha1
.Ed
.Pp
La liste des algorithmes MAC disponibles peut aussi être obtenue à l’aide de
la commande « ssh -Q mac ».
.It Cm NoHostAuthenticationForLocalhost
Cette option permet de désactiver l’authentification de la machine pour
localhost (les adresses loopback). L’argument doit être
.Cm yes
ou
.Cm no
(la valeur par défaut).
.It Cm NumberOfPasswordPrompts
Cette option permet de spécifier le nombre de tentatives de saisie de mot de
passe avant d'abandonner. L'argument doit être un entier et sa valeur par
défaut est 3.
.It Cm ObscureKeystrokeTiming
Cette option permet d’indiquer si
.Xr ssh 1
doit essayer de dissimuler
les délais entre frappes de touches aux observateurs passifs sur le
réseau. Si elle est activée, pour les sessions interactives,
.Xr ssh 1
va
envoyer les frappes de touches à intervalles fixes de quelques dizaines de
millisecondes et enverra des paquets de frappes de touches factices pendant
un certain temps après que la frappe de touches a cessé. L’argument doit
être
.Cm yes ,
.Cm no
ou un intervalle sous la forme
.Cm interval:millisecondes
(par exemple\&
.Cm interval:80
pour
80 millisecondes). La valeur par défaut est de 20 millisecondes. Notez que
des intervalles plus courts impliqueront des taux de paquets factices plus
importants.
.It Cm PasswordAuthentication
Cette option permet de spécifier si on utilise l'authentification par mot de
passe. L'argument est
.Cm yes
(la valeur par défaut) ou
.Cm no .
.It Cm PermitLocalCommand
Cette option permet d’autoriser l’exécution de commandes locales à l’aide de
l’option
.Ic LocalCommand
ou de la séquence d’échappement
.Ic !\& Ns Ar commande
dans
.Xr ssh 1 .
L’argument doit être
.Cm yes
ou
.Cm no
(la valeur par défaut).
.It Cm PermitRemoteOpen
Cette option permet de spécifier les destinations vers lesquelles la
redirection de port TCP distant est autorisée lorsque
.Cm RemoteForward
est utilisée comme mandataire SOCKS. La spécification de redirection doit
être sous une des formes suivantes :
.Pp
.Bl -item -offset indent -compact
.It 
.Cm PermitRemoteOpen
.Sm off
.Ar machine : port
.Sm on
.It 
.Cm PermitRemoteOpen
.Sm off
.Ar adr_IPv4 : port
.Sm on
.It 
.Cm PermitRemoteOpen
.Sm off
.Ar \&[ adr_IPv6 \&] : port
.Sm on
.El
.Pp
Il est possible de spécifier plusieurs redirections en les séparant par des
blancs. Un argument de valeur
.Cm any
permet de lever toutes les
restrictions et autorise toutes les requêtes de redirection. Un argument de
valeur
.Cm none
permet d’interdire toute requête de redirection. Le
caractère générique « * » à la place de machine ou port permet d’autoriser
toute machine ou port, respectivement. Ces valeurs mises à part, aucune
recherche d’adresse ou de correspondance de motif n’est effectuée sur les
noms fournis.
.It Cm PKCS11Provider
Cette option permet de spécifier quel fournisseur PKCS#11 utiliser ou
.Cm none
pour indiquer qu’aucun fournisseur ne doit être utilisé (la valeur par
défaut). L’argument doit contenir un chemin vers la bibliothèque partagée
PKCS#11 que
.Xr ssh 1
doit utiliser pour communiquer avec un jeton
PKCS#11 fournissant des clés pour l’authentification de l’utilisateur.
.It Cm Port
Cette option permet de spécifier le numéro de port pour se connecter sur la
machine distante. La valeur par défaut est 22.
.It Cm PreferredAuthentications
Cette option permet d’indiquer l'ordre dans lequel le client doit essayer
les méthodes d'authentification. Elle permet au client de choisir une
méthode (par exemple\&
.Cm keyboard-interactive )
plutôt qu'une autre (par
exemple\&
.Cm password ) .
L’ordre par défaut est :
.Bd -literal -offset indent
gssapi-with-mic,hostbased,publickey,
keyboard-interactive,password
.Ed
.It Cm ProxyCommand
Cette option permet de spécifier la commande à utiliser pour se connecter au
serveur. La chaîne de caractères contenant la commande s’étend jusqu'à la
fin de la ligne et est exécutée en utilisant la directive « exec » de
l'interpréteur de commande de l’utilisateur pour éviter la persistance d’un
processus d’interpréteur de commande.
