Elenco di riferimento delle parole chiave dei file di configurazione - Impostazioni di Secure Shell
Se viene modificato manualmente il file di configurazione di Secure Shell, utilizzare questo elenco di riferimento. Il file di configurazione è suddiviso in sezioni, ciascuna indicata da una parola chiave Host. Ogni sezione contiene le impostazioni di Secure Shell da utilizzare per tutte le connessioni effettuate mediante l'host o lo schema di configurazione di SSH specificato.
Il file di configurazione è costituito da parole chiave seguite da valori. Le opzioni di configurazione possono essere separate da uno spazio vuoto o da uno spazio vuoto opzionale e un unico segno di uguale (=). Per le parole chiave non viene applicata la distinzione tra lettere maiuscole e minuscole, al contrario degli argomenti.
Le righe che iniziano con un simbolo di cancelletto (#
) sono commenti. Le righe vuote vengono ignorate.
nota
Gli elementi dell'elenco configurano funzioni che vengono applicate alla connessione Secure Shell. Sono disponibili ulteriori parole chiave per la configurazione dell'emulazione del terminale nelle sessioni della riga di comando ssh. Le informazioni di riferimento relative a queste parole chiave sono disponibili in Elenco di riferimento delle parole chiave dei file di configurazione - Impostazioni di emulazione del terminale.
AddAuthKeyToAgent
Questa impostazione determina la gestione dell'autenticazione della chiave pubblica da parte del client quando ForwardAgent è impostata su 'yes'. Quando viene effettuata l'autenticazione della chiave pubblica al server e sia ForwardAgent che AddAuthKeyToAgent sono impostate su yes, la chiave o il certificato utilizzato per l'autenticazione viene automaticamente aggiunto all'Agente di gestione chiavi. Questa chiave non viene salvata nell'Agente di gestione chiavi ma rimane disponibile fino a quando l'Agente di gestione chiavi è in esecuzione. Quando AddAuthKeyToAgent è impostata su no (impostazione predefinita), chiavi e certificati non vengono aggiunti automaticamente all'Agente di gestione chiavi e vengono utilizzate solo le chiavi importate manualmente.
AgentEnumCertsAs
Questa impostazione consente al client di scegliere quale utilizzare. Se è selezionata l'opzione both (entrambi), l'enumerazione mette a disposizione sia il certificato che la chiave come opzioni separate. Se è selezionata l'opzione certs (certificati), la firma viene richiesta solo mediante il certificato. Se è selezionata l'opzione keys (chiavi) ed è richiesta una firma mediante una chiave contenuta in un certificato, l'agente utilizza solo la chiave. L'ordine in cui vengono fornite le opzioni viene determinato in base alla connessione iniziale. Ad esempio, se si effettua la connessione utilizzando solo una chiave, l'inoltro dell'agente enumera prima la chiave e successivamente il certificato.
Questi valori sono stati ottimizzati per i tipi di server in base agli algoritmi e ai tipi di chiave attualmente supportati. Valori di ottimizzazione disponibili = sunssh, openvms, openssh, pkix e rsit
AuthUseAllKeys
Questa impostazione determina la gestione dell'autenticazione della chiave pubblica da parte del client. Se impostata su no (impostazione predefinita), il client cerca di autenticare solo le chiavi specificate utilizzando la parola chiave IdentityFile. Se impostata su yes, il client cerca di effettuare l'autenticazione utilizzando tutte le chiavi pubbliche disponibili.
BatchMode
Specifica se disattivare o meno tutte le richieste di input da parte dell'utente, comprese le richieste di password e passphrase; questa parola chiave è utile nell'uso di script e processi batch. I valori consentiti sono yes e no. Il valore predefinito è no.
nota
Questa parola chiave non disattiva le richieste di input da parte dell'utente quando è configurata l'autenticazione interattiva tramite la tastiera; tuttavia, quando BatchMode è attivata, le connessioni che utilizzano la tastiera interattiva non vengono eseguite.
BindAddress
Specifica l'interfaccia da cui trasmettere su computer dotati di più interfacce o indirizzi in forma di alias.
CheckHostIP
Se questo flag è impostato su yes, il client Secure Shell verifica anche l'indirizzo IP dell'host nel file known_hosts
oltre a verificare la chiave pubblica dell'host. La connessione viene permessa solo se l'IP dell'host nell'elenco degli host noti corrisponde all'indirizzo IP che si sta utilizzando per la connessione. Il valore predefinito è no. Nota: questa impostazione non ha effetto se StrictHostKeyChecking = no.
