Utilitaire de ligne de commande ssh

Syntaxe : ssh [options] [utilisateur@]nomhôte [commande hôte]

Vous pouvez utiliser l'utilitaire de ligne de commande ssh pour établir des connexions Secure Shell à partir de la ligne de commande de Windows.

REMARQUE :

  • Certains produits Micro Focus proposent un utilitaire ssh2. ssh et ssh2 peuvent être utilisés pour établir des connexions Secure Shell mais avec quelques différences dans les options. Le client ssh est recommandé. Les options ssh2 sont compatibles avec le client Reflection for Secure IT UNIX et le client F-Secure. Consultez l'aide de la ligne de commande (ssh2 -h) pour obtenir une description des options disponibles avec ssh2.

  • Vous pouvez réutiliser une connexion Secure Shell existante. Pour cela, vous devez toutefois l'activer manuellement sur chaque ligne de commande ou définir la variable d'environnement SSHConnectionReUse sur Yes. Pour plus de détails, reportez-vous à Réutilisation de connexion dans les sessions Secure Shell.

Options

-Un fichier

Active le transfert d'agent. Peut également être spécifiée pour chaque hôte dans un fichier de configuration. Le transfert d'agent(s) doit être activé avec circonspection. En effet, les utilisateurs ayant la capacité de contourner les permissions de fichiers sur l'hôte distant peuvent accéder à l'agent local par l'intermédiaire de la connexion transférée. Des attaquants ne peuvent pas obtenir d'informations sur la clé auprès de l'agent, mais ils peuvent cependant exécuter certaines opérations sur les clés qui leur permettront de s'authentifier grâce aux identités chargées dans l'agent.

-a

Désactive le transfert d'agent. (Il s'agit de la valeur par défaut.)

-b adresse_liée

Indiquez l'interface de transmission sur les ordinateurs à interfaces multiples ou avec plusieurs alias.

-c spécification_chiffrement

Liste des chiffrements séparés par des virgules et indiqués dans l'ordre de préférence. La valeur par défaut est « aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour ». Si la connexion est configurée pour s'exécuter en mode FIPS, la valeur par défaut est « aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc ».

La version 1 du protocole (dépassée et déconseillée) permet d'indiquer un seul chiffrement. Les valeurs prises en charge sont « 3des », « blowfish » et « des ».

-C

Active la compression de toutes les données transmises. La compression est une bonne option sur les lignes modem et autres connexions lentes, mais ne fera que ralentir le débit de réponse sur les réseaux rapides.

-e caractère_échappement

Définit le caractère d'échappement pour la session terminal. La valeur par défaut est le tilde (~). Attribuer la valeur « none » signifie qu'aucun caractère d'échappement n'est disponible et que le tilde agit comme tout autre caractère. Les séquences d'échappement suivantes sont disponibles. (Remplacez le tilde par votre caractère d'échappement.)

  • ~. Met fin à la connexion.
  • ~R Redemande la clé (SSH version 2 uniquement).
  • ~# Liste les connexions transférées.
  • ~? Affiche les séquences d'échappement disponibles.
  • ~~ Entre le caractère d'échappement deux fois pour l'envoyer à l'hôte.
-E fournisseur

Utilise le fournisseur spécifié comme fournisseur de clés externe.

-f

Place le client en arrière-plan juste avant l'exécution de la commande.

-F fichier_config

Indique un fichier de configuration à utiliser pour cette connexion. Si un fichier de configuration est indiqué sur la ligne de commande, tout autre fichier de configuration est ignoré.

-g

Active les passerelles. Permet à des hôtes distants de se connecter à des ports transférés en local.

-h

Affiche le récapitulatif des options de ligne de commande.

-H schéma

Indique le schéma de configuration SSH à utiliser pour cette connexion.

-i fichier_clé

Indique la clé privée à utiliser pour l'authentification par clé. Les fichiers de clé peuvent également être spécifiés pour chaque hôte dans le fichier de configuration. Il est possible d'avoir plusieurs options -i (et plusieurs clés spécifiées dans un fichier de configuration). Utilisez des guillemets si le fichier ou le chemin contient des espaces.

-k répertoire

Indique un autre emplacement pour les fichiers de configuration, de clés hôte et de clés utilisateur. Remarque : Lorsque -k est utilisé, les clés d'hôte sont lues et écrites à partir de l'emplacement indiqué, uniquement si un fichier d'hôtes connus existe déjà à cet emplacement. Si aucun fichier d'hôtes connus n'est trouvé, les clés d'hôte sont lues et écrites dans le fichier d'hôtes connus à l'emplacement par défaut.

