Linux repositories inspector
BSD
Aliases: slogin(1), slogin(1)

manpages-tr

Turkish version of the manual pages

openssh-client

secure shell (SSH) client, for secure access to remote machines

openssh

Premier connectivity tool for remote login with the SSH protocol

openssh-clients

An open source SSH client applications

ÝSÝM

ssh - OpenSSH SSH istemcisi (uzaktan oturum açma aracý)

KULLANIM

ssh [ -l kullanýcý ] konakismi | kullanýcý@konakismi [ komut ]

ssh [ -afgknqstvxACNTX1246 ] [ -b baðlantý_adresi ] [ -c þifre_belirtimi ] [ -e önceleme_krk ] [ -i kimlik_dosyasý ] [ -l kullanýcý ] [ -m mac_belirtimi ] [ -o seçenek ] [ -p port ] [ -F yapýlandýrma_dosyasý ] [ -L yerelport:uzakkonak:uzakkonakportu ] [ -R uzakport:yerelkonak:yerelkonakportu ] [ -D port ] konakismi | kullanýcý@konakismi [ komut ]

AÇIKLAMA

ssh (SSH istemci) uzaktaki bir makinada komut çalýþtýrmak için uzaktaki makinada bir kullanýcý oturumu açmayý saðlayan bir uygulamadýr. rlogin ve rsh\N’39’ýn yerini almasý amaçlanmýþtýr. ssh güvenli olmayan bir að üzerindeki güvenilir olmayan iki sistemin þifreli dolayýsý ile güvenli iletiþim kurmalarýný saðlar. X11 baðlantýlarý ve çeþitli TCP/IP baðlantý portlarý da güvenli kanal üzerinden iletilebilirler.
ssh, konakismi ile belirtilen makinaya baðlanýr ve oturum açar. Þayet kullanýcý bir komut belirtmiþ ise, kullanýcýya oturum kabuðu yerine komutun çalýþtýrýldýktan sonraki çýktýsý döndürülür.
Kullanýcý, uzaktaki sisteme kimliðini kanýtlamak zorundadýr ve bunu kullanýlan protokole baðlý olarak farklý yöntemlerle yapabilir:

SSH protokolünün 1. sürümü

Ýlk olarak eðer kullanýcýnýn oturum açtýðý sistemin ismi uzaktaki sistemin /etc/hosts.equiv veya /etc/ssh/shosts.equiv dosyalarýnda bulunuyorsa ve her iki taraftaki kullanýcý isimleri ayný ise, kullanýcýn uzak sisteme eriþmesine hemen izin verilir. Ýkinci olarak, eðer .rhosts veya .shosts dosyalarý kullanýcýnýn uzaktaki ev dizininde mevcut ise ve istemci makinanýn adý ile bu makinadaki kullanýcý adý bu dosyalardan birinde var ise, yine kullanýcýn eriþmesine izin verilir. Güvenli olmamamasý nedeni ile bu çeþit kimlik denetiminin kullanmasýna normalde sunucu tarafýndan izin verilmez.
Ýkinci kimlik denetim yöntemi ise rhosts veya hosts.equiv yöntemlerinin RSA tabanlý konak kimlik denetimi ile birlikte kullanýlmasýdýr. Bu þu anlama gelir: eðer eriþime $HOME/.rhosts, $HOME/.shosts, /etc/hosts.equiv veya /etc/ssh/shosts.equiv tarafýndan izin verilmiþ ve buna ek olarak sunucu da istemci anahtarýný doðrulayabiliyorsa (DOSYALAR bölümündeki /etc/ssh/ssh_known_hosts ve $HOME/.ssh/known_hosts dosyalarýnýn açýklamalarýna bakýnýz), ancak o zaman oturum açýlmasýna izin verilir. Bu kimlik denetimi yöntemi sayesinde IP kandýrmaca, DNS kandýrmaca ve yönlendirme kandýrmacanýn sebep olduðu güvenlik açýklarý engellenmiþ olur.
Sistem yöneticilerine bilgi:
/etc/hosts.equiv, $HOME/.rhosts ve rlogin/rsh protokolleri genel olarak güvenli deðillerdir ve güvenliðin gerektiði durumlarda kullanýlmamalarý gerekir.
Üçüncü kimlik kanýtlama yöntemi olarak, ssh RSA tabanlý kimlik denetimini destekler. Bu senaryo açýk anahtarlý kriptografiye dayanýr: Þifrelemenin ve þifre çözmenin farklý anahtarlarla yapýldýðý ve þifre çözme anahtarýný þifreleme anahtarýndan türetmeniz mümkün olmadýðý kripto sistemleri vardýr. RSA böyle bir sistemdir. Burada amaç her kullanýcýnýn kimlik denetimi için bir çift genel ve özel anahtar oluþturmasýdýr. Sunucu genel anahtara sahip iken, özel anahtar sadece kullanýcýnýn kendisinde bulunur. $HOME/.ssh/authorized_keys dosyasý eriþim hakký olan genel anahtarlarý listeler. Kullanýcý oturum açmak istediði zaman, ssh kimlik denetimi için hangi anahtar çiftini kullanmak istediðini sunucuya bildirir. Sunucu bu anahtarýn geçerli olup olmadýðýna bakar, þayet geçerli ise kullanýcýya (aslýnda kullanýcý adýna çalýþan ssh\N’39’a) kullanýcýnýn genel anahtarý ile þifrelenmiþ bir kimlik sorgusu, rasgele bir sayý gönderir. Þifreli kimlik sorgusu sadece uygun özel anahtar ile çözülebilir. Kullanýcýnýn istemcisi bu kimlik sorgusunu kullanýcýnýn özel anahtarý ile çözer, böylece uygun özel anahtarýn varlýðýný ispatlar (özel anahtarý sunucuya göstermeden).
ssh RSA kimlik denetim protokolünü özdevinimli olarak gerçekleþtirir. Kullanýcý kendi RSA anahtar çiftini ssh-keygen(1) komutunu çalýþtýrarak oluþturur. Bu iþlem sayesinde özel anahtar $HOME/.ssh/identity dosyasýnda ve genel anahtar da $HOME/.ssh/identity.pub doyasýnda saklanýr. Daha sonra kullanýcý identity.pub dosyasýný uzak makinenin kullanýcýnýn ev dizinideki $HOME/.ssh/authorized_keys dosyasýna kopyalamalýdýr. authorized_keys dosyasý geleneksel $HOME/.rhosts dosyasýna karþýlýk gelir ve her satýrý bir anahtar içerir (satýrlar çok uzun olabilmektedir). Sonuçta kullanýcý parola girmeden oturum açmaya hak kazanmaktadýr. RSA kimlik denetimi rhosts kimlik denetimine göre daha güvenlidir.
RSA kimlik denetiminin en uygun kullanýmý bir kimlik denetimi ajaný ile saðlanabilir. Daha fazla bilgi için ssh-agent(1)\N’39’a bakýnýz.
Þayet bahsedilen kimlik denetimi yöntemleri hata verirler ise, bu sefer ssh kullanýcýya parola sorar. Parola ana makineye denetim için gönderilir. Fakat bütün iletiþim þifrelendiði için parola aðý dinlemekte olan biri tarafýndan görülemez.