CheckHostPort
Se questo flag è impostato su yes, il client Secure Shell verifica anche la porta host nel file known_hosts
oltre a verificare la chiave pubblica dell'host. La connessione viene permessa solo se la porta dell'host nell'elenco degli host noti corrisponde alla porta che si sta utilizzando per la connessione. Il valore predefinito è no. Nota: questa impostazione non ha effetto se StrictHostKeyChecking = no.
Ciphers
Specifica in ordine di preferenza le crittografie consentite per la versione 2 del protocollo. Per utilizzare più crittografie, è necessario inserire virgole di separazione. L'impostazione di default è "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour".
ClearAllForwardings
Elimina tutte le porte di inoltro locale, remoto o dinamico già utilizzate da un file di configurazione o dalla riga di comando. Nota: scp e sftp azzerano automaticamente tutte le porte inoltrate, a prescindere dal valore di questa impostazione. I valori consentiti sono yes e no. Il valore predefinito è no.
Compressione
Specifica se la compressione è attivata. L'uso della compressione è preferibile su linee modem e su altre connessioni lente, mentre nelle reti veloci rallenta i tempi di risposta. La compressione inoltre aggiunge ulteriore casualità al pacchetto per impedire la decrittografia dello stesso da parte di persone non autorizzate. I valori consentiti sono yes e no. Il valore predefinito è no.
ConnectionAttempts
Specifica il numero di tentativi (uno al secondo) da effettuare prima di chiudere. L'argomento deve essere un numero intero. Può rivelarsi utile negli script quando in certi casi la connessione non viene stabilita. Il valore di default è 1.
ConnectionReuse
Specifica se più sessioni di connessione allo stesso host riutilizzano la connessione Secure Shell originale e pertanto non richiedono una riautenticazione. L'argomento deve essere yes o no. Se è impostato su yes, le nuove connessioni riutilizzano il tunnel esistente quando il nome dell'host, il nome dell'utente e lo schema di configurazione di SSH (se utilizzato) coincidono. Se è impostato su no, il client stabilisce una nuova connessione per ciascuna sessione, ossia ciascuna nuova connessione ripete la procedura di autenticazione e inoltre applica qualsiasi impostazione specifica della connessione che sia stata modificata, ad esempio, gli inoltri e le crittografie. Il valore predefinito è yes se viene utilizzata la finestra del client per stabilire le connessioni. È impostato su no se vengono utilizzate le utilità della riga di comando per stabilire le connessioni. Per i dettagli, vedere Riutilizzo delle connessioni nelle sessioni Secure Shell.
ConnectTimeout
Specifica il tempo massimo (in secondi) di attesa del client quando tenta di completare la connessione al server. Il timer viene avviato quando la connessione è stabilita (prima dell'accesso) e viene eseguito durante la negoziazione delle impostazioni, lo scambio delle chiavi dell'host e l'autenticazione. Per tutti gli scopi pratici, il periodo misurato è sostanzialmente il tempo delle attività di autenticazione. L'impostazione di default è 120.
DisableCRL
Specifica se deve essere eseguito il controllo CRL (Certificate Revocation List) quando si convalidano i certificati dell'host. Impostando questa opzione su yes, il controllo CRL (Certificate Revocation List, Elenchi di revoche di certificati) viene disattivato. Il valore predefinito di questa impostazione si basa sull'impostazione attuale di sistema per il controllo CRL. Per visualizzare e modificare le impostazioni di sistema, aprire la finestra di dialogo Opzioni Internet dal menu di avvio e accedere alla scheda Avanzate. Nella sezione Sicurezza, disabilitare l'impostazione Verifica revoca dei certificati del server.
DynamicForward
Specifica l'inoltro di una porta TCP/IP di un computer locale tramite un canale protetto per fare in modo che il protocollo dell'applicazione venga utilizzato per determinare la destinazione della connessione dal computer remoto. L'argomento deve essere un numero di porta. Attualmente viene supportato il protocollo SOCKS4 e il client Secure Shell funge da server SOCKS4. È possibile specificare più inoltri e indicare inoltri aggiuntivi dalla riga di comando. Le porte privilegiate possono essere inoltrate soltanto da utenti con privilegi amministrativi.
EscapeChar
Imposta il carattere escape (valore predefinito: ~). Il carattere escape può inoltre essere impostato dalla riga di comando. L'argomento deve essere costituito da un unico carattere ^ seguito da una lettera, oppure da none per disattivare completamente il carattere escape (e rendere la connessione trasparente per i dati binari).
FipsMode
Se impostata su yes, le connessioni devono essere effettuate mediante l'uso di protocolli e algoritmi di protezione conformi allo standard FIPS (Federal Information Processing Standard) 140-2 del governo statunitense. Le opzioni non conformi a questo tipo di standard non sono disponibili nella sezione Crittografia.
nota
Questa impostazione viene applicata allo schema di configurazione SSH specificato dalla parola chiave Host e non produce effetti sulle successive sessioni Secure Shell, a meno che non vengano configurate in modo da utilizzare lo stesso schema di configurazione di SSH (o nome dell'host).