.Pp
Les arguments de
.Cm ProxyCommand
acceptent les symboles décrits dans la
section
.Sx SYMBOLES .
La commande peut être quelconque, et doit lire
depuis son entrée standard et écrire sur sa sortie standard. Elle doit en
fin de compte se connecter sur un serveur
.Xr sshd 8
tournant sur une
machine quelconque, ou exécuter
.Ic sshd -i
sur une autre machine. La
gestion des clés de machine est assurée en utilisant le nom de la machine
(option
.Cm Hostname )
sur laquelle on se connecte (par défaut, le nom
fourni par l'utilisateur). Un argument de valeur
.Cm none
désactive
complètement cette option. Notez que
.Cm CheckHostIP
n'est pas disponible
pour les connexions qui utilisent une commande mandataire (proxy command).
.Pp
Cette directive s’avère particulièrement utile en combinaison avec
.Xr nc 1
et sa prise en charge du mandatement. Par exemple, la directive suivante
effectuerait une connexion par l’intermédiaire d’un mandataire HTTP à
l’adresse 192.0.2.0 :
.Bd -literal -offset 3n
ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p
.Ed
.It Cm ProxyJump
Cette option permet de spécifier un ou plusieurs mandataires de saut soit
sous la forme
.Xo
.Sm off
.Op Ar utilisateur No @
.Ar machine
.Op : Ns Ar port
.Sm on ,
soit comme un URI ssh
.Xc .
Les mandataires
multiples peuvent être séparés par des virgules et seront visités
séquentiellement. Si cette option est définie,
.Xr ssh 1
se connectera à
la machine cible en établissant tout d’abord une connexion
.Xr ssh 1
avec
la machine
.Cm ProxyJump
spécifiée, puis en effectuant une redirection
TCP vers la cible finale depuis le mandataire. Définir la machine à
.Cm none
désactive complètement cette option.
.Pp
Notez que cette option entre en compétition avec l’option
.Cm ProxyCommand
selon la règle suivante : celle qui est définie en premier
empêchera la prise en compte des instances ultérieures de l’autre.
.Pp
Notez aussi que la configuration pour la machine de destination (fournie sur
la ligne de commande ou dans le fichier de configuration) ne s’applique en
général pas aux machines de saut. Une configuration spécifique pour les
machines de saut nécessite l’utilisation de
.Pa ~/.ssh/config .
.It Cm ProxyUseFdpass
Cette option permet d’indiquer que la commande définie par
.Cm ProxyCommand
va transmettre en retour un descripteur de fichier connecté à
.Xr ssh 1
au lieu de continuer son exécution et de transmettre des
données. Sa valeur par défaut est
.Cm no .
.It Cm PubkeyAcceptedAlgorithms
Cette option permet de spécifier les algorithmes de signature qui seront
utilisés pour l’authentification par clé publique sous la forme d’une liste
de motifs séparés par des virgules. Si la liste d’algorithmes spécifiée
commence par le caractère « + », elle s’ajoutera à la liste par défaut au
lieu de la remplacer. Si la liste d’algorithmes spécifiée commence par le
caractère « - », elle sera supprimée (en tenant compte des caractères
génériques) de la liste par défaut au lieu de la remplacer. Si la liste
d’algorithmes spécifiée commence par un caret « ^ », elle sera placée à la
tête de la liste par défaut. La liste d’algorithmes par défaut est :
.Bd -literal -offset 3n
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
.Ed
.Pp
La liste des algorithmes de signature disponibles peut aussi être obtenue à
l’aide de la commande « ssh -Q PubkeyAcceptedAlgorithms ».
.It Cm PubkeyAuthentication
Cette option permet de spécifier si on utilise l'authentification par clé
publique. L'argument est
.Cm yes
(la valeur par défaut),
.Cm no ,
.Cm unbound
ou
.Cm host-bound .
Les deux dernières options activent
l’authentification par clé publique, tout en désactivant ou activant,
respectivement, l’extension du protocole d’authentification d’OpenSSH
« host-bound » requise pour les redirections
.Xr ssh-agent 1
restreintes.
.It Cm RekeyLimit
Cette option permet de spécifier la quantité maximale de données qui peuvent
être envoyées ou reçues et optionnellement un temps maximal pouvant
s’écouler au delà desquels la clé de session devra être renégociée. Le
premier argument est spécifié en octets et peut comporter un suffixe parmi
« K », « M » ou « G » pour indiquer respectivement des kilo-octets, des
méga-octets et des giga-octets. La valeur par défaut est soit « 1G », soit
« 4G » en fonction de l’algorithme de chiffrement. Le second argument
optionnel est spécifié en secondes et peut utiliser toute unité documentée
dans la section « FORMATS DE TEMPS » de
.Xr sshd_config 5 .