SSH protokolünün 2. sürümü

Kullanýcý protokolün 2. sürümünü kullanarak baðlantý kurduðunda benzer kimlik denetimi yöntemleri kullanýlýr. PreferredAuthentications (tercih edilen kimlik kanýtlamalarý) için öntanýmlý deðerler kullanýlarak, istemci öncelikle konak tabanlý kimlik denetimi ile uzaktaki makineye eriþmeye çalýþýr; bu yöntemin baþarýsýz olmasý durumunda, genel anahtarlý kimlik denetimi yöntemi denenir, bu yöntemin de baþarýsýz olmasý durumunda son olarak klavye etkileþimli ve parolalý kimlik denetimi yöntemine baþvurulur.
Genel anahtar yöntemi, bir önceki bölümde anlatýlan RSA kimlik denetimi ile benzerdir ve RSA veya DSA algoritmalarýnýn kullanýlmasýna izin verir: Ýstemci oturum tanýtýcýsýný özel anahtarý ($HOME/.ssh/id_dsa veya $HOME/.ssh/id_rsa) ile imzalar ve sonucu sunucuya gönderir. Sunucu, bu imza ile eþleþen genel anahtarýn $HOME/.ssh/authorized_keys dosyasýnda olup olmadýðýna bakar. Hem anahtarýn listede bulunmasý hem de imzanýn doðru olmasý durumunda istemciye eriþim izni verilir. Oturum tanýtýcý sadece sunucu ve istemci tarafýndan bilinen ortak Diffie-Hellman deðerinden türetilir.
Þayet genel anahtarlý kimlik denetimi baþarýsýz olursa ya da desteklenmiyorsa, kullanýcýnýn kimliðini ispatlamak için kullanýcýnýn parolasý þifrelenerek sunucuya gönderilebilir.
ssh bunlara ek olarak konak tabanlý ve kimlik sorma/yanýt verme kimlik denetimi yöntemlerini de destekler.
Protokol 2 gizlilik ve bütünlük ilkeleri için ek mekanizmalar saðlar. Gizlilik için veri trafiði 3DES, Blowfish, CAST128 veya Arcfour algoritmalarý ile þifrelenir ve bütünlük ilkesi için ise hmac-md5 ya da hmac-sha1 algoritmalarý kullanýlýr. Protokol 1\N’39’in baðlantýnýn bütünlüðünü kesinlikle garanti eden bir mekanizmaya gereksinimi olduðu unutulmamalýdýr.

Oturum ve Uzaktan Yürütme

Sunucu, kullanýcýnýn kimliðini onayladýðý takdirde ya kullanýcýnýn belirttiði komutu yürütür ya da sistemde oturum açar ve uzak sistemde kullanýcýnýn normal bir kabuða eriþmesini saðlar. Uzakta çalýþtýrýlacak komut ya da kabukla gerçekleþtirilen bütün iletiþim þifrelenir.
Kullanýcý, sözde uçbirim (normal oturum) saðlanmasý durumunda aþaðýdaki önceleme karakterlerini kullanabilir.
Þayet bir uçbirim saðlanmazsa, oturum saydam olur ve ikili veri güvenilir þekilde aktarýlabilir. Birçok sistemde önceleme karakterini \N’96’\N’96’none\N’39’\N’39’ þeklinde ayarlamak tty kullanýlsa bile oturumu saydam kýlar.
Uzak sistemdeki komut ya da kabuk sonlandýðýnda oturum sonlanýr ve bütünl X11 ve TCP/IP baðlantýlarý kapatýlýr. Eriþilen makinada çalýþtýrýlan uygulamanýn çýkýþ durumu ssh\N’39’ýn çýkýþ durumu olarak döndürülür.

Önceleme Karakterleri

Sözde uçbirim istenmesi durumunda ssh birçok iþlevi bir önceleme karakteri aracýlýðý ile desteker.
Tek bir yaklaþýk iþareti (tilde) ~~ þeklinde ya da yaklaþýk iþaretini aþaðýda belirtilen karakterlerin haricindeki bir karakterin takip etmesi þeklinde gönderilebilir. Önceleme karakterinin önceleme karakteri olarak yorumlanabilmesi karakterden hemen sonra bir satýrsonu karakteri gelmelidir. Önceleme karakteri yapýlandýrma dosyasýndaki EscapeChar yapýlandýrma seçeneði ile ya da komut satýrýnda -e seçeneði ile deðiþtirilebilir.
Desteklenen öncelemler (öntanýmlýnýn \N’39’~\N’39’ olduðu kabulüyle) þunlardýr:
~. Baðlantýyý kes
~^Z ssh\N’39’ý artalanda çalýþtýr
~# Ýletilen baðlantýlarý listele
~& Ýletilen baðlantýnýn ya da X11 oturumlarýnýn sonlandýrýlmasýný beklerken ssh\N’39’ý artalanda çalýþtýr
~? Önceleme karakterlerinin listesini göster
~B Uzak sisteme sonlandýrma iletisi gönder (sadece uzak sistemin de desteklemesi durumunda SSH protokolünün 2. sürümü için geçerlidir)
~C Komut satýrý aç (sadece -L ve -R seçeneklerini kullanarak port iletimi eklemek için yararlýdýr)
~R Baðlantýnýn anahtarlarýnýn yenilenmesini iste (sadece uzak sistemin de desteklemesi durumunda SSH protokolünün 2. sürümü için geçerlidir)

