HostKeyAlias
ホストキーデータベースファイルでホストキーを検索または保存するとき、およびホスト証明書を検証するときに、実際のホスト名の代わりに使用する必要があるエイリアスを指定します。このオプションは、SSH接続をトンネリングする場合、または単一のホストで実行されている複数のサーバーに役立ちます。
ホスト名
ログインする実際のホスト名を指定します。これは、ホストのニックネームまたは略語を指定するために使用できます。 HostnameTOKENSセクションで説明されているトークンを受け入れるための引数。数値のIPアドレスも許可されます(コマンドラインと仕様の両方で)。デフォルトは、コマンドラインで指定された名前です。ホスト名
IdentitiesOnly
ssh-agent(1)であっても、ssh(1)が構成済みの認証IDおよび証明書ファイル(デフォルトファイル、またはファイルで明示的に構成されたファイル、またはssh_configssh(1)コマンドラインで渡されたファイル)のみを使用するように指定します。またはまたはまたはより多くのIDを提供します。このキーワードの引数はor(デフォルト)でなければなりません。このオプションは、ssh-agentが多くの異なるIDを提供する状況を対象としています。PKCS11ProviderSecurityKeyProvideryesno
IdentityAgent
認証エージェントとの通信に使用されるUNIXドメインソケットを指定します。
このオプションは環境変数を上書きし、特定のエージェントを選択するために使用できます。ソケット名をに設定すると、認証エージェントの使用が無効になります。文字列「SSH_AUTH_SOCK」が指定されている場合、ソケットの場所は環境変数から読み取られます。それ以外の場合、指定された値が「$」文字で始まる場合は、ソケットの場所を含む環境変数として扱われます。SSH_AUTH_SOCKnoneSSH_AUTH_SOCK
の引数では、チルダ構文を使用して、ユーザーのホームディレクトリ、IdentityAgentTOKENSセクションで説明されているトークン、およびENVIRONMENTVARIABLESセクションで説明されている環境変数を参照できます。
IdentityFile
ユーザーのDSA、ECDSA、オーセンティケーターがホストするECDSA、Ed25519、オーセンティケーターがホストするEd25519、またはRSA認証IDを読み取るファイルを指定します。デフォルトは〜/ .ssh / id_dsa、〜/ .ssh / id_ecdsa、〜/ .ssh / id_ecdsa_sk、〜/ .ssh / id_ed25519、〜/ .ssh / id_ed25519_sk、および〜/ .ssh / id_rsaです。さらに、が設定されていない限り、認証エージェントによって表されるIDが認証に使用されます。によって明示的に指定された証明書がない場合、IdentitiesOnlyCertificateFilessh(1)は、指定されたのパスに-cert.pubを追加して取得したファイル名から証明書情報を読み込もうとします。 IdentityFile
の引数は、チルダ構文を使用して、ユーザーのホームディレクトリまたはIdentityFileTOKENSセクションで説明されているトークンを参照できます。
構成ファイルで複数のIDファイルを指定することができます。これらのIDはすべて順番に試行されます。複数のディレクティブが試行されたIDのリストに追加されます(この動作は他の構成ディレクティブの動作とは異なります)。IdentityFile
IdentityFileをと組み合わせて使用すると、認証中にエージェント内のどのIDを提供するかを選択できます。また、identity.IdentitiesOnlyIdentityFileCertificateFileによる認証にも必要な証明書を提供するために、と組み合わせて使用することもできます。
IgnoreUnknown
構成の解析で検出された場合に無視される不明なオプションのパターンリストを指定します。これは、ssh_configssh(1)によって認識されないオプションが含まれている場合にエラーを抑制するために使用できます。その前に表示される不明なオプションには適用されないため、構成ファイルの早い段階でリストすることをお勧めします。IgnoreUnknown
含める
指定された構成ファイルを含めます。複数のパス名を指定でき、各パス名にはglob(7)ワイルドカードを含めることができ、ユーザー構成の場合は、ユーザーのホームディレクトリへのシェルのような「〜」参照を含めることができます。ワイルドカードは、辞書式順序で展開および処理されます。絶対パスのないファイルは、ユーザー構成ファイルに含まれている場合は〜/ .sshに、システム構成ファイルに含まれている場合は/ etc / sshにあると見なされます。ディレクティブは、条件付き包含を実行するためにまたはブロック内に表示される場合があります。IncludeMatchHost