La valeur par
défaut de
.Cm RekeyLimit
est
.Cm default none ,
ce qui signifie que la
renégociation de la clé est effectuée après que la quantité de données par
défaut de l’algorithme de chiffrement a été envoyée ou reçue et sans tenir
compte du temps écoulé.
.It Cm RemoteCommand
Cette option permet de spécifier une commande à exécuter sur la machine
distante après une connexion réussie au serveur. La chaîne représentant la
commande s’étend jusqu’à la fin de la ligne et est exécutée avec
l’interpréteur de commande de l’utilisateur. Les arguments de
.Cm RemoteCommand
acceptent les symboles décrits dans la section
.Sx SYMBOLES .
.It Cm RemoteForward
Cette option permet de spécifier qu'un port TCP sur la machine distante doit
être redirigé par le tunnel sécurisé. Le port distant peut être redirigé
vers une machine et un port spécifiques depuis la machine locale ou peut
agir en tant que mandataire SOCKS 4/5 qui permet à un client distant de se
connecter à des destinations arbitraires depuis la machine locale. Le
premier argument représente les spécifications d’écoute et peut contenir
.Sm off
.Oo Ar adr_sortie : Oc Ar port
.Sm on
ou, si la machine
distante le prend en charge, le chemin d’un socket de domaine Unix. Si la
redirection s’effectue vers une destination spécifique, le second argument
doit contenir
.Ar machine : Ns Ar port_machine
ou le chemin d’un socket
de domaine Unix ; si aucun argument destination n’est spécifié, la
redirection distante sera établie en tant que mandataire SOCKS. Lorsqu’elle
agit en tant que mandataire SOCKS, la destination de la connexion peut être
restreinte à l’aide de
.Cm PermitRemoteOpen .
.Pp
Les adresses IPv6 doivent être entourées de crochets. Il est possible de
spécifier plusieurs redirections et des redirections additionnelles peuvent
être indiquées sur la ligne de commande. Les ports privilégiés ne peuvent
être redirigés que si l’on se connecte en tant que superutilisateur sur la
machine distante. Les chemins de sockets de domaine Unix peuvent utiliser
les symboles décrits dans la section
.Sx SYMBOLES
et les variables
d’environnement comme décrit dans la section
.Sx VARIABLES D’ENVIRONNEMENT .
.Pp
Si l’argument
.Ar port
est égal à 0, le port d’écoute sera alloué
dynamiquement sur le serveur et indiqué au client à l’exécution.
.Pp
Si l’adresse
.Ar adr_sortie
n’est pas spécifiée, le comportement par
défaut consiste à ne se lier qu’aux adresses de bouclage (loopback). Si
l’adresse
.Ar adr_sortie
est vide ou égale à « * », la redirection
écoutera toutes les interfaces. Spécifier une adresse
.Ar adr_sortie
distante ne réussira que si l’option du serveur
.Cm GatewayPorts
est
activée (voir
.Xr sshd_config 5 ) .
.It Cm RequestTTY
Cette option permet d’indiquer si l’on demande un pseudo-terminal pour la
session. L’argument peut avoir une des valeurs suivantes :
.Cm no
(ne
jamais demander de terminal),
.Cm yes
(toujours demander un terminal
lorsque l’entrée standard est un terminal),
.Cm force
(toujours demander
un terminal) ou
.Cm auto
(demander un terminal lors de l’ouverture d’une
session de connexion). Cette option est équivalente aux drapeaux
.Fl t
et
.Fl T
de
.Xr ssh 1 .
.It Cm RequiredRSASize
Cette option permet de spécifier une taille minimale (en bits) pour la clé
RSA. Les clés d’authentification utilisateur d’une taille inférieure à cette
valeur seront ignorées. De même, si un serveur présente une clé d’hôte d’une
taille inférieure à cette valeur, le processus de connexion sera
interrompu. La valeur par défaut est de
.Cm 1024
 bits. Notez que cette
option ne peut être définie qu’à une valeur supérieure à la valeur par
défaut.
.It Cm RevokedHostKeys
Cette option permet de spécifier des clés publiques de machine
révoquées. Les clés contenues dans le fichier indiqué seront rejetées lors
d’une authentification de machine. Notez que si ce fichier n’existe pas ou
est illisible, l’authentification sera refusée pour toutes les machines. Les
clés peuvent être spécifiées sous la forme d’un fichier texte avec une clé
par ligne ou d’une liste de révocations de clés (« Key Revocation List »
— KRL) d’OpenSSH comme générée par
.Xr ssh-keygen 1 .
