日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.4-RELEASE-K, 13.0-RELEASE-K から 13.3-RELEASE-K, 14.0-RELEASE-K から 14.1-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
SSH-ADD(1) FreeBSD 一般コマンドマニュアル SSH-ADD(1)
名称
ssh-add -- OpenSSH の認証エージェントに秘密鍵 (identity) を追加する
書式
ssh-add [-cDdKkLlqvXx] [-E fingerprint_hash] [-H hostkey_file]
[-h destination_constraint] [-S provider] [-t life] [file ...]
ssh-add -s pkcs11
ssh-add -e pkcs11
ssh-add -T pubkey ...
解説
ssh-add は、認証エージェント ssh-agent(1) に、秘密鍵 (identity) を追加し
ます。引数なしで実行されるとき、ファイル ~/.ssh/id_rsa, ~/.ssh/id_ecdsa,
~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519, ~/.ssh/id_ed25519_sk と
~/.ssh/id_dsa を追加します。秘密鍵をロードした後に、ssh-add は、-cert.pub
を追加することによって取得されるファイル名から、秘密鍵ファイルの名前まで
対応する証明書情報をロードしようとします。コマンドラインで代わりのファイ
ル名を与えることができます。
任意のファイルがパスフレーズを要求するなら、ssh-add は、ユーザからパスフ
レーズを求めます。パスフレーズは、ユーザの tty から読み込まれます。ssh-
add は、複数の秘密鍵 (identity) ファイルが与えられるなら、最後のパスフ
レーズを再試行します。
認証エージェントは、実行されていなければならず、SSH_AUTH_SOCK 環境変数
は、動作する ssh-add のために、そのソケットの名前を含んでいなければなりま
せん。
オプションは、次の通りです:
-c 追加の identity が認証のために使用される前に、確認しなければなら
ないことを示します。確認は、ssh-askpass(1) によって実行されます。
確認が成功したかは、要求者に入力されたテキストではなく ssh-
askpass(1) からの 0 の終了ステータスによって示されます。
-D エージェントからすべての identity を削除します。
-d identity を追加する代わりに、エージェントから identity を削除しま
す。ssh-add が引数なしで実行されたなら、デフォルトの識別のための
鍵とそれらの対応する証明書は、削除されます。そうでなければ、引数
リストは、エージェントから削除される鍵と証明書を指定するための公
開鍵のファイルへのパスのリストとして解釈されます。公開鍵が与えら
れたパスで見つけられないなら、ssh-add は、.pub を追加して、再試行
します。引数リストが ``-'' で構成されているなら、ssh-add は、標準
入力から削除される公開鍵を読み込みます。
-E fingerprint_hash
鍵の指紋を表示するとき、使用されたハッシュアルゴリズムを指定しま
す。有効なオプションは、次の通りです: ``md5'' と ``sha256''。デ
フォルトは、``sha256'' です。
-e pkcs11
PKCS#11 共有ライブラリ pkcs11 によって提供される鍵を削除します。
-H hostkey_file
-h フラグを通して、宛先に制約のあるキーを使用するとき、ホストキー
を検索する既知の hosts ファイルを指定します。このオプションは、検
索される複数のファイルを許可するために複数回指定できます。ファイ
ルが指定されていないなら、ssh-add は、デフォルトの ssh_config(5)
の既知の hosts ファイルを使用します。~/.ssh/known_hosts,
~/.ssh/known_hosts2, /etc/ssh/ssh_known_hosts, と
/etc/ssh/ssh_known_hosts2。
-h destination_constraint
キーを追加するとき、特定のホストまたは特定の宛先でのみ使用可能と
なるように制約します。
形式 `[user@]dest-hostname' の宛先制約は、オプションのユーザ名
で、起点ホスト (ssh-agent(1) を実行しているホスト) からリストされ
た宛先ホストへのキーののみの使用を許可します。
形式 `src-hostname>[user@]dst-hostname' の制約によって、転送され
た ssh-agent(1) で使用可能なキーは、(`src-hostname' によって指定
されるように) `dst-hostname' によって指定されたさらなるホストへの
認証する特定のホストを通して使用することができます。
複数の宛先の制約は、キーをロードするとき、追加されるかもしれませ
ん。宛先の制約があるキーで認証を試行するとき、ssh-agent(1) の転送
を含んで、全体の接続パスは、それらの制約に対してテストされ、各中
継点は、成功する試みのための許可されなければなりません。例えば、
キーがリモートホスト `host-b' に転送され、別のホスト `host-c' に
認証を試みられるなら、操作は、`host-b' がオリジンホストから許可さ
れている場合にのみ、成功し、それに続く `host-b>host-c' 中継点も、
宛先の制約によって許可されます。
ホストは、ホストキーによって識別され、ssh-add によって既知の
hosts ファイルから検索されます。ワイルドカードのパターンは、ホス
ト名のために使用され、証明書のホストキーがサポートされています。
デフォルトで、ssh-add によって追加されたキーは、宛先に制約されま
せん。
宛先の制約は、OpenSSH リリース 8.9 で追加されました。リモート SSH
クライアントとサーバの両方のサポートは、転送された ssh-agent(1)
チャネルを越えて宛先の制約キーを使用するとき、必要とされます。
また、宛先の制約は、キーが使用されているとき、またはキーが
cooperating (連携する) ssh(1) によって転送されているとき、ssh-
agent(1) によってのみ強制することができることに注意することは重要
です。特に、それを再び転送して、別のホストで使用することをリモー
ト SSH_AUTH_SOCK にアクセスする攻撃者を妨げません (ただし、許可さ
れた宛先にのみ)。
-K FIDO 認証コードから常駐鍵をロードします。
-k エージェントにキーをロードするか、またはエージェントからキーを削
除するとき、平易な秘密鍵だけを処理して、証明書をスキップします。
-L 現在、エージェントによって表わされるすべての identity の公開鍵パ
ラメータをリストします。
-l 現在、エージェントによって表わされるすべての identity の指紋
(fingerprint) をリストします。
-q 成功した操作の後に静かにします。
-S provider
内部の USB HID サポートを使用するデフォルトを上書きして、FIDO 認
証コードがホスト鍵を追加するとき、使用するライブラリへのパスを指
定します。
-s pkcs11
PKCS#11 共有ライブラリ pkcs11 によって提供される鍵を追加します。
-T pubkey ...