X11 ve TCP Ýletimi

Þayet ForwardX11 deðiþkeni \N’96’\N’96’yes\N’39’\N’39’ þeklinde ayarlý ise (ya da aþaðýdaki -X ve -x seçeneklerinin tanýmlarýna bakýnýz) ve kullanýcý X11 (DISPLAY çevre deðiþkeni atanmýþ ise) kullanýyorsa, X11 görüntüye olan baðlantý özdevinimli biçimde uzaktaki sisteme iletilir. Bu sayede kabuktan (ya da komut ile) çalýþtýrýlan herhangi bir X11 programý þifreli kanal boyunca iletilir ve yerel sistemin gerçek X sunucusu ile baðlantýsý gerçekleþtirilmiþ olur. Kullanýcý DISPLAY deðiþkenini el ile ayarlamamalýdýr. X11 baðlantýlarýnýn iletilmesi komut satýrýnda ya da yapýlandýrma dosyalarý aracalýðý ile ayarlanabilir.
ssh tarafýndan ayarlanan DISPLAY deðeri (sýfýrdan büyük bir sayý) sunucu sistemi iþaret eder. Bu normaldir ve sebebi de ssh\N’39’nýn baðlantýlarý þifreli kanal üzerinden iletmek için sunucu sistemde \N’39’vekil\N’39’ X sunucusu oluþturmasýdýr.
ssh yine sunucu makinede özdevinimli biçimde Xauthority verisini ayarlar. Bu amaçla rasgele yetkilendime çerezi üretilip sunucuda \N’39’Xauthority\N’39’ dosyasýnda saklanýr ve iletilen baðlantýlarýn bu çerezi taþýyýp taþýmadýklarý kontrol edilir ve baðlantý açýldýðýnda bu çerez gerçek çerez ile deðiþtirilir. Gerçek kimlik denetimi çerezi sunucu sisteme hiçbir zaman gönderilmez (ve hiçbir çerez düz metin olarak gönderilmez).
Þayet ForwardAgent deðiþkeni \N’96’\N’96’yes\N’39’\N’39’ þeklinde ayarlandý ise (aþaðýda açýklanan -A ve -a seçeneklerine bakýnýz) ve kullanýcý kimlik denetimi ajaný kullanýlýyorsa, ajana olan baðlantý özdevinimli biçimde uzak tarafa iletilir.
Keyfi TCP/IP baðlantýlarýnýn güvenli kanal üzerinden iletimi ya komut satýrýnda ya da yapýlandýrma dosyasýnda belirtilebilir. TCP/IP iletimi uygulamalarýna örnek olarak elektronik para çantasýna güvenli baðlantý ya da güvenlik duvarý üzerinden iletiþim verilebilir.

