名称
ssh
— OpenSSH 远程登录客户端
概要
ssh |
[ -46AaCfGgKkMNnqsTtVvXxYy ] [ -B 绑定接口 ] [ -b 绑定地址 ] [ -c cipher_spec ] [ -D [ 绑定地址 :] 端口 ] [ -E 日志文件 ] [ -e 转义字符 ] [ -F 配置文件 ] [ -I pkcs11 ] [ -i 身份文件 ] [ -J 目的地 ] [ -L 地址 ] [ -l 登录名 ] [ -m mac_spec ] [ -O ctl_cmd ] [ -o 选项 ] [ -p 端口 ] [ -Q 查询选项 ] [ -R 地址 ] [ -S ctl_path ] [ -W 主机 : 端口 ] [ -w local_tun [: remote_tun ]] 目的地 [ 命令 ] |
描述
ssh
(SSH 客户端) 是一个日志程序 进入远程机器并在远程机器上执行命令。 这是 旨在在两个不受信任的人之间提供安全的加密通信 不安全网络上的主机。 X11 连接、任意 TCP 端口和 UNIX 域套接字也可以通过 安全通道。
ssh
连接并登录到指定的 目的地 ,可以指定为 [user@] 主机名或格式的 URI ssh:// [用户@] 主机名 [:端口]。 用户必须证明 使用几种方法之一将他们的身份标识给远程机器(请参阅 以下)。
如果 了 命令 指定 ,则执行 远程主机而不是登录 shell。
选项如下:
势力 ssh
仅使用 IPv4 地址。
势力 ssh
仅使用 IPv6 地址。
启用来自身份验证代理的连接转发,例如 ssh-agent(1) 。 这也可以 在配置文件中基于每个主机指定。
应谨慎启用代理转发。 用户 绕过远程主机上的文件权限的能力(对于 代理的 UNIX 域套接字)可以访问本地 代理通过转发的连接。 攻击者无法获得密钥 来自代理的材料,但是他们可以对密钥执行操作 使他们能够使用加载到 代理人。 更安全的替代方法可能是使用跳转主机(请参阅 -J
)。
禁用身份验证代理连接的转发。
-B
绑定接口
绑定 的 的地址 bind_interface 之前 试图连接到目标主机。 这仅对 具有多个地址的系统。
-b
绑定地址
使用 bind_address 本地机器上的 作为源 连接地址。 仅在具有多个的系统上有用 地址。
请求压缩所有数据(包括 stdin、stdout、stderr 和 转发的 X11、TCP 和 UNIX 域的数据 连接)。 压缩算法与使用的相同 gzip(1) 。 压缩是可取的 调制解调器线路和其他慢速连接,但只会减慢速度 快速网络。 默认值可以在每个主机的基础上设置 配置文件; 见 Compression
选项。
-c
cipher_spec
选择用于加密会话的密码规范。 cipher_spec 是逗号分隔的密码列表 按优先顺序列出。 见 Ciphers
关键字 ssh_config(5) 中的 了解更多 信息。
-D
[ bind_address :] 端口
指定本地“动态”应用程序级端口 转发。 这通过分配一个套接字来监听 端口 本地端的 ,可选择绑定到 指定的 bind_address 。 每当连接 到这个端口,连接通过安全通道转发, 然后使用应用程序协议来确定连接到哪里 从远程机器。 目前 SOCKS4 和 SOCKS5 协议是 支持,和 ssh
将充当 SOCKS 服务器。 只有 root 可以转发特权端口。 动态端口转发也可以 在配置文件中指定。
IPv6 地址可以通过将地址括在 方括号。 只有超级用户才能转发特权端口。 经过 默认情况下,本地端口按照 GatewayPorts
环境。 然而,一个明确的 bind_address 可用于将连接绑定到 具体地址。 该 bind_address 的 “localhost”表示绑定的监听端口 仅限本地使用,而空地址或“*”表示 端口应该可从所有接口使用。
-E
日志文件
将调试日志附加到 log_file 而不是标准 错误。
-e
转义字符
使用 pty 设置会话的转义字符(默认值: ' ~
')。 转义字符只是 在一行的开头识别。 转义字符后跟 点 (' .
') 关闭连接; 后跟 control-Z 暂停连接; 并紧随其后 发送一次转义字符。 将字符设置为 “none”禁用任何转义并使会话完全 透明的。
-F
配置文件
指定备用的每用户配置文件。 如果一个配置 命令行中给出的文件,系统范围的配置文件 ( /etc/ssh/ssh_config ) 将被忽略。 默认的 对于每用户配置文件是 ~/.ssh/config 。 如果设置为“无”,则不 将读取配置文件。
要求 ssh
前去后台 命令执行。 这很有用,如果 ssh
要去 要求输入密码或密码短语,但用户希望在 背景。 这意味着 -n
. 推荐的方式 在远程站点启动 X11 程序类似于 ssh -f host xterm
.
如果 ExitOnForwardFailure
配置选项设置为“是”,然后客户端 开始于 -f
将等待所有远程端口 在将自己置于 背景。 参考说明 ForkAfterAuthentication
在 ssh_config(5) 了解详情。
原因 ssh
在之后打印其配置 评估 Host
和 Match
阻止并退出。
允许远程主机连接到本地转发端口。 如果在一个 多路连接,那么这个选项必须在master上指定 过程。
-I
pkcs11
指定 PKCS#11 共享库 ssh
应该使用 与为用户提供密钥的 PKCS#11 令牌通信 验证。
-i
identity_file
选择一个文件,其中公钥的身份(私钥) 身份验证被读取。 默认是 ~/.ssh/id_dsa , ~/.ssh/id_ecdsa , ~/.ssh/id_ecdsa_sk , ~/.ssh/id_ed25519 , ~/.ssh/id_ed25519_sk 和 ~/.ssh/id_rsa 。 身份文件也可能是 在配置文件中基于每个主机指定。 有可能 有多个 -i
选项(和多个身份 在配置文件中指定)。 如果没有明确的证书 由指定 CertificateFile
指示, ssh
还将尝试加载证书信息 从通过附加 获得的文件名 -cert.pub 标识文件名。
-J
目的地
通过首先创建一个连接到目标主机 ssh
连接到 描述的跳转主机 目的地 然后建立一个 TCP 转发到最终目的地 那里。 可以用逗号分隔指定多个跳转。 这是指定一个的快捷方式 ProxyJump
配置指令。 请注意,提供的配置指令 命令行通常适用于目标主机而不是任何 指定的跳转主机。 使用 ~/.ssh/config 指定 跳转主机的配置。
启用基于 GSSAPI 的 GSSAPI 身份验证和转发(委托) 服务器的凭据。
禁止将 GSSAPI 凭据转发(委派)到服务器。
-L
[ bind_address :] 端口 : 主机 : HOSTPORT
-L
[ bind_address :] 端口 : remote_socket
-L
local_socket : 主持人 : HOSTPORT
-L
local_socket : 远程套接字
指定到给定 TCP 端口或 Unix 套接字的连接 本地(客户端)主机将被转发到给定