SSH_CONFIG(5) File Formats Manual SSH_CONFIG(5) NUME ssh_config - fiierul de configurare al clientului OpenSSH DESCRIERE ssh(1) obine datele de configurare din urmatoarele surse, in ordinea urmatoare: 1. opiuni din linia de comanda 2. fiierul de configurare al utilizatorului (~/.ssh/config) 3. fiierul de configurare la nivel de sistem (/etc/ssh/ssh_config) Daca nu se specifica altfel, pentru fiecare parametru se va utiliza prima valoare obinuta. Fiierele de configurare conin seciuni separate de specificari Host, iar seciunea respectiva este aplicata numai pentru gazdele care corespund unuia dintre modelele date in specificaie. Numele de gazda care corespunde este, de obicei, cel dat in linia de comanda (consultai opiunea CanonicalizeHostname pentru excepii). Deoarece se utilizeaza prima valoare obinuta pentru fiecare parametru, declaraiile specifice gazdei ar trebui sa fie plasate mai aproape de inceputul fiierului, iar valorile implicite generale la sfarit. Fiierul conine perechi cuvant-cheie-argument, una pe linie. Liniile care incep cu `#' i liniile goale sunt interpretate ca fiind comentarii. Argumentele pot fi incluse opional intre ghilimele duble (") pentru a reprezenta argumentele care conin spaii. Opiunile de configurare pot fi separate prin spaii albe sau spaii albe opionale i exact un `='; ultimul format este util pentru a evita necesitatea de a cita spaiile albe atunci cand se specifica opiuni de configurare folosind opiunea ssh, scp i sftp -o. Cuvintele-cheie posibile i semnificaiile acestora sunt urmatoarele (reinei ca cuvintele-cheie nu disting majusculele de minuscule, iar argumentele disting majusculele de minuscule): Host Restricioneaza urmatoarele declaraii (pana la urmatorul cuvant cheie Host sau Match) pentru a fi numai pentru acele gazde care corespund unuia dintre modelele furnizate dupa cuvantul cheie. Daca sunt furnizate mai multe modele, acestea trebuie separate prin spaii albe. Un singur `*' ca model poate fi utilizat pentru a furniza valori implicite globale pentru toate gazdele. Gazda este de obicei argumentul nume-gazda dat in linia de comanda (consultai cuvantul-cheie CanonicalizeHostname pentru excepii). O intrare de tip model poate fi negata prin prefixarea acesteia cu un semn de exclamare (`!'). Daca o intrare negata este potrivita, atunci intrarea Host este ignorata, indiferent daca alte modele de pe linie se potrivesc. Potrivirile negate sunt, prin urmare, utile pentru a oferi excepii pentru potrivirile cu caractere joker. Pentru mai multe informaii despre modele, consultai seciunea MODELE. Match Restricioneaza utilizarea urmatoarelor declaraii (pana la urmatorul cuvant cheie Host sau Match) numai atunci cand sunt indeplinite condiiile care urmeaza cuvantului cheie Match. Condiiile de potrivire sunt specificate folosind unul sau mai multe criterii sau simbolul unic all care se potrivete intotdeauna. Cuvintele-cheie disponibile pentru criterii sunt: canonical, final, exec, localnetwork, host, originalhost, tagged, command, user, localuser i version. Criteriul all trebuie sa apara singur sau imediat dupa canonical sau final. Alte criterii pot fi combinate arbitrar. Toate criteriile cu excepia all, canonical i final necesita un argument. Criteriile pot fi negate prin adaugarea in faa lor a unui semn de exclamare (`!'). Cuvantul cheie canonical se potrivete numai atunci cand fiierul de configurare este reanalizat dupa canonizarea numelui de gazda (consultai opiunea CanonicalizeHostname). Acest lucru poate fi util pentru a specifica condiii care funcioneaza numai cu nume de gazda canonice. Cuvantul cheie final solicita reanalizarea configuraiei (indiferent daca CanonicalizeHostname este activata) i se potrivete numai in timpul acestei treceri finale. Daca CanonicalizeHostname este activata, atunci canonical i final se potrivesc in timpul aceleiai etapei. Cuvantul cheie exec executa comanda specificata in shell-ul utilizatorului. Daca comanda returneaza o stare de ieire zero, atunci condiia este considerata adevarata. Comenzile care conin caractere spaiu trebuie sa fie puse intre ghilimele. Argumentele pentru exec accepta simbolurile descrise in seciunea SIMBOLURI. Cuvantul cheie localnetwork compara adresele interfeelor reelei locale active cu lista de reele furnizata in format CIDR. Acest lucru poate fi convenabil pentru a varia configuraia efectiva pe dispozitive care se deplaseaza intre reele. Reinei ca adresa de reea nu este un criteriu demn de incredere in multe situaii (de exemplu, atunci cand reeaua este configurata automat utilizand DHCP) i, prin urmare, trebuie sa fii precaui daca il utilizai pentru a controla configuraia sensibila din punct de vedere al securitaii. Celelalte criterii ale cuvintelor cheie trebuie sa fie intrari unice sau liste separate prin virgule i pot utiliza operatorii de caracter joker i de negare descrii in seciunea MODELE. Criteriile pentru cuvantul cheie host sunt comparate cu numele gazdei inta, dupa orice substituie efectuata de opiunile Hostname sau CanonicalizeHostname. Cuvantul cheie originalhost se compara cu numele gazdei aa cum a fost specificat in linia de comanda. Cuvantul cheie tagged se potrivete cu un nume de eticheta specificat printr-o directiva Tag anterioara sau in linia de comanda ssh(1) folosind marcajul -P. Cuvantul cheie command corespunde comenzii la distana care a fost solicitata sau numelui subsistemului care este invocat (de exemplu, "sftp" pentru o sesiune SFTP). irul gol va corespunde cazului in care nu a fost specificata o comanda sau o eticheta, de exemplu: `Match tag ,,"'. Cuvantul cheie version se potrivete cu irul de versiuni al ssh(1), de exemplu "OpenSSH_10.0". Cuvantul cheie user se potrivete cu numele de utilizator inta de pe gazda la distana. Cuvantul cheie localuser se potrivete cu numele utilizatorului local care ruleaza ssh(1) (acest cuvant cheie poate fi util in fiierele ssh_config la nivel de sistem). In sfarit, cuvantul-cheie sessiontype corespunde tipului de sesiune solicitat, care poate fi unul dintre shell pentru sesiunile interactive, exec pentru sesiunile de execuie a comenzilor, subsystem pentru invocarile subsistemelor, cum ar fi sftp(1), sau none pentru sesiunile de doar transport, cum ar fi atunci cand ssh(1) este iniiat cu fanionul -N. AddKeysToAgent Specifica daca cheile ar trebui adaugate automat la un ssh-agent(1) in execuie. Daca aceasta opiune este stabilita la yes i o cheie este incarcata dintr-un fiier, cheia i fraza de acces a acesteia sunt adaugate la agent cu durata de viaa implicita, ca i cum ar fi efectuate de ssh-add(1). Daca aceasta opiune este stabilita la ask, ssh(1) va solicita confirmarea folosind programul SSH_ASKPASS inainte de adaugarea unei chei (a se vedea ssh-add(1) pentru detalii). Daca aceasta opiune este stabilita la confirm, fiecare utilizare a cheii trebuie confirmata, ca i cum opiunea -c ar fi specificata la ssh-add(1). Daca aceasta opiune este stabilita la no, nu se adauga nicio cheie la agent. Alternativ, aceasta opiune poate fi specificata ca un interval de timp folosind formatul descris in seciunea FORMATE DE TIMP din sshd_config(5) pentru a specifica durata de viaa a cheii in ssh-agent(1), dupa care aceasta va fi eliminata automat. Argumentul trebuie sa fie no (implicit), yes, confirm (urmat opional de un interval de timp), ask sau un interval de timp. AddressFamily Specifica familia de adrese care trebuie utilizata la conectare. Argumentele valide sunt any (implicit), inet (utilizeaza numai IPv4) sau inet6 (utilizeaza numai IPv6). BatchMode Daca este stabilita la yes, interaciunea utilizatorului, cum ar fi solicitarile de parola i confirmarea cheii gazdei, vor fi dezactivate. Aceasta opiune este utila in scripturi i alte sarcini pe loturi in care nu este prezent niciun utilizator pentru a interaciona cu ssh(1). Argumentul trebuie sa fie yes sau no (implicit). BindAddress Utilizeaza adresa specificata pe calculatorul local ca adresa sursa a conexiunii. Util numai pe sistemele cu mai multe adrese. BindInterface Utilizeaza adresa interfeei specificate pe calculatorul local ca adresa sursa a conexiunii. CanonicalDomains Cand CanonicalizeHostname este activata, aceasta opiune specifica lista de sufixe de domeniu in care se cauta gazda de destinaie specificata. CanonicalizeFallbackLocal Specifica daca sa eueze cu o eroare atunci cand canonicalizarea numelui de gazda eueaza. Valoarea implicita, yes, va incerca sa caute numele de gazda necalificat utilizand regulile de cautare ale rezolvatorului de sistem. O valoare de no va determina ssh(1) sa eueze instantaneu daca CanonicalizeHostname este activata i numele de gazda inta nu poate fi gasit in niciunul dintre domeniile specificate de CanonicalDomains. CanonicalizeHostname Controleaza daca se efectueaza canonicalizarea explicita a numelui de gazda. Valoarea implicita, no, este de a nu efectua nicio rescriere a