Sunucu kimlik denetimi

ssh kullanýlmýþ olan bütün ana sistemleri içeren bir veritabanýný özdevinimli olarak oluþturur ve denetler. Ana sistem anahtarlarý kullanýcýnýn ev dizinindeki $HOME/.ssh/known_hosts dosyasýnda tutulur. Buna ek olarak /etc/ssh/ssh_known_hosts dosyasýna da bilinen sistemleri kontrol için özdevinimli olarak baþvurulur.
Yeni sistemler özdevinimli olarak kullacýnýn dosyasýna eklenir. Þayet bir sistemin kimliði deðiþirse, ssh bu konuda uyarýr ve truva atlarýnýn kullanýcýn parolasýný çalmasýný engellemek için parola kimlik denetimini edilgenleþtirir. Bu mekanizmanýn diðer bir amacý þifrelemeyi es geçebilen araya girme saldýrýlarýna engel olmaktýr. StrictHostKeyChecking seçeneði anahtarý bilinmeyen ya da deðiþmiþ olan sistemlerde oturum açmayý engellemek için kullanýlabilir.
Seçenekler þunlardýr:
-1 ssh\N’39’yý sadece protokolün 1. sürümünü kullanmaya zorlar.
-2 ssh\N’39’yý sadece protokolün 2. sürümünü kullanmaya zorlar.
-4 ssh\N’39’yý sadece IPv4 adreslerini kullanmaya zorlar.
-6 ssh\N’39’yý sadece IPv6 adreslerini kullanmaya zorlar.
-a Kimlik denetimi ajaný baðlantý iletimini iptal eder.
-A Kimlik denetimi ajaný baðlantý iletimini etkinleþtirir. Bu ayrýca yapýlandýrma dosyasýnda da her bir konak için ayrý ayrý belirtilebilir.
Bu seçenek etkinleþtirilirken dikkat edilmelidir. Uzak konaktaki (ajanýn Unix-alan soketi için) dosya izinlerini atlayabilen kullanýcýlar iletilen baðlantýlar sayesinde yerel ajana eriþebilirler. Saldýrgan, ajandan anahtarlarý alamaz ancak ajanda yüklü olan kimlikleri kullanarak kimlik denetimini geçmeyi baþarabilir.
-b baðlantý_adresi
Çoklu arayüzü olan ya da takma isimli adresler kullanan sistemlerde iletiþimin yapýlacaðý arayüzü belirler.
-c blowfish | 3des | des
Oturumu þifrelemekte kullanýlacak þifreyi seçer. Öntanýmlý deðer 3des\N’39’dir. Güvenli olduðuna inanýlýr. 3des (üçlü-des) þifreleme-þifre çözme-þifreleme üçlüsünü 3 farklý anahtarla gerçekleþtirir. blowfish hýzlý bir blok þifresidir; çok güvenilirdir ve 3des\N’39’ten çok daha hýzlýdýr. des ise 3des þifrelemeyi desteklemeyen eski protokol 1 gerçeklemeleri ile iþbirliktelik adýna desteklenir. Þifreleme ile ilgili zayýflýklarýndan dolayý des\N’39’in kullanýlmamasý önemle tavsiye edilir.
-c þifre_belirtimi
Ek olarak, protokol 2\N’39’de tercih sýrasýný belirtmek için virgülle ayrýlmýþ þifreleme listesi verilebilir. Daha fazla bilgi için yapýlandýma dosyaýndaki Ciphers (Þifreler) satýrýna bakýnýz.
-C Bütün verilerin (stdin, stdout, stderr, X11 verileri ve TCP/IP baðlantý verileri) sýkýþtýrýlmasýný saðlar. Sýkýþtýrma algoritmasý gzip(1)\N’39’in kullandýðý ile aynýdýr. CompressionLevel(Sýkýþtýrma Seviyesi) seçeneði protokolün 1. sürümü için \N’96’\N’96’seviye\N’39’\N’39’ yi belirler. Modem hatlarý ve diðer yavaþ baðlantýlar için sýkýþtýrma kullanýlmalýdýr, ancak hýzlý aðlar için bu sadece yavaþlamaya neden olacaktýr. Öntanýmlý deðer yapýlandýrma dosyalarýnda her konak için ayrý ayrý belirtilebilir. (Compression [Sýkýþtýrma] seçeneðine bakýnýz).
-D port Yerel "özdevimli" uygulama seviyesinde port iletimini belirtir. Yerel tarafta portu dinlemek üzere bir soket ayrýlýr. Bu port ile ne zaman bir baðlantý kurulsa, baðlantý güvenli kanal üzerinden iletilir ve uzak sistemde nereye baðlanýlacaðý uygulama protokolü kullanýlarak belirlenir. Þu anda SOCKS4 ve SOCKS5 protokolleri desteklenmektedir. ssh bir SOCKS sunucusu olarak davranýr. Sadece yetkili kullanýcý (root) ayrýcalýklý portlarý iletebilir. Özdevimli port iletimleri yapýlandýrma dosyasýnda da belirtilebilir.
-e krk | ^krk | none
pty\N’39’li bir oturum için önceleme karakterini ayarlar (öntanýmlý: \N’39’~\N’39’). Önceleme karakteri sadece bir satýrýnýn baþýnda ise tanýnabilir. Önceleme karakterini nokta (\N’39’.\N’39’) takip ederse baðlantý sonlandýrýlýr; control-Z takip ederse baðlantý askýya alýnýr; \N’39’~\N’39’ takip ederse önceleme karakteri bir kez gönderilir. Karakteri \N’96’\N’96’none\N’39’\N’39’ þeklinde ayarlamak öncelemleri iptal eder ve oturumu tamamen saydam yapar.
-f Komut yürütülmeden hemen önce ssh\N’39’nýn arkaplanda çalýþmasýný saðlar. Bu ssh\N’39’nýn kullanýcý ya da anahtar parolasý sormasý gerektiði ancak kullanýcýnýn bu iþlemin arkaplanda yapýlmasýný istediði durumlarda yararlýdýr. Bu seçenek -n seçeneðinin de uygulanmasýný saðlar. X11 programlarý uzak konakta çalýþtýrýrken komutun þöyle çaðrýlmasý tavsiye edilir: ssh -f konakismi xterm.
-F yapýlandýrma_dosyasý
Kullanýcýnýn kendine özgü yapýlandýrma dosyasýný belirtmek içindir. Þayet komut satýrýnda bir yapýlandýrma_dosyasý verilirse, sistemin yapýlandýrma dosyasý (/etc/ssh/ssh_config) görmezden gelinir. $HOME/.ssh/config dosyasý kullanýcýnýn öntanýmlý yapýlandýrma dosyasýdýr.
-g Uzak konaklarýn iletilen yerel portlara baðlanmasýna izin verir.
-i kimlik_dosyasý
RSA ya da DSA kimlik doðrulamalarý için kullanýlacak olan kimlik dosyasýný (dolayýsýyla gizli anahtarý) belirtir. Protokolün 1. sürümü için varsayýlan dosya $HOME/.ssh/identity dosyasýdýr. $HOME/.ssh/id_rsa ve $HOME/.ssh/id_dsa ise protokolün 2. sürümü için öntanýmlý dosyalardýr. Kimlik dosyalarý her bir konak için ayrý ayrý yapýlandýrma dosyasýnda da belirtilebilir. -i seçeneðinin birden fazla kullanýlmasý mümkündür (ve yapýlandýrma dosyalarýnda birden fazla kimlik tanýmlamak da).
-I akýllýkart_aygýtý
Kullanýlacak olan akýllýkart aygýtýný belirtir. Belirtilen aygýt kullanýcýnýn RSA gizli anahtarýnýn bulunduðu akýllýkart ile iletiþim için kullanýlan aygýt olmalýdýr.
-k Kerberos biletlerinin ve AFS dizgeciklerinin iletimini iptal eder. Bu ayrýca yapýlandýrma dosyasýnda her konak için ayrý ayrý belirtilebilir.
-l kullanýcý_ismi
Uzak sistemde oturum açmak için kullanýlacak kullanýcý adýný belirtir. Bu yine yapýlandýrma dosyasýnda her bir konak için ayrý ayrý belirtilebilir.
-L yerelport:uzakkonak:uzakkonakportu
