File: ssh.8

package info (click to toggle)
manpages-hu 20010119-6
links: PTS
area: main
in suites: buster, stretch
size: 2,272 kB
ctags: 2
sloc: makefile: 56; lisp: 56
file content (1231 lines) | stat: -rw-r--r-- 38,690 bytes
parent folder | download | duplicates (3)
.\"  -*- nroff -*-
.\"
.\" ssh.1.in
.\"
.\" Author: Tatu Ylonen <ylo@cs.hut.fi>
.\"
.\" Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
.\"                    All rights reserved
.\"
.\" Created: Sat Apr 22 21:55:14 1995 ylo
.\"
\"
.\" #ifndef F_SECURE_COMMERCIAL
.TH SSH 8 "November 8, 1995" "SSH" "SSH"
.\" #endif F_SECURE_COMMERCIAL

.SH NV
ssh \- biztonsgos shell kliens (tvoli gpre val belpsre szolgl program)

.SH TTEKINTS
.B ssh
[\c
.BI \-l \ login_name\fR\c
]
.B hostname
[\c
.IR parancs \c
]

.B ssh
[\c
.BR \-a \c
]
[\c
.B \-c
\fIidea\fR\||\|\fIblowfish\fR\||\|\fIdes\fR\||\|\fI3des\c
\fR\||\|\fIarcfour\fR\||\|\fInone\fR\c
]
[\c
.BI \-e \ escape_char\fR\c
]
[\c
.BI \-i \ identity_fjl\fR\c
]
[\c
.BI \-l \ login_name\fR\c
]
[\c
.BR \-n \c
]
[\c
.BR \-k \c
]
[\c
.BR \-V \c
]
[\c
.BI \-o \ opcik\fR\c
]
[\c
.BI \-p \ port\fR\c
]
[\c
.BR \-q \c
]
[\c
.BR \-P \c
]
[\c
.BR \-t \c
]
[\c
.BR \-v \c
]
[\c
.BR \-x \c
]
[\c
.BR \-C \c
]
[\c
.BR \-g \c
]
[\c
.BI \-L \ port\fB:\fIhost\fB:\fIhostport\fR\c
]
[\c
.BI \-R \ port\fB:\fIhost\fB:\fIhostport\fR\c
]
.I hostname
[\c
.IR parancs \c
]

.SH LERS 
.LP
Az
.B ssh
(Secure Shell) egy program, ami arra val, hogy tvoli gpekre
jelentkezznk be s/vagy parancsokat hajtsunk vgre tvoli gpeken.
Clja az, hogy helyettestse az rlogin-t s az rsh-t, s 
biztonsgos (titkostott) kapcsolatot biztostson kt 
gp kztt. X11 kapcsolatokat s tetszleges
TCP/IP portokat szintn lehet a biztonsgos csatornra tovbbtani (forwardolni).
.LP
Az
.B ssh 
kapcsoldik s belp a megadott 
.IR hostname  
gpre.
A felhasznl tbb mdszerrel is igazolhatja azonossgt.
.LP
Elszor is, ha az a gp, amelyrl a felhasznl belp fel van
sorolva az
.I /etc/hosts.equiv
-ban vagy az
.I /etc/ssh/shosts.equiv
-ban a tvoli gpen, s a felhasznli nevek megegyeznek 
mindkt oldalon, akkor rgtn beengedik.
Msodszor, ha a
.I \&\s+2.\s0rhosts
vagy a 
.I \&\s+2.\s0shosts
fjl ott van a felhasznl home knyvtrban a tvoli gpen s
tartalmaz egy sort, amely a kliens gp nevt tartalmazza, a felhasznl  
belphet. Az authentikcinak (authentication - hitelests, amikor
bizonytod, hogy az vagy, akinek mondod magad - a ford. megjegyzse) 
ezt a formjt ltalban nem engedlyezi a szerver, mert nem biztonsgos.
.LP
A msodik (s elsdleges) lehetsg az authentikcira az 
.B rhosts
vagy
.B hosts.equiv
mdszer, RSA-alap gp-authentikcival kombinlva.  
Ez azt jelenti, hogy a belps csak akkor engedlyezett, ha 
az 
.I \&\s+2.\s0rhosts\c
\|,
.I \&\s+2.\s0shosts\c
\|,
.IR /etc/hosts.equiv\c
\|,
vagy
.IR /etc/ssh/shosts.equiv ,
megengedi, s ezen kvl a kliens gp kulcst ellenrizni lehet
(lsd a 
.I \&$HOME/\s+2.\s0ssh/known_hosts
s
.I /etc/ssh/ssh_known_hosts
-t a
.B \s-1FJLOK\s0
rszben).
Ez az authentikcis mdszer kizrja az "IP spoofing", "DNS spoofing" s a 
"routing spoofing" ltal kihasznlt biztonsgi lyukakat.
[Megjegyzs a rendszergazdknak: az
.IR /etc/hosts.equiv , 
.IR \&\s+2.\s0rhosts ,
s a rlogin/rsh protokollok ltalban eredenden nem biztonsgosak 
s le kell tiltani ket, ha a biztonsg fontos szempont.]
.LP
Harmadik authentikcis mdszerknt az 
.B ssh 
tmogatja az RSA alap authentikcit.
Az elrendezs a nyilvnos kulcs kriptogrfin alapul: 
vannak olyan titkostsi rendszerek, ahol
a titkosts s visszafejts klnbz kulcsok hasznlatval trtnik, s a
visszafejtshez hasznlt kulcsot nem lehet a titkostshoz hasznlt kulcsbl
kikvetkeztetni. Az RSA egy ilyen rendszer.  
Az elgondols az, hogy minden felhasznl kszt egy nyilvnos/privt 
kulcsprt authentikcis clokra.  
A szerver tudja a nyilvnos kulcsot, de a privt kulcsot csak a 
felhasznl ismeri.
A 
.I \&$HOME/\s+2.\s0ssh/authorized_keys
fjl tartalmazza azokat a nyilvnos kulcsokat, amelyekkel be lehet lpni.
Amikor a felhasznl be akar lpni, az
.B ssh 
program megmondja a szervernek, hogy  melyik kulcsprt
akarja authentikcira felhasznlni.  A szerver
ellenrzi, hogy a kulcs engedlyezve van-e, s ha igen, akkor
gy teszi prbra  a felhasznlt (pontosabban az ltala futtatott ssh
programot), hogy egy vletlen szmot kld el neki, amit a 
felhasznl nyilvnos kulcsval titkost.  
Ezt csak a megfelel privt kulcs segtsgvel lehet visszafejteni.  
Ezutn a felhasznl kliense visszafejti a privt kulcsal, gy 
bebizonytja, hogy ismeri a a privt kulcsot anlkl, hogy azt 
elklden a szervernek.
.LP
Az
.B ssh
automatikusan alkalmazza az RSA authentikcis protokollt. A felhasznl
az
.BR ssh-keygen (1)
futattsval automatikusan ltrehozza az  RSA kulcsprjt.
Ezzel a privt kulcs a
.I \&\s+2.\s0ssh/identity
-ba kerl, mg a nyilvnos kulcs a
.I \&\s+2.\s0ssh/identity.pub
-ba, a felhasznl home knyvtrban.  
A felhasznlnak ezutn a sajt
.I identity.pub
-jt a 
.I \&\s+2.\s0ssh/authorized_keys
-ba kell msolnia a home knyvtrban a tvoli gpen (az
.I authorized_keys
fjl megfelelt a hagyomnyos
.I \&\s+2.\s0rhosts
fjlnak, s soronknt egy kulcsot tartalmaz, br a sorok nagyon hosszak 
lehetnek). Ezutn a felhasznl belphet, anlkl hogy a jelszavt
megadn. Az RSA authentikci sokkal biztonsgosabb mint az rhosts 
authentikci.
.LP
Az RSA authentikci egy authentikcis kzvett (agent) segtsgvel
hasznlhat a legknyelmesebben. Lsd az
.BR ssh-agent (1)
-et tovbbi informcikrt.
.LP
Egy negyedik authentikcis mdszerknt, az 
.B ssh
tmogatja a TIS authentikcis szerveren keresztli authentikcit.
Az elkpzels az, hogy az
.B ssh
megkri a TIS
.BR authsrv (8)
-et, hogy authentiklja a felhasznlt. Elfordulhat, hogy a felhasznli
nevek a TIS adatbzisban nem ugyanazok mint a lokkis gpen,
pldul ha a felhasznl egy smartcard -al vagy Digipass-al 
authentiklja magt. Ebben az esetben a felhasznli nv az
adatbzisban ltalban csak az authentikcis eszkz sorozatszmaknt
ismert. Az 
.I /etc/ssh/sshd_tis.map
fjl tartalmazza a loklis felhasznlk s a neki megfelel
TIS adatbzis-beli nevek kztti lekpezst. 
Ha ez a fjl nem ltezik, vagy a felhasznl nincs benne, akkor
az ssh felttelezi, hogy a felhasznli nv s a TIS adatbzis-beli 
nv ugyanaz.
.LP
Ha a tbbi authentikcis mdszer meghisul, az 
.B ssh
jelszt kr a felhasznltl. A jelszt ellenrzs cljbl elkldi a
tvoli gpre, azonban mivel minden kommunikci titkostva van,
a jelszt nem olvashatja el valaki, aki a hlzaton hallgatzik. 
.LP
Amikor a felhasznl azonossgt elfogadja a szerver, akkor vagy
vgrehajtja a megadott parancsot, vagy belp a gpbe, s  
a felhasznlnak egy szoksos shell-t ad a tvoli gpen.
Minden, a tvoli parancsal vagy shell-el trtn kommunikci 
automatikusan titkostva lesz.
.LP
Ha egy pszeudo-terminl volt alloklva (normlis login session), a
felhasznl kilphet a "~." parancs segtsgvel  s felfggesztheti
az
.B ssh
-t "~^Z" -vel.