Pour plus
d’informations à propos des KRL, voir la section « LISTES DE RÉVOCATIONS DE
CLÉS » de
.Xr ssh-keygen 1 .
Les arguments peuvent utiliser la syntaxe
avec tilde « ~ » pour faire référence au répertoire personnel d’un
utilisateur, les symboles décrits dans la section
.Sx SYMBOLES
et les
variables d’environnement comme décrit dans la section
.Sx VARIABLES D’ENVIRONNEMENT .
.It Cm SecurityKeyProvider
Cette option permet de spécifier le chemin de la bibliothèque qui sera
utilisée lors du chargement de toute clé FIDO (Fast Identity Online)
hébergée par un authentificateur, ce qui outrepasse le comportement par
défaut qui consiste à utiliser la prise en charge de USB HID (USB human
interface device) incluse.
.Pp
Si la valeur spécifiée commence par un caractère « $ », elle sera traitée
comme une variable d’environnement contenant le chemin de la bibliothèque.
.It Cm SendEnv
Cette option permet de spécifier les variables de l’environnement local
.Xr environ 7
qui doivent être envoyées au serveur. Le serveur doit aussi
le prendre en charge et être configuré pour accepter ces variables
d’environnement. Notez que la variable d’environnement
.Ev TERM
est
envoyée chaque fois qu'un pseudo-terminal est demandé, comme l'exige le
protocole. Veuillez vous référer à l’option
.Cm AcceptEnv
dans
.Xr sshd_config 5
pour savoir comment configurer le serveur. Les variables sont
spécifiées par leur nom qui peut contenir des caractères génériques. Pour
spécifier plusieurs variables d’environnement, vous pouvez les séparer par
des blancs ou utiliser plusieurs fois l’option
.Cm SendEnv .
.Pp
Voir
.Sx MOTIFS
pour plus d’informations à propos des motifs.
.Pp
Il est possible d’annuler une définition précédente de nom de variable avec
.Cm SendEnv
en préfixant le motif avec le caractère « - ». Par défaut,
aucune variable d’environnement n’est envoyée.
.It Cm ServerAliveCountMax
Cette option permet de définir le nombre de messages de rappel au serveur
(voir ci-dessous) qui peuvent être envoyés sans que
.Xr ssh 1
reçoive de
message en retour du serveur. Si cette limite est atteinte alors que des
messages de rappel au serveur sont envoyés, ssh se déconnectera du serveur
en fermant la session. Il est important de noter que l’utilisation de
messages de rappel au serveur est très différente de
.Cm TCPKeepAlive
(voir ci-dessous). Les messages de rappel au serveur sont envoyés par le
canal chiffré et ne peuvent donc pas être compromis. L’option « keepalive »
de TCP activée par
.Cm TCPKeepAlive
peut être compromise. Le mécanisme de
rappel au serveur s’avère utile lorsque le client ou le serveur ont besoin
d’être informés quand une connexion ne répond plus.
.Pp
La valeur par défaut est de 3. Si, par exemple,
.Cm ServerAliveInterval
(voir ci-dessous) est définie à 15 et si on laisse
.Cm ServerAliveCountMax
à sa valeur par défaut, ssh se déconnectera après
approximativement 45 secondes si le serveur ne répond plus.
.It Cm ServerAliveInterval
Cette option permet de définir un délai en secondes après lequel, si aucune
donnée n’a été reçue du serveur,
.Xr ssh 1
va envoyer un message par le
canal chiffré pour demander une réponse au serveur. La valeur par défaut
est 0 et indique qu’aucun message de ce type ne sera envoyé au serveur.
.It Cm SessionType
Cette option permet de demander l’invocation d’un sous-système sur le
système distant ou d’empêcher l’exécution de toute commande distante. Cette
dernière utilisation ne s’avère utile que pour rediriger des
ports. L’argument doit être égal à
.Cm none
(même effet que l’option
.Fl N ) ,
.Cm subsystem
(même effet que l’option
.Fl s )
ou
.Cm default
(exécution d’une commande ou d’un interpréteur de commande).
.It Cm SetEnv
Cette option permet de spécifier directement une ou plusieurs variables
d’environnement à envoyer au serveur ainsi que leur contenu. Comme avec
.Cm SendEnv ,
excepté pour la variable
.Ev TERM ,
le serveur doit être
préparé à accepter les variables d’environnement.