numelui i de a lasa rezolvatorul de sistem sa se ocupe de toate cautarile numelui de gazda. Daca este stabilita la yes, atunci, pentru conexiunile care nu utilizeaza ProxyCommand sau ProxyJump, ssh(1) va incerca sa canonicalizeze numele de gazda specificat in linia de comanda utilizand sufixele CanonicalDomains i regulile CanonicalizePermittedCNAMEs. Daca CanonicalizeHostname este stabilita la always, atunci canonicalizarea este aplicata de asemenea conexiunilor prin proxy. Daca aceasta opiune este activata, fiierele de configurare sunt procesate din nou utilizand noul nume inta pentru a prelua orice configuraie noua din strofele (seciunile) Host i Match corespunzatoare. O valoare none dezactiveaza utilizarea unei gazde de salt ProxyJump. CanonicalizeMaxDots Specifica numarul maxim de caractere punct intr-un nume de gazda inainte ca canonizarea sa fie dezactivata. Valoarea implicita, 1, permite un singur punct (adica: nume-gazda.subdomeniu). CanonicalizePermittedCNAMEs Specifica reguli pentru a determina daca CNAME-urile trebuie respectate la canonicalizarea numelor de gazda. Regulile constau in unul sau mai multe argumente de tipul source_domain_list:target_domain_list, unde source_domain_list este o lista-model de domenii care pot urma CNAME-urile in canonicalizare, iar target_domain_list este o lista-model de domenii la care acestea se pot rezolva. De exemplu, "*.a.example.com:*.b.example.com,*.c.example.com" va permite ca numele de gazda care corespund cu "*.a.example.com" sa fie canonizate in nume din domeniile "*.b.example.com" sau "*.c.example.com". Un singur argument "none" face ca niciun CNAME sa nu fie luat in considerare pentru canonizare. Acesta este comportamentul implicit. CASignatureAlgorithms Specifica ce algoritmi sunt permii pentru semnarea certificatelor de catre autoritaile de certificare (CA). Valoarea implicita este: ssh-ed25519,ecdsa-sha2-nistp256, ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ssh-ed25519@openssh.com, sk-ecdsa-sha2-nistp256@openssh.com, rsa-sha2-512,rsa-sha2-256 Daca lista specificata incepe cu un caracter `+', atunci algoritmii specificai vor fi adaugai la setul implicit in loc sa fie inlocuii. Daca lista specificata incepe cu un caracter `-', atunci algoritmii specificai (inclusiv caracterele joker) vor fi eliminai din setul implicit in loc sa fie inlocuii. ssh(1) nu va accepta certificate de gazda semnate folosind ali algoritmi decat cei specificai. CertificateFile Specifica un fiier din care este citit certificatul utilizatorului. O cheie privata corespunzatoare trebuie furnizata separat pentru a utiliza acest certificat fie dintr-o directiva IdentityFile, fie dintr-un indicator -i catre ssh(1), prin ssh-agent(1) sau prin PKCS11Provider sau SecurityKeyProvider. Argumentele pentru CertificateFile pot utiliza sintaxa tilde pentru a face referire la directorul personal al utilizatorului, la simbolurile descrise in seciunea SIMBOLURI i la variabilele de mediu descrise in seciunea VARIABILE DE MEDIU. Este posibil sa se specifice mai multe fiiere de certificate in fiierele de configurare; aceste certificate vor fi incercate in ordine. Mai multe directive CertificateFile vor fi adaugate la lista de certificate utilizate pentru autentificare. ChannelTimeout Specifica daca i cat de repede ssh(1) trebuie sa inchida canalele inactive. Timpii de ateptare sunt specificai ca una sau mai multe perechi "tip=interval" separate prin spaii albe, unde "tip" trebuie sa fie cuvantul cheie special "global" sau un nume de tip de canal din lista de mai jos, coninand opional caractere joker. Valoarea timpului de ateptare "interval" este specificata in secunde sau poate utiliza oricare dintre unitaile documentate in seciunea FORMATE DE TIMP. De exemplu, "session=5m" ar face ca sesiunile interactive sa se incheie dupa cinci minute de inactivitate. Specificarea unei valori zero dezactiveaza limita de timp pentru inactivitate. Timpul de ateptare special "global" se aplica tuturor canalelor active, luate impreuna. Traficul pe orice canal activ va reiniializa timpul de ateptare, dar atunci cand timpul de ateptare expira, toate canalele deschise vor fi inchise. Reinei ca acest timp limita global nu este compatibil cu caracterele joker i trebuie sa fie specificat explicit. Numele tipurilor de canal disponibile includ: agent-connection Deschide conexiuni catre ssh-agent(1). direct-tcpip, direct-streamlocal@openssh.com Deschide conexiuni TCP sau soclu Unix (respectiv) care au fost stabilite de la o redirecionare locala ssh(1), adica LocalForward sau DynamicForward. forwarded-tcpip, forwarded-streamlocal@openssh.com Deschide conexiuni TCP sau soclu Unix (respectiv) care au fost stabilite la un sshd(8) care asculta in numele unui ssh(1) de redirecionare la distana, i anume RemoteForward. session Sesiunea principala interactiva, inclusiv sesiunea shell, executarea comenzilor, scp(1), sftp(1), etc. tun-connection Deschide conexiuni TunnelForward. x11-connection Deschide sesiuni de redirecionare X11. Reinei ca, in toate cazurile de mai sus, terminarea unei sesiuni inactive nu garanteaza eliminarea tuturor resurselor asociate sesiunii, de exemplu, procesele shell sau clienii X11 referitoare la sesiune pot continua sa se execute. In plus, terminarea unui canal sau a unei sesiuni inactive nu inchide neaparat conexiunea SSH i nici nu impiedica un client sa solicite un alt canal de acelai tip. In special, incetarea unei sesiuni de redirecionare inactive nu impiedica crearea ulterioara a unei alte redirecionari identice. Valoarea implicita este de a nu expira canalele de orice tip pentru inactivitate. CheckHostIP Daca este stabilita la yes, ssh(1) va verifica suplimentar adresa IP a gazdei in fiierul known_hosts. Acest lucru ii permite sa detecteze daca o cheie de gazda s-a schimbat din cauza falsificarii DNS i va adauga adresele gazdelor de destinaie la ~/.ssh/known_hosts in acest proces, indiferent de configurarea StrictHostKeyChecking. Daca opiunea este stabilita la no (implicit), verificarea nu va fi executata. Ciphers Specifica cifrurile permise i ordinea lor de preferina. Cifrurile multiple trebuie sa fie separate prin virgule. Daca lista specificata incepe cu un caracter `+', atunci cifrurile specificate vor fi adaugate la setul implicit in loc sa le inlocuiasca. Daca lista specificata incepe cu un caracter `-', atunci cifrurile specificate (inclusiv cele specificate cu caractere joker) vor fi eliminate din setul implicit in loc sa le inlocuiasca. Daca lista specificata incepe cu un caracter `^', atunci cifrurile specificate vor fi plasate la inceputul setului implicit. Cifrurile acceptate sunt: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com Valoarea implicita este: chacha20-poly1305@openssh.com, aes128-gcm@openssh.com,aes256-gcm@openssh.com, aes128-ctr,aes192-ctr,aes256-ctr Lista cifrurilor disponibile poate fi de asemenea obinuta utilizand "ssh -Q cipher". ClearAllForwardings Specifica tergerea tuturor redirecionarilor de port locale, la distana i dinamice specificate in fiierele de configurare sau in linia de comanda. Aceasta opiune este utila in principal atunci cand este utilizata din linia de comanda ssh(1) pentru a terge redirecionarile de port stabilite in fiierele de configurare i este definita automat de scp(1) i sftp(1). Argumentul trebuie sa fie yes sau no (implicit). Compression Specifica daca se utilizeaza comprimarea. Argumentul trebuie sa fie yes sau no (implicit). ConnectionAttempts Specifica numarul de incercari (una pe secunda) care trebuie efectuate inainte de ieire. Argumentul trebuie sa fie un numar intreg. Acest lucru poate fi util in scripturi daca conexiunea eueaza uneori. Valoarea implicita este 1. ConnectTimeout Specifica timpul de ateptare (in secunde) utilizat la conectarea la serverul SSH, in loc sa utilizeze timpul de ateptare TCP implicit al sistemului. Acest timp de ateptare se aplica atat la stabilirea conexiunii, cat i la efectuarea protocolului iniial SSH de stabilire a conexiunii i a schimbului de chei. ControlMaster Activeaza partajarea mai multor sesiuni pe o singura conexiune de reea. Atunci cand este stabilita la yes, ssh(1) va asculta conexiunile pe un soclu de control specificat utilizand argumentul ControlPath. Alte sesiuni se pot conecta la acest soclu folosind acelai ControlPath cu ControlMaster stabilita la no (implicit). Aceste sesiuni vor incerca sa reutilizeze conexiunea de reea a instanei principale in loc sa iniieze conexiuni noi, dar vor reveni la conectarea normala daca soclul de control nu exista sau nu este ascultat. Stabilirea acestei valori la ask va determina ssh(1) sa asculte conexiunile de control, dar va necesita confirmare utilizand ssh-askpass(1). Daca ControlPath nu poate fi deschis, ssh(1) va continua fara a se conecta la o instana master (principala). Redirecionarea X11 i ssh-agent(1) este acceptata pe aceste conexiuni