Az sszes forwardolt kapcsolatot ki lehet listzni egy "~#" -el,
s ha a session a forwardolt X11 vagy TCP/IP kapcsolatok 
vgetrsre vrva blokkol, akkor "~&" -el httrbe lehet
kldeni (Ezt nem szabad addig hasznlni, amg a felhasznl shellje
aktv, mert akkor a shell "lgni" fog). 
Az sszes escape-szekvencit "~?" -el lehet kilistzni.
.LP
Egyetlen tilde (~) karaktert "~~" -knt lehet elkldeni (vagy  gy, hogy
a tildt a fentiekben nem emltett karakter kveti).
Az escape karakter csak akkor van klnleges karakterknt interpretlva, ha
jsort kvet. Az escape karaktert meg lehet vltoztatni a konfigurcis 
fjlokban vagy a parancssorban.  
.LP
Ha az 
.B ssh 
nem foglal le egy pszeudo terminlt, akkor a session tltsz
lesz, s lehet binris adatok megbzhat tvitelre hasznlni.
A legtbb rendszerben az escape karakter ``none'' -ra (semmire)
val lltsa a sessiont tltszv teszi akkor is, ha egy tty 
van hasznlatban.
.LP
Egy session akkor r vget, amikor a parancs vgrehajtsa vagy a shell
a tvoli gpen vget r, s az sszes X11 s TCP/IP kapcsolat lezrult.
Az 
.B ssh
a tvoli program kilpsi rtkvel (exit status) lp ki.
.LP
Ha a felhasznl X11-et hasznl (a
.B \s-1DISPLAY\s0
krnyezeti vltoz be van lltva), az X11 displayhez val 
kapcsolat automatikusan forwardoldik a tvoli gphez, olymdon,
hogy minden a shellbl (vagy parancsbl) indtott X11 program
a titkostott csatornn jn t, az igazi X szerverrel 
val kapcsolat pedig a loklis gprl jn ltre.
A felhasznlnak nem kell kzzel belltania a
.BR \s-1DISPLAY\s0 
-t.
Az X11 kapcsolatok forwardolsst a parancssoron vagy a konfigurcis fjlokban
lehet belltani.
.LP
Az
.B ssh
ltal belltott
DISPLAY a szerver gpre mutat, de zrnl nagyobb display szmmal.
Ez azrt van, mert az 
.B ssh 
egy "proxy" X szervert llt fel a 
szerver gpen a kapcsolatok titkostott csatornn val 
tovbbtshoz.
.LP
Az
.B ssh
automatikusan belltja a szerveren az Xauthority adatokat is.
Ehhez egy vletlenszer authorizcis cookie-t generl, amit a
szerveren trol az Xauthority-ban, ellenrzi, hogy az sszes
forwardolt kapcsolat ezzel a cookie-val jn-e, s kicserli 
ket az igazi cookie-ra, amikor a kapcsolat megnylik.
Az igazi authentikcis cookie-t soha nem kldi el a 
szerver gpre, s semmilyen cookie-t nem kld el titkosts
nlkl.
.LP
Ha egy felhasznl egy authentikcis kzvettt (agent) hasznl, 
akkor a kzvetthz val kapcsolatot automatikusan forwardolja a
tvoli gpre, hacsak ez nincs letiltva a
parancssoron vagy egy konfigurcis fjlban.
.LP
Tetszleges TCP/IP kapcsolatoknak a biztonsgos csatornn val 
forwardolst a parancssoron vagy egy konfigurcis fjlban lehet 
megadni. A TCP/IP forwardolsnak egy lehetsges alkalmazsa egy 
elektronikus pnztrchoz val biztonsgos kapcsolds; egy msik
a tzfalakon val tjuts.
.LP
Az
.B ssh
automatikusan fenntart s ellenriz egy 
adatbzist, amely tartalmazza az sszes olyan gp 
RSA-alap azonostst, amellyel valaha is hasznlva volt.
Az adatbzis az
.I \&\s+2.\s0ssh/known_hosts
-ban van, a felhasznl home knyvtrban.  
Ezen kvl az ismert gpeket az 
.I /etc/ssh/ssh_known_hosts
-ban is leellenrzi.
Minden j gp automatikusan hozzaddik a felhasznl fjljhoz.  
Ha egy gp nyilvnos kulcsa megvltozik, az 
.B ssh  
figyelmeztet s megtiltja a jelszval val belpst, nehogy
a felhasznl jelszavt egy "trjai fal" lopja el. Ennek a 
mechanizmusnak egy msik clja a "kzpen a tmad" 
(man-in-the-middle attack) megakadlyozsa, amely egybknt 
meghistan a titkostst.
A
.B StrictHostKeyChecking
opcit (lsd az albbiakban) 
lehet arra hasznlni, hogy  megakadlyozzuk az olyan gpre val 
belpst, amelyeknek a kulcsa nem ismert vagy megvltozott.