ForwardAgent
Impostare questa opzione su yes per attivare l'inoltro della connessione dell'agente di gestione chiavi. Attivare l'inoltro dell'agente con cautela. Gli utenti dotati della capacità di ignorare la richiesta di permessi dei file sull'host remoto (per il socket di dominio Unix dell'agente) sono in grado di accedere all'agente locale tramite la connessione inoltrata. Gli intrusi non possono ottenere materiale relativo alle chiavi dall'agente; tuttavia, possono eseguire operazioni sulle chiavi che permettono di ottenere l'autenticazione utilizzando le identità caricate sull'agente. Potrebbe essere necessario attivare anche queste sul server. Il valore predefinito è no.
ForwardX11
Specifica se le connessioni X11 devono essere reindirizzate automaticamente tramite il canale e il gruppo DISPLAY protetto. L'argomento deve essere yes o no. Il valore predefinito è no. Nota: se si configura Secure Shell mediante Reflection X, vedere ForwardX11ReflectionX.
ForwardX11ReflectionX
Questa impostazione è utilizzata quando si configurano le connessioni Secure Shell per Reflection X (a partire dalla versione 14.1). Specifica se le connessioni X11 devono essere reindirizzate automaticamente tramite il canale e il gruppo DISPLAY protetto. L'argomento deve essere yes o no. Il valore predefinito è yes.
GatewayPorts
Specifica se gli host remoti sono autorizzati a connettersi alle porte inoltrate locali. Per impostazione predefinita, il client Secure Shell associa gli inoltri porta locale all'indirizzo di loopback. In questo modo si impedisce agli altri host remoti di connettersi alle porte inoltrate. GatewayPorts può essere utilizzato per specificare che il client Secure Shell deve associare gli inoltri porta locale all'indirizzo rappresentato da caratteri jolly, in modo da consentire agli host remoti la connessione alle porte inoltrate. L'attivazione di questa impostazione deve essere utilizzata con prudenza. Il suo impiego può ridurre la protezione della rete e della connessione perché può consentire agli host remoti l'uso della porta inoltrata nel sistema senza alcuna autenticazione. L'argomento deve essere yes o no. Il valore predefinito è no.
GlobalKnownHostsFile
Specifica un file da utilizzare per il database delle chiavi host globali al posto del file predefinito denominato ssh_known_hosts
contenuto nella cartella dei dati comuni delle applicazioni di Windows.
nota
Racchiudere il nome file tra virgolette se una parte del percorso o del nome file contiene spazi.
GssapiAuthentication
Specifica se deve essere utilizzata l'autenticazione GSSAPI per autenticare un KDC di Questa impostazione è valida solo se si utilizza la versione 2 del protocollo.
GssapiDelegateCredentials
Specifica se deve essere utilizzato GSSAPI per inoltrare il ticket di concessione ticket (krbtgt) all'host. Questa impostazione è valida solo se si utilizza la versione 2 del protocollo.
GssapiUseSSPI
Specifica se deve essere utilizzata l'interfaccia SSPI (Security Support Provider Interface) di Microsoft per l'autenticazione GSSAPI. Questa impostazione è applicabile solo se è abilitata l'autenticazione GSSAPI (con l'utilizzo di GssapiAuthentication per il protocollo versione 2). L'argomento di questa parola chiave deve essere yes o no. Se l'argomento è impostato su no, il client Secure Shell utilizza l'autenticazione GSSAPI. Se l'argomento è impostato su yes, il client Secure Shell utilizza le credenziali di login al dominio di Windows (SSPI) per autenticare il server Secure Shell. SSPI è supportato soltanto per le connessioni della versione 2 del protocollo e il server deve essere in grado di supportare il metodo di autenticazione GSSAPI-with-mic. Il valore predefinito è yes.
GssServicePrincipal
Specifica un nome principale del servizio non predefinito da utilizzare quando il client invia una richiesta di ticket di servizio al centro distribuzione chiave (KDC). Se è stato selezionato SSPI per il provider GSSAPI, è possibile utilizzare questa impostazione per specificare un nome principale del servizio in un'area di autenticazione diversa dal dominio di Windows. Utilizzare un nome dell'host completo seguito dal simbolo @ e dal nome dell'area di autenticazione, ad esempio miohost.miaareaautenticazione.com@MIAAREAAUTENTICAZIONE.COM
(per impostazione predefinita, il valore del nome dell'host è il nome del server Secure Shell a cui viene eseguita la connessione, mentre l'area di autenticazione dipende dal valore di GssapiUseSSPI. Se GssapiUseSSPI è impostato su no, il nome dell'area di autenticazione viene specificato nel profilo del nome principale predefinito. Se GssapiUseSSPI è impostato su yes, il nome dell'area di autenticazione è il nome del dominio di Windows.