multiplexate, insa afiarea i agentul redirecionate vor fi cele aparinand conexiunii master, adica nu este posibila redirecionarea mai multor afiari sau ageni. Doua opiuni suplimentare permit multiplexarea oportunista: incearca sa utilizeze o conexiune master, dar revine la crearea uneia noi daca nu exista deja una. Aceste opiuni sunt: auto i autoask. Cea din urma necesita confirmare, la fel ca opiunea ask. ControlPath Specifica ruta catre soclul de control utilizat pentru partajarea conexiunii, astfel cum este descris in seciunea ControlMaster de mai sus sau irul none pentru a dezactiva partajarea conexiunii. Argumentele pentru ControlPath pot utiliza sintaxa tilde pentru a se referi la directorul personal al unui utilizator, la simbolurile descrise in seciunea SIMBOLURI i la variabilele de mediu descrise in seciunea VARIABILE DE MEDIU. Se recomanda ca orice ControlPath utilizat pentru partajarea oportunista a conexiunilor sa includa cel puin %h, %p i %r (sau alternativ %C) i sa fie plasat intr-un director care nu poate fi scris de ali utilizatori. Acest lucru asigura ca conexiunile partajate sunt identificate in mod unic. ControlPersist Atunci cand este utilizata impreuna cu ControlMaster, specifica faptul ca conexiunea master (principala) ar trebui sa ramana deschisa in fundal (ateptand viitoarele conexiuni client) dupa ce conexiunea client iniiala a fost inchisa. Daca este stabilita la no (valoarea implicita), atunci conexiunea master nu va fi plasata in fundal i se va inchide de indata ce conexiunea client iniiala este inchisa. Daca este stabilita la yes sau 0, conexiunea principala va ramane in fundal pe termen nelimitat (pana cand este ucisa sau inchisa prin intermediul unui mecanism precum "ssh -O exit"). Daca este definita la un timp in secunde sau un timp in oricare dintre formatele documentate in sshd_config(5), atunci conexiunea principala din fundal se va incheia automat dupa ce a ramas inactiva (fara conexiuni client) pentru timpul specificat. DynamicForward Specifica faptul ca un port TCP de pe calculatorul local va fi redirecionat prin canalul securizat, iar protocolul aplicaiei este apoi utilizat pentru a determina unde sa se conecteze la calculatorul de la distana. Argumentul trebuie sa fie [bind_address:]port. Adresele IPv6 pot fi specificate prin includerea adreselor intre paranteze drepte. In mod implicit, portul local este legat in conformitate cu configurarea GatewayPorts. Cu toate acestea, se poate utiliza un bind_address explicit pentru a lega conexiunea la o anumita adresa. bind_address de localhost indica faptul ca portul de ascultare trebuie legat numai pentru uz local, in timp ce o adresa goala sau `*' indica faptul ca portul trebuie sa fie disponibil de pe toate interfeele. In prezent sunt acceptate protocoalele SOCKS4 i SOCKS5, iar ssh(1) va funciona ca server SOCKS. Se pot specifica mai multe redirecionari, iar redirecionari suplimentare pot fi specificate in linia de comanda. Numai superutilizatorul poate redireciona porturi privilegiate. EnableEscapeCommandline Activeaza opiunea liniei de comanda din meniul EscapeChar pentru sesiunile interactive (implicit `~C'). Implicit, linia de comanda este dezactivata. EnableSSHKeysign Stabilirea acestei opiuni la yes in fiierul de configurare globala a clientului /etc/ssh/ssh_config permite utilizarea programului auxiliar ssh-keysign(8) in timpul HostbasedAuthentication. Argumentul trebuie sa fie yes sau no (implicit). Aceasta opiune trebuie plasata in seciunea non- hostspecific. Consultai ssh-keysign(8) pentru mai multe informaii. EscapeChar Definete caracterul de eludare (implicit: `~'). Caracterul de eludare poate fi definit i in linia de comanda. Argumentul trebuie sa fie un singur caracter, `^' urmat de o litera, sau none pentru a dezactiva complet caracterul de eludare (facand conexiunea transparenta pentru datele binare). ExitOnForwardFailure Specifica daca ssh(1) ar trebui sa incheie conexiunea in cazul in care nu poate configura toate redirecionarile de port dinamice, de tunel, locale i la distana solicitate (de exemplu, daca oricare dintre capete nu se poate lega i asculta pe un port specificat). Reinei ca ExitOnForwardFailure nu se aplica conexiunilor realizate prin redirecionari de port i, de exemplu, nu va determina ssh(1) sa iasa daca conexiunile TCP la destinaia finala de redirecionare eueaza. Argumentul trebuie sa fie yes sau no (implicit). FingerprintHash Specifica algoritmul de suma de control utilizat la afiarea amprentelor cheilor. Opiunile valide sunt: md5 i sha256 (implicit). ForkAfterAuthentication Solicita ssh sa treaca in fundal chiar inainte de executarea comenzii. Acest lucru este util in cazul in care ssh va solicita parole sau fraze de acces, dar utilizatorul il dorete in fundal. Aceasta presupune ca opiunea de configurare StdinNull sa fie stabilita la "yes". Modul recomandat de a porni programe X11 la distana este ceva precum ssh -f host xterm, care este acelai cu ssh host xterm daca opiunea de configurare ForkAfterAuthentication este stabilita la "yes". If the ExitOnForwardFailure configuration option is set to "yes", then a client started with the ForkAfterAuthentication configuration option being set to "yes" will wait for all remote port forwards to be successfully established before placing itself in the background. The argument to this keyword must be yes (same as the -f option) or no (the default). ForwardAgent Specifica daca conexiunea la agentul de autentificare (daca exista) va fi redirecionata catre maina de la distana. Argumentul poate fi yes, no (implicit), o ruta explicita catre un soclu de agent sau numele unei variabile de mediu (incepand cu `$') in care sa se gaseasca ruta. Redirecionarea agentului trebuie sa fie activata cu precauie. Utilizatorii care au capacitatea de a ocoli permisiunile de fiier pe gazda de la distana (pentru soclul de domeniu Unix al agentului) pot accesa agentul local prin conexiunea redirecionata. Un atacator nu poate obine materiale cheie de la agent, insa poate efectua operaii asupra cheilor care ii permit sa se autentifice folosind identitaile incarcate in agent. ForwardX11 Specifica daca conexiunile X11 vor fi redirecionate automat prin canalul securizat i configureaza DISPLAY. Argumentul trebuie sa fie yes sau no (implicit). Redirecionarea X11 trebuie sa fie activata cu precauie. Utilizatorii care au capacitatea de a ocoli permisiunile de fiier pe gazda de la distana (pentru baza de date de autorizare X11 a utilizatorului) pot accesa afiajul X11 local prin conexiunea redirecionata. Un atacator poate fi capabil sa efectueze activitai precum monitorizarea apasarii tastelor daca opiunea ForwardX11Trusted este, de asemenea, activata. ForwardX11Timeout Specifica un timp de ateptare pentru redirecionarea X11 nesigura utilizand formatul descris in seciunea TIME FORMATS din sshd_config(5). Conexiunile X11 primite de ssh(1) dupa acest timp vor fi refuzate. Stabilirea lui ForwardX11Timeout la zero va dezactiva timpul de ateptare i va permite redirecionarea X11 pe durata de viaa a conexiunii. Valoarea implicita este dezactivarea transmiterii X11 nesigure dupa expirarea a douazeci de minute. ForwardX11Trusted Daca aceasta opiune este stabilita la yes, clienii X11 la distana vor avea acces complet la afiajul X11 original. Daca aceasta opiune este stabilita la no (implicit), clienii X11 de la distana vor fi considerai nesiguri i impiedicai sa fure sau sa falsifice date aparinand clienilor X11 de incredere. In plus, jetonul xauth(1) utilizat pentru sesiune va fi configurat sa expire dupa 20 de minute. Clienilor de la distana li se va refuza accesul dupa aceasta perioada. Consultai specificaia extensiei ,,X11 SECURITY" pentru detalii complete privind restriciile impuse clienilor care nu sunt de incredere. GatewayPorts Specifica daca gazdele de la distana sunt autorizate sa se conecteze la porturile locale redirecionate In mod implicit, ssh(1) leaga redirecionarile porturilor locale la adresa loopback. Acest lucru impiedica alte gazde de la distana sa se conecteze la porturile redirecionate. GatewayPorts poate fi utilizata pentru a specifica faptul ca ssh ar trebui sa lege redirecionarile porturilor locale la adresa substituenta permiand astfel gazdelor de la distana sa se conecteze la porturile redirecionate. Argumentul trebuie sa fie yes sau no (implicit). GlobalKnownHostsFile Specifica unul sau mai multe fiiere care vor fi utilizate pentru baza de date globala a cheilor gazda, separate prin spaii. Implicit este /etc/ssh/ssh_known_hosts, /etc/ssh/ssh_known_hosts2. GSSAPIAuthentication Specifica daca este permisa autentificarea utilizatorului bazata pe GSSAPI. Valoarea implicita este no. GSSAPIDelegateCredentials Redirecioneaza (deleaga) acreditarile catre server. Valoarea implicita este no. HashKnownHosts Indica faptul ca ssh(1) trebuie sa transforme numele i adresele de