-l nom_ouverture de session

Indique un nom à utiliser pour l'ouverture de session sur l'ordinateur distant. Peut également être spécifiée dans le fichier de configuration.

-L portlocal:hôtedistant:porthôte

Redirige les données du port local indiqué vers l'hôte et le port distants indiqués via le tunnel sécurisé. Transfert de port(s) local. Le transfert de port peut également être spécifié dans un fichier de configuration. Vous ne pouvez pas transférer de ports avec privilèges (portant un numéro inférieur à 1024) à moins d'avoir ouvert une session en tant qu'administrateur. Les adresses IPv6 peuvent être spécifiées à l'aide de la syntaxe suivante : port/host/hostport.

-m spécification_macc

Indique un ou plusieurs algorithmes MAC (Message Authentication Code) séparés par des virgules à utiliser avec cette connexion. Indique les algorithmes par ordre de préférence. La valeur par défaut est « hmac-sha1,hmac-sha256,hmac-sha512,hmac-md5,hmac-ripemd160,hmac-sha1-96,hmac-md5-96 ». Si la connexion est configurée pour être exécutée en mode FIPS, la valeur par défaut est « hmac-sha1,hmac-sha256,hmac-sha512 ».

-N

N'exécute aucune commande distante. Cette option est utile pour la configuration du transfert de port. (version 2 du protocole uniquement).

-o option

Définit toute option prise en charge par le fichier de configuration. Par exemple :

ssh "-o FIPSMode=yes" myuser@myhost
-p port

Spécifie le port auquel se connecter sur le serveur. La valeur par défaut est 22. Elle correspond au port standard pour les connexions Secure Shell. Peut être spécifiée pour chaque hôte dans le fichier de configuration.

-q

Active le mode silencieux qui entraîne la suppression de tous les messages d'avertissement et de diagnostic, y compris les indicatifs.

-R portlocal:hôtedistant:porthôte

Redirige les données du port distant spécifié (sur l'ordinateur exécutant le serveur Secure Shell) vers l'hôte et le port de destination indiqués, via le tunnel sécurisé. Transfert de port distant. Le transfert de port peut également être spécifié dans un fichier de configuration. Vous ne pouvez pas transférer de ports avec privilèges (portant un numéro inférieur à 1024) à moins d'avoir ouvert une session en tant qu'administrateur. Les adresses IPv6 peuvent être spécifiées à l'aide de la syntaxe suivante : port/host/hostport.

-S

N'exécute pas un shell.

-t

Force « tty allocation » même si une commande est spécifiée.

-T

Désactive « pseudo-tty allocation ».

-v

Active le mode détaillé pour le débogage, ce qui équivaut à définir le niveau de débogage sur 2.

-V

Affiche le nom de produit, la version et ferme l'utilitaire. Si d'autres options sont spécifiées sur la ligne de commande, elles sont ignorées.

-x

Disables X11 connection forwarding.

-X

Active le transfert de connexion X11 et traite les clients X11 comme non approuvés. Il n'est pas possible pour les clients X11 distants non approuvés de modifier les données des clients X11 approuvés.

Le transfert X11 doit être activé avec circonspection. En effet, les utilisateurs ayant la capacité de contourner les permissions de fichiers sur l'hôte distant (pour atteindre la base de données d'autorisation X de l'utilisateur) peuvent accéder au client X11 local par l'intermédiaire de la connexion transférée. Un attaquant serait ainsi en mesure d'effectuer diverses activités telles que l'enregistrement des touches utilisées.

-Y

Active le transfert de connexion X11 et traite les clients X11 comme approuvés.

Le transfert X11 doit être activé avec circonspection. En effet, les utilisateurs ayant la capacité de contourner les permissions de fichiers sur l'hôte distant (pour atteindre la base de données d'autorisation X de l'utilisateur) peuvent accéder au client X11 local par l'intermédiaire de la connexion transférée. Un attaquant serait ainsi en mesure d'effectuer diverses activités telles que l'enregistrement des touches utilisées.

-1

Force ssh à n'essayer que la version 1 de SSH. La version 1 du protocole est dépassée et déconseillée.

-2

Force ssh à n'essayer que la version 2 de SSH.

-4

Force l'utilisation d'adresses IPv4 uniquement.

-6

Force l'utilisation d'adresses IPv6 uniquement