Host
Identifica le dichiarazioni successive (fino alla parola chiave Host successiva) come appartenenti allo schema di configurazione di SSH specificato. I caratteri '' e '?' possono essere utilizzati come caratteri jolly. È possibile utilizzare un unico carattere '' come modello per fornire valori predefiniti globali per tutti gli host. Le connessioni client utilizzano la prima occorrenza di stringa Host corrispondente (compresi i caratteri jolly). Le corrispondenze successive vengono ignorate.
nota
Quando si chiude la finestra di dialogo Impostazioni Secure Shell, i valori che mantengono le impostazioni predefinite non vengono salvati nel file di configurazione. Se un valore predefinito è stato aggiunto manualmente al file, verrà rimosso quando si chiude la finestra di dialogo. Ciò impone dei vincoli progettuali se si utilizzano sezioni host con caratteri jolly in combinazione con sezioni in cui si utilizzano i nomi specifici degli host.
Se è stato configurato manualmente un valore predefinito in una specifica sezione host allo scopo di ignorare un valore configurato in una sezione con caratteri jolly, l'impostazione predefinita viene rimossa quando si apre la finestra di dialogo Impostazioni Secure Shell per visualizzare le impostazioni dello schema di configurazione SSH specifico dell'host. È possibile gestire questa situazione utilizzando il file di configurazione globale, che non viene aggiornato quando gli utenti aprono e chiudono la finestra di dialogo Impostazioni Secure Shell.
HostKeyAlgorithms
Specifica in ordine di preferenza gli algoritmi delle chiavi dell'host utilizzati dal client. L'impostazione predefinita per questa opzione è: x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256, ssh-rsa-sha2-256\@attachmate.com, ssh-rsa,ssh-dss.
Questa impostazione si rivela utile quando il server è configurato per l'autenticazione della chiave dell'host sia con certificato che standard. Il valore predefinito presenta algoritmi x509 prima dei normali algoritmi con chiave SSH. Il protocollo SSH consente soltanto un tentativo di autenticazione dell'host. (Questa funzione è diversa dall'autenticazione dell'utente, nella quale vengono supportati più tentativi di autenticazione.) Se l'host presenta un certificato e il client non è configurato per l'autenticazione dell'host mediante certificati, la connessione non viene eseguita quando sono preferiti gli algoritmi x509. In questa situazione è possibile configurare il client in modo che preferisca le chiavi SSH rispetto ai certificati modificando l'ordine di preferenza in ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss.
Valori disponibili: ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-ecdsa-sha2-nistp521,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss
HostKeyAlias
Specifica un alias da utilizzare al posto del nome dell'host effettivo nei casi in cui è necessario consultare o salvare la chiave dell'host nei file di database delle chiavi dell'host. Questa opzione si rivela utile nel tunneling delle connessioni ssh o per più server eseguiti su un singolo host.
IdentityFile
Specifica una chiave privata da utilizzare nell'autenticazione con chiave. I file sono contenuti nella cartella .ssh dell'utente. (\Utenti\nome_utente\Documenti\Micro Focus\nome-prodotto\.ssh\
). Gli elementi di IdentityFile vengono aggiunti quando vengono selezionate chiavi o certificati dall'elenco riportato nella scheda User Keys (Chiavi utente) della finestra di dialogo Impostazioni Secure Shell. Nei file di configurazione possono essere specificati più file di identità; l'uso di tutte queste identità viene tentato in sequenza.
nota
Se il percorso completo contiene spazi, racchiuderlo tra virgolette.
KbdInteractiveAuthentication
Specifica se utilizzare l'autenticazione interattiva tramite la tastiera. I valori consentiti sono yes e no. Il valore predefinito è yes. Questo metodo di autenticazione è raccomandato nel caso in cui venga utilizzata l'autenticazione PAM SecurID o un altro metodo di autenticazione esterno che necessita di richieste dal server e risposte dall'utente. Può inoltre rivelarsi più efficace del metodo PasswordAuthentication per l'autenticazione con password sugli host in cui è attivata la scadenza della password o la modifica della password al primo accesso. Può infine essere richiesto per l'autenticazione con password quando le password scadute devono essere reimpostate per consentire una corretta autenticazione. Questo metodo viene applicato soltanto alla versione 2 del protocollo SSH.