gazda in sume de control (hash) atunci cand acestea sunt adaugate la ~/.ssh/known_hosts. Aceste nume convertite in sume control pot fi utilizate in mod normal de catre ssh(1) i sshd(8), dar ele nu dezvaluie vizual informaii de identificare daca coninutul fiierului este divulgat. Valoarea implicita este no. Reinei ca numele i adresele existente in fiierele de gazde cunoscute nu vor fi convertite automat, dar pot fi convertite manual folosind ssh-keygen(1). HostbasedAcceptedAlgorithms Specifica algoritmii de semnatura care vor fi utilizai pentru autentificarea bazata pe gazda ca o lista de modele separate prin virgule. Alternativ, daca lista specificata incepe cu un caracter `+', atunci algoritmii de semnatura specificai vor fi adaugai la setul implicit in loc sa fie inlocuii. Daca lista specificata incepe cu un caracter `-', atunci algoritmii de semnatura specificai (inclusiv cei specificai cu caractere joker) vor fi eliminai din setul implicit in loc sa fie inlocuii. Daca lista specificata incepe cu un caracter `^', atunci algoritmii de semnatura specificai vor fi plasai la inceputul setului implicit. Valoarea implicita pentru aceasta opiune este: ssh-ed25519-cert-v01@openssh.com, ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-ed25519, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ssh-ed25519@openssh.com, sk-ecdsa-sha2-nistp256@openssh.com, rsa-sha2-512,rsa-sha2-256 Opiunea -Q din ssh(1) poate fi utilizata pentru a afia lista algoritmilor de semnatura acceptai. Aceasta se numea anterior ,,HostbasedKeyTypes". HostbasedAuthentication Specifica daca se va incerca autentificarea bazata pe rhosts (gazdele de la distana) cu autentificare cu cheie publica. Argumentul trebuie sa fie yes sau no (implicit). HostKeyAlgorithms Specifica algoritmii de semnare a cheii gazda pe care clientul dorete sa ii utilizeze in ordinea preferinelor. Alternativ, daca lista specificata incepe cu un caracter `+', atunci algoritmii de semnatura specificai vor fi adaugai la setul implicit in loc sa fie inlocuii. Daca lista specificata incepe cu un caracter `-', atunci algoritmii de semnatura specificai (inclusiv cei specificai cu caractere joker) vor fi eliminai din setul implicit in loc sa fie inlocuii. Daca lista specificata incepe cu un caracter `^', atunci algoritmii de semnatura specificai vor fi plasai la inceputul setului implicit. Valoarea implicita pentru aceasta opiune este: ssh-ed25519-cert-v01@openssh.com, ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-ed25519, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ecdsa-sha2-nistp256@openssh.com, sk-ssh-ed25519@openssh.com, rsa-sha2-512,rsa-sha2-256 Daca cheile de gazda sunt cunoscute pentru gazda de destinaie, atunci aceasta valoare implicita este modificata pentru a prefera algoritmii acestora. Lista algoritmilor de semnatura disponibili poate fi de asemenea obinuta utilizand "ssh -Q HostKeyAlgorithms". HostKeyAlias Specifica un alias care trebuie utilizat in locul numelui real al gazdei atunci cand se cauta sau se salveaza cheia gazdei in fiierele bazei de date a cheilor gazdelor i cand se valideaza certificatele gazdelor. Aceasta opiune este utila pentru tunelarea conexiunilor SSH sau pentru mai multe servere care ruleaza pe o singura gazda. Hostname Specifica numele real al gazdei la care se face conectarea. Aceasta poate fi utilizata pentru a specifica porecle sau abrevieri pentru gazde. Argumentele pentru Hostname accepta simbolurile descrise in seciunea SIMBOLURI. Adresele IP numerice sunt de asemenea permise (atat in linia de comanda, cat i in specificaiile Hostname). Valoarea implicita este numele dat in linia de comanda. IdentitiesOnly Specifica faptul ca ssh(1) trebuie sa utilizeze numai identitatea de autentificare i fiierele de certificat configurate (fie fiierele implicite, fie cele configurate explicit in fiierele ssh_config sau pasate in linia de comanda ssh(1)), chiar daca ssh-agent(1) sau un PKCS11Provider sau SecurityKeyProvider ofera mai multe identitai. Argumentul acestui cuvant cheie trebuie sa fie yes sau no (implicit). Aceasta opiune este destinata situaiilor in care ssh-agent ofera multe identitai diferite. IdentityAgent Specifica soclul UNIX-domain utilizat pentru comunicarea cu agentul de autentificare. Aceasta opiune prevaleaza asupra variabilei de mediu SSH_AUTH_SOCK i poate fi utilizata pentru a selecta un anumit agent. Stabilirea numelui soclului la none dezactiveaza utilizarea unui agent de autentificare. Daca este specificat irul "SSH_AUTH_SOCK", locaia soclului va fi citita din variabila de mediu SSH_AUTH_SOCK. In caz contrar, daca valoarea specificata incepe cu un caracter `$', atunci aceasta va fi tratata ca o variabila de mediu care conine locaia soclului. Argumentele pentru IdentityAgent pot utiliza sintaxa tilde pentru a face referire la directorul personal al utilizatorului, la simbolurile descrise in seciunea SIMBOLURI i la variabilele de mediu descrise in seciunea VARIABILE DE MEDIU. IdentityFile Specifica un fiier din care este citita identitatea de autentificare ECDSA, ECDSA gazduita de autentificator, Ed25519, Ed25519 gazduita de autentificator sau RSA a utilizatorului. De asemenea, putei specifica un fiier de cheie publica pentru a utiliza cheia privata corespunzatoare care este incarcata in ssh-agent(1) atunci cand fiierul de cheie privata nu este prezent local. Valoarea implicita este ~/.ssh/id_rsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519 i ~/.ssh/id_ed25519_sk. In plus, toate identitaile reprezentate de agentul de autentificare vor fi utilizate pentru autentificare, cu excepia cazului in care este activata IdentitiesOnly. Daca niciun certificat nu a fost specificat in mod explicit prin CertificateFile, ssh(1) va incerca sa incarce informaii despre certificat din numele fiierului obinut prin adaugarea -cert.pub la ruta unui IdentityFile specificat. Argumentele pentru IdentityFile pot utiliza sintaxa tilde pentru a face referire la directorul personal al utilizatorului sau la simbolurile descrise in seciunea SIMBOLURI. Alternativ, se poate utiliza argumentul none pentru a indica faptul ca nu trebuie incarcate fiiere de identitate. Este posibil sa se specifice mai multe fiiere de identitate in fiierele de configurare; toate aceste identitai vor fi incercate in ordine. Mai multe directive IdentityFile vor fi adaugate la lista de identitai incercate (acest comportament difera de cel al altor directive de configurare). IdentityFile poate fi utilizata impreuna cu IdentitiesOnly pentru a selecta identitaile dintr-un agent care sunt oferite in timpul autentificarii. IdentityFile poate fi utilizata i impreuna cu CertificateFile pentru a furniza orice certificat necesar pentru autentificarea cu identitatea. IgnoreUnknown Specifica o lista de modele de opiuni necunoscute care vor fi ignorate daca sunt intalnite in analiza configuraiei. Aceasta poate fi utilizata pentru a suprima erorile daca ssh_config conine opiuni care nu sunt recunoscute de ssh(1). Se recomanda ca IgnoreUnknown sa fie listata la inceputul fiierului de configurare, deoarece nu va fi aplicata opiunilor necunoscute care apar inaintea sa. Include Include fiierul (fiierele) de configurare specificat(e). Se pot specifica mai multe nume de ruta, iar fiecare nume de ruta poate conine caractere joker glob(7), simboluri aa cum sunt descrise in seciunea SIMBOLURI, variabile de mediu aa cum sunt descrise in seciunea VARIABILE DE MEDIU i, pentru configuraiile de utilizator, referine de tip shell `~' la directoarele personale ale utilizatorului. Caracterele joker vor fi expandate i procesate in ordine lexicala. Se presupune ca fiierele fara rute absolute se afla in ~/.ssh daca sunt incluse intr-un fiier de configurare utilizator sau /etc/ssh daca sunt incluse in fiierul de configurare al sistemului. Directiva Include poate aparea in interiorul unui bloc Match sau Host pentru a efectua includerea condiionata. IPQoS Specifica tipul de serviciu IPv4 sau clasa DSCP pentru conexiune. Valorile acceptate sunt af11, af12, af13, af21, af22, af23, af31, af32, af33, af41, af42, af43, cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, ef, le, lowdelay, throughput, reliability, o valoare numerica sau none pentru a utiliza valoarea implicita a sistemului de operare. Aceasta opiune poate primi unul sau doua argumente, separate prin spaiu alb. Daca este specificat un argument, acesta este utilizat necondiionat ca clasa de pachete. Daca sunt specificate doua valori, prima este selectata automat pentru sesiunile interactive i a doua pentru sesiunile non-interactive. Valoarea implicita este af21 (Low-Latency Data) pentru sesiunile interactive i cs1 (Lower Effort) pentru sesiunile non-interactive. KbdInteractiveAuthentication Specifica daca se utilizeaza autentificarea interactiva prin tastatura. Argumentul pentru acest cuvant cheie trebuie sa fie yes (implicit) sau