日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
SSH_CONFIG(5) FreeBSD ファイルフォーマットマニュアル SSH_CONFIG(5)
名称
ssh_config -- OpenSSH SSH クライアント設定ファイル
書式
~/.ssh/config
/etc/ssh/ssh_config
解説
ssh(1) は、次の順序で続くソースから設定データを取得します:
1. コマンド行オプション
2. ユーザ設定ファイル (~/.ssh/config)
3. システム全体の設定ファイル (/etc/ssh/ssh_config)
各パラメータについて、最初に取得された値が使用されます。設定ファイルは、
Host 指定によって区切られたセクションを含み、そのセクションは、指定で与え
られたパターンの 1 つと一致するホストに対してのみ適用されます。一致するホ
スト名は、通常、コマンド行で与えられるホスト名です (例外については、
CanonicalizeHostname オプションを参照)。
各パラメータに対して最初の取得された値が使用されるので、よりホスト特有の
宣言は、ファイルの始めの近くで与えられるべきで、一般的なデフォルトは、終
りに与えられるべきです。
ファイルは、1 行ごとに 1 つのキーワード引数のペアを含んでいます。`#' で始
まる行と空行は、コメントとして解釈されます。引数は、オプションで空白を含
んでいる引数を表すためにダブルクォート (") で囲まれます。設定オプション
は、空白類またはオプションの空白類と正確に 1 つの `=' によって区切られま
す。後の形式は、ssh, scp と sftp の -o オプションを使用して設定オプション
を指定するとき、空白類を引用する必要を避けるために役に立ちます。
指定できるキーワードとそれらの意味は、次の通りです (キーワードは、大文字
小文字を区別せず、引数は、大文字小文字を区別することに注意してください):
Host キーワードの後に与えられるパターンの 1 つと一致するそれらのホスト
のためだけに (次の Host または Match キーワードまで) 続く宣言を制
限します。1 つ以上のパターンが提供されるなら、それらは、空白類に
よって区切られるべきです。パターンとしての単一 `*' は、すべてのホ
ストのためのグローバルなデフォルトを提供するために使用することが
できます。ホストは、通常、コマンド行で与えられる hostname 引数で
す (例外については、CanonicalizeHostname オプションを参照)。
パターンエントリは、その前に感嘆符 (`!') を付けることによって否定
されます。否定されたエントリが一致するなら、Host エントリは、行の
他のパターンが一致するかどうかにかかわらず無視されます。したがっ
て、否定された照合は、ワイルドカードの照合の例外を提供するために
役に立ちます。
パターンに関する詳細については、「パターン」を参照してください。
Match Match キーワードに続く条件が満たされるときのみ使用される、(次の
Host または Match キーワードまで) 次の宣言を制限します。Match 条
件は、1 つ以上の基準またはすべての基準に一致する単一のトークン
all を使用して指定されます。利用可能な基準キーワードは、次の通り
です: canonical, exec, host, originalhost, user と localuser。
all 基準は、単独で、または canonical の直後に現れなければなりませ
ん。他の基準は、任意に組み合わされます。すべての基準ですが、all
と canonical は、引数を必要とします。基準は、感嘆符 (`!') を前に
追加することによって打ち消されます。
canonical キーワードは、設定ファイルがホスト名の正規化 (canoni
calization) の後に再解析されるときだけ、一致します
(CanonicalizeHostname オプションを参照してください。) これは、正
規のホスト名前だけで動作する条件を指定するために役に立ちます。
exec キーワードは、ユーザのシェルの下で指定されたコマンドを実行し
ます。コマンドが 0 の終了ステータスを返すなら、条件は、真であると
見なされます。空白類文字を含んでいるコマンドは、引用されなければ
なりません。exec への引数は、「トークン」セクションで説明される
トークンが受け付けます。
他のキーワードの基準は、単一のエントリまたはコンマで区切られたリ
ストでなければならず、「パターン」セクションに記述されているワイ
ルドカードと否定の操作を使用します。host キーワードのための基準
は、Hostname または CanonicalizeHostname オプションによってあらゆ
る置換の後に、ターゲットのホスト名に対して照合されます。
originalhost キーワードは、それがコマンド行で指定されたように、ホ
スト名に対して照合します。user キーワードは、リモートホストのター
ゲットのユーザ名に対して照合します。localuser キーワードは、
ssh(1) を実行しているローカルユーザの名前に対して照合します (この
キーワードは、システム全体の ssh_config ファイルに役に立ちます)。
AddKeysToAgent
鍵が実行している ssh-agent(1) に自動的に追加されるべきかどうかを
指定します。このオプションが yes に設定され、鍵がファイルからロー
ドされるなら、鍵とそのパスフレーズは、あたかも ssh-add(1) によっ
てのように、デフォルトの存続期間でエージェントに追加されます。こ
のオプションが、ask に設定されるなら、ssh(1) は、鍵を追加する前に
SSH_ASKPASS プログラムを使用して確認を必要とします (詳細について
は、ssh-add(1) を参照)。このオプションが、confirm に設定されるな
ら、鍵の各使用は、あたかも -c オプションが ssh-add(1) に指定され
たかのように、確認されなければなりません。このオプションが、no に
設定されるなら、鍵は、エージェントに追加されません。引数は、yes,
confirm, ask または no (デフォルト) でなければなりません。
AddressFamily
接続するとき、どのアドレスファミリを使用するかを指定します。有効
な引数は、any (デフォルト)、inet (IPv4 のみ使用する) または inet6
(IPv6 のみ使用する) です。
BatchMode
yes に設定されるなら、パスフレーズ/パスワードの問い合わせは、無効
にされます。このオプションは、パスワードを供給するユーザがいない
ところで、スクリプトと他のバッチジョブに役に立ちます。引数は、yes
または no (デフォルト) でなければなりません。
BindAddress
接続の発信元アドレスとしてローカルマシンで指定されたアドレスを使
用します。2 つ以上のアドレスがあるシステムでのみ役に立ちます。
UsePrivilegedPort が yes に設定されるなら、このオプションが動作し
ないことに注意していください。
CanonicalDomains
CanonicalizeHostname が有効にされるとき、このオプションは、指定さ
れた宛先ホストを検索するドメイン接尾辞のリストを指定します。
CanonicalizeFallbackLocal
ホスト名の正規化が失敗するとき、エラーで失敗するかどうかを指定し
ます。デフォルトの yes は、システムのリゾルバの検索規則を使用し
て、無条件でホスト名を検索することを試みます。no の値によって
ssh(1) は、CanonicalizeHostname が有効にされ、ターゲットのホスト
名が、CanonicalDomains によって指定されるドメインのいずれがを見つ
けることができないなら、即座に失敗します。
CanonicalizeHostname
明示的なホスト名の正規化が実行されるかどうかを制御されます。デ
フォルトの no は、あらゆる名前を書き直すことを実行せず、システム