KeepAlive
Specifica se il sistema deve inviare messaggi Keep Alive TCP all'altra estremità della connessione. Se vengono inviati, viene rilevato l'arresto anomalo della connessione o di uno dei computer. Il valore predefinito è yes (ossia, è attivato l'invio di messaggi keepalive), pertanto il client viene abilitato al rilevamento dell'arresto anomalo della rete o dell'host remoto. Si tratta di una funzione importante nell'uso degli script ed è utile per gli utenti. Tuttavia, ciò significa che le connessioni si arrestano anche in caso di interruzione temporanea del routing, con conseguente possibile disagio per gli utenti. Per disattivare i messaggi keepalive, impostare il valore su no. Questa parola chiave attiva l'impostazione keepalive TCP di Windows, la quale per impostazione predefinita invia messaggi keepalive ogni due ore. L'invio di messaggi keepalive TCP/IP può essere configurato mediante l'uso di due pentametri opzionali normalmente non presenti nel Registro di sistema di Windows: KeepAliveTime e KeepAliveInterval. Questi elementi sono configurati nella sottostruttura HKEY_LOCAL_MACHINE
del Registro di sistema, nella seguente posizione:
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Per informazioni sull'impostazione di questi parametri, fare riferimento all'articolo 120642 della Microsoft Knowledge Base.
KexAlgorithms
Specifica gli algoritmi per lo scambio delle chiavi supportati dal client e l'ordine di preferenza. I valori supportati sono 'ecdh-sha2-nistp256', 'ecdh-sha2-nistp384', 'ecdh-sha2-nistp521', 'diffie-hellman-group18-sha512', 'diffie-hellman-group16-sha512', 'diffie-hellman-group14-sha256', 'diffie-hellman-group1-sha1', 'diffie-hellman-group-exchange-sha1' e 'diffie-hellman-group14-sha1'. L'impostazione di default è 'ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1'.
LocalForward
Specifica l'inoltro di una porta TCP/IP di un computer locale tramite un canale protetto all'host e alla porta specificati sul computer remoto. È possibile specificare più inoltri. Le porte privilegiate possono essere inoltrate soltanto da utenti con privilegi amministrativi. È inoltre possibile configurare argomenti opzionali per l'inoltro FTP, la configurazione di un desktop remoto e l'avvio automatico di un file eseguibile (*.exe) dopo l'avvenuta connessione. La sintassi di questa parola chiave è:
LocalForward` portalocale host: portahost [FTP=0|1] [RDP=0|1] ["FileEseguibile" [args]]
Le opzioni sono:
portalocale | Numero di porta locale. |
host: portahost | Host remoto e porta su tale host. (È possibile specificare localhost per inoltrare i dati a una porta diversa sullo stesso host remoto su cui è già stata stabilita una connessione Secure Shell.) Gli indirizzi IPv6 possono essere specificati con una sintassi alternativa: host/port . |
FTP | Impostare su 1 se viene eseguito il tunneling del trasferimento di file FTP. |
RDP | Impostare su 1 se viene eseguito il tunneling di una sessione Desktop remoto. |
"FileEseguibile" | Specificare un file eseguibile (comprensivo di percorso completo, se richiesto) per fare in modo che il client avvii un'applicazione immediatamente dopo l'esecuzione della connessione Secure Shell. Per inoltrare dati tramite il tunnel protetto, è necessario configurare questa applicazione in modo che venga eseguita una connessione a localhost (o indirizzo IP di loopback, 127.0.0.1 ) mediante la portalocale specificata. |
Logfile
Specifica un file di registro da utilizzare per il debug. Tutto l'input e l'output della sessione viene scritto su questo file. Utilizzare questa parola chiave con l'opzione -o dell'utilità della riga di comando qui indicata:
-o Logfile=\percorso\ nome_fileregistro
nota
Racchiudere il nome file e il percorso tra virgolette se una parte del percorso o del nome file contiene spazi.
LogLevel
Specifica il livello di dettaglio utilizzato nella registrazione dei messaggi ricevuti dal client Secure Shell. I valori possibili sono: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 e DEBUG3. Il valore predefinito è INFO. DEBUG e DEBUG1 sono equivalenti. DEBUG2 e DEBUG3 specificano livelli più alti di dettaglio nell'output.
Macs
Specifica gli algoritmi MAC (Message Authentication Code) in ordine di preferenza. Gli algoritmi MAC vengono utilizzati nella versione 2 del protocollo per garantire la protezione dell'integrità dei dati. Per utilizzare più algoritmi è necessario inserire virgole di separazione. L'impostazione di default è: "hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-ripemd160, hmac-sha1-96, hmac-md5-96, hmac-sha512, hmac-sha2-512."
MatchHostName
Specifica se è necessaria la corrispondenza del nome dell'host quando si convalidano i certificati dell'host. Se l'impostazione è yes (valore predefinito), il nome dell'host configurato per la connessione deve corrispondere esattamente a un nome dell'host immesso nel campo CommonName o SubjectAltName del certificato.