no. ChallengeResponseAuthentication este un alias invechit pentru acesta. KbdInteractiveDevices Specifica lista de metode care urmeaza sa fie utilizate in autentificarea interactiva de la tastatura. Numele mai multor metode trebuie sa fie separate prin virgule. Metoda implicita este de a utiliza lista specificata de server. Metodele disponibile variaza in funcie de ceea ce accepta serverul. Pentru un server OpenSSH, acestea pot fi zero sau mai multe dintre: bsdauth i pam. KexAlgorithms Specifica algoritmii KEX (Key Exchange) permii care vor fi utilizai i ordinea lor de preferina. Algoritmul selectat va fi primul algoritm din aceasta lista pe care serverul il accepta. Algoritmii multipli trebuie separai prin virgule. Daca lista specificata incepe cu un caracter `+', atunci algoritmii specificai vor fi adaugai la setul implicit in loc sa fie inlocuii. Daca lista specificata incepe cu un caracter `-', atunci algoritmii specificai (inclusiv cei secificai cu caractere joker) vor fi eliminai din setul implicit in loc sa fie inlocuii. Daca lista specificata incepe cu un caracter `^', atunci algoritmii specificai vor fi plasai la inceputul setului implicit. Valoarea implicita este: mlkem768x25519-sha256, sntrup761x25519-sha512,sntrup761x25519-sha512@openssh.com, curve25519-sha256,curve25519-sha256@libssh.org, ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521, diffie-hellman-group-exchange-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512, diffie-hellman-group14-sha256 Lista algoritmilor de schimb de chei acceptai poate fi obinuta i folosind "ssh -Q kex". KnownHostsCommand Specifica o comanda de utilizat pentru a obine o lista de chei de gazda, in plus faa de cele enumerate in UserKnownHostsFile i GlobalKnownHostsFile. Aceasta comanda este executata dupa ce fiierele au fost citite. Aceasta poate scrie linii de chei de gazda la ieirea standard in format identic cu cel al fiierelor obinuite (descrise in seciunea VERIFYING HOST KEYS din ssh(1)). Argumentele pentru KnownHostsCommand accepta simbolurile descrise in seciunea SIMBOLURI. Comanda poate fi invocata de mai multe ori pe conexiune: o data la pregatirea listei de preferine a algoritmilor de chei de gazda de utilizat, din nou pentru a obine cheia de gazda pentru numele de gazda solicitat i, daca CheckHostIP este activata, inca o data pentru a obine cheia de gazda corespunzatoare adresei serverului. Daca comanda iese in mod anormal sau returneaza o stare de ieire diferita de zero, conexiunea este incheiata. LocalCommand Specifica o comanda care trebuie executata pe maina locala dupa conectarea cu succes la server. irul de comanda se extinde pana la sfaritul liniei i este executat cu shell-ul utilizatorului. Argumentele pentru LocalCommand accepta simbolurile descrise in seciunea SIMBOLURI. Comanda este executata sincron i nu are acces la sesiunea ssh(1) care a generat-o. Nu trebuie utilizata pentru comenzi interactive. Aceasta directiva este ignorata, cu excepia cazului in care PermitLocalCommand a fost activata. LocalForward Specifica ca un port TCP sau un soclu de domeniu Unix de pe maina locala sa fie transmis prin canalul securizat catre gazda i portul specificate (sau soclul de domeniu Unix) de pe maina de la distana. Pentru un port TCP, primul argument trebuie sa fie [bind_address:]port sau o ruta de soclu de domeniu Unix. Al doilea argument este destinaia i poate fi host:hostport sau o ruta de soclu de domeniu Unix daca gazda de la distana o accepta. Adresele IPv6 pot fi specificate prin incadrarea adreselor intre paranteze drepte. Daca vreunul dintre argumente conine un caracter ,,/", acel argument va fi interpretat ca un soclu de domeniu Unix (pe gazda respectiva) i nu ca un port TCP. Pot fi specificate mai multe redirecionari, iar redirecionarile suplimentare pot fi specificate in linia de comanda. Numai superutilizatorul poate redireciona porturi privilegiate. In mod implicit, portul local este legat in conformitate cu configuraia GatewayPorts. Cu toate acestea, poate fi utilizat un bind_address explicit pentru a lega conexiunea la o anumita adresa. bind_address de localhost indica faptul ca portul de ascultare este legat numai pentru uz local, in timp ce o adresa goala sau `*' indica faptul ca portul ar trebui sa fie disponibil de la toate interfeele. Rutele de soclu de domeniu Unix pot utiliza simbolurile descrise in seciunea SIMBOLURI i variabilele de mediu descrise in seciunea VARIABILE DE MEDIU. LogLevel Ofera nivelul de detaliere utilizat la inregistrarea mesajelor din ssh(1). Valorile posibile sunt: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 i DEBUG3. Valoarea implicita este INFO. DEBUG i DEBUG1 sunt echivalente. DEBUG2 i DEBUG3 specifica fiecare niveluri mai ridicate de ieire informativa detaliata. LogVerbose Specifica una sau mai multe suprascrieri pentru LogLevel. O suprascriere consta intr-una sau mai multe liste de modele care se potrivesc cu fiierul sursa, funcia i numarul liniei pentru care se impune inregistrarea detaliata. De exemplu, un model de suprascriere de: kex.c:*:1000,*:kex_exchange_identification():*,packet.c:* ar activa inregistrarea detaliata pentru linia 1000 din kex.c, tot ce se afla in funcia kex_exchange_identification() i tot codul din fiierul packet.c. Aceasta opiune este destinata depanarii i nicio modificare (suprascriere) nu este activata implicit. MACs Specifica algoritmii MAC (cod de autentificare a mesajelor) disponibili. Algoritmul MAC este utilizat pentru protecia integritaii datelor. Algoritmii multipli trebuie sa fie separai prin virgule. Daca lista specificata incepe cu un caracter `+', atunci algoritmii specificai vor fi adaugai la setul implicit in loc sa fie inlocuii. Daca lista specificata incepe cu un caracter `-', atunci algoritmii specificai (inclusiv cei specificai cu caractere joker) vor fi eliminai din setul implicit in loc sa fie inlocuii. Daca lista specificata incepe cu un caracter `^', atunci algoritmii specificai vor fi plasai la inceputul setului implicit. Algoritmii care conin "-etm" calculeaza MAC dupa criptare (criptare-apoi-mac -- ,,encrypt-then-mac"). Acetia sunt considerai mai siguri i se recomanda utilizarea lor. Valoarea implicita este: umac-64-etm@openssh.com,umac-128-etm@openssh.com, hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com, hmac-sha1-etm@openssh.com, umac-64@openssh.com,umac-128@openssh.com, hmac-sha2-256,hmac-sha2-512,hmac-sha1 Lista algoritmilor MAC disponibili poate fi de asemenea obinuta utilizand "ssh -Q mac". NoHostAuthenticationForLocalhost Dezactiveaza autentificarea gazdei pentru gazda locala ,,localhost" (adrese loopback). Argumentul pentru acest cuvant cheie trebuie sa fie yes sau no (implicit). NumberOfPasswordPrompts Specifica numarul de solicitari de parola inainte de a renuna. Argumentul pentru acest cuvant cheie trebuie sa fie un numar intreg. Valoarea implicita este 3. ObscureKeystrokeTiming Specifica daca ssh(1) ar trebui sa incerce sa ascunda timpii intre apasarile tastelor de observatorii pasivi ai traficului de reea. Daca este activata, atunci pentru sesiunile interactive, ssh(1) va trimite tastele la intervale fixe de cateva zeci de milisecunde i va trimite pachete false de tastare pentru o anumita perioada de timp dupa incetarea tastarii. Argumentul acestui cuvant cheie trebuie sa fie yes, no sau un specificator de interval de forma interval:milisecunde (de exemplu, interval:80 pentru 80 milisecunde). Valoarea implicita este de a ascunde apasarile de taste folosind un interval de pachete de 20 ms. Reinei ca intervalele mai mici vor duce la rate mai mari de pachete de apasari de taste false. PasswordAuthentication Specifica daca se utilizeaza autentificarea prin parola. Argumentul pentru acest cuvant cheie trebuie sa fie yes (implicit) sau no. PermitLocalCommand Permite executarea comenzilor locale prin opiunea LocalCommand sau utilizand secvena de eludare !comanda in ssh(1). Argumentul trebuie sa fie yes sau no (implicit). PermitRemoteOpen Specifica destinaiile catre care este permisa redirecionarea portului TCP la distana atunci cand RemoteForward este utilizat ca proxy SOCKS. Specificaia de redirecionare trebuie sa aiba una dintre urmatoarele forme: PermitRemoteOpen gazda:port PermitRemoteOpen adresa-IPv4:port PermitRemoteOpen [adresa-IPv6]:port Se pot specifica mai multe redirecionari prin separarea lor cu un spaiu alb. Un argument de tipul any poate fi utilizat pentru a elimina toate restriciile i a permite orice cerere de redirecionare. Un argument de tipul none poate fi utilizat pentru a interzice toate cererile de redirecionare. Caracterul joker `*' poate fi utilizat pentru gazda sau port pentru a permite toate gazdele, respectiv porturile. In caz contrar, nu se efectueaza nicio potrivire de model sau cautare de adrese pentru numele furnizate. PKCS11Provider Specifica furnizorul PKCS#11 care trebuie utilizat sau