IPQoS
接続用のIPv4タイプオブサービスまたはDSCPクラスを指定します。受け入れられる値は、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、このオプションは、空白で区切られた1つまたは2つの引数を取ることができます。引数を1つ指定すると、無条件にパケットクラスとして使用されます。 2つの値が指定されている場合、最初の値は対話型セッション用に自動的に選択され、2番目は非対話型セッション用に選択されます。デフォルトは、インタラクティブセッションの場合は(Low-Latency Data)、非インタラクティブセッションの場合は(Lower Effort)です。af11af12af13af21af22af23af31af32af33af41af42af43cs0cs1cs2cs3cs4cs5cs6cs7eflelowdelaythroughputreliabilitynoneaf21cs1
KbdInteractiveAuthentication
キーボードインタラクティブ認証を使用するかどうかを指定します。このキーワードの引数は(デフォルト)または.yesnoである必要があります
KbdInteractiveDevices
キーボード対話型認証で使用するメソッドのリストを指定します。複数のメソッド名はコンマで区切る必要があります。デフォルトでは、サーバー指定のリストを使用します。使用可能な方法は、サーバーがサポートするものによって異なります。 OpenSSHサーバーの場合、、、、および.bsdauthpamskeyの0個以上である可能性があります。
KexAlgorithms
使用可能なKEX(鍵交換)アルゴリズムを指定します。複数のアルゴリズムはコンマで区切る必要があります。指定されたリストが「+」文字で始まる場合、指定されたメソッドは、それらを置き換えるのではなく、デフォルトセットに追加されます。指定されたリストが「-」文字で始まる場合、指定されたメソッド(ワイルドカードを含む)は、それらを置き換えるのではなく、デフォルトセットから削除されます。指定されたリストが「^」文字で始まる場合、指定されたメソッドはデフォルトセットの先頭に配置されます。デフォルトは次のとおりです。
Curve25519-sha256、curve25519-sha256 @ libssh.org、
ecdh-sha2-nistp256、ecdh-sha2-nistp384、ecdh-sha2-nistp521、
diffie-hellman-group-exchange-sha256、
diffie-hellman-group16-sha512、
diffie-hellman-group18-sha512、
diffie-hellman-group14-sha256
使用可能な鍵交換アルゴリズムのリストは、「ssh-Qkex」を使用して取得することもできます。
LocalCommand
サーバーに正常に接続した後、ローカルマシンで実行するコマンドを指定します。コマンド文字列は行末まで拡張され、ユーザーのシェルで実行されます。 LocalCommandTOKENSセクションで説明されているトークンを受け入れるための引数。
コマンドは同期的に実行され、コマンドを生成したssh(1)のセッションにアクセスできません。インタラクティブコマンドには使用しないでください。
このディレクティブは、有効になっていない限り無視されます。PermitLocalCommand
LocalForward
ローカルマシンのTCPポートが、セキュリティで保護されたチャネルを介して、リモートマシンから指定されたホストおよびポートに転送されることを指定します。最初の引数はリスナーを指定し、[:]またはUnixドメインソケットパスの場合があります。 2番目の引数は宛先であり、:またはリモートホストがサポートしている場合はUnixドメインソケットパスの場合があります。 bind_addressporthosthostport
IPv6アドレスは、アドレスを角かっこで囲むことで指定できます。複数の転送を指定でき、コマンドラインで追加の転送を指定できます。スーパーユーザーのみが特権ポートを転送できます。デフォルトでは、ローカルポートは設定に従ってバインドされます。ただし、明示を使用して、接続を特定のアドレスにバインドすることができます。 ofは、リスニングポートがローカル使用のみにバインドされていることを示し、空のアドレスまたは「*」は、ポートがすべてのインターフェイスから使用可能であることを示します。 Unixドメインソケットパスは、GatewayPortsbind_addressbind_addresslocalhostTOKENSセクションで説明されているトークンと、ENVIRONMENTVARIABLESセクションで説明されている環境変数を使用できます。