のリゾルバは、すべてのホスト名の検索を扱います。yes に設定される
なら、ProxyCommand を使用しない接続に対して、ssh(1) ば、
CanonicalDomains 接尾辞と CanonicalizePermittedCNAMEs 規則を使用
して、コマンド行で指定されたホスト名を正規化することを試みます。
CanonicalizeHostname が always に設定されるなら、正規化は、プロキ
シ化された接続もまた適用されます。
このオプションが有効にされるなら、設定ファイルは、Host と Match
スタンザ (stanza) と一致するあらゆる新しい設定を手に入れるために
再び新しいターゲット名を使用して処理されます。
CanonicalizeMaxDots
正規化が無効にされる前に、ホスト名のドット文字の最大数を指定しま
す。デフォルトの 1 は、単一ドット (すなわち、hostname.subdomain)
を許可します。
CanonicalizePermittedCNAMEs
ホスト名を正規化するときに、CNAME が続くべきかどうか判断する規則
を指定します。規則は、source_domain_list:target_domain_list の 1
つ以上の引数から成ります、ここで source_domain_list は、正規化で
CNAME に続くドメインのパターンリストで、target_domain_list は、そ
れらが解決されるドメインのパターンリストです。
例えば、"*.a.example.com:*.b.example.com,*.c.example.com" は、
"*.b.example.com" または "*.c.example.com" ドメインの名前を正規化
するために、"*.a.example.com" に一致するホスト名を許可します。
CertificateFile
ユーザの証明書が読み込まれるファイルを指定します。対応する秘密鍵
は、IdentityFile ディレクティブまたは ssh-agent(1) を通して、また
は PKCS11Provider を通して ssh(1) への -i フラグからこの証明書を
使用するために順番に別々に提供されなければなりません。
CertificateFile への引数は、ユーザのホームディレクトリを参照する
チルダ構文または「トークン」セクションで説明されるトークンを使用
します。
設定ファイルで指定された複数の証明書ファイルがあることが可能で
す。これらの証明書は、順々に試みられます。複数の CertificateFile
ディレクティブは、認証のために使用される証明書のリストに追加しま
す。
ChallengeResponseAuthentication
チャレンジレスポンス認証を使用するかどうかを指定します。このキー
ワードへの引数は、yes (デフォルト) または no でなければなりませ
ん。
CheckHostIP
yes に設定されるなら、ssh(1) は、さらに known_hosts ファイルのホ
スト IP アドレスをチェックします。これによって、それは、DNS なり
すましのために変更されたホスト鍵であるなら、検出することができ、
StrictHostKeyChecking の設定にかかわらず、宛先ホストのアドレスを
プロセスの ~/.ssh/known_hosts に追加します。オプションが no に設
定されるなら、チェックは、実行されません。デフォルトは、no です。
Cipher プロトコルバージョン 1 のセッションで暗号化のために使用する暗号方
式を指定します。現在、blowfish, 3des (デフォルト) と des がサポー
トされますが、des は、古いプロトコル 1 の実装との相互運用性のため
に ssh(1) クライアントでのみサポートされます。それは、暗号の弱点
のためにまったくお勧めできません。
Ciphers
優先順位でプロトコルバージョン 2 のために許可された暗号方式を指定
します。複数の暗号方式は、コンマで区切られなければなりません。サ
ポートされている暗号方式は、次の通りです: 指定された値が `+' 文字
で始まるなら、指定された暗号方式は、それらを置き換える代わりに設
定されたデフォルトに付け加えられます。指定された値が `-' 文字で始
まるなら、指定された暗号文 (ワイルドカードを含む) は、それらを置
き換える代わりにデフォルトの設定から削除されます。
サポートされた暗号方式は、次の通りです:
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
arcfour
arcfour128
arcfour256
blowfish-cbc
cast128-cbc
chacha20-poly1305@openssh.com
デフォルトは、次の通りです:
chacha20-poly1305@openssh.com,
aes128-ctr,aes192-ctr,aes256-ctr,
aes128-gcm@openssh.com,aes256-gcm@openssh.com,
aes128-cbc,aes192-cbc,aes256-cbc
また、利用可能な暗号のリストは、"ssh -Q cipher" を使用して取得さ
れます。
ClearAllForwardings
設定ファイル、またはコマンド行で指定された、すべてのローカル、リ
モートと動的なポート転送がクリアされることを指定します。このオプ
ションは、設定ファイルで設定され、scp(1) と sftp(1) によって自動
的に設定される、ポート転送をクリアするために、ssh(1) のコマンド行
で使用されるとき、主として役に立ちます。引数は、yes または no (デ
フォルト) でなければなりません。
Compression
圧縮を使用するかどうかを指定します。引数は、yes または no (デフォ
ルト) でなければなりません。
CompressionLevel
圧縮が有効にされるなら、使用する圧縮レベルを指定します。引数は、1
(速い) から 9 (遅い、最良) までの整数でなければなりません。デフォ
ルトのレベルは、ほとんどのアプリケーションのために良い、6 です。
値の意味は、gzip(1) と同じです。このオプションは、プロトコルバー
ジョン 1 のみに適用することに注意してください。
ConnectionAttempts
終了する前に行われる試み (1 秒ごとに 1 つ) の数を指定します。引数
は、整数でなければなりません。接続が時々失敗するなら、これは、ス
クリプトで役に立ちます。デフォルトは、1 です。
ConnectTimeout
デフォルトのシステム TCP タイムアウトを使用する代わりに、SSH サー
バに接続するとき、使用される (秒単位の) タイムアウトを指定しま
す。ターゲットが接続を拒否するときでないく、ターゲットがダウンし
ているか、または実際に到達不可能であるときのみ、この値は、使用さ
れます。
ControlMaster
単一のネットワーク接続で、複数のセッションの共有を有効にします。
yes に設定されるとき、ssh(1) は、ControlPath 引数を使用して指定さ
れた制御ソケットで接続を listen (接続を受け付け) します。追加の
セッションは、no (デフォルト) に設定された ControlMaster で同じ
ControlPath を使用して、このソケットに接続することができます。こ
れらのセッションは、新しいセッションを開始するよりむしろマスタの
インスタンスのネットワーク接続を再利用しようとしますが、制御ソ
ケットが存在していないか、または listen していないなら、通常の接
続になります。
これを ask に設定することによって、ssh(1) は、接続を制御するため
に listen (接続を受け付け) しますが、ssh-askpass(1) を使用して確
認を要求します。ControlPath をオープンすることができないなら、
ssh(1) は、マスタインスタンスに接続せずに継続します。
X11 と ssh-agent(1) 転送は、これらの多重化された接続を経由してサ
ポートされますが、ディスプレイと転送されたエージェントは、マスタ