.ne 5
.SH OPCK
.TP
.B \-a
Megtiltja az authentikcis kzvett (agent) forwardolst.
Ezt egy gpektl fgg mdon a konfigurcis fjlban is meg lehet adni.
.ne 3
.TP
.BI \-c \ \fIidea\fR\||\|\fIdes\fR\||\|\fI3des\fR\||\|\fIblowfish\fR\||\|\fIarcfour\fR\||\|\fInone\fR
A session titkostsnak a mdjt adja meg.
Az
.B \s-1idea\s0
az alaprtelmezett.  Biztonsgosnak tartjk. A
.B \s-1des\s0
az adattitkostsi szabvny (data encryption standard), de feltrhet
a kormnyzatok, nagyobb vllalatok s a fontosabb bnldoz szervek
ltal. A
.B \s-13des\s0
(triple-des) 
egy titkosts-visszafejts-titkosts hrom klnboz kulcsal.
Valsznleg biztonsgosabb mint a DES.  
Ez az alaprtelmezett, ha valamelyik oldal nem tmogatja az IDEA-t.
A
.B \s-1blowfish\s0
Bruce Schneier ltal kitallt titkostsi algoritmus, ami
128 bites kulcsokat hasznl.
Az
.B \s-1arcfour\s0
egy 1995-ben az Usenet News-ben publiklt algoritmus. gy tartjk, hogy
ez ugyanaz mint az RSA Data Security ltal hasznlt RC4 titkosts
(az RC4 az RSA Data Security bejegyzett vdjegye). Ez a jelenleg 
tmogatott leggyorsabb algoritmus.
.B none
esetn egyltaln nincs titkosts - ezt csak hibakeressre szntk, s
a kapcsolat nem biztonsgos.
.ne 3
.TP
.B \-e \fIch\fR\||\|\fI^ch\fR\||\|\fInone\fR
Belltja a pty-vel rendelkez session-k szmra az
escape karaktert (alaprtelmezett: ~).  
Ez csak a sor elejn szmt escape karakternek.
A pont ltal kvetett escape karakter bezrja a kapcsolatot, a 
control-Z ltal kvetve felfggeszti a kapcsolatot, s nmaga ltal
kvetve egyszer kldi el az escape karaktert. 
A karakternek a \'none\' -ra val lltsa letilt minden 
escape-t s teljesen tlszv teszi a session-t.
.ne 3
.TP
.B \-f
A httrbe teszi az
.B ssh
-t az authentikci befejezse s a forwardolsok ltrehozsa utn.
Ez hasznos ha az
.B ssh
jelszt vagy jelmondatot (passphrase) kr, de a felhasznl a
httrben akarja futtatni. Szkriptekben is hasznos lehet.  
Ez az opci a 
.B \-n
opcit is magban foglalja. 
A tvoli gpeken lev X11 programok elindtsnak az ajnlott
mdja valami "ssh -f gp xterm" szer.
.ne 3
.TP
.BI \-i \ identity_fjl
Megadja, hogy melyik fjlbl legyen kiolvasva a privt kulcs az
.B \s-1RSA\s0
authentikcihoz. Az alaprtelmezett a
.I \&\s+2.\s0ssh/identity
a felhasznl home knyvtrban.  
Identity fjlokat gpektl fgg mdon a konfigurcis 
fjlokban is meg lehet adni.
Lehetsges tbb \-i opcit is megadni (s a konfigurcis
fjlokban is lehet tbb privt kulcs).
.ne 3
.TP
.B \-k
Letiltja a kerberos ticket-ek forwardolst.  
Ezt szintn meg lehet adni gpektl fgg mdon a konfigurcis 
fjlokban is.
.ne 3
.TP
.BI -l \ login_name
Meghatrozza, hogy milyen felhasznli nven lpjen be a tvoli gpre.  
Ezt szintn meg lehet adni gpektl fgg mdon a konfigurcis 
fjlokban is.
.ne 3
.TP
.B \-n
A /dev/null -bl irnytja t a stdin-t (vagyis gyakorlatilag 
megakadlyozza a stdin-rl val olvasst)
Ezt hasznlni kell, amikor az
.B ssh
a httrben fut.  Egy szoksos trkk ezt a tvoli gpen lev X11 
programok futtatsra hasznlni. 
Pldul "ssh -n shadows.cs.hut.fi emacs &" egy emacs-ot indt el a 
shadows.cs.hut.fi -n, s a X11 kapcsolat automatikusan forwardoldik 
a titkostott csatornn.
Az
.B ssh
program a httrbe kerl.
(Ez nem mkdik, ha az
.B ssh
-nak jelszra vagy jelmondatra van szksge; erre lsd az -f opcit.)
.ne 3
.TP
.BI \-o "\ 'opcik'
Ezt arra lehet hasznlni, hogy a konfigurcis fjlok formtumban adjunk 
meg opcikat. Ez olyan opcik esetn hasznos, amelyeknek nincs kln
parancssoron hasznlhat flag-jk. Az gy megadott opciknak ugyanaz a 
formtumuk mint egy konfigurcis fjl-beli sornak.
.ne 3
.TP
.BI \-p "\ port
Megadja, hogy a tvoli gp melyik portjra csatlakozzunk.
Ezt szintn meg lehet adni gpektl fgg mdon a konfigurcis 
fjlokban is.
.ne 3
.TP
.B \-q
Csendes (quiet) zemmd. Ilyenkor a figyelmeztetsek s a 
diagnosztikai zenetek nem rdnak ki, csak a vgzetes hibk.
.ne 3
.TP
.B \-P
Nem privilgizlt portot hasznl. Ilyenkor nem tudod az rhosts vagy a 
rsarhosts authentikcit hasznlni, de t tud menni olyan tzfalakon,
amelyek nem engednek t privilgizlt forrs-portrl indul csomagokat.
.ne 3
.TP
.B \-t
Knyszerti a pseudo-tty lefoglalst. Ezt pldul tvoli gpeken
fut kperny-alap programok futtatsra lehet hasznlni 
(pldul amelyek menket hasznlnak).
.ne 3
.TP
.B \-v
Bbeszd (verbose) zemmd. Ilyenkor az
.B ssh
debugging zeneteket r ki a mkdsrl. Ez a kapcsolatfelptssel,
authentikcival s a konfigurcival kapcsolatos problmk 
hibakeressnl hasznos.
.ne 3
.TP
.B \-V
Csak kirja a verziszmot s kilp.
.ne 3
.TP
.B \-g
Megengedi, hogy tvoli gpek loklis port-forwardol portokra
kapcsoldjanak. Alaprtelmezs szerint csak a localhostrl
lehet a loklisan lekttt (bind) portokra csatlakozni.
.ne 3
.TP
.B \-x
Letiltja az X11 forwardolst.  
Ezt szintn meg lehet adni gpektl fgg mdon a konfigurcis 
fjlokban is.
.ne 3
.TP
.B \-C
Az sszes adat (belertve a stdin-t, stdout-ot, stderr-t s a forwardolt
X11 s TCP/IP kapcsolatokat) tmrtve lesz. A tmrtsi algoritmus
ugyanaz mint a gzip ltal hasznlt, s a "szintjt" a 
.B CompressionLevel
opcival (lsd albb) lehet belltani.  
A tmrts hasznos modemvonalakon s egyb lass kapcsolatok esetn, de
a gyors hlzatok esetn csak lasstani fogja a dolgokat.
Ezt szintn meg lehet adni gpektl fgg mdon a konfigurcis 
fjlokban is, lsd a
.B Compress
opcit albb.
.ne 3
.TP
.BI \-L "\ port:host:hostport
Forwardol egy adott portot a loklis (kliens) gprl egy tvoli
gpre. Ez gy mkdik, hogy lefoglal egy socket-et, hogy a
.B port
-on vrakozzon (listen) a loklis oldalon, s valahnyszor egy 
kapcsolat jn erre a portra, azt a biztonsgos csatornn keresztl
forwardolja, s a 
.B host:hostport
-re a tvoli gprl lp be. 
A port-forwardolst a konfigurcis fjlban is specifiklni lehet. 
Csak a root forwardolhat privilgizlt portokat.
.ne 3
.TP
.BI \-R "\ port:host:hostport
Forwardol egy adott portot a tvoli (szerver) gprl egy loklis
gpre. Ez gy mkdik, hogy lefoglal egy socket-et, hogy a
.B port
-on vrakozzon (listen) a tvoli oldalon, s valahnyszor egy 
kapcsolat jn erre a portra, azt a biztonsgos csatornn keresztl
forwardolja, s a 
.B host:hostport
-re a loklis gprl lp be. 
A port-forwardolst a konfigurcis fjlban is specifiklni lehet. 
A tvoli gpen rootknt kell belpnnk, ha privilgizlt portokat
akarunk forwardolni.