LogLevel
ssh(1)からのメッセージをログに記録するときに使用される詳細レベルを示します。可能な値は、QUIET、FATAL、ERROR、INFO、VERBOSE、DEBUG、DEBUG1、DEBUG2、およびDEBUG3です。デフォルトはINFOです。 DEBUGとDEBUG1は同等です。 DEBUG2とDEBUG3はそれぞれ、より高いレベルの詳細出力を指定します。
LogVerbose
LogLevelに1つ以上のオーバーライドを指定します。オーバーライドは、ソースファイル、関数、および行番号に一致するパターンリストで構成され、詳細なログ記録を強制します。たとえば、次のオーバーライドパターン:
kex.c::1000、:kex_exchange_identification():、packet.c:
kex.cの行1000、kex_exchange_identification()関数のすべて、およびpacket.cファイルのすべてのコードの詳細なログを有効にします。このオプションはデバッグを目的としており、デフォルトではオーバーライドは有効になっていません。
MAC
MAC(メッセージ認証コード)アルゴリズムを優先順に指定します。 MACアルゴリズムは、データの整合性保護に使用されます。複数のアルゴリズムはコンマで区切る必要があります。指定されたリストが「+」文字で始まる場合、指定されたアルゴリズムは、それらを置き換えるのではなく、デフォルトセットに追加されます。指定されたリストが「-」文字で始まる場合、指定されたアルゴリズム(ワイルドカードを含む)は、それらを置き換えるのではなく、デフォルトセットから削除されます。指定されたリストが「^」文字で始まる場合、指定されたアルゴリズムはデフォルトセットの先頭に配置されます。
「-etm」を含むアルゴリズムは、暗号化後にMACを計算します(encrypt-then-mac)。これらはより安全であると考えられており、それらの使用が推奨されています。
デフォルトは次のとおりです。
umac-64-etm @ openssh.com、umac-128-etm @ openssh.com、
hmac-sha2-256-etm @ openssh.com、hmac-sha2-512-etm @ openssh.com、
hmac-sha1-etm@openssh.com、
umac-64 @ openssh.com、umac-128 @ openssh.com、
hmac-sha2-256、hmac-sha2-512、hmac-sha1
使用可能なMACアルゴリズムのリストは、「ssh-Qmac」を使用して取得することもできます。
NoHostAuthenticationForLocalhost
ローカルホスト(ループバックアドレス)のホスト認証を無効にします。このキーワードの引数はor(デフォルト)でなければなりません。yesno
NumberOfPasswordPrompts
諦める前のパスワードプロンプトの数を指定します。このキーワードの引数は整数でなければなりません。デフォルトは3です。
PasswordAuthentication
パスワード認証を使用するかどうかを指定します。このキーワードの引数は(デフォルト)または.yesnoである必要があります
PermitLocalCommand
オプションを介して、またはLocalCommand!commandssh(1)のエスケープシーケンスを使用して、ローカルコマンドの実行を許可します。引数はor(デフォルト)でなければなりません。yesno
PKCS11Provider
使用するPKCS#11プロバイダーを指定するか、プロバイダーを使用しないことを示します(デフォルト)。このキーワードの引数は、ユーザー認証用のキーを提供するPKCS#11トークンと通信するためにnonessh(1)が使用する必要があるPKCS#11共有ライブラリへのパスです。
ポート
リモートホストに接続するポート番号を指定します。デフォルトは22です。
PreferredAuthentications
クライアントが認証方法を試行する順序を指定します。これにより、クライアントは別の方法(例)よりも1つの方法(例)を優先できます。デフォルトは次のとおりです。keyboard-interactivepassword
gssapi-with-mic、hostbased、publickey、
キーボードインタラクティブ、パスワード
ProxyCommand
サーバーへの接続に使用するコマンドを指定します。コマンド文字列は行の終わりまで拡張され、ユーザーのシェル ‘’ディレクティブを使用して実行され、シェルプロセスが長引くのを防ぎます。 exec