接続に属するものとなります、すなわち、複数のディスプレイまたは
エージェントを転送することはできません。
2 つの追加オプションは、次の日和見的な多重化を可能にします: 訳注:
日和見的な多重化は、通信相手が多重化に対応できれば、多重化し、そ
うでなければ、多重化しない通信。マスタ接続を使用することを試みま
すが、それが、まだ存在しないなら、新しいものを作成するために
フォールバック機能を使用することを試みます。これらのオプション
は、次の通りです: auto と autoask。後者は、ask オプションのような
確認を必要とします。
ControlPath
上記の ControlMaster セクションで説明されている、接続の共有のため
に使用すう制御ソケットのパス名を指定するか、または、接続の共有を
無効にするために文字列 none を指定します。ControlPath への引数
は、ユーザのホームディレクトリを参照するチルダ構文または「トーク
ン」セクションで説明されるトークンを使用します。少なくとも %h、%p
と %r (または代替の %C) を含む、日和見的な接続共有のために使用さ
れるあらゆる ControlPath を推奨し、他のユーザによって書き込み可能
ではないディレクトリに置かれます。これは、共有される接続がユニー
クに識別されることを保証します。
ControlPersist
ControlMaster に関連して使用されるとき、初期のクライアント接続が
クローズされた後に、マスタ接続がバックグラウンド (将来のクライア
ント接続を待っている) でオープンされたままで残るべきであることを
指定します。no に設定されるなら、マスタ接続は、バックグラウンドに
置かれないで、初期のクライアント接続がクローズされるとすぐに、ク
ローズします。yes または 0 に設定されるなら、マスタ接続は、("ssh
-O exit" のようなメカニズムを通して kill されるか、またはクローズ
されるまで) 無期限にバックグラウンドのままとなります。秒単位で時
間を設定するか、または sshd_config(5) に文書化された正式のいずれ
かで時間を設定するなら、バックグラウンド化されたマスタ接続は、指
定された時間 (クライアント接続なしで) アイドルのまま残された後
に、自動的に終了します。
DynamicForward
ローカルマシンの TCP ポートが安全なチャネルを経由して転送されるこ
とを指定し、アプリケーションのプロトコルがどのリモートマシンから
接続するかを決定するために使用されます。
引数は、[bind_address:]port でなければなりません。角括弧でアドレ
スを囲むことによって、IPv6 アドレスを指定することができます。デ
フォルトで、ローカルのポートは、GatewayPorts の設定にしたがって
bind されます。しかしながら、明示的な bind_address は、特定のアド
レスへの接続を bind するために使用されます。localhost の
bind_address は、listen するポートがローカルの使用だけに bind さ
れることを示し、一方、空のアドレスまたは、`*' は、ポートがすべて
のインタフェースから利用可能であることを示します。
現在、SOCKS4 と SOCKS5 プロトコルがサポートされ、ssh(1) は、
SOCKS4 サーバのように振る舞います。複数の転送を指定でき、コマンド
行で追加の転送を与えることができます。root だけが、特権ポートを転
送できます。
EnableSSHKeysign
グローバルなクライアントの設定ファイル /etc/ssh/ssh_config で、こ
のオプションを yes に設定することは、HostbasedAuthentication の間
にヘルパプログラム ssh-keysign(8) の使用を有効にします。引数は、
yes または no (デフォルト) でなければなりません。このオプション
は、ホスト特有でないセクションに置かれるべきです。詳細について
は、ssh-keysign(8) を参照してください。
EscapeChar
エスケープ文字を設定します (デフォルト: `~')。また、コマンド行で
エスケープ文字を設定することができます。引数は、単一の文字 `^' に
文字が続くべきで、または (接続をバイナリデータのために透過する)
エスケープ文字をすべて無効にするために none であるべきです。
ExitOnForwardFailure
すべての要求されたダイナミック、トンネル、ローカルと、リモートの
ポート転送 (例えば、いずれかの終わりが、指定されたポートでバイン
ドすることができなくて、listen (接続を受け付け) することができな
いなら) ssh(1) が接続を終了するべきかどうかを指定します。
ExitOnForwardFailure は、ポート転送を越えて行われる接続に適用され
ません、例えば、ssh(1) は、最終的な転送の宛先との TCP 接続が失敗
するなら、終了することに注意してください。引数は、yes または no
(デフォルト) でなければなりません。
FingerprintHash
鍵の指紋を表示するとき、使用されたハッシュアルゴリズムを指定しま
す。有効なオプションは、次の通りです: md5 と sha256 (デフォル
ト)。
ForwardAgent
(もしあるなら) 認証エージェントへの接続がリモートマシンに転送され
るかどうかを指定します。引数は、yes または no (デフォルト) でなけ
ればなりません。
エージェントの転送は、注意して有効にされるべきです。(エージェント
の Unix ドメインソケットのための) リモートホストでファイルのパー
ミッションを回避する能力があるユーザは、転送された接続を通して
ローカルエージェントにアクセスすることができます。攻撃者は、エー
ジェントから重要な鍵を取得することができませんが、それらは、エー
ジェントにロードされた鍵 (identity) を使用して、それらが確証する
ことを有効にする鍵で操作を実行することができます。
ForwardX11
X11 接続が安全なチャネルを経由して自動的にリダイレクトされるか、
そして DISPLAY が設定するかどうかを指定します。引数は、yes または
no (デフォルト) でなければなりません。
X11 の転送は、注意して有効にされるべきです。(ユーザの X11 認証
データベースのための) リモートホストでファイルのパーミッションを
回避する能力があるユーザは、転送された接続を通してローカルの X11
ディスプレイにアクセスすることができます。次に、攻撃者は、
ForwardX11Trusted オプションも有効にされているなら、キーストロー
クのモニタリングのような活動を実行することができます。
ForwardX11Timeout
sshd_config(5) の「時間の形式」のセクションで説明された形式を使用
して、信頼されていない X11 転送のためのタイムアウトを指定します。
この時間の後に ssh(1) によって受信された X11 接続は、拒否されま
す。デフォルトは、20 分が経過した後に、信頼されていない X11 転送
を無効にすることです。
ForwardX11Trusted
このオプションが yes に設定されるなら、リモートの X11 クライアン
トは、オリジナルの X11 ディスプレイへの完全なアクセスがあります。
このオプションが no (デフォルト) に設定されるなら、リモートの X11
クライアントは、信頼できないとみなされ、信頼された X11 クライアン
トに属するデータを盗むか、または不正に変更することを抑制します。
さらに、セッションのために使用される xauth(1) トークンは、20 分後
に期限が切れるように設定されます。リモートのクライアントは、この
時の後でアクセスを拒否されます。
信頼できないクライアントに課される制限に関する完全な詳細について
は、X11 SECURITY 拡張仕様を参照してください。
GatewayPorts
リモートホストがローカルへの転送されたポートに接続することを許可
されるかかどうかを指定します。デフォルトで、ssh(1) は、ローカル