.SH KONFIGURCIS FJLOK
.LP
Az
.B ssh
a kvetkez forrsokbl veszi a konfigurcs adatait (ebben a sorrendben):
parancssorbeli opcik, felhasznl konfigurcis fjlai
(\fI\&$HOME/\s+2.\s0ssh/config\fR), s a renszerszint konfigurcis fjl
(\fI/etc/ssh/ssh_config\fR).  
Minden paramter az gy kapott els rtket kapja.
A konfigurcis fjlok "Host" specifikcik ltal behatrolt 
rszeket tartalmaznak, s egy adott rsz csak azokra a gpekre
vonatkozik, amelyek illeszkednek a specifikciban megadott 
mintra. A parancssoron megadott gpnv kerl illesztsre. 
.LP
Mivel minden paramter az els rtket kapja, az inkbb egy adott
gpre specifikus deklarcikat a fjl elejn rdemes megadni,
az ltalnosabb default-okat pedig a vgn.
.LP
A konfigurcis fjlnak a kvetkez formtuma van:
.IP
Az res sorok s a \'#\' -el kezdd sorok megjegyzsek.
.IP
Egybknt pedig egy sor formtuma "kulcssz argumentumok" vagy "kulcssz =
argumentumok". A lehetsges kulcsszavakat s a jelentsket lsd az 
albbiakban (megjegyzs: a konfigurcis fjlokban klnbsg van a 
kisbet s a nagybet kzott, de a kulcsszavaknl ez nem szmt):
.ne 3
.TP
.de YN
"\fByes\fR" or "\fBno\fR".
..