Multihop
Configura connessioni multi-hop che possono essere utilizzate per stabilire connessioni protette tramite una serie di server SSH. Si tratta di una funzione utile se la configurazione di rete non consente un accesso diretto a un server remoto, ma solo tramite server intermedi.
La sintassi di questa parola chiave è:
Multihop porta_locale host: porta_host["SSH Config Scheme (Schema configurazione SSH)"]
Aggiungere una nuova riga Multi-hop per ogni server della serie. Ciascuna connessione nell'elenco viene inviata attraverso il tunnel creato mediante la connessione precedente.
Nell'esempio seguente, le connessioni SSH configurate sul ServerC effettuano prima la connessione al ServerA, quindi al ServerB e infine al ServerC.
Host ServerC
Multihop 2022 ServerA:22
Multihop 3022 ServerB:22
È possibile specificare opzionalmente uno schema di configurazione SSH per configurare le impostazioni di Secure Shell per qualsiasi host nella catena. Ad esempio:
Multihop 4022 mario@ServerA:22 "Multihop SchemaA"
Nodelay
Questa impostazione si occupa di un cambiamento eseguito da Microsoft che attiva l'algoritmo Nagle sui socket tcp di Windows per impostazione predefinita e può influire negativamente sulle prestazioni nelle connessioni Secure Shell. Impostando Nodelay su "yes" (impostazione predefinita) l'algoritmo viene disattivato migliorando le prestazioni sulla maggioranza dei sistemi.
NoShell
Quando NoShell è impostata su yes, il client crea un tunnel senza aprire una sessione del terminale. Questa opzione può essere utilizzata insieme a ConnectionReuse per creare un tunnel riutilizzabile da altre connessioni ssh.
nota
Questa opzione ha effetto sulle connessioni eseguite con l'utilità della riga di comando, non è previsto l'uso con l'interfaccia utente.
NumberOfPasswordPrompts
Specifica il numero di richieste di password prima di rinunciare alla connessione. L'argomento per questa parola chiave deve essere un numero intero. L'impostazione di default è 3.
PasswordAuthentication
Specifica se utilizzare l'autenticazione con password. I valori consentiti sono yes e no. Il valore predefinito è yes.
Porta
Specifica il numero di porta per la connessione all'host remoto. L'impostazione di default è 22.
PreferredAuthentications
Specifica l'ordine in cui il client deve tentare i metodi di autenticazione con la versione 2 del protocollo. Tale ordine corrisponde a quello (dall'alto al basso) in cui i metodi sono visualizzati nell'elenco User Authentication (Autenticazione utente) nella scheda Generale della finestra di dialogo Impostazioni Secure Shell. Questa impostazione consente al client di preferire un metodo (ad esempio, autenticazione interattiva tramite la tastiera) invece di un altro (ad esempio, autenticazione con password). Per impostazione predefinita, il client tenta l'autenticazione nel seguente ordine: "publickey,keyboard-interactive,password". Se è attivata l'autenticazione GSSAPI, il valore predefinito viene modificato come segue: "gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password".
nota
- Se si inserisce PreferredAuthentications nel file di configurazione, l'elenco specificato deve contenere tutti i metodi di autenticazione utilizzabili. Se PreferredAuthentications è presente ma non specifica un particolare metodo di autenticazione, il client non utilizza tale metodo di autenticazione, anche se la parola chiave per l'attivazione del metodo di autenticazione è configurata correttamente.
- L'inserimento di un metodo di autenticazione nell'elenco PreferredAuthentications non determina l'attivazione dell'autenticazione con tale metodo. Per attivare un metodo di autenticazione non utilizzato per impostazione predefinita, è necessario che anche la parola chiave del metodo di autenticazione sia configurata correttamente (ad esempio, per attivare l'autenticazione GSSAPI, è necessario impostare GssapiAuthentication su "yes").
PreserveTimestamps
Specifica se gli attributi dei file, data e ora vengono modificati quando i file vengono trasferiti da o verso il server. Quando questa parola chiave è impostata su no (impostazione predefinita), data, ora e attributi vengono modificati. Quando la parola chiave è impostata su yes, i file mantengono data, ora e attributi originali.
Protocollo
Il client Secure Shell supporta il protocollo 2, identificato come il valore 2.
Proxy
Specifica un tipo di proxy da utilizzare per le connessioni Secure Shell. I valori supportati sono "SOCKS" e "HTTP".
nota
L'utilizzo di proxy è attivato per ciascuna sezione Host che utilizza questa impostazione nel file di configurazione. L'indirizzo del server proxy viene memorizzato nel Registro di sistema di Windows in base all'utente.