ポートの転送をループバックアドレスにバインド (bind) します。これ
は、他のリモートホストが転送されたポートに接続されることを防ぎま
す。ssh がローカルポートの転送をワイルドカードにアドレスにバイン
ドし、したがって、リモートホストが転送されたポートに接続すること
を可能にするべきであることを、指定するために GatewayPorts を使用
することができます。引数は、yes または no (デフォルト) でなければ
なりません。
GlobalKnownHostsFile
空白類によって区切られた、グローバルなホスト鍵データベースのため
に使用する 1 つ以上のファイルを指定します。デフォルトは、
/etc/ssh/ssh_known_hosts, /etc/ssh/ssh_known_hosts2 です。
GSSAPIAuthentication
GSSAPI に基づいたユーザ認証が許可されるかどうかを指定します。デ
フォルトは、no です。
GSSAPIDelegateCredentials
証明書 (credential) をサーバに転送 (委託) します。デフォルトは、
no です。
HashKnownHosts
ホスト名とアドレスが ~/.ssh/known_hosts に追加されるとき、ssh(1)
は、それらをハッシュするべきであることを示します。これらのハッ
シュされた名前は、ssh(1) と sshd(8) によって通常使用されますが、
ファイルの内容が開示されるならば、それらは、識別する情報を明らか
にしません。デフォルトは、no です。known_hosts ファイルに存在する
名前とアドレスは、自動的に変換されませんが、ssh-keygen(1) を使用
して手動でハッシュできることに注意してください。
HostbasedAuthentication
公開鍵の認証で rhost に基づいた認証を試みるかどうかを指定します。
引数は、yes または no (デフォルト) でなければなりません。
HostbasedKeyTypes
コンマで区切られたされたパターンリストとしてホストベースの認証の
ために使用される鍵のタイプを指定します。代わりに、指定された値が
`+' 文字で始まるなら、指定された鍵のタイプは、それらを置き換える
代わりに設定されたデフォルトに付け加えられます。指定された値が
`-' 文字で始まるなら、指定された鍵のタイプ (ワイルドカードを含む)
は、それらを置き換える代わりにデフォルトの設定から削除されます。
このオプションのためのデフォルトは、次の通りです:
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
ssh-ed25519-cert-v01@openssh.com,
ssh-rsa-cert-v01@openssh.com,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
ssh-ed25519,ssh-rsa
ssh(1) の -Q オプションは、サポートされた鍵のタイプをリストするた
めに使用されます。
HostKeyAlgorithms
クライアントが、優先順位の順序で使用したい、ホスト鍵のアルゴリズ
ムを指定します。代わりに、指定された値が `+' 文字で始まるなら、指
定された鍵のタイプは、それらを置き換える代わりに設定されたデフォ
ルトに付け加えられます。指定された値が `-' 文字で始まるなら、指定
された鍵のタイプ (ワイルドカードを含む) は、それらを置き換える代
わりにデフォルトの設定から削除されます。このオプションのためのデ
フォルトは、次の通りです:
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
ssh-ed25519-cert-v01@openssh.com,
ssh-rsa-cert-v01@openssh.com,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
ssh-ed25519,ssh-rsa
ホスト鍵があて先のホストで知られているなら、このデフォルトは、そ
れらのアルゴリズムの方を選ぶように変更されます。
また、利用可能な鍵のタイプのリストは、"ssh -Q key" を使用して取得
されます。
HostKeyAlias
ホスト鍵データベースファイルのホスト鍵を検索するか保存するとき、
実際のホスト名の代わりに使用されるべき別名を指定します。このオプ
ションは、SSH 接続をトンネリングするために、または単一のホストで
実行している複数のサーバのために役に立ちます。
HostName
ログインする実際のホスト名を指定します。ホストのためのニックネー
ムまたは省略形を指定するために、これを使用することができます。
HostName への引数は、「トークン」セクションで説明されるトークンを
受け付けます。(コマンド行と HostName 指定の両方で) 数値の IP アド
レスも許可されます。デフォルトは、コマンド行で与えられる名前で
す。
IdentitiesOnly
ssh(1) は、たとえ ssh-agent(1) または PKCS11Provider が、より多く
の識別 (identity, 秘密鍵) を提供しても、ssh_config ファイルで明示
的に設定されるか、または ssh(1) コマンド行で渡される、認証の識別
(identity, 秘密鍵) と証明書ファイルのみ使用するべきであることを指
定します。このキーワードの引数は、yes または no (デフォルト) でな
ければなりません。このオプションは、ssh-agent が多くの異なった識
別 (秘密鍵) を提供する状況を対象としています。
IdentityAgent
認証エージェントと通信するために使用される UNIX ドメインソケット
を指定します。
このオプションは、SSH_AUTH_SOCK 環境変数を上書きし、特有のエー
ジェントを選択するために使用することができます。ソケット名を none
に設定することは、認証エージェントの使用を無効にします。文字列
"SSH_AUTH_SOCK" が指定されるなら、ソケットの位置は、SSH_AUTH_SOCK
環境変数から読み込まれます。
IdentityAgent への引数は、ユーザのホームディレクトリを参照するチ
ルダ構文または「トークン」セクションで説明されるトークンを使用し
ます。
IdentityFile
ユーザの RSA、ECDSA、Ed25519 または RSA 認証の識別 (identity, 秘
密鍵) が読み込まれるファイルを指定しますデフォルトは、プロトコル
バージョン 1 に対しては、~/.ssh/identity で、プロトコルバージョン
2 に対しては、~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ed25519
と ~/.ssh/id_rsa です。さらに、認証エージェントによって表現される
あらゆる識別 (identity, 秘密鍵) は、IdentitiesOnly が設定されてい
ないなら、認証のために使用されます。証明書が CertificateFile に
よって明示的に指定されなかったなら、ssh(1) は、指定された
IdentityFile のパスに -cert.pub を付け加えることによって、取得さ
れたファイル名から証明書情報をロードしようと試みます。
IdentityFile への引数は、ユーザのホームディレクトリを参照するチル
ダ構文または「トークン」セクションで説明されるトークンを使用しま
す。
設定ファイルに複数の識別 (identity, 秘密鍵) ファイルを入れること
ができます。これらのすべての識別 (秘密鍵) は、順々に試みられま
す。複数の IdentityFile 指示は、試みられる識別のリストに追加しま
す (この振る舞いは、他の設定指示のものと異なります)。
IdentityFile は、エージェントの識別子が認証の間に提示され、選択す
る IdentitiesOnly とともに使用されます。また IdentityFile は、識
別 (identity, 秘密鍵) で認証のためにも必要とされるあらゆる証明書