.B Host
Az ezt kvet deklarcikat korltozza, hogy csak a kulcssz utn
kvetkez mintra illeszked gpnevekre legyen rvnyes (egszen a 
kvetkez
.B Host
kulcsszig). A \'*\' s a \'?\' wildcard-knt hasznlhat a mintkban. 
Ha a minta egyetlen \'*\' -bl ll, akkor az az sszes gpre 
vonatkoz globlis defaultot jelent.
A gpnv ilyenkor a parancssoron megadott
.IR hostname
argumentum (vagyis a nv nincs kanonikus alakba hozva az illeszkedsvizsglat
eltt).
.ne 3

.TP
.B BatchMode
Ha ez "yes" -re van lltva, akkor a jelsz/jelmondat megkrdezse 
letiltdik. Ezt akkor hasznos, ha szkriptekbl vagy egyb 
automatizlt eszkzkbl hvod, s nincs felhasznl, aki 
megadhatn a jelszt.
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B Cipher
Meghatrozza a session titkostshoz hasznlat mdszert.  Jelenleg az
.IR idea,
.IR des,
.IR 3des,
.IR blowfish,
.IR arcfour 
s
.I none
vannal tmogatva.  A alaprtelmezett az "idea" (vagy a "3des" ha az "idea"-t
nem tmogatja mindkt gp). A "none" esetn nincs titkosts - ezt 
csak hibakeressre szabad hasznlni, mert ilyenkor a kapcsolat nem
biztonsgos.
.ne 3

.TP
.B ClearAllForwardings
Kitrli az sszes forwardolst, miutn beolvasta az sszes 
konfigurcis fjlt, s a parancssort is. Ez arra j, hogy a
konfigurcis fjlokban tallhat forwardolsokat letiltsd,
amikor egy msodik kapcsolatot akarsz ltrehozni egy olyan 
gppel, amelynek a konfigurcis fjlban a forwardols be
van lltva.
Az scp ezt alaprtelmezs szerint belltja, gy mkdni fog
mg akkor is, ha 
a konfigurcis fjban forwardolsok vannak belltva.
.ne 3

.TP
.B Compression
Meghatrozza hogy legyen-e tmrts hasznlva.  
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B CompressionLevel
Meghatrozza a tmrts szintjt, ha a tmrts engedlyezve van.
Az argumentum egy 1 (gyors) s 9 (lass, de a legjobb) kztti szm 
kell legyen.
Az alaprtelmezett szint 6, ami j a legtbb alkalmazs szempotjbl.
Ezeknek az rtkeknek a jelentse ugyanaz, mint a GNU GZIP esetn.
.ne 3

.TP
.B ConnectionAttempts
Meghatrozza, hogy hnyszor prblkozzon (msodpercenknt egyszer),
mieltt az rsh-val prblkozna, vagy kilpne. Az argumentum egy
egsz szm kell legyen. Ez hasznos lehet szkriptekben, ha a kapcsolatfelvtel
nha nem sikerl.
.ne 3

.TP
.B EscapeChar
Belltja az escape karaktert (az alaprtelmezett: ~).  
Az escape karaktert a parancssoron is be lehet lltani.
Az argumentum egy bet ltal kvetett \'^\' kell legyen, vagy
``none'', hogy az escape karaktert teljesen letiltsuk 
(s gy a kapcsolatot tltszv tegyk a binris adatok szmra)
.ne 3

.TP
.B FallBackToRsh 
Meghatrozza, hogy ha az 
.B ssh
kapcsolat nem sikerl "connection refused" hiba miatt (amit valsznleg az
okoz, hogy a msik gpen nem fut az 
.B sshd
), akkor az
.B rsh
legyen-e hasznlva automatikusan helyette (egy megfelel figyelmeztets 
utn, mely szerint a session nem lesz titkostva).
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B ForwardAgent
Meghatrozza, hogy egy authentikcis kzvettvel val kapcsolat
(ha van) forwardolva legyen-e a tvoli gpre.
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B ForwardX11
Meghatrozza , hogy az X11 kapcsolatok automatikusan t legyenek-e
irnytva a biztonsgos csatornra a
.B \s-1DISPLAY\s0
belltsval egyidejleg.
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B GatewayPorts
Meghatrozza, hogy tvoli gpek kapcsoldhatnak-e a loklisan
forwardolt portokra.
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B GlobalKnownHostsFile
Meghatrozza, hogy a 
.IR /etc/ssh/ssh_known_hosts 
helyett melyik fjl legyen hasznlva.
.ne 3

.TP
.B HostName
Meghattozza annak a gpnek az igazi nevt, amelyikre be akarunk lpni.
Ez arra j, hogy rvidtett neveket hasznljunk. A default a
parancssoron megadott nv. A numerikus IP cmek szintn engedlyezve 
vannak (a parancssoron is, s a
.B HostName
specifikcikban is).
.ne 3

.TP
.B IdentityFile
Meghatrozza, hogy a felhasznl RSA authentikcis kulcsa melyik 
fjlbl legyen kiolvasva
(az alaprtelmezett az \fI\s+2.\s0ssh/identity\fR a felhasznl home 
knyvtrban).
Ezenkvl egy esetleges authentikcis kzvett ltal megadott
identitsok is felhasznldnak.
A fjl neve tertalmazhatja a tildt, hogy a felhasznl home
knyvtrt jelezze. Tbb identits-fjlt is meg lehet adni a 
konfigurcis fjlokban, ilyenkor ezek az adott sorrendben lesznek kiprblva.
.ne 3

.TP
.B KeepAlive
Meghatrozza, hogy a rendszer kldjn-e "maradj lve" (keepalive)
zeneteket a tloldalnak. Ha kld, akkor a kapcsolat megsznse,
vagy a gpek egyiknek a meghalsa megfelelen szleldik.
Ugyanakkor ez azt is jelenti, hogy a kapcsolatok megszakadnak akkor
is ha a hlzat csak ideiglenesen nem mkdik, s van aki ezt 
idegestnek tartja. 

A alaprtelmezett az hogy "yes" (kldjn ilyeneket), s a kliens szre fogja
venni ha a szerver vagy a hlzat lehal. Ez fontos a scriptekben,
s sok felhasznl szintn szereti.

A keepalives-ek letiltshoz ezt az rtket "no"-ra kell lltani
mind a szerver, mind a kliens konfigurcis fjljaiban.
.ne 3

.TP
.B KerberosAuthentication
Meghatrozza, hogy legyen-e Kerberos V5 authentikci hasznlva. 

.TP
.B KerberosTgtPassing
Meghatrozza, hogy legyen-e egy Kerberos V5 TGT a szervernek elkldve.