PubkeyAlgorithms
Specifica in ordine di preferenza gli algoritmi delle chiavi che il client proporrà al server. Se il server è configurato per un solo algoritmo, è possibile impostare questa parola chiave per proporre solo tale opzione.
Valori disponibili: ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-ecdsa-sha2-nistp521,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss
PubkeyAuthentication
Specifica se deve essere tentata l'autenticazione con chiave pubblica. Questa opzione è valida per la versione 2 del protocollo. I valori consentiti sono yes e no. Il valore predefinito è yes.
RemoteCommand
Specifica uno o più comando da eseguire sul server remoto. Utilizzare il punto e virgola (;) per separare più comandi quando viene eseguita una connessione a un server UNIX. Utilizzare una "e" commerciale (&) per separare più comandi quando viene eseguita una connessione a un server Windows. Dopo avere stabilito la connessione, il server esegue (o tenta di eseguire) il/i comando/i specificato/i e successivamente la sessione viene conclusa. Il server deve essere configurato in modo da consentire l'esecuzione dei comandi ricevuti dal client.
I comandi devono essere specificati utilizzando il formato appropriato al server in uso. Ad esempio, i comandi seguenti sono equivalenti:
Su UNIX: ls ; ls -l
Su Windows: dir/w & dir
RemoteForward
Specifica l'inoltro di una porta TCP/IP di un computer remoto tramite un canale protetto all'host e alla porta specificati dal computer locale. Il primo argomento deve essere un numero di porta, mentre il secondo deve essere host:
porta. Gli indirizzi IPv6 possono essere specificati con una sintassi alternativa: host/port. È possibile specificare più inoltri. Le porte privilegiate possono essere inoltrate soltanto da utenti con privilegi amministrativi.
SendEnv
Specifica una variabile d'ambiente da impostare sul server prima dell'esecuzione di una shell o di un comando. Il valore deve essere nel formato: VAR val
. Il server deve supportare la variabile specificata e deve essere configurato in modo da accettare queste variabili d'ambiente.
ServerAlive
Specifica se inviare messaggi keep alive server al server SSH in base all'intervallo indicato da ServerAliveInterval. L'impostazione ServerAlive di Secure Shell invia un messaggio di protocollo SSH al server in base all'intervallo indicato per accertarsi che il server sia ancora in funzione. Se questa impostazione non è attivata, la connessione SSH non si interrompe in caso di blocco del server o di perdita della connessione di rete. Questa impostazione può inoltre essere utilizzata per evitare che si verifichi il timeout delle connessioni che inoltrano soltanto sessioni TCP a causa del mancato rilevamento di traffico SSH. I valori consentiti sono yes e no. Il valore predefinito è no.
nota
L'impostazione ServerAlive di Secure Shell non è correlata al parametro keep alive di TCP (KeepAlive) configurabile nel Registro di sistema di Windows con cui è possibile evitare il timeout di tutte le connessioni TCP/IP mediante un firewall. Per modificare il funzionamento del parametro keep alive di TCP/IP, è necessario modificare il Registro di sistema di Windows.
ServerAliveInterval
Specifica l'intervallo di tempo (in secondi) da utilizzare quando ServerAlive = yes. Utilizzare un numero intero pari a uno o maggiore. L'impostazione di default è 30.
ServerKeyFormat
Specifica il formato della chiave da utilizzare quando si caricano chiavi su un host utilizzando la funzione Carica nella scheda User Keys (Chiavi utente). L'utilità determina automaticamente quale formato di chiave utilizzare. Modificare questa impostazione se il formato non è corretto per il proprio server. I valori consentiti sono 'OpenSSH' e 'SECSH'.
ServerStyle
Specifica le impostazioni di configurazione della chiave pubblica dell'host da utilizzare quando si caricano chiavi su un host utilizzando la funzione Carica nella scheda User Keys (Chiavi utente). L'utilità determina automaticamente quale stile di host utilizzare. Modificare questa impostazione se il formato non è corretto per il proprio server. I valori consentiti sono 'UNIX' e 'VMS'.
SftpBufferLen
Specifica il numero di byte richiesti in ciascun pacchetto durante i trasferimenti SFTP. Il valore predefinito è 32768. La regolazione di questo valore può migliorare la velocità di trasferimento. Il valore ottimale dipende dalle impostazioni della rete e del server in uso. La modifica di questo valore potrebbe influenzare anche la velocità con cui è possibile annullare un trasferimento.
SftpMaxRequests
Specifica il numero massimo di richieste di dati in attesa consentite dal client durante i trasferimenti SFTP. L'impostazione di default è 10. La regolazione di questo valore può migliorare la velocità di trasferimento. Il valore ottimale dipende dalle impostazioni della rete e del server in uso. La modifica di questo valore potrebbe influenzare anche la velocità con cui è possibile annullare un trasferimento.