.It Cm StdinNull
Cette option permet de rediriger l’entrée standard « stdin » vers
.Pa /dev/null
(ce qui revient à empêcher toute lecture à partir de l’entrée
standard). Cette option doit être définie ou son équivalent
.Fl n
spécifié lorsque
.Nm ssh
s’exécute en arrière-plan. L’argument doit être
égal à
.Cm yes
(même effet que l’option
.Fl n )
ou
.Cm no
(la valeur
par défaut).
.It Cm StreamLocalBindMask
Cette option permet de définir le masque du mode de création de fichier en
octal
.Pq umask
utilisé lors de la création d’un fichier socket de
domaine Unix pour la redirection de port local ou distant. Cette option ne
s’utilise que pour la redirection de port vers un fichier socket de domaine
Unix.
.Pp
La valeur par défaut est 0177, ce qui crée un fichier socket de domaine Unix
qui n’est accessible en lecture et écriture que par son propriétaire. Notez
que tous les systèmes d’exploitation ne prennent pas en charge le mode de
fichier pour les fichiers socket de domaine Unix
.It Cm StreamLocalBindUnlink
Cette option permet de spécifier si le fichier socket de domaine Unix
existant pour la redirection de port local ou distant doit être supprimé
avant d’en créer un nouveau. Si le fichier socket existe déjà et si
.Cm StreamLocalBindUnlink
n’est pas activée,
.Nm ssh
ne pourra pas rediriger
le port vers le fichier socket de domaine Unix. Cette option ne s’utilise
que pour la redirection de port vers un fichier socket de domaine Unix.
.Pp
L’argument doit être égal à
.Cm yes
ou
.Cm no
(la valeur par défaut).
.It Cm StrictHostKeyChecking
Si cette option a pour argument
.Cm yes ,
.Xr ssh 1
n'ajoutera jamais
automatiquement de clés d’hôte au fichier
.Pa ~/.ssh/known_hosts
et
refusera de se connecter aux machines dont la clé d’hôte a changé. Cette
option fournit une protection maximale contre les attaques de type « Homme
du milieu » (man-in-the-middle — MITM), mais peut néanmoins s’avérer gênante
si le fichier
.Pa /etc/ssh/ssh_known_hosts
n'est pas très bien entretenu,
ou si on se connecte fréquemment à de nouvelles machines. Cette option
impose à l'utilisateur d'ajouter manuellement toutes les nouvelles machines.
.Pp
Si cette option a pour argument
.Cm accept-new ,
.Xr ssh 1
ajoutera
automatiquement les nouvelles clés d’hôte au fichier
.Pa known_hosts
de
l’utilisateur, mais n’autorisera pas les connexions vers les machines dont
la clé a changé. Si cette option a pour argument
.Cm no
ou
.Cm off ,
.Xr ssh 1
ajoutera automatiquement les nouvelles clés d’hôte aux fichiers
des machines connues de l’utilisateur et autorisera les connexions vers les
machines dont la clé a changé, avec certaines restrictions. Si cette option
a pour argument
.Cm ask
(la valeur par défaut), les nouvelles clés d’hôte
ne seront ajoutées aux fichiers des machines connues de l’utilisateur que si
l'utilisateur confirme que c'est ce qu'il souhaite, et
.Xr ssh 1
refusera
de se connecter aux machines dont la clé a changé. Les clés d’hôte connues
seront automatiquement vérifiées dans tous les cas.
.It Cm SyslogFacility
Cette option permet de spécifier le code de catégorie (« facility ») utilisé
lors de la journalisation des messages de
.Xr ssh 1 .
Les valeurs
possibles sont : DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4,
LOCAL5, LOCAL6 et LOCAL7. Le code par défaut est USER.
.It Cm TCPKeepAlive
Cette option permet d’indiquer si le système doit envoyer des messages de
rappel TCP à l’autre extrémité de la connexion. Si ces messages sont
envoyés, la mort de la connexion ou le plantage d’une des machines seront
notifiés de manière appropriée. Cela signifie cependant que la connexion
mourra si la route est momentanément interrompue, et certains utilisateurs
trouvent cela gênant.
.Pp
La valeur par défaut est
.Cm yes
(envoyer des messages de rappel TCP), et
le client sera ainsi informé si le réseau tombe ou si la machine distante se
plante. Être informé de ces problèmes s’avère important dans les scripts et
de nombreux utilisateurs souhaitent aussi que cette information soit
disponible.
.Pp
Pour désactiver l’envoi de messages de rappel TCP, cette option doit être
définie à
.Cm no .
Voir aussi
.Cm ServerAliveInterval
pour les signes
de vie niveau protocole.
.It Cm Tag
Cette option permet de spécifier un nom de symbole de configuration qui
pourra être utilisé ensuite par la directive
.Cm Match
pour sélectionner
un bloc de configuration.