.TP
.B LocalForward
Azt lltja be, hogy egy loklis TCP/IP port forwardolva legyen
a biztonsgos csatornn keresztl a megadott gp megadott portjra.
Az els argumentum egy portszm kell legyen, a msodik meg egy gp:port.  
Egyszerre tbb forwardolst is be lehet lltani, s tovbbi 
forwardolsokat lehet a parancssoron hozzadni.
Privilgizlt portokat csak a root forwadolhat.
.ne 3

.TP
.B NumberOfPasswordPrompts

Meghatrozza, hogy az ssh hnyszor krje el a jelszt mieltt feladn.
Mivel a szerver szintn limitlja a prblkozsok szmt (jelenleg 5 a
maximum), ezrt hatstalan ennl nagyobb rtkre lltani.
Az alaprtelmezett rtk egy.
.ne 3

.TP
.B PasswordAuthentication
Meghatrozza  legyen-e jelsz-authentikci hasznlva. 
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B PasswordPromptHost
Meghatrozza, hogy benne legyen-e a tvoli gp neve a jelsz promptban.
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B PasswordPromptLogin
Meghatrozza, hogy benne legyen-e a tvoli login nv a jelsz promptban.
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B Port
Meghatrozza, hogy a tvoli gpen milyen porton problkozzon. A default 
22.
.ne 3

.TP
.B ProxyCommand
Meghatrozza, hogy milyen parancs segtsgvel kapcsoldjunk egy 
szerverre. A parancs-string a sor vgig tart, a /bin/sh
hajtja vgre. A parancs-stringben a %h helyre a szerver
gp neve kerl, %p helyre pedig a portszm. 
A parancs szinte brmi lehet, a stdin-rl kell olvasnia, s a 
stdout-re rnia. Vgl egy valamilyen gpen fut
.B sshd
szerverre kell kapcsoldnia, 
vagy "sshd -i" -t kell futtatnia valahol.
A gp-kulcs kezelse a szerver gp HostName-ja segtsgvel
(aminak a defaultja a felhasznl ltal bert nv)
trtnik.
(Megjegyzs: az
.B ssh
-t lehet gy konfigurlni, hogy a SOCKS rendszert tmogassa: ehhez
fordtskor a --with-socks4 vagy --with-socks5 opcikat kell megadni).
.ne 3

.TP
.B RemoteForward
Azt lltja be, hogy egy tvoli TCP/IP port forwardolva legyen
a biztonsgos csatornn keresztl a megadott loklis gp megadott portjra.
Az els argumentum egy portszm kell legyen, a msodik meg egy gp:port. 
Egyszerre tbb forwardolst is be lehet lltani, s tovbbi 
forwardolsokat lehet a parancssoron hozzadni.
Privilgizlt portokat csak a root forwadolhat.
.ne 3

.TP
.B RhostsAuthentication
Meghatrozza, hogy az rhosts authentikci ki legyen-e prblva.
Megjegyzs: ez a deklarci csak a kliens viselkedst
befolysolja, s a biztonsgra semmi hatsa nincs.
Az rhosts authentikcival val prblkozs letiltsa cskkentheti 
az authentikcis idt lass kapcsolatok esetn, ha az rhosts 
authentikci nincs hasznlatban. A legtbb szerver nem engedlyezi az
az rhosts authentikcit, mert az nem biztonsgos (lsd 
RhostsRSAAuthentication)
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B RhostsRSAAuthentication
Meghatrozza, hogy az RSA gp-authentikcival kombinlt rhosts 
authentikci ki legyen-e prblva. Ez az elsdleges authentikcis 
mdszer a legtbb esetben.
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B RSAAuthentication
Meghatrozza, hogy az RSA  
authentikci ki legyen-e prblva. 
Az argumentum "yes" vagy "no" kell legyen.
Az RSA authentikci csak akkor lesz megprblva, ha egy 
identity fjl ltezik, vagy ha egy authentikcis kzvett fut.
.ne 3

.TP
.B StrictHostKeyChecking
Ha ez a flag "yes" - re van lltva, akkor az 
.B ssh
soha nem fogja a gp-kulcsokat a 
.I $HOME/.ssh/known_hosts
fjlhoz automatikusan hozzadni, s megtagadja, hogy olyan gpekre 
lpjen be, amelyeknek a kulcsa megvltozott.
Ez maximlis vdelmet nyjt a trjai fal tpus tmadsok ellen.
Ugyanakkor elgg idegest tud lenni, ha nincs egy j
.I /etc/ssh/ssh_known_hosts
fjlod installlva s gyakran prblsz j gpekre kapcsoldni.
Gyakorlatilag ez az opci arra knyszerti a felhasznlt, hogy 
kzzel adja hozz az sszes j gpet.
ltalban "ask"-ra lltjk ezt az opcit, s az j gpek automatikusan
hozzaddnak az ismert gpeket tartalmaz fjlhoz, miutn a 
felhasznl megerstette, hogy valban ezt akarja. Ha ez "no"-ra
van lltva, akkor az j gpek automatikusan addnak hozz az
ismert gpeket tartalmaz fjlhoz. Az ismert gpek kulcsai 
minden esetben automatikusan ellenrizve lesznek.
Az argumentum 
"\fByes\fR", "\fBno\fR" vagy "\fBask\fR" kell legyen.
.ne 3

.TP
.B TISAuthentication
Meghatrozza, hogy megprblkozzunk-e TIS authentikcival.  
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B UsePrivilegedPort
Meghatrozza, hogy hasznljunk-e privilgizlt portokat, amikor
a msik oldalhoz hozzkapcsoldunk. Az alaprtelmezett az, hogy "yes",
ha az rhosts authentikcik engedlyezve vannak.
.ne 3

.TP
.B User
Meghatrozza, hogy milyen felhasznlknt lpjen be. Ez akkor lehet
hasznos, ha a klnbz gpeken ms-ms a felhasznli neved, s
nem akarod azzal veszteni az idt, hogy a parancssoron adod meg a
felhasznli nevet.
.ne 3

.TP
.B UserKnownHostsFile
Meghatrozza, hogy a \fI$HOME/\s+2.\s0ssh/known_hosts\fR helyett milyen
fjlt hasznljunk.
.ne 3

.TP
.B UseRsh
Meghatrozza, hogy egy adott gpre rgtn az rlogin/rsh legyen-e
hasznlva. Elfordulhat, hogy egy gp egyltaln nem tmogatja az
.B ssh
protokollt. Ilyenkor
.B ssh
rgtn elindtja az
.B rsh
-t. Az sszes tbbi opci (kivve a
.BR HostName -t)
ignorlva lesz.
Az argumentum "yes" vagy "no" kell legyen.
.ne 3