ProxyCommandTOKENSセクションで説明されているトークンを受け入れるための引数。コマンドは基本的に何でもかまいません。標準入力から読み取り、標準出力に書き込む必要があります。最終的には、あるマシンで実行されているsshd(8)サーバーに接続するか、どこかで実行する必要があります。ホストキーの管理は、接続されているホストのを使用して行われます(デフォルトではユーザーが入力した名前になります)。コマンドを設定すると、このオプションは完全に無効になります。プロキシコマンドを使用した接続には使用できないことに注意してください。sshd-iHostnamenoneCheckHostIP
このディレクティブは、nc(1)およびそのプロキシサポートと組み合わせて使用すると便利です。たとえば、次のディレクティブは192.0.2.0のHTTPプロキシを介して接続します。
ProxyCommand / usr / bin / nc -X connect -x 192.0.2.0:8080%h%p
ProxyJump
1つ以上のジャンププロキシを[@] [:]またはsshURIとして指定します。複数のプロキシはコンマ文字で区切ることができ、順番にアクセスされます。このオプションを設定すると、userhostportssh(1)は、最初に指定されたホストへのssh(1)接続を確立し、次にそこから最終ターゲットへのTCP転送を確立することによってターゲットホストに接続します。 ProxyJump
このオプションはオプションと競合することに注意してください-最初に指定された方は、他のインスタンスが後で有効になるのを防ぎます。ProxyCommand
宛先ホストの構成(コマンドラインまたは構成ファイルを介して提供される)は、通常、ジャンプホストには適用されないことにも注意してください。ジャンプホストに特定の構成が必要な場合は、〜/ .ssh / configを使用する必要があります。
ProxyUseFdpass
データの実行と受け渡しを継続する代わりに、接続されたファイル記述子をProxyCommandssh(1)に戻すことを指定します。デフォルトは.noです。
PubkeyAcceptedKeyTypes
公開鍵認証に使用される鍵タイプを、パターンのコンマ区切りリストとして指定します。指定されたリストが「+」文字で始まる場合、その後のキータイプは、置き換えられるのではなく、デフォルトに追加されます。指定されたリストが「-」文字で始まる場合、指定されたキータイプ(ワイルドカードを含む)は、それらを置き換えるのではなく、デフォルトセットから削除されます。指定されたリストが「^」文字で始まる場合、指定されたキータイプはデフォルトセットの先頭に配置されます。このオプションのデフォルトは次のとおりです。
ssh-ed25519-cert-v01@openssh.com、
ecdsa-sha2-nistp256-cert-v01@openssh.com、
ecdsa-sha2-nistp384-cert-v01@openssh.com、
ecdsa-sha2-nistp521-cert-v01@openssh.com、
sk-ssh-ed25519-cert-v01@openssh.com、
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com、
rsa-sha2-512-cert-v01@openssh.com、
rsa-sha2-256-cert-v01@openssh.com、
ssh-rsa-cert-v01@openssh.com、
ssh-ed25519、
ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、ecdsa-sha2-nistp521、
sk-ssh-ed25519@openssh.com、
sk-ecdsa-sha2-nistp256@openssh.com、
rsa-sha2-512、rsa-sha2-256、ssh-rsa
使用可能なキータイプのリストは、「ssh -QPubkeyAcceptedKeyTypes」を使用して取得することもできます。
PubkeyAuthentication
公開鍵認証を試すかどうかを指定します。このキーワードの引数は(デフォルト)または.yesnoである必要があります
RekeyLimit
セッションキーが再ネゴシエートされる前に送信される可能性のあるデータの最大量を指定します。オプションで、セッションキーが再ネゴシエートされる前に経過する可能性のある最大時間の後に続きます。最初の引数はバイト単位で指定され、「K」、「M」、または「G」の接尾辞を付けて、それぞれキロバイト、メガバイト、またはギガバイトを示すことができます。デフォルトは、暗号に応じて「1G」と「4G」の間です。オプションの秒の値は秒単位で指定され、sshd_config(5)のTIMEFORMATSセクションに記載されている任意の単位を使用できます。のデフォルト値はです。これは、暗号のデフォルト量のデータが送受信された後にキーの再生成が実行され、時間ベースのキーの再生成が行われないことを意味します。RekeyLimitdefaultnone
