การเรียนรู้ SSH: ตัวเลือกไฟล์กำหนดค่า SSH และพารามิเตอร์
ในงวดล่าสุดของเราบน การเรียนรู้ SSH เราจัดการกับแทบทั้งหมด ตัวเลือกคำสั่ง SSH และพารามิเตอร์ ของโปรแกรม OpenSSHซึ่งพร้อมใช้งานเมื่อคุณเรียกใช้ คำสั่ง ssh ที่สถานีปลายทาง หนึ่งในนั้นคือ "-o ตัวเลือก"ซึ่งเราอธิบายช่วยให้ ใช้ตัวเลือกที่ระบุใน ไฟล์คอนฟิกูเรชัน OpenSSH, นั่นคือ, ไฟล์ "SSHConfig" (ssh_config)
ด้วยเหตุผลนี้ วันนี้เราจะมาอธิบายสั้นๆ เกี่ยวกับสิ่งเหล่านี้ ตัวเลือกที่กำหนด ใน ไฟล์การกำหนดค่า OpenSSH เพื่อให้แนวคิดเล็กๆ น้อยๆ และมีประโยชน์แก่เราเกี่ยวกับสิ่งที่เราสามารถทำได้เมื่อดำเนินการคำสั่งประเภท “ตัวเลือก ssh -o…”หรือเพียงแค่กำหนดค่าของเรา เซิร์ฟเวอร์ SSH ภายในเครื่อง (ไคลเอนต์).
การเรียนรู้ SSH: ตัวเลือกและพารามิเตอร์การกำหนดค่า
และเช่นเคย ก่อนดำดิ่งสู่หัวข้อของวันนี้เกี่ยวกับตัวเลือกและพารามิเตอร์ที่มีอยู่ในไฟล์ OpenSSH "การกำหนดค่า SSH" (ssh_config), ทางเราจะฝากผู้สนใจตามลิ้งค์นี้นะครับ โพสต์ที่เกี่ยวข้องก่อนหน้านี้:
ตัวเลือกไฟล์กำหนดค่า SSH และพารามิเตอร์ (ssh_config)
ไฟล์ SSH Config (ssh_config) สำหรับ OpenSSH คืออะไร
OpenSSH มี 2 ไฟล์การกำหนดค่า. หนึ่งเรียกว่า ssh_config สำหรับการกำหนดค่าของ แพ็คเกจลูกค้า และอีกสาย sshd_config สำหรับ แพ็คเกจเซิร์ฟเวอร์ทั้งสองอยู่ในเส้นทางหรือไดเรกทอรีต่อไปนี้: /etc/ssh.
ดังนั้น เมื่อทำงานเกี่ยวกับ ไฟล์กำหนดค่า "การกำหนดค่า SSH" (ssh_config) เราคิดว่าเราจะทำงานบนคอมพิวเตอร์ที่จะทำหน้าที่เป็นเวิร์กสเตชันประเภทไคลเอนต์ กล่าวคือ จะดำเนินการ การเชื่อมต่อ SSH หนึ่งทีมขึ้นไป เซิร์ฟเวอร์ที่มี SSH.
รายการตัวเลือกและพารามิเตอร์ที่มีอยู่
ด้านล่างนี้คือตัวเลือกหรือพารามิเตอร์บางส่วนที่มีอยู่ใน ไฟล์กำหนดค่า "การกำหนดค่า SSH" (ssh_config)ซึ่งสามารถใช้ในคำสั่งต่างๆ ได้ เช่น “ตัวเลือก ssh -o…”.