.It Cm Tunnel
Cette option permet de demander la redirection par dispositif de tunnel
.Xr tun 4
entre le client et le serveur. L’argument doit être égal à
.Cm yes ,
.Cm point-to-point
(couche 3),
.Cm ethernet
(couche 2) ou
.Cm no
(la valeur par défaut). Spécifier
.Cm yes
demande le mode de
tunnel par défaut, à savoir
.Cm point-to-point .
.It Cm TunnelDevice
Cette option permet de spécifier le dispositif
.Xr tun 4
à ouvrir sur le
client (
.Pq Ar tunnel_local )
et sur le serveur (
.Pq Ar tunnel_distant ) .
.Pp
L’argument doit être de la forme
.Sm off
.Ar tunnel_local Op : Ar tunnel_distant .
.Sm on
Les dispositifs de tunnel peuvent être spécifiés
par leur ID numérique ou le mot-clé
.Cm any ,
ce dernier demandant
l’utilisation du premier dispositif de tunnel disponible. Si
.Ar tunnel_distant
n’est pas spécifié, sa valeur par défaut est
.Cm any .
La
valeur par défaut de cette option est
.Cm any:any .
.It Cm UpdateHostKeys
Cette option permet de spécifier si
.Xr ssh 1
doit accepter d’ajouter au
fichier
.Cm UserKnownHostsFile
des clés d’hôte additionnelles notifiées
par le serveur et envoyées une fois l’authentification terminée. L’argument
doit être égal à
.Cm yes ,
.Cm no
ou
.Cm ask .
Cette option permet
d’enregistrer des clé d’hôte de remplacement pour un serveur et prend en
charge une rotation des clés en douceur en ce sens qu’elle permet à un
serveur d’envoyer des clés publiques de remplacement avant que les anciennes
soient supprimées.
.Pp
Les clés d’hôte additionnelles ne sont acceptées que si la clé ayant servi à
authentifier la machine était fiable ou a été explicitement acceptée par
l’utilisateur, si la machine a été authentifiée à l’aide du fichier
.Cm UserKnownHostsFile
(pas
.Cm GlobalKnownHostsFile )
et si la machine a été
authentifiée en utilisant une clé explicite et non un certificat.
.Pp
L’option
.Cm UpdateHostKeys
est activée par défaut si l’utilisateur n’a
pas modifié la définition par défaut de
.Cm UserKnownHostsFile
et n’a pas
activé
.Cm VerifyHostKeyDNS
 ; dans le cas contraire,
.Cm UpdateHostKeys
sera définie à
.Cm no .
.Pp
Si l’option
.Cm UpdateHostKeys
est définie à
.Cm ask ,
l’utilisateur
devra confirmer les modifications à apporter au fichier
.Cm UserKnownHostsFile .
Actuellement, cette confirmation est incompatible avec
l’option
.Cm ControlPersist
et sera désactivée si cette dernière est
activée.
.Pp
Actuellement, seul
.Xr sshd 8
d’OpenSSH versions 6.8 et supérieures prend
en charge l’extension de protocole « hostkeys@openssh.com » utilisée pour
informer le client de toutes les clés d’hôte du serveur.
.It Cm User
Cette option permet de spécifier un nom d'utilisateur à utiliser pour se
connecter. Cela peut s’avérer utile si on se connecte avec des noms
d'utilisateurs différents sur les différentes machines, et évite le souci de
devoir se rappeler de passer le nom d'utilisateur sur la ligne de commande.
.It Cm UserKnownHostsFile
Cette option permet de spécifier un ou plusieurs fichiers à utiliser pour la
base de données des clés d’hôte de l'utilisateur, séparés par des
blancs. Chaque nom de fichier peut utiliser la syntaxe avec tilde « ~ » pour
faire référence au répertoire personnel d’un utilisateur, les symboles
décrits dans la section
.Sx SYMBOLES
et les variables d’environnement
comme décrit dans la section
.Sx VARIABLES D’ENVIRONNEMENT .
Si cette
option est définie à
.Cm none ,
.Xr ssh 1
ignorera tout fichier de
machines connues spécifique à l’utilisateur. Les fichiers par défaut sont
.Pa ~/.ssh/known_hosts
et
.Pa ~/.ssh/known_hosts2 .
.It Cm VerifyHostKeyDNS
Cette option permet de spécifier si la clé distante doit être vérifiée en
utilisant les enregistrements de ressource DNS et SSHFP. Si elle est définie
à
.Cm yes ,
le client va implicitement considérer comme fiables les clés
qui correspondent à une empreinte sécurisée en provenance du DNS. Les
empreintes non sécurisées seront traitées comme si cette option avait été
définie à
.Cm ask .