Belirtilen yerel portun uzak konaktaki porta iletilmesi için kullanýlýr. Bunu saðlamak için yerel sistemde bir soket yerelport portunu dinlemeye baþlar ve bu porta baðlantý isteði geldiðinde, baðlantý güvenli kanaldan iletilerek uzakkonak üzerindeki uzakkonakportuna bir baðlantý gerçekleþtirilir. Port iletimi, yapýlandýrma dosyasýnda da belirtilebilir. Sadece yetkili kullanýcý (root) ayrýcaklý portlarý iletebilir. IPv6 adresler için farklý bir sözdizimi kullanýlýr: yerelport/uzakkonak/uzakkonakportu.
-m mac_belirtimi
Protokolün 2. sürümünde ayrýca tercih sýrasýna göre virgüllerle ayrýlmýþ MAC (message authentication code - ileti kimlik denetimi kodu) algoritmalarý belirtilebilir. Daha fazla bilgi için MACs anahtar sözcüðüne bakýnýz.
-n /dev/null\N’39’u standart girdiye yöneltir (yani standart girdiden okuma yapýlmasý engellenir). ssh artalanda çalýþýyorsa bu seçenek kullanýlmak zorundadýr. Uzak sistemde X11 programlarý çalýþtýrýlýrken bu seçenek çok kullanýlýr. Örneðin, ssh -n shadows.cs.hut.fi emacs & komutu shadows.cs.hut.fi konaðýnda emacs uygulamasýný baþlatacaktýr ve X11 baðlantýsý özdevinimli olarak þifreli kanal üzerinden iletilecektir. ssh artalana yerleþtirilecektir. (Ancak ssh\N’39’nýn kullanýcý ya da anahtar parolasý gerektirmesi durumunda bu çalýþmayacaktýr; ayrýca -f seçeneðine de bakýnýz.)
-N Bir uzak komut çalýþtýrmaz. Bu sadece port iletimi için yararlýdýr (sadece protokolün 2. sürümünde).
-o seçenek
Yapýlandýrma dosyasýndaki biçime uygun seçenekler belirtmek için kullanýlabilir. Kendisine özel komut satýrý seçeneði olmayan yapýlandýrma seçeneklerini belirtmek için kullanýlabilir. Aþaðýda sýralanan seçeneklere ait tüm ayrýntýlar ve alabilecekleri olasý deðerler için ssh_config(5)\N’39’e baþvurunuz.
AddressFamily (Adres Ailesi)
BatchMode (Toplu Ýþ Kipi)
BindAddress (Baðlantý Adresi)
ChallengeResponseAuthentication (Kimlik Sorma/Yanýtlama Yöntemi)
CheckHostIP (Konak IP Denetimi)
Cipher (Þifre)
Ciphers (Þifreler)
ClearAllForwardings (Bütün Ýletimleri Temizle)
Compression (Sýkýþtýrma)
CompressionLevel (Sýkýþtýrma Seviyesi)
ConnectionAttempts (Baðlantý Denemeleri)
ConnectionTimeout (Baðlantý Zaman Aþýmý)
DynamicForward (Özdevimli Ýletim)
EscapeChar (Önceleme Karakteri)
ForwardAgent (Ýletim Ajaný)
ForwardX11 (X11 Ýletimi)
ForwardX11Trusted (Güvenilir X11 Ýletimi)
GatewayPorts (Að Geçidi Portlarý)
GlobalKnownHostsFile (Genel Bilinen Konaklar Dosyasý)
GSSAPIAuthentication (GSSAPI Kimlik Denetimi)
GSSAPIDelegateCredentials (GSSAPI Yetkilendirme Tanýtýmlarý)
Host (Konak)
HostbasedAuthentication (Konak Tabanlý Kimlik Denetimi)
HostKeyAlgorithms (Konak Anahtarý Algoritmalarý)
HostKeyAlias (Konak Anahtarý Takma Adlarý)
HostName (Konak Adý)
IdentityFile (Kimlik Dosyasý)
LocalForward (Yerel Ýletim)
LogLevel (Günlükleme Düzeyi)
MACs (Ýleti Kimlik Denetimi Kodlarý)
NoHostAuthenticationForLocalhost (Yerel Konak Ýçin Kimlik Denetimi Yapma)
NumberOfPasswordPrompts (Parola Ýsteme Adedi)
PasswordAuthentication (Parolalý Kimlik Denetimi)
Port
PreferredAuthentications (Tercih Edilen Kimlik Denetimi Yöntemleri)
Protocol (Protokol)
ProxyCommand (Vekil Komutu)
PubkeyAuthentication (Genel Anahtarlý Kimlik Denetimi)
RemoteForward (Uzak Ýletim)
RhostsRSAAuthentication (RSA tabanlý Rhosts Kimlik Denetimi)
RSAAuthentication (RSA Kimlik Denetimi)
ServerAliveInterval (Sunucu Canlýlýk Aralýðý)
ServerAliveCountMax (Canlý Sunucu En Çok Mesaj Sayýsý)
SmartcardDevice (Akýllý Kart Aygýtý)
StrictHostKeyChecking (Mutlak Konak Anahtarý Denetimi)
TCPKeepAlive (TCP Canlý Tutma)
UsePrivilegedPort (Ayrýcalýklý Port Kullan)
User (Kullanýcý)
UserKnownHostsFile (Kullanýcýnýn Bilinen Konaklarý Dosyasý)
VerifyHostKeyDNS (Uzak Konak Anahtarýnýn Doðruluðunun DNS ile Saðlanmasý)
XAuthLocation (XAuth\N’39’un Tam Yolu)
-p port Uzak konaktaki baðlantý portu. Yapýlandýrma dosyasýnda her bir konak için ayrý ayrý belirtilebilir.
-q Sessizlik kipi. Bütün uyarý ve taný iletilerinin gizlenmesini saðlar. Sadece onarýlamaz hatalar gösterilir. Þayet ikinci bir -q verilirse onarýlamaz hatalar da gösterilmez.
-R uzakport:yerelkonak:yerelkonakportu
Belirtilen uzak portun yerel konaktaki porta iletilmesi için kullanýlýr. Bunu saðlamak için uzak sistemde bir soket uzakport portunu dinlemeye baþlar ve bu porta baðlantý isteði geldiðinde, baðlantý güvenli kanaldan iletilerek yerelkonak üzerindeki yerelkonakportuna bir baðlantý gerçekleþtirilir. Port iletimi, yapýlandýrma dosyasýnda da belirtilebilir. Sadece yetkili kullanýcý (root) ayrýcaklý portlarý iletebilir. IPv6 adresler için farklý bir sözdizimi kullanýlýr: uzakport/yerelkonak/yerelkonakportu.
-s Uzak konakta bir altsistemi çaðýrmak amacýyla kullanýlabilir. Altsistemler, diðer uygulamalarýn (örn. sftp) güvenli taþýnmasýný saðlayan SSH2 protokolünün bir özelliðidir. Altsistem uzak komut olarak belirtilir.
-t Sözde-tty ayýrmayý zorlar. Bu uzak sistemde ekran tabanlý herhangi bir uygulamalarýn çalýþtýrýlmasýnda kullanýlabilir. Örnek olarak menü hizmetlerinin gerçekleþtirilmesinde bu çok yararlý olabilir. Çok sayýda -t seçeneði ssh\N’39’nýn yerel tty\N’39’si olmasa bile bir tty ayrýlmasýný saðlar.
-T Sözde-tty ayýrmayý iptal eder.
-v Ayrýntý kipi. ssh\N’39’nýn çalýþmasý esnasýndaki hata ayýklama iletilerinin gösterilmesini saðlar. Baðlantý, kimlik denetimi ve yapýlandýrma sorunlarýndaki hatalarý ayýklamada bu seçenek çok faydalýdýr. Çok sayýda -v seçeneði ayrýntý seviyesini artýrýr. En fazla üç tane olabilir.
-V Sürüm numarasýný gösterir ve çýkar.
-x X11 iletimini iptal eder.
-X X11 iletimini etkinleþtirir. Bu her bir konak için ayrý ayrý yapýlandýrma dosyasýnda belirtilebilir.
Bu seçenek etkinleþtirilirken dikkat edilmelidir. Uzak sistemdeki dosya izinlerini atlayabilen kullanýcýlar (kullanýcýnýn X yetkilendirme veritabaný için) iletilen baðlantýlar sayesinde yerel X11 görüntüye eriþebilirler. Saldýrgan, tuþ vuruþlarýný izlenmek gibi etkinliklerde bulunabilir.
-Y Güvenilir X11 iletimini etkinleþtirir.