เจ้าภาพ/การแข่งขัน
ตัวเลือกหรือพารามิเตอร์นี้ระบุภายในไฟล์การกำหนดค่าไคลเอ็นต์ SSH (ssh_config) ว่าการประกาศต่อไปนี้ (ขึ้นอยู่กับโฮสต์หรือตัวเลือกการจับคู่หรือพารามิเตอร์ถัดไป) ถูกจำกัด ระบุไว้) เพื่อให้ใช้ได้เฉพาะกับโฮสต์ที่ตรงกับรูปแบบใดรูปแบบหนึ่งที่ให้ไว้หลังคำหลัก
กล่าวคือสิ่งนี้ option ทำหน้าที่เป็นตัวแบ่งส่วนภายในไฟล์ เช่นเดียวกับตัวเลือก Match ดังนั้น ทั้งสองสามารถทำซ้ำได้หลายครั้งในไฟล์ การตั้งค่า และค่าของมันสามารถเป็นรายการของรูปแบบซึ่งกำหนดตัวเลือกที่ตามมาเพื่อ นำไปใช้กับการเชื่อมต่อที่ทำกับโฮสต์ที่เป็นปัญหา
ความคุ้มค่า * มันหมายความว่า "ทั้งหมด เจ้าภาพ” ในขณะที่จับคู่ค่า “ทั้งหมด” ทำเช่นเดียวกัน และหากมีมากกว่าหนึ่งรูปแบบ จะต้องคั่นด้วยช่องว่าง อินพุตรูปแบบสามารถลบล้างได้โดยนำหน้าด้วยเครื่องหมายอัศเจรีย์ ('!') ดังนั้นการจับคู่ที่ถูกปฏิเสธจะมีประโยชน์ในการให้ข้อยกเว้นสำหรับการจับคู่แบบไวด์การ์ด
ที่อยู่ครอบครัว
ให้คุณระบุประเภท (ตระกูล) ของที่อยู่ที่จะใช้เมื่อเชื่อมต่อ อาร์กิวเมนต์ที่ถูกต้องคือ: any (ค่าเริ่มต้น), inet (ใช้เฉพาะ IPv4) หรือ inet6 (ใช้เฉพาะ IPv6)
โหมดแบทช์
อนุญาตให้คุณปิดใช้งานข้อความแจ้งรหัสผ่านและข้อความยืนยันคีย์โฮสต์ในการโต้ตอบกับผู้ใช้ หากคุณตั้งค่าอาร์กิวเมนต์หรือค่า "ใช่" ตัวเลือกนี้มีประโยชน์ในสคริปต์และงานแบตช์อื่นๆ ที่ไม่มีผู้ใช้อยู่เพื่อโต้ตอบกับ SSH อาร์กิวเมนต์ต้องเป็น "ใช่" หรือ "ไม่ใช่" โดยที่ "ไม่" เป็นค่าเริ่มต้น
พารามิเตอร์นี้อนุญาตให้คุณระบุว่า SSH ควรยุติการเชื่อมต่อหรือไม่ หากไม่สามารถกำหนดค่าการส่งต่อพอร์ตไดนามิก ทันเนล โลคัล และรีโมตที่ร้องขอทั้งหมด
ส่งต่อตัวแทน
พารามิเตอร์นี้อนุญาตให้คุณระบุว่าการเชื่อมต่อกับตัวแทนการตรวจสอบความถูกต้อง (ถ้ามี) จะถูกส่งต่อไปยังเครื่องระยะไกลหรือไม่ อาร์กิวเมนต์สามารถเป็น "ใช่" เนื่องจาก "ไม่" เป็นค่าเริ่มต้น และควรเปิดใช้งานการส่งต่อตัวแทนด้วยความระมัดระวัง เนื่องจากผู้ใช้ที่มีความสามารถในการข้ามการอนุญาตไฟล์บนรีโมตโฮสต์สามารถเข้าถึงตัวแทนภายในผ่านการเชื่อมต่อที่ส่งต่อ
ส่งต่อX11
มีการระบุว่าการเชื่อมต่อ X11 จะถูกเปลี่ยนเส้นทางโดยอัตโนมัติผ่านช่องทางที่ปลอดภัยและชุด DISPLAY อาร์กิวเมนต์สามารถเป็น "ใช่" เนื่องจาก "ไม่" เป็นค่าเริ่มต้น
ส่งต่อ X11