を提供するために、CertificateFile とともに使用されます。
IgnoreUnknown
設定の解析で遭遇するなら、無視される、未知のオプションのパターン
のリストを指定します。これは、ssh_config が ssh(1) によって認識さ
れないオプションを含んでいるなら、エラーを抑制するために使用され
ます。設定ファイルに始めにリストされる IgnoreUnknown は、その前に
現われる未知のオプションに適用されないことが推奨されます。
Include
指定された (複数の) 設定ファイルを含めます。複数のパス名は、指定
され、各パス名は、glob(3) ワイルドカードとユーザ設定のために、
シェルのようなユーザホームディレクトリへの `~' 参照を含みます。絶
対のパスなしのファイルは、ユーザ設定ファイルに含まれるなら、
~/.ssh またはシステム設定ファイルから含まれるなら、/etc/ssh にあ
ると仮定されます。include ディレクティブは、条件付きの含有を実行
するために Match または Host ブロックの内側に現れるかもしれませ
ん。
IPQoS 接続のための IPv4 のサービスのタイプ (type-of-service) または
DSCP のクラスを指定します。受け付けられる値は、af11, af12, af13,
af21, af22, af23, af31, af32, af33, af41, af42, af43, cs0, cs1,
cs2, cs3, cs4, cs5, cs6, cs7, ef, lowdelay, throughput,
reliability または数値です。このオプションは、空白によって区切ら
れた、1 つまたは 2 つの引数を取ります。1 つの引数が指定されるな
ら、無条件にパケットのクラスとして使用されます。2 つの値が指定さ
れるなら、最初は、対話的なセッションに対して、2 番目は、対話的で
ないセッションに対して自動的に選択されます。デフォルトは、対話的
なセッションに対しては、lowdelay で、対話的でないセッションに対し
ては、throughput です。
KbdInteractiveAuthentication
キーボード対話式の認証を使用するかどうかを指定します。このキー
ワードへの引数は、yes または no (デフォルト) でなければなりませ
ん。
KbdInteractiveDevices
keyboard-interactive 認証で使用されるメソッドのリストを指定しま
す。複数のメソッド名は、コンマで区切られなければなりません。デ
フォルトは、サーバで指定されたリストを使用します。サーバが何をサ
ポートするかよって、利用可能なメソッドは、異なります。OpenSSH
サーバでは、次の 0 個以上を指定できます: bsdauth, pam と skey。
KexAlgorithms
利用可能な KEX (Key Exchange) アルゴリズムを指定します。複数のア
ルゴリズムは、コンマで区切られていなければなりません。代わりに、
指定された値が `+' 文字で始まるなら、指定された方式は、それらを置
き換える代わりに設定されたデフォルトに付け加えられます。指定され
た値が `-' 文字で始まるなら、指定されたメソッド (ワイルドカードを
含む) は、それらを置き換える代わりにデフォルトの設定から削除され
ます。デフォルトは、次の通りです:
curve25519-sha256,curve25519-sha256@libssh.org,
ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
diffie-hellman-group-exchange-sha256,
diffie-hellman-group-exchange-sha1,
diffie-hellman-group14-sha1
また、利用可能な鍵交換アルゴリズムのリストは、"ssh -Q kex" を使用
して取得されます。
LocalCommand
サーバへの接続が成功した後に、ローカルマシン上で実行するコマンド
を指定します。コマンド文字列は、行の終わりまでで、ユーザのシェル
で実行されます。LocalCommand への引数は、「トークン」セクションで
説明されるトークンを受け付けます。
コマンドは、同時実行され、それをスポン (spawn) した ssh(1) のセッ
ションにアクセスできません。対話的なコマンドに対して使用するべき
ではありません。
PermitLocalCommand が有効にされていないなら、この指示は、無視され
ます。
LocalForward
ローカルマシンの TCP ポートがリモートマシンから指定されたホストと
ポートへの安全なチャネルを経由して転送されるよう指定します。最初
の引数は、[bind_address:]port でなければならず、2 番目の引数は、
host:hostport ホストでなければなりません。角括弧でアドレスを囲む
ことによって、IPv6 アドレスを指定することができます。複数の転送を
指定することができ、コマンド行で追加の転送を与えることができま
す。スーパユーザだけが、特権のあるポートを転送することができま
す。デフォルトで、ローカルのポートは、GatewayPorts 設定にしたがっ
てバインドされます。しかしながら、明示的な bind_address は、特定
のアドレスへの接続をバインドするために使用さます。localhost の
bind_address は、ローカルの使用のためだけにバインドされるポートを
listen (接続を受け付け) することを示し、空のアドレス、または、`*'
は、ポートがすべてのインタフェースから利用可能であるべきであるこ
とを示します。
LogLevel
ssh(1) からのメッセージをログ記録するとき、使用される冗長レベルを
与えます。指定できる値は、次の通りです: QUIET, FATAL, ERROR,
INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 と DEBUG3。デフォルトは、
INFO です。DEBUG と DEBUG1 は、同等です。DEBUG2 と DEBUG3 は、そ
れぞれより高いレベルの冗長な出力を指定します。
MACs MAC (メッセージ認証コード) アルゴリズムの優先順位を指定します。
MAC アルゴリズムは、データの整合性の保護 (data integrity protec
tion) のために使用されます。複数のアルゴリズムは、コンマで区切ら
れなければなりません。指定された値が `+' 文字で始まるなら、指定さ
れたアルゴリズムは、それらを置き換える代わりに設定されたデフォル
トに付け加えられます。指定された値が `-' 文字で始まるなら、指定さ
れたアルゴリズム (ワイルドカードを含む) は、それらを置き換える代
わりにデフォルトの設定から削除されます。
"-etm" を含んでいるアルゴリズムは、暗号化 (encrypt-then-mac) の後
に MAC を計算します。これらは、より安全であると考えられ、それらの
使用は、推薦されます。
デフォルトは、次の通りです:
umac-64-etm@openssh.com,umac-128-etm@openssh.com,
hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,
hmac-sha1-etm@openssh.com,
umac-64@openssh.com,umac-128@openssh.com,
hmac-sha2-256,hmac-sha2-512,hmac-sha1
また、利用可能な MAC アルゴリズムのリストは、"ssh -Q mac" を使用
して取得されます。
NoHostAuthenticationForLocalhost
ホームディレクトリがマシンを越えて共有されるなら、このオプション
を使用することができます。この場合に、localhost は、マシンのそれ
ぞれで異なるマシンを参照し、ユーザは、変更されたホスト鍵に関する
多くの警告を得ます。しかしながら、このオプションは、localhost の