none pentru a indica faptul ca nu trebuie utilizat niciun furnizor (implicit). Argumentul pentru acest cuvant cheie este o ruta catre biblioteca partajata PKCS#11 ssh(1) care trebuie utilizata pentru a comunica cu un simbol PKCS#11 care furnizeaza chei pentru autentificarea utilizatorului. Port Specifica numarul portului la care se va conecta la gazda de la distana. Valoarea implicita este 22. PreferredAuthentications Specifica ordinea in care clientul trebuie sa incerce metodele de autentificare. Acest lucru permite clientului sa prefere o metoda (de exemplu, keyboard-interactive) in detrimentul unei alte metode (de exemplu, password). Valoarea implicita este: gssapi-with-mic,hostbased,publickey, keyboard-interactive,password ProxyCommand Specifica comanda care trebuie utilizata pentru conectarea la server. irul de comanda se extinde pana la sfaritul liniei i este executat utilizand directiva `exec' a shell-ului utilizatorului pentru a evita un proces shell persistent. Argumentele pentru ProxyCommand accepta simbolurile descrise in seciunea SIMBOLURI. Comanda poate fi practic orice i ar trebui sa citeasca de la intrarea sa standard i sa scrie la ieirea sa standard. Ar trebui sa conecteze in cele din urma un server sshd(8) care ruleaza pe o anumita maina sau sa execute sshd -i undeva. Gestionarea cheilor de gazda se va face folosind Hostname al gazdei conectate (implicit numele tastat de utilizator). Stabilirea comenzii la none dezactiveaza complet aceasta opiune. Reinei ca CheckHostIP nu este disponibila pentru conexiunile cu o comanda proxy. Aceasta directiva este utila in combinaie cu nc(1) i suportul sau proxy. De exemplu, urmatoarea directiva s-ar conecta prin intermediul unui proxy HTTP la 192.0.2.0: ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p ProxyJump Specifica unul sau mai multe proxy-uri de salt fie ca [user@]host[:port] sau un URI ssh. Mai multe proxy-uri pot fi separate prin caractere virgula i vor fi vizitate secvenial. Definirea acestei opiuni va determina ssh(1) sa se conecteze la gazda inta realizand mai intai o conexiune ssh(1) la gazda ProxyJump specificata i apoi stabilind de acolo o redirecionare TCP catre inta finala. Stabilirea gazdei la none dezactiveaza complet aceasta opiune. Reinei ca aceasta opiune va concura cu opiunea ProxyCommand - cea care este specificata prima va impiedica aplicarea celeilalte. Reinei, de asemenea, ca configuraia pentru gazda de destinaie (furnizata fie prin linia de comanda, fie prin fiierul de configurare) nu se aplica in general gazdelor de salt (intermediare). ~/.ssh/config trebuie utilizat daca este necesara o configuraie specifica pentru gazdele de salt. ProxyUseFdpass Specifica faptul ca ProxyCommand va returna un descriptor de fiier conectat catre ssh(1) in loc sa continue executarea i transmiterea datelor. Valoarea implicita este no. PubkeyAcceptedAlgorithms Specifica algoritmii de semnatura care vor fi utilizai pentru autentificarea cu cheie publica ca o lista de modele separate prin virgule. Daca lista specificata incepe cu un caracter `+', atunci algoritmii de dupa acesta vor fi adaugai la algoritmul implicit in loc sa il inlocuiasca. Daca lista specificata incepe cu un caracter `-', atunci algoritmii specificai (inclusiv cei specificai cu caractere joker) vor fi eliminai din setul implicit in loc sa fie inlocuii. Daca lista specificata incepe cu un caracter `^', atunci algoritmii specificai vor fi plasai la inceputul setului implicit. Valoarea implicita pentru aceasta opiune este: ssh-ed25519-cert-v01@openssh.com, ecdsa-sha2-nistp256-cert-v01@openssh.com, ecdsa-sha2-nistp384-cert-v01@openssh.com, ecdsa-sha2-nistp521-cert-v01@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com, sk-ecdsa-sha2-nistp256-cert-v01@openssh.com, rsa-sha2-512-cert-v01@openssh.com, rsa-sha2-256-cert-v01@openssh.com, ssh-ed25519, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521, sk-ssh-ed25519@openssh.com, sk-ecdsa-sha2-nistp256@openssh.com, rsa-sha2-512,rsa-sha2-256 Lista algoritmilor de semnatura disponibili poate fi de asemenea obinuta utilizand "ssh -Q PubkeyAcceptedAlgorithms". PubkeyAuthentication Specifica daca sa se incerce autentificarea prin cheie publica. Argumentul acestui cuvant cheie trebuie sa fie yes (implicit), no, unbound sau host-bound. Ultimele doua opiuni activeaza autentificarea cu cheie publica i, respectiv, dezactiveaza sau activeaza extensia protocolului de autentificare OpenSSH host- bound necesara pentru redirecionarea restricionata ssh-agent(1). RekeyLimit Specifica cantitatea maxima de date care pot fi transmise sau primite inainte ca cheia de sesiune sa fie renegociata, urmata opional de o cantitate maxima de timp care poate trece inainte ca cheia de sesiune sa fie renegociata. Primul argument este specificat in octei i poate avea un sufix `K', `M' sau `G' pentru a indica kilooctei, megaoctei sau, respectiv, gigaoctei. Valoarea implicita este intre `1G' i `4G', in funcie de cifru. A doua valoare opionala este specificata in secunde i poate utiliza oricare dintre unitaile documentate in seciunea FORMATE DE TIMP din sshd_config(5). Valoarea implicita pentru RekeyLimit este default none, ceea ce inseamna ca rescrierea este efectuata dupa ce a fost trimisa sau primita cantitatea de date implicita a cifrului i nu se efectueaza rescrierea in funcie de timp. RemoteCommand Specifica o comanda care trebuie executata pe maina de la distana dupa conectarea cu succes la server. irul de comanda se extinde pana la sfaritul liniei i este executat cu shell-ul utilizatorului. Argumentele pentru RemoteCommand accepta simbolurile descrise in seciunea SIMBOLURI. RemoteForward Specifica ca un port TCP sau un soclu de domeniu Unix de pe maina de la distana sa fie redirecionat pe canalul securizat. Portul de la distana poate fi redirecionat fie catre o gazda i un port specificate, fie catre un soclu de domeniu Unix de pe maina locala, sau poate aciona ca un proxy SOCKS 4/5 care permite unui client de la distana sa se conecteze la destinaii arbitrare de pe maina locala. Primul argument este specificaia de ascultare i poate fi [bind_address:]port sau, daca gazda de la distana o accepta, o ruta de soclu de domeniu Unix. In cazul redirecionarii catre o destinaie specifica, al doilea argument trebuie sa fie host:hostport sau o ruta de soclu de domeniu Unix; in caz contrar, daca nu este specificat niciun argument de destinaie, redirecionarea de la distana va fi stabilita ca un proxy SOCKS. Atunci cand acioneaza ca un proxy SOCKS, destinaia conexiunii poate fi restricionata prin PermitRemoteOpen. Adresele IPv6 pot fi specificate prin incadrarea adreselor intre paranteze drepte. Daca vreunul dintre argumente conine un caracter ,,/", acel argument va fi interpretat ca un soclu de domeniu Unix (pe gazda respectiva) i nu ca un port TCP. Pot fi specificate mai multe redirecionari, iar redirecionarile suplimentare pot fi date in linia de comanda. Porturile privilegiate pot fi redirecionate numai atunci cand va conectai ca root pe maina de la distana. Rutele de soclu de domeniu Unix pot utiliza simbolurile descrise in seciunea SIMBOLURI i variabilele de mediu descrise in seciunea VARIABILE DE MEDIU. Daca argumentul port este 0, portul de ascultare va fi alocat dinamic pe server i raportat clientului in timpul rularii. Daca bind_address nu este specificata, implicit se face legatura numai cu adresele loopback. Daca bind_address este `*' sau un ir de caractere gol, redirecionarea este solicitata sa asculte pe toate interfeele. Specificarea unei bind_address la distana va reui numai daca opiunea GatewayPorts a serverului este activata (consultai sshd_config(5)). RequestTTY Specifica daca se solicita un pseudo-tty pentru sesiune. Argumentul poate fi unul dintre urmatoarele: no (nu se solicita niciodata un TTY), yes (se solicita intotdeauna un TTY cand intrarea standard este un TTY), force (se solicita intotdeauna un TTY) sau auto (se solicita un TTY la deschiderea unei sesiuni de autentificare). Aceasta opiune reflecta fanioanele -t i -T pentru ssh(1). RequiredRSASize Specifica dimensiunea minima a cheii RSA (in bii) pe care ssh(1) o va accepta. Cheile de autentificare ale utilizatorilor mai mici decat aceasta limita vor fi ignorate. Serverele care prezinta chei de gazda mai mici decat aceasta limita vor determina intreruperea conexiunii. Valoarea implicita este 1024 bii. Reinei ca aceasta limita poate fi marita numai faa de valoarea implicita. RevokedHostKeys Specifica cheile publice revocate ale gazdei. Cheile enumerate in acest fiier vor fi refuzate pentru autentificarea gazdei. Reinei ca, daca acest fiier nu exista sau nu poate fi citit, atunci autentificarea gazdei va fi refuzata pentru toate gazdele. Cheile pot fi specificate sub forma unui fiier text, care enumera o cheie publica pe linie, sau sub forma unei liste de revocare a cheilor OpenSSH (KRL), generata de ssh-keygen(1). Pentru mai multe informaii despre KRL-uri, consultai seciunea LISTE DE REVOCARE A CHEILOR din ssh-keygen(1). Argumentele pentru RevokedHostKeys pot utiliza sintaxa tilde pentru a se referi la directorul personal al unui utilizator, la simbolurile descrise in seciunea SIMBOLURI i la variabilele de mediu descrise in seciunea VARIABILE DE MEDIU. SecurityKeyProvider Specifica o ruta catre o biblioteca care va fi utilizata la incarcarea oricaror chei gazduite de autentificatorul FIDO, inlocuind opiunea implicita de utilizare a suportului USB HID incorporat. Daca valoarea specificata incepe cu caracterul `$', atunci va fi tratata ca o variabila de mediu care conine ruta catre biblioteca. SendEnv Specifica cheile publice revocate ale gazdei. Cheile enumerate in acest fiier vor fi refuzate pentru autentificarea gazdei. Reinei ca, daca acest fiier nu exista sau nu poate fi citit, atunci autentificarea gazdei va fi refuzata pentru toate gazdele. Cheile pot fi specificate sub forma unui fiier text, care enumera o cheie publica pe linie, sau sub forma unei liste de revocare a cheilor OpenSSH (KRL), generata de ssh-keygen(1). Specifica ce variabile din environ(7) local trebuie trimise catre server. Serverul trebuie, de asemenea, sa le accepte, iar serverul trebuie sa fie configurat pentru a accepta aceste variabile de mediu. Reinei ca variabila de mediu TERM este intotdeauna trimisa ori de cate ori este solicitat un pseudo- terminal, deoarece este ceruta de protocol. Consultai AcceptEnv in sshd_config(5) pentru modul de configurare a serverului. Variabilele sunt specificate prin nume, care poate conine caractere joker. Variabilele de mediu multiple pot fi separate prin spaiu alb sau distribuite pe mai multe directive SendEnv. Pentru mai multe informaii despre modele, consultai seciunea MODELE. Este posibil sa tergei numele variabilelor SendEnv definite anterior, prefixand modelele cu -. Implicit, nu se trimit variabile de mediu. ServerAliveCountMax Stabilete numarul de mesaje alive pentru server (a se vedea mai jos) care pot fi trimise fara ca ssh(1) sa primeasca niciun mesaj inapoi de la server. Daca acest prag este atins in timp ce se trimit mesaje server alive, ssh se va deconecta de la server, inchizand sesiunea. Este important sa reinei ca utilizarea mesajelor server alive este foarte diferita de TCPKeepAlive (mai jos). Mesajele server alive sunt trimise prin canalul criptat i, prin urmare, nu vor putea fi falsificate. Opiunea TCP keepalive activata de TCPKeepAlive poate fi falsificata. Mecanismul server alive este valoros atunci cand clientul sau serverul depind de cunoaterea momentului in care o conexiune nu mai raspunde. Valoarea implicita este 3. Daca, de exemplu, ServerAliveInterval (a se vedea mai jos) este definita la 15 i ServerAliveCountMax este lasata la valoarea implicita, daca serverul nu mai raspunde, ssh se va deconecta dupa aproximativ 45 de secunde. ServerAliveInterval Stabilete un interval de ateptare in secunde, dupa care, daca nu s-au primit date de la server, ssh(1) va trimite un mesaj prin canalul criptat pentru a solicita un raspuns de la server. Valoarea implicita este 0, ceea ce inseamna ca aceste mesaje nu vor fi trimise catre server. SessionType Poate fi utilizata fie pentru a solicita invocarea unui subsistem pe sistemul de la distana, fie pentru a preveni executarea unei comenzi de la distana. Aceasta din urma este utila doar pentru redirecionarea porturilor. Argumentul acestui cuvant cheie trebuie sa fie none (la fel ca opiunea -N), subsystem (la fel ca opiunea -s) sau default (execuie shell sau comanda). SetEnv Specifica direct una sau mai multe variabile de mediu i coninutul acestora care urmeaza sa fie trimise serverului sub forma "NUME=VALOARE". Similar cu SendEnv, cu excepia variabilei TERM, serverul trebuie sa fie pregatit sa accepte variabila de mediu. "VALOARE" poate utiliza simbolurile descrise in seciunea SIMBOLURI i variabilele de mediu descrise in seciunea VARIABILE DE MEDIU. StdinNull Redirecioneaza stdin catre /dev/null (de fapt, impiedica citirea din stdin). Aceasta opiune sau opiunea echivalenta -n trebuie utilizata atunci cand ssh este rulat in fundal. Argumentul pentru acest cuvant cheie trebuie sa fie yes (la fel ca opiunea -n) sau no (implicit). StreamLocalBindMask Stabilete masca octala a modului de creare a fiierului (umask) utilizata la crearea unui fiier soclu de domeniu Unix pentru redirecionarea porturilor locale sau la distana. Aceasta opiune este utilizata numai pentru redirecionarea porturilor catre un fiier soclu de domeniu Unix. Valoarea implicita este 0177, care creeaza un fiier soclu de domeniu Unix care poate fi citit i scris numai de catre proprietar. Reinei ca nu toate sistemele de operare respecta modul de fiier al fiierelor soclu de domeniu Unix. StreamLocalBindUnlink Specifica daca sa se elimine un fiier de soclu de domeniu Unix existent pentru redirecionarea portului local sau la distana inainte de a crea unul nou. Daca fiierul soclu exista deja i StreamLocalBindUnlink nu este activat, ssh nu va putea transmite portul catre fiierul soclu de domeniu Unix. Aceasta opiune este utilizata numai pentru redirecionarea portului catre un fiier soclu de domeniu Unix. Argumentul trebuie sa fie yes sau no (valoarea implicita). StrictHostKeyChecking Daca acest fanion este stabilit la yes, ssh(1) nu va adauga niciodata automat cheile de gazda la fiierul ~/.ssh/known_hosts i refuza sa se conecteze la gazdele a caror cheie de gazda s-a schimbat. Acest lucru ofera protecie maxima impotriva atacurilor de tip man-in-the-middle (MITM), dei poate fi enervant atunci cand fiierul /etc/ssh/ssh_known_hosts este prost intreinut sau cand se fac frecvent conexiuni la gazde noi. Aceasta opiune obliga utilizatorul sa adauge manual toate gazdele noi. Daca acest fanion este definit la accept-new, ssh va adauga automat noi chei de gazda la fiierul known_hosts al utilizatorului, dar nu va permite conexiunile la gazdele cu chei de gazda modificate. Daca acest fanion este stabilit la no sau off, ssh va adauga automat noi chei de gazda la fiierele de gazde cunoscute ale utilizatorului i va permite conexiunile la gazdele cu chei de gazda modificate, sub rezerva anumitor restricii. Daca acest fanion este definit la ask (valoarea implicita), noile chei de gazda vor fi adaugate la fiierele de gazde cunoscute de utilizator numai dupa ce utilizatorul a confirmat ca aceasta este ceea ce dorete cu adevarat sa faca, iar ssh va refuza sa se conecteze la gazdele a caror cheie de gazda s-a schimbat. Cheile de gazda ale gazdelor cunoscute vor fi verificate automat in toate cazurile. SyslogFacility Ofera codul facilitaii utilizat la inregistrarea mesajelor din ssh(1). Valorile posibile sunt: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Valoarea implicita este USER. TCPKeepAlive Specifica daca sistemul trebuie sa trimita mesaje TCP keepalive catre cealalta parte. Daca acestea sunt trimise, intreruperea conexiunii sau blocarea uneia dintre maini va fi semnalata corespunzator Totui, acest lucru inseamna ca conexiunile se vor intrerupe daca ruta este temporar indisponibila, iar unii utilizatori considera acest lucru deranjant. Implicit este yes (pentru a trimite mesaje TCP keepalive), iar clientul va observa daca reeaua cade sau gazda la distana se oprete. Acest lucru este important in scripturi, iar muli utilizatori il doresc. Pentru a dezactiva mesajele TCP keepalive, valoarea trebuie sa fie stabilita la no. Consultai i ServerAliveInterval pentru keepalive-uri la nivel de protocol. Tag Specifica un nume de eticheta de configurare care poate fi utilizat ulterior de o directiva Match pentru a selecta un bloc de configurare. Tunnel Solicita redirecionarea dispozitivului tun(4) intre client i server. Argumentul trebuie sa fie yes, point-to-point (stratul 3), ethernet (stratul 2) sau no (implicit). Specificarea yes solicita modul tunel implicit, care este point-to-point. TunnelDevice Specifica dispozitivele tun(4) care trebuie deschise pe clientul (local_tun) i pe serverul (remote_tun). Argumentul trebuie sa fie local_tun[:remote_tun]. Dispozitivele pot fi specificate prin ID numeric sau prin cuvantul cheie any, care utilizeaza urmatorul dispozitiv tunel disponibil. Daca remote_tun nu este specificat, valoarea implicita este any. Valoarea implicita este any:any. UpdateHostKeys Specifica daca ssh(1) trebuie sa accepte notificari de chei de gazda suplimentare de la server trimise dupa finalizarea autentificarii i sa le adauge la UserKnownHostsFile. Argumentul trebuie sa fie yes, no sau ask. Aceasta opiune permite invaarea unor chei gazda alternative pentru un server i accepta rotaia inteligenta a cheilor permiand unui server sa trimita chei publice de inlocuire inainte ca cele vechi sa fie eliminate. Cheile gazda suplimentare sunt acceptate numai daca cheia utilizata