YAPILANDIRMA DOSYALARI

ssh yapýlandýrma verilerini her kullanýcýya özel ayrý birer yapýlandýrma dosyasýndan ve de sistemin yapýlandýrma dosyasýndan alabilir. Dosya biçimi ve yapýlandýrma seçenekleri ssh_config(5)\N’39’de açýklanmaktadýr.

ORTAM DEÐÝÞKENLERÝ

ssh normalde aþaðýdaki çevre deðiþkenlerini ayarlar:
DISPLAY
DISPLAY deðiþkeni X11 sunucusunun konumunu gösterir. ssh bu deðiþkene özdevinimli biçimde \N’96’\N’96’konak_adý:n\N’39’\N’39’ biçiminde deðer atar. Burada konak_adý kabuðun çalýþtýðý sistemi iþaret ederken n de n >= 1 þartýný saðlayan bir tamsayýya karþýlýk gelir. ssh bu özel deðeri X11 baðlantýlarýný güvenli kanal üzerinden iletmede kullanýr. Kullanýcý DISPLAY deðiþkenini doðrudan kendisi ayarlamamalýdýr, çünkü bu X11 baðlantýlarýný güvensiz hale getirir (ve ayrýca kullanýcýnýn gerekli olan yetkilendirme çerezlerini el ile kopyalamasýný gerektirir).
HOME Kullanýcýnýn ev dizininin yolu bu deðiþkene atanýr.
LOGNAME
USER deðiþkeni ile aynýdýr; bu deðiþkeni kullanan sistemlerle uyumluluk için tanýmlanýr.
MAIL Kullanýcýnýn posta kutusunun yolu bu deðiþkene atanýr.
PATH ssh derlenirken belirtilen gibi öntanýmlý PATH\N’39’a ayarlanýr.
SSH_ASKPASS
Þayet ssh bir anahtar parolasý gerektiriyorsa, bunu mevcut uçbirimden okur (eðer uçbirimden çalýþtýrýlýyorsa). Diðer taraftan ssh bir uçbirimden çalýþtýrýlmýyor fakat DISPLAY ve SSH_ASKPASS deðiþkenleri ayarlanmýþ iseler, ssh, SSH_ASKPASS tarafýndan belirtilen uygulamayý çalýþtýrýr ve anahtar parolayý okumak için bir X11 penceresi açar. Bu özellikle ssh bir .Xsession ya da ilgili betik tarafýndan çaðýrýlýyorsa yararlýdýr. (Burada dikkat edilmesi gereken bu yöntemin çalýþmasý için bazý sistemlerde girdilerin /dev/null\N’39’dan yönlendirilmesi gerektiðidir.)
SSH_AUTH_SOCK
Ajanla iletiþimde kullanýlacak Unix-alan soketinin yolunu belirtir.
SSH_CONNECTION
Baðlantýnýn kurulduðu istemci ve sunucuyu belirtir. Deðiþken boþluk ile birbirinden ayrýlmýþ 4 deðerden oluþur: istemci ip-adresi, istemci portu, sunucu ip-adresi ve sunucu portu.
SSH_ORIGINAL_COMMAND
Zorunlu bir komutun çalýþtýrýlmasý durumunda özgün komut satýrýný içerir. Bu özgün argümanlarýn özütlenmesinde kullanýlabilir.
SSH_TTY
Yürürlükteki kabuk ya da komutla iliþkili olan tty\N’39’nin adý (aygýt yolu) bu deðiþkene atanýr. Yürürlükteki oturum tty\N’39’ye sahip deðilse, bu deðiþkene bir atama yapýlmaz.
TZ Zaman Dilimi deðiþkeni; o anki zaman dilimini iþaret etmesi için ayarlanýr (þayet artalan süreci baþlatýldýðýnda ayarlandý ise). Yani, artalan süreci yeni baðlantýlara bu deðeri aktarýr.
USER Oturum açan kullanýcý adý olarak ayarlanýr.
Ayrýca ssh, $HOME/.ssh/environment dosyasýný okur ve eðer bu dosya mevcut ise ve de kullanýcýlar deðiþkenlerini deðiþtirme hakkýna sahip iseler \N’96’\N’96’DEÐÝÞKEN=deðer\N’39’\N’39’ biçimindeki satýrlarý ortama ekler. Daha fazla bilgi için, sshd_config(5)\N’39’deki PermitUserEnvironment (Kullanýcý Ortamýna Ýzin Ver) seçeneðine bakýnýz.