ためのホスト認証を無効にします。このキーワードへの引数は、yes ま
たは no (デフォルト) でなければなりません。
NumberOfPasswordPrompts
ギブアップする前にパスワードのプロンプトの回数を指定します。この
キーワードへの引数は、整数でなければなりません。デフォルトは、3
です。
PasswordAuthentication
パスワード認証を使用するかどうかを指定します。このキーワードへの
引数は、yes (デフォルト) または no でなければなりません。
PermitLocalCommand
LocalCommand オプション、または ssh(1) の !command エスケープシー
ケンスを使用することによってローカルコマンドの実行を許可します。
引数は、yes または no (デフォルト) でなければなりません。
PKCS11Provider
どの PKCS#11 プロバイダを使用するかを指定します。このキーワードへ
の引数は、PKCS#11 の共有ライブラリです。ssh(1) は、ユーザの RSA
秘密鍵を提供する PKCS#11 トークンで通信するために使用するべきで
す。
Port リモートホストに接続するポート番号を指定します。デフォルトは、22
です。
PreferredAuthentications
クライアントが認証メソッドを試みるべき順序を指定します。これに
よって、クライアントは、別のメソッド (例えば、password) よりも特
定のメソッド (例えば、keyboard-interactive) を選ぶことができま
す。デフォルトは、次の通りです:
gssapi-with-mic,hostbased,publickey,
keyboard-interactive,password
Protocol
ssh(1) がサポートするべきプロトコルのバージョンの優先順位を指定し
ます。指定できる値は、1 と 2 です。複数のバージョンは、コンマで区
切られなければなりません。このオプションが 2,1 に設定されるとき、
ssh は、バージョン 2 が利用可能でないなら、バージョン 2 を試み
て、バージョン 1 に戻ります。デフォルトは、バージョン 2 です。プ
ロトコル 1 は、多くの暗号法の弱点から損害を被り、使用されるべきで
はありません。それは、古いデバイスをサポートするためだけに提供さ
れています。
ProxyCommand
サーバに接続するために使用するコマンドを指定します。コマンド文字
列は、行の終わりまで拡張され、いつまでも残っているシェルプロセス
を避けるために、ユーザのシェル `exec' ディレクティブを使用して実
行されます。
ProxyCommand への引数は、「トークン」セクションで説明されるトーク
ンを受け付けます。コマンドは、基本的に何でも指定でき、標準入力か
ら読み込み、標準出力に書き込まれるべきです。それは、結局、あるマ
シンで実行している sshd(8) サーバに接続するか、またはどこかで
sshd -i を実行するべきです。ホスト鍵の管理は、接続しているホスト
の HostName を使用して行われます (デフォルトでユーザによってタイ
プされた名前)。コマンドを none に設定することは、このオプションを
完全に無効にします。CheckHostIP は、プロキシ (proxy) コマンドで接
続することができないことに注意してください。
この指示は、nc(1) とそのプロキシのサポートと併用して役に立ちま
す。例えば、次の指示は、192.0.2.0 で HTTP プロキシを経由して接続
します:
ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p
ProxyJump
[user@]host[:port] のように 1 つ以上のジャンププロキシを指定しま
す。複数のプロキシは、コンマ文字によって区切られ、順次訪問されま
す。このオプションを設定することによって、ssh(1) は、指定された
ProxyJump ホストへの ssh(1) 接続を最初に行うことによってターゲッ
トホストに接続し、次に、そこから最終的なターゲットへの TCP 転送を
確立します。
このオプションは、ProxyCommand オプションと競合することに注意して
ください - いずれか最初に指定されたものが、他の後のインスタンスが
効果を生じることを防ぎます。
ProxyUseFdpass
ProxyCommand は、データを実行して、渡し続ける代わりに、ssh(1) に
接続しているファイル記述子を元に渡すことを指定します。デフォルト
は、no です。
PubkeyAcceptedKeyTypes
コンマで区切られたされたパターンリストとして公開鍵の認証のために
使用されまる鍵のタイプを指定します。代わりに、指定された値が `+'
文字で始まるなら、その後の鍵のタイプは、それらを置き換える代わり
にデフォルトに付け加えられます。指定された値が `-' 文字で始まるな
ら、指定された鍵のタイプ (ワイルドカードを含む) は、それらを置き
換える代わりにデフォルトの設定から削除されます。このオプションの
ためのデフォルトは、次の通りです:
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
ssh-ed25519-cert-v01@openssh.com,
ssh-rsa-cert-v01@openssh.com,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
ssh-ed25519,ssh-rsa
また、利用可能な鍵のタイプのリストは、"ssh -Q key" を使用して取得
されます。
PubkeyAuthentication
公開鍵認証を試みるかどうかを指定します。このキーワードへの引数
は、yes (デフォルト) または no でなければなりません。
RekeyLimit
セッション鍵が再交渉される前に転送される最大のデータ量を指定し、
オプションでセッション鍵が再交渉される前に渡される最大の時間の量
が続きます。最初の引数は、バイト単位で指定され、それぞれ、キロバ
イト、メガバイトまたはギガバイトを示すために `K', `M' または `G'
の接尾辞を付けることができます。デフォルトは、暗号によりますが、
`1G' と `4G' の間です。オプションの 2 番目の値は、秒単位で指定さ
れ、sshd_config(5) の「時間の形式」セクションで文書化されたユニッ
トのうちのいずれかを使用します。RekeyLimit のためのデフォルト値
は、rekey が、暗号のデータのデフォルトの量が送信されるか、または
受信された後に、実行され、時間ベースの rekey が行なわれないことを
意味する、default none です。
RemoteForward
ローカルマシンからの指定されたホストとポートへの安全なチャネルを
経由して転送されるリモートマシンの TCP ポートを指定します。最初の
引数は、[bind_address:]port でなければならず、2 番目の引数は、
host:hostport ホストでなければなりません。角括弧でアドレスを囲む
ことによって、IPv6 アドレスを指定することができます。複数の転送を
指定することができ、コマンド行で追加の転送を与えることができま
す。ルートとしてリモートマシンでログインするときだけ、特権ポート
を転送することができます。
port 引数が 0 であるなら、listen (接続を受け付け) するポートは、
サーバで動的に割り付けられ、実行時にクライアントに報告されます。
bind_address が指定されないなら、デフォルトは、ループバックアドレ
スにただバインド (bind) することです。bind_address が `*' である
か、または空の文字列であるなら、転送は、すべてのインタフェースで
listen (接続を受け付け) することが要求されます。サーバの
GatewayPorts オプションが有効されるなら (sshd_config(5) を参照)、
リモートの bind_address を指定することは、単に成功します。
RequestTTY
セッションのための疑似 tty を要求するべきかどうか指定します。引数