指定された pubkey ファイルに対応する秘密鍵が、それぞれ署名と検証
の操作を行うことによって使用可能かどうかをテストします。
-t life
エージェントに鍵を追加するさい、その鍵の最大生存時間を指定しま
す。存続期間は、秒または sshd_config(5) で指定される時間の形式で
指定されます。
-v 冗長モード。ssh-add は、進行状況に関するデバッグメッセージを印刷
(表示) します。これは、問題をデバッグに役に立ちます。複数の -v オ
プションは、冗長性を増加します。最大は、3 です。
-X エージェントのロックを解除します。
-x パスワードがあるエージェントをロックします。
環境変数
DISPLAY, SSH_ASKPASS と SSH_ASKPASS_REQUIRE
ssh-add がパスフレーズを必要とし、それが、端末から実行されたな
ら、現在の端末からパスフレーズを読み込みます。ssh-add に関連して
いる端末がないけれども、DISPLAY と SSH_ASKPASS が設定されているな
ら、SSH_ASKPASS (デフォルトで、``ssh-askpass'') によって指定され
たプログラムを実行し、パスフレーズを読み込むために X11 window を
オープンします。これは、.xsession または関連するスクリプトから
ssh-add を呼び出すとき、特に役に立ちます。
SSH_ASKPASS_REQUIRE は、askpass プログラムの使用をさらに制御しま
す。この変数が ``never'' に設定されているなら、ssh-add は、決して
それを使用することを試みません。それが、``prefer'' に設定されてい
るなら、ssh-add は、パスワードを要求するとき、TTY の代りに
askpass プログラムを使用することを選びます。最後に、変数が
``force'' に設定されているなら、askpass プログラムは、DISPLAY が
設定されているかどうかに関わらず、すべてのパスフレーズの入力のた
めに使用されます。
SSH_AUTH_SOCK
エージェントと通信するために使用される UNIX ドメインのソケットの
パスを識別します。
SSH_SK_PROVIDER
組み込みの USB HID サポートを使用するデフォルトを上書きして、あら
ゆる FIDO 認証コードがホスト鍵をロードするとき、使用するライブラ
リへのパスを指定します。
関連ファイル
~/.ssh/id_dsa
~/.ssh/id_ecdsa
~/.ssh/id_ecdsa_sk
~/.ssh/id_ed25519
~/.ssh/id_ed25519_sk
~/.ssh/id_rsa
ユーザの DSA、ECDSA、認証コードのホスト ECDSA、Ed25519、認証コー
ドのホスト Ed25519、または RSA 認証識別を含みます。
秘密鍵 (identity) ファイルは、ユーザ以外の誰によっても読み込み可能であっ
てはなりません。ssh-add は、秘密鍵 (identity) ファイルが他の人によってア
クセス可能であるなら、秘密鍵 (identity) ファイルを無視することに注意して
ください。
終了ステータス
終了ステータスは、成功すれば、0 で、指定されたコマンドが失敗するなら、1
で、ssh-add が認証エージェントと通信することができないなら、2 です。
関連項目
ssh(1), ssh-agent(1), ssh-askpass(1), ssh-keygen(1), sshd(8)
作者
OpenSSH は、Tatu Ylonen によってリリースされたオリジナルのフリーな ssh
1.2.12 の派生物です。Aaron Campbell、Bob Beck、Markus Friedl、Niels
Provos、Theo de Raadt と Dug Song は、多くのバグを取り除き、新しい機能を
再び追加し、OpenSSH を作成しました。Markus Friedl は、SSH プロトコルバー
ジョン 1.5 と 2.0 のためのサポートを寄贈しました。
FreeBSD 13.2 February 4, 2022 FreeBSD 13.2