ÝLGÝLÝ DOSYALAR

$HOME/.ssh/known_hosts
Kullanýcýnýn oturum açtýðý /etc/ssh/ssh_known_hosts dosyasýnda kayýtlý olmayan bütün konaklarýn anahtarlarýný kaydeder. Bakýnýz, sshd(8).
$HOME/.ssh/identity, $HOME/.ssh/id_dsa, $HOME/.ssh/id_rsa
Kullanýcýnýn kimlik denetim kimliðini içerirler. Sýrasýyla protokol 1 RSA, protokol 2 DSA ve protokol 2 RSA\N’39’ye karþýlýk gelirler. Bu dosyalar duyarlý veri içerirler ve bu sebeple kimlik sahibi haricindekilerin eriþim hakký olmamalýdýr. Þayet özel anahtar dosyasý diðer kullanýcýlarýn eriþimine açýksa, ssh\N’39’nýn bu dosyayý kullanmayý reddedeceðini unutmayýn. Gizli anahtarý oluþtururken bir anahtar parolasý belirtilebilir ve anahtar parolasý bu dosyanýn duyarlý kýsmýný 3DES algoritmasý ile þifrelemede kullanýlýr.
$HOME/.ssh/identity.pub, $HOME/.ssh/id_dsa.pub, $HOME/.ssh/id_rsa.pub
Kimlik denetiminde kullanýlacak genel anahtarý içerirler (kimlik dosyasýnýn okunabilir biçimdeki genele açýk olan kýsmý). $HOME/.ssh/identity.pub\N’39’un içeriði kullanýcýnýn protokol sürüm 1 RSA kimlik denetimini kullanmak istediði bütün sistemlerdeki $HOME/.ssh/authorized_keys dosyasýna eklenmelidir. $HOME/.ssh/id_dsa.pub ve $HOME/.ssh/id_rsa.pub dosyalarýnýn içerikleri kullanýcýnýn protokol sürüm 2 DSA/RSA kimlik denetimini kullanmak istediði bütün sistemlerdeki $HOME/.ssh/authorized_keys dosyasýna eklenmelidir. Bu dosyalar duyarlý deðillerdir ve herkes tarafýndan okunabilirler (fakat gerekmemektedir). Bu dosyalar hiçbir zaman özdevinimli biçimde kullanýlmamalýdýr ve kullanýlmalarý da gerekmez. Bu dosyalar sadece kullanýcýnýn rahatlýðý için oluþturulur.
$HOME/.ssh/config
Kullanýcýya özel yapýlandýrma dosyasý. Dosyanýn biçimi ve yapýlandýrma seçenekleri ssh_config(5)\N’39’de açýklanmaktadýr.
$HOME/.ssh/authorized_keys
Ev dizini sahibinin oturum açmasý için kullanýlan açýk anahtarlarý (RSA/DSA) listeler. Dosya biçimi sshd(8) kýlavuz sayfasýnda açýklanmaktadýr. En basit biçimiyle dosya .pub kimlik dosyalarý ile ayný biçimdedir. Bu dosya çok duyarlý deðildir, ancak tavsiye edilen izinler kullanýcý için okuma/yazma haklarý ve diðer kullanýcýlar için ise eriþim hakkýnýn olmamasýdýr.
/etc/ssh/ssh_known_hosts
Bilinen konaklarýn anahtarlarýný listeleyen sistem dosyasý. Bu dosya sistem yöneticisi tarafýndan hazýrlanmalýdýr ve örgütleþimdeki bütün konaklarýn genel anahtarlarý dosyaya eklenmelidir. Dosya izinleri herkes tarafýndan okunabilecek þekilde ayarlanmalýdýr. Dosya her satýrda belirtilecek þekilde genel anahtarlarý þu biçimde içerir (alanlar birbirinden boþluk ile ayrýlýrlar): sistem adý, açýk anahtar ve yorum alaný (zorunlu deðil). Þayet ayný makina için farklý isimler kullanýlýrsa, bütün bu isimler virgülle ayrýlacak þekilde listelenmelidir. Biçim hakkýnda detaylý bilgiyi sshd(8) kýlavuz sayfasýnda bulabilirsiniz.
Kurallý sistem adý (isim sunucularýndan dönene ad) istemci için oturum açýlýrken denetimde sshd(8) tarafýndan kullanýlýr; diðer isimlere de gerek vardýr çünkü ssh, anahtarý denetlemeden önce kullanýcýnýn belirttiði ismi kurallý isme çevirmez. Bunun nedeni isim sunucularýna eriþebilen birinin sistem kimlik denetimini yanýltma olasýlýðýdýr.
/etc/ssh/ssh_config
Sistem yapýlandýrma dosyasý. Dosyanýn biçimi ve yapýlandýrma seçenekleri ssh_config(5)\N’39’de açýklanmaktadýr.
/etc/ssh/ssh_host_key, /etc/ssh/ssh_host_dsa_key, /etc/ssh/ssh_host_rsa_key
Bu üç dosya sistem anahtarlarýnýn özel kýsmýný içerirler ve RhostsRSAAuthentication ve HostbasedAuthentication için kullanýlýrlar. Þayet RhostsRSAAuthentication yöntemi protokolün 1. sürümü için kullanýlýyor ise, ssh root yetkileriyle (setuid root) çalýþmalýdýr, zira sistem anahtarý sadece root tarafýndan okunabilir. Protokolün 2. sürümü için ise, ssh, HostbasedAuthentication için sistem anahtarlarýna eriþimde ssh-keysign(8)\N’39’ý kullanýr. Bu sayede bu kimlik denetimi yöntemi kullanýldýðýnda ssh\N’39’nýn root yetkileriyle çalýþmasý zorunluluðu ortadan kalkar. Öntanýmlý olarak, ssh root yetkileriyle çalýþmaz.
$HOME/.rhosts
Bu dosya .rhosts kimlik denetiminde eriþim izni olan konak/kullanýcý çiftlerini listeler. (Dikkat: Bu dosya ayrýca rlogin ve rsh tarafýndan da kullanýldýðýndan kullanýmý güvenli deðildir.) Dosyanýn her satýrýnda birbirinden boþluk ile ayrýlmýþ bir konak adý (isim sunucularý tarafýndan saðlanan kurallý ad biçiminde) ve bu konakta geçerli kullanýcý adý bulunur. Bazý makinalarda bu dosyanýn eriþim haklarýnýn herkes tarafýndan okunacak þekilde düzenlenmiþ olmasý gerekmektedir (þayet kullanýcýnýn ana dizini NFS bölümünde ise; çünkü sshd(8) bu dosyayý root olarak okur). Ayrýca bu dosyanýn sahibi kullanýcý olmalý ve hiçbir kimsenin bu dosyaya yazma hakký bulunmamalýdýr. Birçok makina için tavsiye edilen eriþim yetkileri, kullanýcý için okuma/yazma hakký ve diðerleri için ise eriþimin olmamasýdýr.
sshd(8) öntanýmlý olarak .rhosts kimlik kanýtlama yönteminden önce RSA konak kimlik denetimini gerektirecek þekilde kurulur. Þayet sunucu makinanýn /etc/ssh/ssh_known_hosts dosyasýnda istemcinin konak anahtarý bulunmuyorsa, bu anahtar $HOME/.ssh/known_hosts dosyasýnda bulunabilir. Bunu yapmanýn en basit yolu sunucu konaða ssh ile oturum açtýktan sonra istemciye ssh kullanarak baðlanmaktýr. Böylece konak anahtarý kendiliðinden $HOME/.ssh/known_hosts dosyasýna eklenir.
$HOME/.shosts
Ayný .rhosts\N’39’un kullanýldýðý þekilde kullanýlýr. Bu dosyanýn bulunmasýnýn amacý .rhosts kimlik denetiminin sadece ssh ile kullanýlmasýný, rlogin ya da rsh(1) ile kullanýlmamasýný saðlamaktýr.
/etc/hosts.equiv
Bu dosya .rhosts kimlik denetiminde kullanýlýr. Her satýrda kurallý sistem adlarýný içerecek þekilde düzenlenir (Biçim hakkýnda ayrýntýlý bilgi sshd(8) kýlavuz sayfasýnda bulunabilir). Þayet istemci konak bu dosyada bulunuyorsa, istemci ve sunucu kullanýcý adlarý ayný olmasý þartý ile eriþime izin verilir. Ayrýca RSA sistem kimlik denetimi normalde gereklidir. Bu dosyaya sadece root yazabilmelidir.
/etc/ssh/shosts.equiv
Ayný /etc/hosts.equiv gibi iþlem görür. ssh kullanarak eriþimin saðlandýðý ancak rsh/rlogin\N’39’in kullanýlmamasý gerektiði durumlarda faydalýdýr.
/etc/ssh/sshrc
Bu dosyadaki komutlar kullanýcý oturum açtýðýnda kullanýcýnýn kabuðu (ya da komut) çalýþtýrýlmadan hemen önce ssh tarafýndan çalýþtýrýlýr. Daha arýntýlý bilgi için sshd(8) kýlavuz sayfasýna bakýnýz.
$HOME/.ssh/rc
Bu dosyadaki komutlar kullanýcý oturum açtýðýnda kullanýcýnýn kabuðu (ya da komut) çalýþtýrýlmadan hemen önce ssh tarafýndan çalýþtýrýlýr. Daha arýntýlý bilgi için sshd(8) kýlavuz sayfasýna bakýnýz.
$HOME/.ssh/environment
Ortam deðiþkenlerinin ek tanýmlarýný içerir. Yukarýdaki ORTAM DEÐÝÞKENLERÝ bölümüne bakýnýz.