.TP
.B XAuthLocation
Meghatrozza a elrsi utat a xauth programhoz.
.ne 3

.SH KRNYEZET
.LP
Az
.B ssh 
normlis esetben a kvetkez krnyezeti vltozkat lltja be:
.TP
.B DISPLAY
A DISPLAY vltoz az X11 szerver helyre utal. Ezt az
.B ssh
automatikusan egy "gpnv:n" alakra lltja be, ahol a gpnv annak a 
gpnek a neve, ahol a shell fut, s n egy >= 1 egsz szm.
Az ssh ezt arra hasznlja, hogy az X11 kapcsolatokat a biztonsgos
csatornn forwadolja. 
Jobb, ha a felhasznl nem lltja be maga a DISPLAY-t expliciten, 
mert ez azt eredmnyezi, hogy az X11 kapcsolat nem lesz biztonsgos.
(s a felhasznl knytelen lesz magnak bemsolni a szksges
authorizcis cookie-kat).
.ne 3
.TP
.B HOME
A felhasznl home knyvtra.
.ne 3
.TP
.B LOGNAME
Az USER szinonimja - az olyan rendszerekkel val kompatibilits
cljbl, amelyek ezt a vltozt hasznljk.
.ne 3
.TP
.B MAIL
A felhasznl mailbox-a.
.ne 3
.TP
.B PATH
Egy olyan alaprtelmezett PATH-ra van belltva, amelyet 
fordts kzben lehet megadni az
.B ssh
-nak, vagy egyes rendszerekben az 
.I /etc/environment 
-ban vagy  az
.IR /etc/default/login 
-ban.
.ne 3
.TP
.B SSH_AUTH_SOCK
Ha ltezik, arra van hasznlva, hogy egy olyan unix-domain sockethez
vezet path-ot jelezzen, ami egy authentikcis kzvettvel
(avgy loklis megfeleljvel) val kapcsolathoz kell.
.ne 3
.TP
.B SSH_CLIENT
A kapcsolat kliens rszt jelzi. Ez a vltoz hrom space-el
hatrolt rtket tartalmaz: kliens ip-cm, kliens portszm
s szerver portszm.
.ne 3
.TP
.B SSH_ORIGINAL_COMMAND
Ez az eredeti parancssor knyszertett parancsfuttats esetn.
Arra lehet hasznlni, hogy elrd az argumentumokat stb. a 
tloldalrl.
.ne 3
.TP
.B SSH_TTY
Ez a jelenlegi shellel vagy parancsal trstott tty nevre
(egy eszkzhz vezet tvonalra) van lltva. Ha a jelenlegi
session-nak nincs tty-je, ez a vltoz nincs beltva.
.ne 3
.TP
.B TZ
Az idzna (timezone) vltoz a jelenlegi idznt jelzi, ha az
be volt lltva a dmon indtsakor. (A dmon tadja ezt az rtket 
az j kapcsolatoknak.)
.ne 3
.TP
.B USER
A belpett felhasznl neve.
.LP
.RT
Ezeken kvl az  
.B ssh
elolvassa az
.I /etc/environment 
s
.IR $HOME/.ssh/environment , 
fjlokat, s
.I VLTOZNV=rtk
formtum sorokat ad a krnyezethez.
Egyes rendszereken tovbbi mechanizmusok is ltezhetnek a
krnyezet belltsra, gy pldul az
.I /etc/default/login
Solaris-on.

.ne 3
.SH FJLOK
.TP
.I \&$HOME/\s+2.\s0ssh/known_hosts
Olyan gpek kulcsai, amelyikbe a felhasznl belpett (s nincsenek
benne a \fI/etc/ssh/ssh_known_hosts\fR -ban). Lsd mg az
.B sshd
kziknyvlapot.
.ne 3
.TP
.I \&$HOME/\s+2.\s0ssh/random_seed
A vletlenszm-genertor inicializlshoz hasznlt fjl.
Ez a fjl fontos adatokat tartalmaz, a felhasznlnak legyen
rsi/olvassi joga r, de msoknak semmi. Ez a fjl akkor keletkezik,
amikor egy program els zben fut, s automatikusan vltozik.
A felhasznlnak sohasem kell elolvasnia vagy mddtania ezt a fjlt.
.ne 5
.TP
.I \&$HOME/\s+2.\s0ssh/identity
A felhasznl RSA authentikcis identitst tartalmazza.
Ez a fjl fontos adatokat tartalmaz, a felhasznlnak legyen
rsi/olvassi joga r, de msoknak semmi. 
Ennek a kulcsnak a generlskor egy jelmondatot is meg lehet adni,
ez a jelmondat arra hasznlhat, hogy ennek a fjlnak az rzkeny
rszt titkostsa az
.BR \s-1IDEA\s0 
segtsgvel
.ne 3
.TP
.I \&$HOME/\s+2.\s0ssh/identity.pub 
Az authentikcira hasznlt nyilvnos kulcsot tartalmazza (az
identits-fjl nyilvnos rszt olvashat formban)
ennek a fjlnak a tartalmt a \fI$HOME/\s+2.\s0ssh/authorized_keys\fR
fjlhoz kell hozzadni minden olyan gpen, amelyikre RSA
authentikci segtsgvel akarsz belpni.
Ez a fjl nem rzkeny, s lehet (de nem szksgszer) mindenki
ltal olvashatv tenni.
Ezt a fjlt soha nem hasznljk automatikusan, s nincs is szksg r,
csak a felhasznl knyelme kedvrt van ott.
.ne 3
.TP
.I \&$HOME/\s+2.\s0ssh/config
Ez a konfigurcis fjl a felhasznlra jellemz belltsokat tartalmazza.
A fjl formtuma a fentiekben van lerva. Ezt a fjlt az
.B ssh
kliensek hasznljk.  
ltalban ez a fjl nem tartalmaz rzkeny informcikat, de az ajnlott
jogosultsgok rs/olvass a felhasznlnak, s semmi jog msoknak.
.ne 3
.TP
.I \&$HOME/\s+2.\s0ssh/authorized_keys
Azokat az RSA kulcsokat tartalmazza, amelyek hasznlhatk arra, hogy 
segtsgvel e felhasznlknt be lehessen lpni. Ennek a fjlnak a 
formtuma az 
.B sshd
kziknyvlapban van lerva.  
Legegyszerbb esetben a formtum ugyanaz mint a .pub identits fjlok 
esetn.