RemoteCommand
サーバーに正常に接続した後、リモートマシンで実行するコマンドを指定します。コマンド文字列は行末まで拡張され、ユーザーのシェルで実行されます。 RemoteCommandTOKENSセクションで説明されているトークンを受け入れるための引数。
RemoteForward
リモートマシンのTCPポートがセキュリティで保護されたチャネルを介して転送されることを指定します。リモートポートは、ローカルマシンから指定されたホストとポートに転送されるか、リモートクライアントがローカルマシンから任意の宛先に接続できるようにするSOCKS4 / 5プロキシとして機能する場合があります。最初の引数はリスニング仕様であり、[:]、またはリモートホストがサポートしている場合はUnixドメインソケットパスの場合があります。特定の宛先に転送する場合、2番目の引数は:またはUnixドメインソケットパスである必要があります。そうでない場合、宛先引数が指定されていない場合、リモート転送はSOCKSプロキシとして確立されます。 bind_addressporthosthostport
IPv6アドレスは、アドレスを角かっこで囲むことで指定できます。複数の転送を指定でき、コマンドラインで追加の転送を指定できます。特権ポートは、リモートマシンにrootとしてログインしている場合にのみ転送できます。 Unixドメインソケットパスは、TOKENSセクションで説明されているトークンと、ENVIRONMENTVARIABLESセクションで説明されている環境変数を使用できます。
引数が0の場合、リッスンポートはサーバーに動的に割り当てられ、実行時にクライアントに報告されます。
が指定されていない場合、デフォルトではループバックアドレスにのみバインドされます。が「」または空の文字列の場合、転送はすべてのインターフェイスでリッスンするように要求されます。リモートの指定は、サーバーのオプションが有効になっている場合にのみ成功します(bind_addressbind_address * bind_addressGatewayPortssshd_config(5)を参照)。
RequestTTY
セッションの疑似ttyを要求するかどうかを指定します。引数は、(TTYを要求しない)、(標準入力がTTYの場合は常にTTYを要求する)、(常にTTYを要求する)、または(ログインセッションを開くときにTTYを要求する)のいずれかになります。このオプションは、noyesforceauto-t-Tssh(1)のフラグとフラグをミラーリングします。
RevokedHostKeys
取り消されたホスト公開鍵を指定します。このファイルにリストされているキーは、ホスト認証で拒否されます。このファイルが存在しないか、読み取り可能でない場合、ホスト認証はすべてのホストで拒否されることに注意してください。キーは、1行に1つの公開キーをリストするテキストファイルとして、またはssh-keygen(1)によって生成されるOpenSSHキー失効リスト(KRL)として指定できます。 KRLの詳細については、ssh-keygen(1)の「KEYREVOCATIONLISTS」セクションを参照してください。
SecurityKeyProvider
組み込みのUSBHIDサポートを使用するデフォルトをオーバーライドして、FIDOオーセンティケーターがホストするキーをロードするときに使用されるライブラリーへのパスを指定します。
指定された値が「$」文字で始まる場合、ライブラリへのパスを含む環境変数として扱われます。
SendEnv
ローカルenviron(7)からサーバーに送信する変数を指定します。サーバーもそれをサポートする必要があり、サーバーはこれらの環境変数を受け入れるように構成する必要があります。環境変数は、プロトコルで必要とされるため、疑似端末が要求されるたびに常に送信されることに注意してください。サーバーの構成方法については、TERMAcceptEnvsshd_config(5)を参照してください。変数は名前で指定され、ワイルドカード文字が含まれる場合があります。複数の環境変数は、空白で区切るか、複数のディレクティブに分散させることができます。 SendEnv
パターンの詳細については、PATTERNSを参照してください。
パターンの前に。を付けることで、以前に設定した変数名をクリアすることができます。デフォルトでは、環境変数は送信されません。SendEnv-
ServerAliveCountMax
