LinuxシステムにおけるSSHコマンドの使用チュートリアル
sshは、リモートホストにログインするために使用され、rloginとrshを置き換えるとともに、安全でないネットワーク上で、2つの信頼できないホスト間で暗号化された、安全な通信接続を提供することを目的とするリモートホスト上でコマンドを実行する.まずsshコマンドのパラメータを見てみましょう。
パラメータ-a
認証エージェントの転送を禁止する.
-A認証エージェントの接続の転送を許可する.このパラメータは、プロファイルにおいてホストごとに個別に設定ことができる.
エージェント転送は慎重にしなければならない。一部のユーザは、リモートホスト上でファイルアクセス権限(エージェントのUNIXドメインsocketのため)を迂回することができ、転送接続によってローカルエージェントにアクセスすることができる.攻撃者は、エージェントから鍵の内容を取得することはできないが、これらの鍵を操作し、エージェントにロードされたアイデンティティ情報を利用して認証を通過することができる.
-b bind_address
複数のインタフェースまたはアドレスの別名を有する機器において、送受信インタフェースを指定する.-c blowfish|3des|des
暗号化セッションの暗号化方法を選択します。3 desはデフォルトアルゴリズムです。3 des(triple-des)は3本の異なる鍵で暗号化-復号-暗号化の3回の演算を行い、比較的信頼できると考えられる.blowfishは高速なパケット暗号化術(block cipher)であり、非常に安全であり、3 desよりずっと速い。desはクライアントのみをサポートする、従来の3 desをサポートしないプロトコルの第1版と相互運用できることを目的とする.その暗号アルゴリズム上の弱点のため、使用を避けることを強く提案する。
-c cipher_spec
なお、プロトコル第2版については、ここではカンマで区切る優先順位で並べた暗号術のセットを指定することができる.詳しくはCiphersを参照
-e ch|^ch|none
ptyセッションのescape文字(デフォルト文字:`~')を設定します。escape文字は行頭でのみ有効であり、escape文字の後ろに1つの点(`.′)が接続終了を表し、control-Zが接続停止を表し、escape文字自身が出力という文字を表す.この文字を``noneにするとescape機能が禁止され、セッションが完全に透明になります。
-f
命令を実行する前にバックグラウンドに退くことを要求する.パスワードや秘密語を尋ねる準備をするが、ユーザはバックグラウンドで行うことを望んでいる.このオプションには-nオプションが隠されています。リモートマシン上でX 11プログラムを起動する推奨手法はssh-f host xtermに類似するコマンドである.
-gリモートホストがローカル転送ポートに接続できるようにする.
-i identity_file
RSAまたはDSA認証に必要なアイデンティティ(秘密鍵)ファイルを指定する.デフォルトファイルはプロトコル第1版の$HOME/.ssh/identityおよびプロトコル第2版の$HOME/.ssh/id_rsaと$HOME/.ssh/id_dsaファイルプロファイル内でホストごとに個別にアイデンティティファイルを指定することもできる.複数の-iオプションを同時に使用することもできる(プロファイルに複数のアイデンティティファイルを指定することもできる).
-I smartcard_device
スマートカードデバイスを指定します。パラメータはデバイスファイルであり、スマートカードと通信可能である、スマートカードにはユーザのRSA秘密鍵が格納されている.
-k
KerberosチケットとAFSトークンの転送を禁止します。このパラメータは、プロファイルにおいてホストごとに個別に設定ことができる.
-l login_name
リモートホストにログインするユーザーを指定します。このパラメータは、プロファイルにおいてホストごとに個別に設定ことができる.
-m mac_spec
また、プロトコル第2版については、ここでは、コンマで区切る優先順位で並べられたMAC(メッセージ検証コード)アルゴリズム(message authentication code)のセットを指定することができる.詳細はMACsをキーワードとするクエリである.
-n
stdinを/dev/nullにリダイレクトする(実際にはstdinからのデータの読み出しを防止する).バックグラウンドで実行するときに必ずこのオプションが使用されます。その一般的なテクニックはX 11プログラムをリモートで実行することです。例えば、ssh-n shadows.cs.hut.fi emacsはshadowsにあるcs.hut.fi上でemacsを起動するとともに、X 11接続を暗号化チャネルに自動的に転送する.バックグラウンドで実行する(ただし、パスワードや秘密語が要求されると、この方法は動作しません。-fオプションを参照してください。)