pentru autentificarea gazdei era deja de incredere sau acceptata in mod explicit de utilizator, gazda a fost autentificata prin UserKnownHostsFile (adica nu GlobalKnownHostsFile) i gazda a fost autentificata utilizand o cheie simpla i nu un certificat. UpdateHostKeys este activata in mod implicit daca utilizatorul nu a suprascris valoarea implicita a setarii UserKnownHostsFile i nu a activat VerifyHostKeyDNS, in caz contrar UpdateHostKeys va fi stabilita la no. Daca UpdateHostKeys este stabilita la ask, atunci utilizatorul este rugat sa confirme modificarile aduse fiierului known_hosts. a Confirmarea este in prezent incompatibila cu ControlPersist i va fi dezactivata daca aceasta este activata. In prezent, numai sshd(8) din OpenSSH 6.8 i versiunile ulterioare accepta extensia de protocol "hostkeys@openssh.com" utilizata pentru a informa clientul cu privire la toate cheile gazda ale serverului. User Specifica utilizatorul cu care se va conecta. Acest lucru poate fi util atunci cand un nume de utilizator diferit este utilizat pe diferite maini. Se evita astfel problema de a nu uita sa se indice numele de utilizator in linia de comanda. Argumentele pentru User pot utiliza simbolurile descrise in seciunea SIMBOLURI (cu excepia %r i %C) i variabilele de mediu descrise in seciunea VARIABILE DE MEDIU. UserKnownHostsFile Specifica unul sau mai multe fiiere care urmeaza sa fie utilizate pentru baza de date a cheilor gazdei utilizatorului, separate prin spaiu alb. Fiecare nume de fiier poate utiliza notaia tilde pentru a se referi la directorul personal al utilizatorului, la simbolurile descrise in seciunea SIMBOLURI i la variabilele de mediu descrise in seciunea VARIABILE DE MEDIU. O valoare de none face ca ssh(1) sa ignore orice fiiere de gazde cunoscute specifice utilizatorului. Valoarea implicita este ~/.ssh/known_hosts, ~/.ssh/known_hosts2. VerifyHostKeyDNS Specifica daca se verifica cheia de la distana utilizand DNS i inregistrarile resurselor SSHFP. Daca aceasta opiune este definita la yes, clientul va avea implicit incredere in cheile care corespund unei amprente securizate din DNS. Amprentele nesigure vor fi tratate ca i cum aceasta opiune ar fi definita la ask. Daca aceasta opiune este definita la ask, se vor afia informaii privind potrivirea amprentei digitale, dar utilizatorul va trebui in continuare sa confirme cheile gazda noi in conformitate cu opiunea StrictHostKeyChecking. Valoarea implicita este no. Consultai i seciunea VERIFICAREA CHEILOR GAZDEI din ssh(1). VersionAddendum Opional, specifica textul suplimentar care va fi adaugat la mesajul de intampinare al protocolului SSH trimis de client la conectare. Valoarea implicita este none. VisualHostKey Daca acest fanion este stabilit la yes, o reprezentare artistica ASCII a amprentei digitale a cheii gazdei la distana este imprimata in plus faa de irul de amprente digitale la autentificare i pentru cheile gazdei necunoscute. Daca acest fanion este stabilit la no (valoarea implicita), nu se imprima niciun ir de amprente digitale la autentificare i numai irul de amprente digitale va fi imprimat pentru cheile gazda necunoscute. XAuthLocation Specifica ruta completa a programului xauth(1). Valoarea implicita este /usr/bin/xauth. MODELE Un model consta din zero sau mai multe caractere care nu sunt spaii, `*' (un caracter joker care se potrivete cu zero sau mai multe caractere) sau `?' (un caracter joker care se potrivete exact cu un singur caracter). De exemplu, pentru a specifica un set de declaraii pentru orice gazda din setul de domenii ".co.uk", se poate utiliza urmatorul model: Host *.co.uk Urmatorul model ar corespunde oricarei gazde din intervalul de reea 192.168.0.[0-9]: Host 192.168.0.? O lista-de-modele este o lista de modele separate prin virgule. Modelele din listele de modele pot fi negate prin precedarea lor cu un semn de exclamare (`!'). De exemplu, pentru a permite utilizarea unei chei de oriunde din cadrul unei organizaii, cu excepia grupului "dialup", se poate utiliza urmatoarea intrare (in authorized_keys): from="!*.dialup.example.com,*.example.com" Reinei ca o potrivire negata nu va produce niciodata un rezultat pozitiv. De exemplu, incercarea de a potrivi "host3" cu urmatoarea lista de modele va eua: from="!host1,!host2" Soluia in acest caz este sa includei un termen care va genera o potrivire pozitiva, cum ar fi un caracter joker: from="!host1,!host2,*" SIMBOLURI Argumentele la unele cuvinte cheie pot utiliza simboluri, care sunt expandate in timpul execuiei: %% Un literal `%'. %C Suma de control (hash) de %l%h%p%r%j. %d Directorul personal al utilizatorului local. %f Amprenta cheii gazdei serverului. %H Numele de gazda sau adresa known_hosts care este cautata. %h Numele gazdei de la distana. %I Un ir care descrie motivul executarii KnownHostsCommand: fie ADDRESS atunci cand se cauta un gazda dupa adresa (numai cand CheckHostIP este activata), HOSTNAME atunci cand se cauta dupa numele gazdei, sau ORDER atunci cand se pregatete lista de preferine a algoritmului cheii gazdei care va fi utilizata pentru gazda de destinaie. %i ID-ul utilizatorului local. %j Coninutul opiunii ProxyJump sau irul gol daca aceasta opiune nu este definita. %K Cheia gazda codificata in base64. %k Aliasul cheii gazdei, daca este specificat, altfel numele gazdei la distana original, dat in linia de comanda. %L Numele gazdei locale. %l Numele gazdei locale, inclusiv numele domeniului. %n Numele original al gazdei la distana, aa cum este indicat in linia de comanda. %p Portul de la distana. %r Numele utilizatorului de la distana. %T Interfaa de reea locala tun(4) sau tap(4) atribuita daca a fost solicitata redirecionarea tunelului, sau "NONE" in caz contrar. %t Tipul cheii gazdei serverului, de exemplu ssh-ed25519. %u Numele utilizatorului local. CertificateFile, ControlPath, IdentityAgent, IdentityFile, Include, KnownHostsCommand, LocalForward, Match exec, RemoteCommand, RemoteForward, RevokedHostKeys, UserKnownHostsFile i VersionAddendum accepta simbolurile %%, %C, %d, %h, %i, %j, %k, %L, %l, %n, %p, %r, i %u. KnownHostsCommand accepta in plus simbolurile %f, %H, %I, %K i %t. Hostname accepta simbolurile %% i %h. LocalCommand accepta toate simbolurile. ProxyCommand i ProxyJump accepta simbolurile %%, %h, %n, %p i %r. Reinei ca unele dintre aceste directive construiesc comenzi pentru execuie prin intermediul shell-ului. Deoarece ssh(1) nu efectueaza nicio filtrare sau eludare a caracterelor care au o semnificaie speciala in comenzile shell (de exemplu, ghilimelele), este responsabilitatea utilizatorului sa se asigure ca argumentele transmise catre ssh(1) nu conin astfel de caractere i ca simbolurile sunt citate corespunzator atunci cand sunt utilizate. VARIABILE DE MEDIU Argumentele pentru anumite cuvinte cheie pot fi extinse in timpul rularii din variabilele de mediu de pe client, prin inchiderea lor intre ${}, de exemplu ${HOME}/.ssh ar face referire la directorul .ssh al utilizatorului. Daca o variabila de mediu specificata nu exista, atunci va fi returnata o eroare i definiia pentru acel cuvant cheie va fi ignorata. Cuvintele-cheie CertificateFile, ControlPath, IdentityAgent, IdentityFile, Include, KnownHostsCommand i UserKnownHostsFile accepta variabile de mediu. Cuvintele-cheie LocalForward i RemoteForward accepta variabile de mediu numai pentru rutele de soclu de domeniu Unix. FIIERE ~/.ssh/config Acesta este fiierul de configurare per utilizator. Formatul acestui fiier este descris mai sus. Acest fiier este utilizat de clientul SSH. Datorita potenialului de abuz, acest fiier trebuie sa aiba permisiuni stricte: citire/scriere pentru utilizator i fara drept de scriere pentru alii. /etc/ssh/ssh_config Fiier de configurare la nivel de sistem. Acest fiier furnizeaza valorile implicite pentru acele valori care nu sunt specificate in fiierul de configurare al utilizatorului i pentru acei utilizatori care nu au un fiier de configurare. Acest fiier trebuie sa poata fi citit de toata lumea. CONSULTAI I ssh(1) AUTORI OpenSSH este un derivat al versiunii originale i libere ssh 1.2.12 de Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl , Niels Provos, Theo de Raadt i Dug Song au eliminat multe erori, au (re)adaugat caracteristici mai noi i au creat OpenSSH. Markus Friedl a contribuit la suportul pentru versiunile 1.5 i 2.0 ale protocolului SSH. TRADUCERE Traducerea in limba romana a acestui manual a fost facuta de Remus- Gabriel Chelu Aceasta traducere este documentaie gratuita; citii Licena publica generala GNU Versiunea 3: https://www.gnu.org/licenses/gpl-3.0.html sau o versiune ulterioara cu privire la condiii privind drepturile de autor. NU se asuma NICIO RESPONSABILITATE. Daca gasii erori in traducerea acestui manual, va rugam sa trimitei un e-mail la translation-team-ro@lists.sourceforge.net Linux 6.18.6-arch1-1 $Mdocdate: 3 martie 2025 $ Linux 6.18.6-arch1-1