ssh(1)がサーバーからメッセージを受信せずに送信できるサーバーアライブメッセージ(以下を参照)の数を設定します。サーバーアライブメッセージの送信中にこのしきい値に達すると、sshはサーバーから切断し、セッションを終了します。サーバーアライブメッセージの使用は(以下)とは大きく異なることに注意することが重要です。サーバーアライブメッセージは暗号化されたチャネルを介して送信されるため、なりすましはできません。によって有効にされるTCPキープアライブオプションはスプーフィング可能です。サーバーアライブメカニズムは、クライアントまたはサーバーが接続が応答しなくなったことを知ることに依存している場合に役立ちます。 TCPKeepAliveTCPKeepAlive
デフォルト値は3です。たとえば(以下を参照)が15に設定され、デフォルトのままになっている場合、サーバーが応答しなくなると、sshは約45秒後に切断されます。ServerAliveIntervalServerAliveCountMax
ServerAliveInterval
サーバーからデータを受信しなかった場合、ssh(1)は暗号化されたチャネルを介してメッセージを送信し、サーバーからの応答を要求するまでのタイムアウト間隔を秒単位で設定します。デフォルトは0で、これらのメッセージがサーバーに送信されないことを示します。
SetEnv
サーバーに送信する1つ以上の環境変数とその内容を直接指定します。と同様に、サーバーは環境変数を受け入れる準備をする必要があります。SendEnv
StreamLocalBindMask
ローカルまたはリモートポート転送用のUnixドメインソケットファイルを作成するときに使用される8進数ファイル作成モードマスク(umask)を設定します。このオプションは、Unixドメインソケットファイルへのポート転送にのみ使用されます。
デフォルト値は0177で、所有者のみが読み取りおよび書き込み可能なUnixドメインソケットファイルを作成します。すべてのオペレーティングシステムがUnixドメインソケットファイルのファイルモードを尊重するわけではないことに注意してください。
StreamLocalBindUnlink
新しいファイルを作成する前に、ローカルポート転送またはリモートポート転送用に既存のUnixドメインソケットファイルを削除するかどうかを指定します。ソケットファイルがすでに存在し、有効になっていない場合、ポートをUnixドメインソケットファイルに転送できません。このオプションは、Unixドメインソケットファイルへのポート転送にのみ使用されます。 StreamLocalBindUnlinkssh
引数はor(デフォルト)でなければなりません。yesno
StrictHostKeyChecking
このフラグがに設定されている場合、yesssh(1)はホストキーを〜/ .ssh / known_hostsファイルに自動的に追加せず、ホストキーが変更されたホストへの接続を拒否します。これにより、man-in-the-middle(MITM)攻撃に対する最大限の保護が提供されますが、/ etc / ssh / ssh_known_hostsファイルの保守が不十分な場合や、新しいホストへの接続が頻繁に行われる場合は煩わしい場合があります。このオプションは、ユーザーにすべての新しいホストを手動で追加するように強制します。
このフラグが「accept-new」に設定されている場合、sshはユーザーの既知のhostsファイルに新しいホストキーを自動的に追加しますが、ホストキーが変更されたホストへの接続を許可しません。このフラグが「no」または「off」に設定されている場合、sshはユーザーの既知のhostsファイルに新しいホストキーを自動的に追加し、いくつかの制限に従って、ホストキーが変更されたホストへの接続を続行できるようにします。このフラグが(デフォルト)に設定されている場合、ユーザーが本当にやりたいことをユーザーが確認した後にのみ、新しいホストキーがユーザーの既知のホストファイルに追加され、sshはホストキーが持っているホストへの接続を拒否しますかわった。既知のホストのホストキーは、すべての場合に自動的に検証されます。
SyslogFacility
ssh(1)からのメッセージをログに記録するときに使用される機能コードを提供します。可能な値は、DAEMON、USER、AUTH、LOCAL0、LOCAL1、LOCAL2、LOCAL3、LOCAL4、LOCAL5、LOCAL6、LOCAL7です。デフォルトはUSERです。
TCPKeepAlive
システムがTCPキープアライブメッセージを反対側に送信するかどうかを指定します。それらが送信されると、接続の切断またはいずれかのマシンのクラッシュが適切に通知されます。ただし、これは、ルートが一時的にダウンすると接続が切断されることを意味し、一部の人々はそれを煩わしく感じます。
デフォルトは(TCPキープアライブメッセージを送信するため)であり、クライアントはネットワークがダウンしたか、リモートホストが停止したかを通知します。これはスクリプトでは重要であり、多くのユーザーもそれを望んでいます。はい