は、次のうちの 1 つです: no (TTY を決して要求しません)、yes (標準
入力が TTY であるとき、常に TTY を要求します)、force (常に TTY を
要求します) または auto (ログインセッションを開始するとき、TTY を
要求します)。このオプションは、ssh(1) のための -t と -T フラグと
同様です。
RevokedHostKeys
無効にされたホストの公開鍵を指定します。このファイルにリストされ
た鍵は、ホストの認証のために拒否されます。このファイルが存在しな
いか、または読み込み可能でないなら、ホストの認証は、すべてのホス
トのために拒否されることに注意してください。鍵は、行ごとに 1 つの
公開鍵をリストするか、または ssh-keygen(1) によって生成される
OpenSSH Key Revocation List (KRL) のように、テキストファイルとし
て指定されます。KRL の詳細については、ssh-keygen(1) の「鍵取り消
しリスト」セクションを参照してください。
RhostsRSAAuthentication
RSA ホスト認証で rhost に基づいた認証を試みるかどうかを指定しま
す。引数は、yes または no (デフォルト) でなければなりません。この
オプションは、プロトコルバージョン 1 のみに適用され、ssh(1) が
セットユーザ ID (setuid) root であることを要求します。
RSAAuthentication
RSA 認証を試みるかどうかを指定します。このキーワードへの引数は、
yes (デフォルト) または no でなければなりません。RSA 認証は、鍵
(identity) ファイルが存在するか、または認証エージェントが実行され
ているなら、単に試みられます。このオプションは、プロトコルバー
ジョン 1 のみに適用されることに注意してください。
SendEnv
ローカルの environ(7) (環境変数) からどの変数がサーバに送信される
べきであるかを指定します。またサーバは、それをサポートしてなけれ
ばならず、サーバは、これらの環境変数を受け付けるように設定されて
いなければなりません。TERM 環境変数は、それがプロトコルによって必
要とされるように、疑似端末が要求されるときはいつでも、常に送信さ
れることに注意してください。サーバを設定する方法については、
sshd_config(5) の AcceptEnv を参照してください。変数は、ワイルド
カード文字を含んでいる、名前によって指定されます。複数の環境変数
は、空白類よって区切られるか、または複数の SendEnv 指示に散在され
ます。デフォルトは、あらゆる環境変数を送信することではありませ
ん。
パターンに関する詳細については、「パターン」を参照していくださ
い。
ServerAliveCountMax
サーバからあらゆるメッセージの応答を受信している ssh(1) なしに送
信される、サーバ動作確認メッセージ (下記を参照) の数を設定しま
す。サーバ動作確認メッセージが送信されている間に、このしきい値に
到達するなら、ssh は、サーバの接続を切断して、セッションを終了し
ます。サーバ動作確認メッセージの使用が、(下記の) TCPKeepAlive と
非常に異なることに注意することは重要です。サーバ動作確認メッセー
ジは、暗号化されたチャネルを通して送信され、したがって、なりすま
し可能ではありません。TCPKeepAlive によって有効にされた TCP
keepalive (動作し続ける) オプションは、なりすまし可能です。サーバ
動作確認メカニズムは、クライアントまたはサーバが接続がいつ動作し
なくなったか知ることに依存するとき、価値があります。
デフォルト値は、3 です。例えば、ServerAliveInterval (以下を参照)
が 15 に設定され、ServerAliveCountMax がデフォルトのままであるな
ら、ssh は、サーバが応答しなくなるなら、およそ 45 秒後に、接続を
切断します。
ServerAliveInterval
ssh(1) がサーバから応答を要求する暗号化されたチャネルを通してメッ
セージを送信する、サーバからデータが受信されなくなった後のタイム
アウトの間隔を秒単位で設定します。デフォルトは、0 で、これらの
メッセージがサーバに送信されないことを示します。
StreamLocalBindMask
ローカルまたはリモートのポート転送のための Unix ドメインソケット
ファイルを作成するとき、使用する、8 進数のファイル作成モードマス
ク (umask) を設定します。このオプションは、Unix ドメインソケット
ファイルに転送するポートのためだけに使用されます。
デフォルト値は、所有者によってのみ読み込み可能で、書き込み可能な
Unix ドメインソケットファイルを作成する、0177 です。すべてのオペ
レーティングシステムは、Unix ドメインソケットファイルのファイル
モードを尊重しているわけではないことに注意してください。
StreamLocalBindUnlink
新しいものを作成する前に、ローカルまたはリモートのポート転送のた
めの既存の Unix ドメインソケットファイルを削除するかどうかを指定
します。すでにソケットファイルが存在し、StreamLocalBindUnlink が
有効ではないなら、ssh は、ポートを Unix ドメインソケットファイル
に転送することはできません。このオプションは、Unix ドメインソケッ
トファイルへのポート転送のためでけに使用されます。
引数は、yes または no (デフォルト) でなければなりません。
StrictHostKeyChecking
このフラグが yes に設定されるなら、ssh(1) は、自動的に
~/.ssh/known_hosts ファイルへのホスト鍵を自動的に決して追加せず、
ホスト鍵が変更されたホストに接続することを拒否します。これは、ト
ロイの木馬攻撃からの最大の防御を提供しますが、
/etc/ssh/ssh_known_hosts ファイルが、下手に維持されているとき、ま
たは、新しいホストへの接続が頻繁に行われるとき、面倒になるかもし
れません。このオプションによって、ユーザは、すべての新しいホスト
に手動で強制的に追加します。このフラグが no に設定されるなら、ssh
は、新しいホスト鍵をユーザに既知のホストファイルに自動的に追加し
ます。このフラグが ask (デフォルト) に設定されるなら、新しいホス
ト鍵は、それが、本当に行いたいことであることをユーザが確認した後
だけ、ユーザに既知のホストファイルに追加され、ssh は、ホスト鍵が
変更されたホストに接続することを拒否します。既知のホストのホスト
鍵は、すべての場合に自動的に確認されます。
TCPKeepAlive
システムが相手側に TCP keepalive (動作し続ける) メッセージを送信
するべきかどうかを指定します。それらが送信されるなら、マシンの 1
つの接続またはクラッシュの状態が、適切に通知されます。しかしなが
ら、これは、経路が一時的にダウンしているなら、接続が停止している
ことを意味し、ある人々には、それは面倒なであることが分かります。
デフォルトは、yes (TCP keepalive メッセージを送信すること) で、ク
ライアントは、ネットワークがダウンしているか、リモートホストが停
止しているなら、通知します。これは、スクリプトで重要で、多くの
ユーザもそれを望んでいます。
TCP keepalive メッセージを無効にするために、値は、no に設定される
べきです。
Tunnel クライアントとサーバの間の tun(4) デバイスの転送を要求します。引
数は、yes, point-to-point (レイヤ 3)、ethernet (レイヤ 2) または
no (デフォルト) でなければなりません。yes に指定することは、
point-to-point である、デフォルトのトンネルモードを要求します。
TunnelDevice
クライアント (local_tun) とサーバ (remote_tun) でオープンするため
の tun(4) デバイスを指定します。