Si elle est définie à
.Cm ask ,
les informations de
correspondance d’empreinte seront affichées, mais, en fonction de la
définition de l’option
.Cm StrictHostKeyChecking ,
l’utilisateur devra
quand même confirmer les nouvelles clés d’hôte. La valeur par défaut est
.Cm no .
.Pp
Voir aussi
.Sx VÉRIFIER LES CLÉS DE LA MACHINE
dans
.Xr ssh 1 .
.It Cm VisualHostKey
Si cette option est définie à
.Cm yes ,
une représentation en art ASCII de
l’empreinte de la clé d’hôte distante sera affichée en plus de la chaîne
d’empreinte à la connexion et pour les clés d’hôte inconnues. Si elle est
définie à
.Cm no
(la valeur par défaut), aucune chaîne d’empreinte ne
sera affichée à la connexion et seule la chaîne d’empreinte sera affichée
pour les clés d’hôte inconnues.
.It Cm XAuthLocation
Cette option permet de spécifier le nom de chemin complet du programme
.Xr xauth 1 .
Le chemin par défaut est
.Pa /usr/bin/xauth .
.El
.Sh MOTIFS
Un
.Em motif
consiste en zéro ou plusieurs caractères non blancs, le
caractère « * » (un caractère générique qui correspond à zéro ou plusieurs
caractères) ou « ?\& » (un caractère générique qui correspond à exactement
un caractère). Par exemple, pour spécifier un jeu de déclarations pour toute
machine des domaines en « .co.uk », on pourrait utiliser le motif suivant :
.Pp
.Dl Host *.co.uk
.Pp
Le motif suivant correspondrait à toute machine dans l’intervalle d’adresses
réseau 192.168.0.[0-9] :
.Pp
.Dl Host 192.168.0.?
.Pp
Une
.Em liste de motifs
contient une liste de motifs séparés par des
virgules. Dans une
.Em liste de motifs ,
chacun d’entre eux peut être nié
en le faisant précéder d’un point d’exclamation « !\& ». Par exemple, pour
autoriser l’utilisation d’une clé depuis n’importe où dans une organisation
sauf depuis l’ensemble « dialup », on pourrait utiliser l’entrée
d’authorized_keys suivante :
.Pp
.Dl from=\(dq!*.dialup.example.com,*.example.com\(dq
.Pp
Notez qu’une correspondance niée ne produira jamais de résultat positif
d’elle-même. Par exemple, essayer de faire correspondre « host3 » à la liste
de motifs suivante échouera toujours :
.Pp
.Dl from=\(dq!host1,!host2\(dq
.Pp
La solution consiste ici à inclure un terme qui va produire une
correspondance positive, comme un caractère générique :
.Pp
.Dl from=\(dq!host1,!host2,*\(dq
.Sh SYMBOLES
Les arguments de certaines options peuvent utiliser des symboles qui sont
interprétés à l’exécution :
.Pp
.Bl -tag -width XXXX -offset indent -compact
.It %%
Le caractère « % ».
.It \&%C
Le hachage de %l%h%p%r%j.
.It %d
Le répertoire personnel de l’utilisateur local.
.It %f
L’empreinte de la clé d’hôte du serveur.
.It %H
Le nom ou l’adresse de machine recherché dans le fichier
.Pa known_hosts .
.It %h
Le nom de la machine distante.
.It \%%I
Une chaîne décrivant la raison pour laquelle une commande
.Cm KnownHostsCommand
est exécutée :
.Cm ADDRESS
lorsqu’on recherche une
machine par son adresse (seulement si
.Cm CheckHostIP
est activée),
.Cm HOSTNAME
lorsqu’on recherche une machine par son nom ou
.Cm ORDER
lors
de la préparation de la liste d’algorithmes de clé d’hôte préférés à
utiliser pour la machine de destination.
.It %i
L’UID local.
.It %j
La valeur de l’option
.Cm ProxyJump
ou une chaîne vide si cette option
n’est pas définie.
.It %K
La clé d’hôte codée en base64.
.It %k
L’alias de la clé d’hôte si elle a été spécifiée, ou le nom originel de la
machine distante donné sur la ligne de commande dans le cas contraire.
.It %L
Le nom de la machine locale.
.It %l
Le nom complet de la machine locale, domaine inclus.
.It %n
Le nom originel de la machine distante tel qu’il a été spécifié sur la ligne
de commande.
.It %p
Le port distant.
.It %r
Le nom de l’utilisateur distant.