ÇIKIÞ DURUMU

ssh uzak komutun çýkýþ durumu ile ya da hata olmuþ ise 255 ile sonlanýr.

ÝLGÝLÝ BELGELER

gzip(1), rsh(1), scp(1), sftp(1), ssh-add(1), ssh-agent(1), ssh-keygen(1), telnet(1), hosts.equiv(5), ssh_config(5), sshd_config(5), ssh-keysign(8), sshd(8).
T. Ylonen, T. Kivinen, M. Saarinen, T. Rinne, ve S. Lehtinen, SSH Protocol Architecture (SSH Protokol Mimarisi), draft-ietf-secsh-architecture-12.txt, Ocak 2002 (halen geliþtiriliyor).

YAZARLAR

OpenSSH, Tatu Ylonen\N’39’in özgün ve özgür ssh 1.2.12 sürümünün bir türevidir. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt ve Dug Song birçok yazýlým hatasýný ortadan kaldýrmýþlar, yeni özellikler eklemiþler ve OpenSSH\N’39’ý oluþturmuþlardýr. Markus Friedl SSH protokolünün 1.5 ve 2.0 sürümü desteði için katkýda bulunmuþtur.

ÇEVÝREN

Emin Ýslam Tatlý <eminislam (at) web.de>, Aðustos 2004

⇧ Top