TCPキープアライブメッセージを無効にするには、値をに設定する必要があります。プロトコルレベルのkeepalives.noServerAliveIntervalも参照してください
トンネル
クライアントとサーバー間のtun(4)デバイス転送を要求します。引数は、(レイヤー3)、(レイヤー2)、または(デフォルト)でなければなりません。を指定すると、デフォルトのトンネルモードである.yespoint-to-pointethernetnoyespoint-to-pointが要求されます。
TunnelDevice
クライアント()とサーバー()で開くtun(4)デバイスを指定します。 local_tunremote_tun
引数は[:]でなければなりません。デバイスは、数値IDまたはキーワードで指定できます。キーワードは次に使用可能なトンネルデバイスを使用します。指定しない場合、デフォルトで。になります。デフォルトは.local_tunremote_tunanyremote_tunanyany:anyです。
y
UpdateHostKeys
認証が完了した後に送信されたサーバーからの追加のホストキーの通知をssh(1)が受け入れて、それらをに追加するかどうかを指定します。引数は、、またはである必要があります。このオプションを使用すると、サーバーの代替ホストキーを学習でき、古い公開キーが削除される前にサーバーが置換公開キーを送信できるようにすることで、適切なキーローテーションをサポートします。 UserKnownHostsFileyesnoask
追加のホストキーは、ホストの認証に使用されるキーがユーザーによってすでに信頼されているか明示的に受け入れられている場合、ホストがを介して認証されている(つまり、認証されていない)場合、およびホストが証明書ではなくプレーンキーを使用して認証されている場合にのみ受け入れられます。UserKnownHostsFileGlobalKnownHostsFile
UpdateHostKeysは、ユーザーがデフォルト設定をオーバーライドしておらず、有効になっていない場合はデフォルトで有効になります。それ以外の場合は、.UserKnownHostsFileVerifyHostKeyDNSUpdateHostKeysnoに設定されます。
がに設定されている場合、ユーザーはknown_hostsファイルへの変更を確認するように求められます。確認は現在、と互換性がなく、有効にすると無効になります。UpdateHostKeysaskControlPersist
現在、OpenSSH 6.8以降のsshd(8)のみが、サーバーのすべてのホストキーをクライアントに通知するために使用される「hostkeys@openssh.com」プロトコル拡張をサポートしています。
ユーザー
ログインするユーザーを指定します。これは、異なるマシンで異なるユーザー名が使用されている場合に役立ちます。これにより、コマンドラインでユーザー名を忘れずに指定する手間が省けます。
UserKnownHostsFile
ユーザーホストキーデータベースに使用する1つ以上のファイルを空白で区切って指定します。各ファイル名は、チルダ表記を使用して、ユーザーのホームディレクトリ、TOKENSセクションで説明されているトークン、およびENVIRONMENTVARIABLESセクションで説明されている環境変数を参照できます。デフォルトは〜/ .ssh / known_hosts、〜/ .ssh / known_hosts2です。
PreventHostKeyDNS
DNSおよびSSHFPリソースレコードを使用してリモートキーを検証するかどうかを指定します。このオプションがに設定されている場合、クライアントはDNSからの安全なフィンガープリントに一致するキーを暗黙的に信頼します。安全でない指紋は、このオプションがに設定されているかのように処理されます。このオプションがに設定されている場合、指紋の一致に関する情報が表示されますが、ユーザーはオプションに従って新しいホストキーを確認する必要があります。デフォルトはです。 yesaskaskStrictHostKeyCheckingno
ssh(1)のホストキーの検証も参照してください。
VisualHostKey
このフラグがに設定されている場合、ログイン時および不明なホストキーのフィンガープリント文字列に加えて、リモートホストキーのフィンガープリントのASCIIアート表現が出力されます。このフラグが(デフォルト)に設定されている場合、ログイン時に指紋文字列は印刷されず、不明なホストキーの指紋文字列のみが印刷されます。yesno
XAuthLocation
xauth(1)プログラムの絶対パス名を指定します。デフォルトは/ usr / X11R6 / bin / xauthです。