ที่นี่คุณตั้งค่าเป็นใช่ว่าไคลเอนต์ X11 ระยะไกลใดจะสามารถเข้าถึงจอแสดงผล X11 ดั้งเดิมได้อย่างสมบูรณ์ กล่าวคือ หากตั้งค่าตัวเลือกนี้เป็น "ใช่" ไคลเอนต์ X11 ระยะไกลจะสามารถเข้าถึงหน้าจอ X11 ดั้งเดิมได้อย่างสมบูรณ์ ในขณะที่ใช่ฉันถูกตั้งค่าเป็นไม่ (ค่าเริ่มต้น) ไคลเอนต์ X11 ระยะไกลจะถือว่าไม่น่าเชื่อถือและจะถูกป้องกันจากการขโมยหรือดัดแปลงข้อมูลที่เป็นของไคลเอนต์ X11 ที่เชื่อถือได้
HashKnownHosts
ใช้เพื่อบอกให้ SSH แฮชชื่อโฮสต์และที่อยู่เมื่อมีการเพิ่มลงใน ~/.ssh/known_hosts เพื่อให้ชื่อที่เข้ารหัสเหล่านี้สามารถใช้งานได้ตามปกติโดย ssh และ sshd แต่ไม่ต้องเปิดเผยข้อมูลระบุตัวตน ในกรณีที่มีการเปิดเผยเนื้อหาของไฟล์
GSSAPIการตรวจสอบสิทธิ์
ใช้เพื่อระบุภายใน SSH ว่าจะอนุญาตการตรวจสอบสิทธิ์ผู้ใช้แบบ GSSAPI หรือไม่ โดยทั่วไป GSSAPI จะใช้สำหรับการตรวจสอบสิทธิ์ Kerberos เช่น กับ Active Directory
ส่งEnv
ใช้เพื่อระบุว่าควรส่งตัวแปรสภาพแวดล้อมภายในเครื่องใดไปยังเซิร์ฟเวอร์ เพื่อให้ทำงานได้อย่างถูกต้อง เซิร์ฟเวอร์ยังต้องสนับสนุน รวมทั้งกำหนดค่าให้ยอมรับตัวแปรสภาพแวดล้อมเหล่านี้ ตัวแปรถูกระบุตามชื่อ ซึ่งสามารถมีอักขระตัวแทนได้ นอกจากนี้ ตัวแปรสภาพแวดล้อมหลายตัวสามารถคั่นด้วยช่องว่างหรือกระจายหลายรายการได้ คำสั่งประเภทนี้ (SendEnv)
ข้อมูลเพิ่มเติม
และในงวดที่สี่นี้ถึง ขยายข้อมูลนี้ และศึกษาตัวเลือกและพารามิเตอร์แต่ละรายการที่มีอยู่ใน ไฟล์กำหนดค่า "การกำหนดค่า SSH" (ssh_config)เราขอแนะนำให้สำรวจลิงก์ต่อไปนี้: ไฟล์การกำหนดค่า SSH สำหรับไคลเอนต์ OpenSSH y คู่มือ OpenSSH อย่างเป็นทางการ, เป็นภาษาอังกฤษ. และเช่นเดียวกับในสามงวดที่แล้ว สำรวจต่อไปนี้ เนื้อหาอย่างเป็นทางการ และออนไลน์ที่น่าเชื่อถือเกี่ยวกับ SSH และ OpenSSH:
- Debian Wiki
- คู่มือผู้ดูแลระบบ Debian: Remote Login / SSH
- คู่มือการรักษาความปลอดภัย Debian: บทที่ 5. การรักษาความปลอดภัยบริการที่ทำงานบนระบบของคุณ
ข้อมูลอย่างย่อ
ในระยะสั้นงวดใหม่นี้บน "การเรียนรู้ SSH" แน่นอนว่าเนื้อหาที่อธิบายจะเป็นส่วนเสริมที่ยอดเยี่ยมสำหรับสิ่งพิมพ์ก่อนหน้า ที่เกี่ยวข้องกับ OpenSSH. ในลักษณะนี้เพื่อดำเนินการ การเชื่อมต่อระยะไกลที่ดีและซับซ้อนยิ่งขึ้น. และวิ่ง การตั้งค่าที่ปลอดภัยและเชื่อถือได้มากขึ้นโดยใช้โปรโตคอลการเชื่อมต่อระยะไกลและปลอดภัยดังกล่าว
หากคุณชอบโพสต์นี้อย่าลืมแสดงความคิดเห็นและแบ่งปันกับผู้อื่น และอย่าลืมเยี่ยมชม .ของเรา «หน้าแรก» เพื่อสำรวจข่าวสารเพิ่มเติมรวมทั้งเข้าร่วมช่องทางการของเราที่ โทรเลขของ DesdeLinux, ตะวันตก กลุ่ม สำหรับข้อมูลเพิ่มเติมในหัวข้อของวันนี้