引数は、local_tun[:remote_tun] でなければなりません。デバイスに
は、数字の ID、または、次に利用可能なトンネルデバイスを使用する
キーワード any を指定します。remote_tun が指定されないなら、any
をデフォルトとします。デフォルトは、any:any です。
UpdateHostKeys
ssh(1) が、認証が完了した後に、そしてそれらを UserKnownHostsFile
に追加し、送信されるサーバから追加のホスト鍵の通知を受け付けるべ
きであるかどうかを指定します。引数は、yes, no (デフォルト) または
ask でなければなりません。このオプションを有効にすることは、サー
バのための代替のホスト鍵を学習することを許可し、古いものが削除さ
れる前に、置き換えられる公開鍵を送信するためにサーバを可能にする
ことによって、優雅な鍵の回転をサポートします。追加のホスト鍵は、
ホストがすでに信頼されていたか、または明示的にユーザによって受け
付けられたかを認証するために鍵が使用される場合のみ受け付けられま
す。UpdateHostKeys が、ask に設定されるなら、ユーザは、
known_hosts ファイルへの修正を確認するために問い合わされます。確
認は、現在 ControlPersist と互換性がなく、それが有効にされている
なら、無効にされます。
現在、OpenSSH 6.8 以降の sshd(8) だけ、すべてのサーバのホスト鍵の
クライアントに通知するために使用される "hostkeys@openssh.com" プ
ロトコルの拡張をサポートします。
UsePrivilegedPort
発信している接続のために特権ポートを使用するかどうかを指定しま
す。引数は、yes または no (デフォルト) でなければなりません。yes
に設定されるなら、ssh(1) は、セットユーザ ID (setuid) root でなけ
ればなりません。このオプションは、古いサーバで
RhostsRSAAuthentication のために yes に設定されなけばならないこと
に注意してください。
User ログインするユーザを指定します。異なるユーザ名が異なるマシンで使
用されるとき、これは、役に立ちます。これは、コマンド行でユーザ名
を与えることを覚えておく手間を削減します。
UserKnownHostsFile
余白類によって区切られた、ユーザホスト鍵データベースのために使用
する 1 つ以上のファイルを指定します。デフォルトは、
~/.ssh/known_hosts, ~/.ssh/known_hosts2 です。
VerifyHostKeyDNS
DNS と SSHFP リソースレコードを使用して、リモートの鍵を検証するか
どうかを指定しますこのオプションが yes に設定されているなら、クラ
イアントは、DNS からの安全な指紋と一致する鍵を暗黙に信頼します。
安全でない指紋は、あたかも、このオプションが ask と設定されていた
かのように扱われます。このオプションが ask に設定されているなら、
一致した指紋に関する情報が表示されますが、ユーザは、それでも
StrictHostKeyChecking オプションにしたがって新しいホスト鍵を確認
する必要があります。デフォルトは、LDNS を付けてコンパイルされてい
るなら、yes で、そうでなければ、no です。
また、ssh(1) の「ホスト鍵の検証」を参照してください。
VersionAddendum
OS 特有またはサイト特有の修正を識別するために、通常のバージョン文
字列に付け加える文字列を指定します。デフォルトは、
``FreeBSD-20170903'' です。値 none は、これを無効にするために使用
されます。
VisualHostKey
このフラグが yes に設定されるなら、リモートホスト鍵指紋の ASCII
アート表現は、ログインと未知のホスト鍵で指紋文字列に加えて印刷
(表示) されます。このフラグが no (デフォルト) に設定されるなら、
指紋文字列は、ログイン時に印刷 (表示) されません、そして指紋文字
列だけが未知のホスト鍵のために印刷 (表示) されます。
XAuthLocation
xauth(1) プログラムのフルパス名を指定します。デフォルトは、
/usr/local/bin/xauth です。
パターン
パターンは、0 個以上の非空白類文字、`*' (0 個以上の文字に適合するワイルド
カード)、または `?' (正確に 1 文字に適合するワイルドカード) から成りま
す。例えば、ドメインの ".co.uk" 集合で任意のホストのための 1 組の宣言を指
定するために、次のパターンを使用することができます:
Host *.co.uk
次のパターンは、192.168.0.[0-9] のネットワーク領域で任意のホストに適合し
ます:
Host 192.168.0.?
パターンリストは、パターンのコンマで区切られたリストです。パターンリスト
中のパターンは、それらの前に感嘆符 (`!') を付けることよって否定されます。
例えば、"dialup" プールを除いて、鍵が組織内のどこからでも使用することがで
きるように、次の (authorized_keys の) エントリを使用することができます:
from="!*.dialup.example.com,*.example.com"
トークン
いくつかのキーワードへの引数は、実行時に拡張される、トークンを使用するこ
とができます:
%% リテラル `%'。
%C %l%h%p%r の省略表現。
%d ローカルのユーザのホームディレクトリ。
%h リモートのホスト名。
%i ローカルのユーザ ID。
%L ローカルのホスト名。
%l ドメイン名を含むローカルのホスト名。
%n コマンド行で与えられるような、オリジナルのリモートホスト名。
%p リモートのポート。
%r リモートのユーザ名。
%u ローカルのユーザ名。
Match exec は、トークン %%, %h, %L, %l, %n, %p, %r と %u を受け付けます。
CertificateFile は、トークン %%, %d, %h, %l, %r と %u を受け付けます。
ControlPath は、トークン %%, %C, %h, %i, %L, %l, %n, %p, %r と %u を受け
付けます。
HostName は、トークン %% と %h を受け付けます。
IdentityAgent と IdentityFile は、トークン %%, %d, %h, %l, %r と %u を受
け付けます。
LocalCommand は、トークン %%, %C, %d, %h, %l, %n, %p, %r と %u を受け付け
ます。
ProxyCommand は、トークン %%, %h, %p と %r を受け付けます。
関連ファイル
~/.ssh/config
これは、ユーザごとの設定ファイルです。このファイルの形式は、上に
説明されています。このファイルは、SSH クライアントによって使用さ
れます。悪用の可能性のために、このファイルは、厳密なパーミッショ
ンがなければなりません: ユーザのための読み込み/書き込み、と他のも
のによってアクセス可能でない。
/etc/ssh/ssh_config
システム全体の設定ファイル。このファイルは、ユーザの設定ファイル
で指定されない値、と設定ファイルがないユーザのためのデフォルトを
提供しています。このファイルは、すべてのユーザに読み込み可能でな
ければなりません。
関連項目
ssh(1)
作者
OpenSSH は、Tatu Ylonen によってリリースされたオリジナルのフリーな ssh
1.2.12 の派生物です。Aaron Campbell, Bob Beck, Markus Friedl, Niels
Provos, Theo de Raadt と Dug Song は、多くのバグを取り除き、新しい機能を
再び追加し、OpenSSH を作成しました。Markus Friedl は、SSH プロトコルバー
ジョン 1.5 と 2.0 のためのサポートを寄贈しました。
FreeBSD 11.2 June 30, 2018 FreeBSD 11.2