Ez a fjl nem tartalmaz nagyon rzkeny informcikat, de az ajnlott
jogosultsgok rs/olvass a felhasznlnak, s semmi jog msoknak.
.ne 3
.TP
.I /etc/ssh/ssh_known_hosts
Az ismert gpek kulcsainak rendszerszint listja. Ezt a fjlt a 
rendszergazdnak kell elksztenie, hogy a hlzaton belli 
sszes gp nyilvnos kulcst tartalmazza. 
Ennek a fjlnak mindenki ltal olvashatnak kell lennie.
Ha egy gpnek tbb neve is van, akkor az sszes ilyen gpnevet fel kell 
sorolni, vesszvel elvlasztva.
A formtumot az 
.B sshd 
kziknyvlap rja le.
.IP
Belpskor a kanonikus gpnv (amit a nameserver visszaad) az,
amit az
.B sshd
a kliens gp identitsnak a megllaptsra hasznl belpskor;
a tbbi nvre azrt van szksg, mert az
.B ssh
nem konvertlja a felhasznl ltal megadott nevet kanonikus nvv,
mieltt egy kulcsot ellenrizne, mivel egybknt valaki, aki 
hozzfr a nameserver-hez, tverhetn a gp-authentikcit.
.ne 3
.TP
.I /etc/ssh/ssh_config
A rendszerszint konfigurcis fjl. Ez a fjl defaultokat specifikl
olyan rtkek szmra, amelyek nincsenek a felhasznl konfigurcis 
fjljban, vagy olyan felhasznlknak, akiknek nincs konfigurcis fjljuk.
Ennek a fjlnak mindenki ltal olvashatnak kell lennie.
.ne 3
.TP
.I $HOME/\s+2.\s0rhosts
Ez a fjl az \s+2.\s0rhosts authentikci sorn van hasznlva, mgpedig
arra, hogy felsorolja azokat a gp/felhasznl prokat, amelyeknek
a belps engedlyezve van. (Megjegyzs: ezt a fjlt hasznlja az
rlogin s az rsh is, ezrt hasznlatuk nem szmt biztonsgosnak)
A fjl minden sora tartalmaz egy gpnevet (abban a kanonikus formban, 
ahogy a nameserverek adjk), utna pedig egy azon a gpen tallhat
felhasznl felhasznli nevt, vesszvel elvlasztva.
Ennek a fjlnak a felhasznl tulajdonban kell lennie, s nem szabad
msoknak is rsi jogot adni r.
.IP
Megjegyzs: alaprtelmezs szerint az 
.B sshd
sikeres RSA gp-authentikcit ignyel mieltt megengedn az
\s+2.\s0rhosts authentikcit. Ha egy szerver gped nem tartalmazza
egy kliens gp kulcst az \fI/etc/ssh/ssh_known_hosts\fR -ben, akkor
az \fI$HOME/\s+2.\s0ssh/known_hosts\fR -be is teheted.
A legegyszerbb mdja ennek az, hogy a szerverrl belpsz a 
kliensre, ekkor a kliens gp kulcsa automatikusan hozzaddik a
\fI$HOME/\s+2.\s0ssh/known_hosts\fR -hoz.
.ne 3
.TP
.I $HOME/\s+2.\s0shosts
Ezt a fjlt pontosan ugyangy kell hasznlni mint a \s+2.\s0rhosts -t.
Csak azrt van, hogy kpes legyl az rhosts authentikcit hasznlni
az
.B ssh
-val, anlkl, hogy megenged az rlogin-t vagy az rsh-t.
.ne 3
.TP
.I /etc/hosts.equiv
Ez a fjl az \s+2.\s0rhosts authentikci sorn van hasznlva.
Kanonikus gpneveket tartalmaz, soronknt egyet (a formtum teljes 
lerst lsd az
.B sshd
kziknyvlapban).  
Ha egy kliens gp benne van ebben a fjlban, s a login nevek a 
szerveren s a kliensen megegyeznek, akkor a belps automatikusan 
engedlyezve lesz. Ezen kvl sikeres RSA gp-authentikcira is
szksg van normlis esetben. 
Ennek a fjlnak csak a root ltal kell rhatnak lennie.
.TP
.I /etc/ssh/shosts.equiv
Ez a fjl pontosan gy van feldolgozva, mint a 
.IR /etc/hosts.equiv .  
Arra j, hogy megengedje az
.B ssh
belpseket, de megtiltsa az rsh/rlogin belpseket.
.ne 3
.TP
.I /etc/ssh/sshrc
Az ebben a fjlban tallhat parancsok akkor hajtdnak vgre az
.B ssh
ltal, amikor felhasznl belp, kzvetlenl azeltt, hogy a 
felhasznl shellje (vagy parancsa) elindulna.
Lsd az 
.B sshd
kziknyvlapot tovbbi informcikrt.
.ne 3
.TP
.I $HOME/.ssh/rc
Az ebben a fjlban tallhat parancsok akkor lesznek vgrehajtva az
.B ssh
ltal, amikor felhasznl belp, kzvetlenl azeltt, hogy a 
felhasznl shellje (vagy parancsa) elindulna.
Lsd az 
.B sshd
kziknyvlapot tovbbi informcikrt.

.SH INSTALLLS
.LP
Az
.B ssh
ltalban suid rootknt van felinstalllva. A root jogokra csak az
rhosts authentikci miatt van szksge (Az rhosts authentikci azt
ignyli, hogy a kapcsolat egy privilgizlt portrl kezdemnyezdjn,
s ilyen portot csak root jogokkal lehet lefoglalni)
Ezen kvl kpesnek kell lennie arra, hogy a 
\fI/etc/ssh/ssh_host_key\fR -t elolvassa, hogy 
.B \s-1RSA\s0
gp authentikcit tudjon hasznlni.  Lehetsges az
.B ssh
-t root jogok nlkl hasznlni, de akkor az rhosts 
authentikcit nem lehet hasznlni.
Az
.B ssh
eldobja az sszes extra jogot, amint a kapcsolat a tvoli 
gppel ltrejtt.
.LP
Mindent megtettnk azrt, hogy az
.B ssh
biztonsgos legyen.  
Ha ennek ellenre biztonsgi problmt tallsz, krjk rgtn
rtests minket az <ssh-bugs@cs.hut.fi> cmen.

.SH SZERZ
.LP
Tatu Ylonen <ylo@ssh.fi>
.LP
Az jabb verzikrl, levelezsi listkrl, s a tbbi kapcsold
tmrl az ssh WWW home page-n, a http://www.cs.hut.fi/ssh
cmen tallsz informcit.

.SH LSD MG
.BR sshd (8),
.BR ssh-keygen (1),
.BR ssh-agent (1),
.BR ssh-add (1),
.BR scp (1),
.BR make-ssh-known-hosts (1),
.BR rlogin (1),
.BR rsh (1),
.BR telnet (1)
.SH MAGYAR FORDTS
Balzs-Cski Lszl <bcsl@elender.hu>