.It \&%T
L’interface réseau locale
.Xr tun 4
ou
.Xr tap 4
assignée si la
redirection par tunnel a été demandée, ou « NONE » dans le cas contraire.
.It %t
Le type de la clé d’hôte du serveur, par exemple
.Cm ssh-ed25519 .
.It %u
Le nom de l’utilisateur local.
.El
.Pp
Les options
.Cm CertificateFile ,
.Cm ControlPath ,
.Cm IdentityAgent ,
.Cm IdentityFile ,
.Cm KnownHostsCommand ,
.Cm LocalForward ,
.Cm Match exec ,
.Cm RemoteCommand ,
.Cm RemoteForward ,
.Cm RevokedHostKeys
et
.Cm UserKnownHostsFile
acceptent les symboles %%, %C, %d, %h, %i, %j, %k, %L, %l, %n, %p, %r et %u.
.Pp
L’option
.Cm KnownHostsCommand
accepte en plus les symboles %f, %H, %I,
%K et %t.
.Pp
L’option
.Cm Hostname
accepte les symboles %% et %h.
.Pp
L’option
.Cm LocalCommand
accepte tous les symboles.
.Pp
Les options
.Cm ProxyCommand
et
.Cm ProxyJump
acceptent les symboles
%%, %h, %n, %p et %r.
.Pp
Notez que certaines de ces directives construisent des commandes destinées à
être exécutées à l’aide de l’interpréteur de commande, et comme
.Xr ssh 1
n’effectue aucun filtrage ou échappement des caractères qui ont une
signification spéciale dans les commandes de l’interpréteur de commande
(comme les guillemets), il est de la responsabilité de l’utilisateur de
s’assurer que les arguments passés à
.Xr ssh 1
ne contiennent pas de
caractères de cette sorte et de faire en sorte que les symboles soient mis
entre guillemets de manière appropriée lorsqu’ils sont utilisés.
.Sh VARIABLES D'ENVIRONNEMENT
Les arguments de certaines options peuvent être interprétés à l’exécution
par l’évaluation des variables d’environnement du client en englobant ces
dernières avec
.Ic ${}
 ; par exemple,
.Ic ${HOME}/.ssh
ferait
référence au répertoire .ssh de l’utilisateur. Si une variable
d’environnement spécifiée n’existe pas, une erreur sera renvoyée et la
définition de l’option concernée sera ignorée.
.Pp
Les options
.Cm CertificateFile ,
.Cm ControlPath ,
.Cm IdentityAgent ,
.Cm IdentityFile ,
.Cm KnownHostsCommand
et
.Cm UserKnownHostsFile
prennent en charge les variables d’environnement. Les
options
.Cm LocalForward
et
.Cm RemoteForward
ne prennent en charge
les variables d’environnement que pour les chemins de socket de domaine
Unix.
.Sh FICHIERS
.Bl -tag -width Ds
.It Pa ~/.ssh/config
C’est le fichier de configuration propre à l’utilisateur. Son format est
décrit ci-dessus. Ce fichier est utilisé par le client SSH. En raison du
risque de piratage, ce fichier doit avoir des permissions strictes :
accessible en lecture/écriture pour l’utilisateur et non accessible en
écriture pour les autres.
.It Pa /etc/ssh/ssh_config
C’est le fichier de configuration globale du système. Il fournit les valeurs
par défaut des options tant pour celles qui ne sont pas définies dans le
fichier de configuration de l’utilisateur que pour les utilisateurs qui ne
possèdent pas de fichier de configuration. Il doit être accessible en
lecture par tout le monde.
.El
.Sh VOIR AUSSI
.Xr ssh 1
.Sh AUTEURS
.An -nosplit
OpenSSH est dérivé de la version originale et libre
ssh 1.2.12 par
.An Tatu Ylonen .
.An Aaron Campbell, Bob Beck, Markus Friedl ,
.An Niels Provos, Theo de Raadt
et
.An Dug Song
ont corrigé
de nombreux bogues, rajouté des nouvelles fonctionnalités et créé
OpenSSH.
.An Markus Friedl
a contribué à la prise en charge des
versions 1.5 et 2.0 du protocole SSH.
.Pp
.Sh TRADUCTION
La traduction française de cette page de manuel a été créée par
Laurent Gautrot <l dot gautrot at free dot fr>
et
Lucien Gentis <lucien.gentis@waika9.com>
.
.Pp
Cette traduction est une documentation libre ; veuillez vous reporter à la
.Lk https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License version 3
concernant les conditions de copie et 
de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.
.Pp
Si vous découvrez un bogue dans la traduction de cette page de manuel, 
veuillez envoyer un message à
.Mt debian-l10n-french@lists.debian.org
.Me .