SftpVersion
Specifica la versione utilizzata dal client per le connessioni SFTP. I valori validi sono 3 e 4. Se l'impostazione è 4 (impostazione predefinita), la connessione utilizza la versione 4 di SFTP se il server la supporta e recede alla versione 3 se la 4 non è supportata dal server. Se l'impostazione è 3, il client utilizza sempre la versione 3 di SFTP.
StrictHostKeyChecking
L'argomento deve essere yes, no o "ask". Il valore predefinito è "ask". Se questa opzione è impostata su yes, il client Secure Shell non aggiunge mai automaticamente le chiavi dell'host al file known_hosts (contenuto nella cartella .ssh dell'utente) e rifiuta la connessione agli host la cui chiave dell'host risulta modificata. Questa opzione impone all'utente di aggiungere manualmente tutti i nuovi host. Se questo flag è impostato su no, il client si connette all'host senza visualizzare alcuna finestra di dialogo di conferma e non aggiunge la chiave dell'host all'elenco delle chiavi attendibili. Se questo flag è impostato su ask, le nuove chiavi dell'host vengono aggiunte ai file degli host conosciuti dell'utente soltanto dopo avere ricevuto conferma da parte dell'utente. Le chiavi dell'host relative agli host conosciuti vengono verificate automaticamente in tutti i casi.
nota
Questa impostazione non produce effetti quando l'host viene configurato in modo da eseguire l'autenticazione utilizzando certificati x509. Se un host presenta un certificato per l'autenticazione dell'host e il certificato CA richiesto non è configurato come certificazione principale attendibile, la connessione non viene eseguita.
TryEmptyPassword
Se questo flag è impostato su yes, il client avvia l'autenticazione con password tentando di immettere una password vuota. Osservare come questa operazione venga considerata un tentativo di accesso dalla maggior parte dei sistemi.
Utente
Specifica il nome utente con cui eseguire l'accesso. Può rivelarsi utile quando viene utilizzato un nome utente diverso su più computer.
UseOCSP
Specifica se il client deve utilizzare OCSP (Online Certificate Status Protocol) per la convalida dei certificati dell'host. I valori consentiti sono yes e no. Il valore predefinito è no.
UserKeyCertLast
Specifica come il client gestisce la firma per i certificati durante l'autenticazione della chiave pubblica. Quando l'impostazione è 'yes' (sì) (impostazione predefinita), il client invia il certificato utilizzando per prima una firma della chiave ssh standard. Se questo metodo non funziona, il client tenta nuovamente utilizzando una firma del certificato. In alcuni casi è possibile che questo secondo tentativo non abbia luogo e che l'autenticazione non venga completata. Quando l'impostazione è 'no', il client tenta prima la firma del certificato seguita dalla firma della chiave ssh.
UserKnownHostsFile
Specifica un file da utilizzare per il database delle chiavi host dell'utente invece del file known_hosts
(contenuto nella cartella .ssh dell'utente). Utilizzare le virgolette se il nome del file o del percorso contiene spazi.
x509dsasigtype
Specifica l'algoritmo hash utilizzato dal client durante l'operazione di dimostrazione del possesso delle chiavi private DSA. I valori possibili sono sha1raw (valore predefinito) e sha1asn1.
x509rsasigtype
Specifica l'algoritmo hash utilizzato dal client durante l'operazione di dimostrazione del possesso delle chiavi private RSA. I valori possibili sono md5, sha1, sha256 e all (valore predefinito).
X11Display
Determina la porta sull'interfaccia loopback locale del PC alla quale vengono inoltrate le comunicazioni del protocollo X11 quando è abilitato il relativo inoltro.
nota
Se si utilizza Reflection X (versione 12.x, 13.x o 14.x) non è necessario configurare questa parola chiave. Il server Reflection X e il client Secure Shell si sincronizzano automaticamente per utilizzare la porta corretta in base all'impostazione del display del server X utilizzato (Impostazioni > Display > X display number); in questo caso la parola chiave X11Display viene ignorata. Se si utilizza un server PC X diverso, utilizzare questa parola chiave per specificare la porta di attesa definita per il server PC X in uso.
Il valore di default è 0. Questo valore configura l'inoltro alla porta 6000, che è la porta di attesa predefinita definita dalla convenzione del protocollo X11. Il valore del display specificato viene aggiunto a 6000 per determinare la porta di attesa effettiva. Ad esempio, se si imposta X11Display su 20, si indica al client Secure Shell che il server PC X è in attesa sulla porta 6020.
Maggiori informazioni