ssh-add —
Fügt Identitäten aus privaten
Schlüsseln zum OpenSSH-Authentifizierungsvermittler hinzu
ssh-add
[
-cDdKkLlqvXx]
[
-E
Fingerabdruck-Hash]
[
-H
Rechnerschlüsseldatei]
[
-h
Zielbeschränkung]
[
-S
Anbieter]
[
-t
Lebensdauer]
[
file ...]
ssh-add -s
pkcs11 ssh-add
-e pkcs11
ssh-add -T
öffentlicher_Schlüssel …
ssh-add fügt private
Schlüsselidentitäten zu dem Authentifizierungsvermittler
ssh-agent(1) hinzu. Wird es ohne Argumente
ausgeführt, fügt es die Dateien
~/.ssh/id_rsa,
~/.ssh/id_ecdsa,
~/.ssh/id_ecdsa_sk,
~/.ssh/id_ed25519,
~/.ssh/id_ed25519_sk und
~/.ssh/id_dsa hinzu. Nach dem Laden des privaten
Schlüssels wird
ssh-add versuchen, die
entsprechenden Zertifikatsinformationen zu erlangen, wobei die Dateinamen
gebildet werden, indem
-cert.pub an die Namen der
privaten Schlüsseldateien angehängt wird. Alternativ
können Dateinamen auf der Befehlszeile angegeben werden.
Falls eine Datei eine Passphrase benötigt, fragt
ssh-add den Benutzer nach der Passphrase. Die
Passphrase wird vom TTY des Benutzers eingelesen.
ssh-add versucht die letzte Passphrase erneut zu
verwenden, falls mehrere Identitäten angegeben wurden.
Der Authentifizierungsvermittler muss laufen und die Umgebungsvariable
SSH_AUTH_SOCK muss den Namen seines Sockets
enthalten, damit
ssh-add funktioniert.
Folgende Optionen stehen zur Verfügung:
- -c
- Zeigt an, dass hinzugefügte Identitäten
bestätigt werden sollen, bevor sie zur Authentifizierung verwandt
werden. Die Bestätigung erfolgt mit
ssh-askpass(1). Die erfolgreiche
Bestätigung wird durch den Exit-Status 0 von
ssh-askpass(1) angezeigt, statt durch Text,
den der Anfragende eingibt.
- -D
- Löscht alle Identitäten aus dem
Vermittler.
- -d
- Statt Identitäten hinzuzufügen, werden
Identitäten aus dem Vermittler entfernt. Falls
ssh-add ohne Argumente ausgeführt
wurde, werden die Schlüssel für die
Vorgabeidentitäten und ihre entsprechenden Zertifikate entfernt.
Andernfalls wird die Argumentenliste als Liste von Pfaden zu
öffentlichen Schlüsseln interpretiert, die Schlüssel
und Zertifikate angeben, die aus dem Vermittler entfernt werden sollen.
Falls unter den angegebenen Pfaden kein öffentlicher
Schlüssel gefunden wird, wird ssh-add
.pub anhängen und es erneut versuchen.
Falls die Argumentenliste aus »-« besteht, wird
ssh-add die zu entfernenden Schlüssel
aus der Standardeingabe lesen.
-
-E
Fingerabdruck-Hash
- Gibt den bei der Anzeige von
Schlüssel-Fingerabdrücken zu verwendenden Hash-Algorithmus
an. Gültige Optionen sind »md5« und
»sha256«. Die Vorgabe ist »sha256«.
-
-e
pkcs11
- Entfernt Schlüssel, die von der dynamischen
PKCS#11-Bibliothek pkcs11 bereitgestellt
werden.
-
-H
Rechnerschlüsseldatei
- Gibt eine Datei bekannter Rechner an, in denen nach
Rechnerschlüsseln mit zielbeschränkten Schlüsseln
über den Schalter -h nachgeschaut
wird. Diese Option kann mehrfach angegeben werden, um das Durchsuchen
mehrerer Dateien zu erlauben. Falls keine Dateien angegeben sind, wird
ssh-add die standardmäßigen
bekannten Rechner aus ssh_config(5)
verwenden: ~/.ssh/known_hosts,
~/.ssh/known_hosts2,
/etc/ssh/ssh_known_hosts und
/etc/ssh/ssh_known_hosts2.
-
-h
Zielbeschränkung
- Beim Hinzufügen von Schlüsseln werden sie
beschränkt, so dass sie nur über bestimmte Rechner oder zu
bestimmten Zielen einsetzbar sind.
Zielbeschränkungen der Form
»[Benutzer@]Zielrechnername« erlauben die Verwendung des
Schlüssels nur vom ursprünglichen Rechner (der
ssh-agent(1) ausführt) zu dem
aufgeführten Zielrechner, mit dem optionalen Benutzernamen.
Beschränkungen der Form
»Quellenrechnername>[Benutzer@]Zielrechnername« erlauben
es einem Schlüssel, der in einem weitergeleiteten
ssh-agent(1) verfügbar ist,
über einen bestimmten Rechner verwandt zu werden (wie in
»Quellrechnername« angegeben), um sich bei einem weiteren
Rechner zu authentifizieren, angegeben durch
»Zielrechnername«.
Beim Laden von Schlüsseln können mehrere
Schlüsselbeschränkungen angegeben werden. Beim Versuch, sich
mit einem Schlüssel zu authentifizieren, der eine
Zielbeschränkung hat, wird der gesamte Verbindungspfad,
einschließlich der Weiterleitung mit
ssh-agent(1), gegen die Beschränkungen
geprüft und jeder Sprung muss erlaubt sein, damit der Versuch
gelingt. Wird der Schlüssel beispielsweise an einen fernen Rechner
»host-b« weitergeleitet und es wird eine Authentifizierung
an einen anderen Rechner »host-c« versucht, dann wird die
Aktion nur erfolgreich sein, falls »host-b« vom
ursprünglichen Rechner aus und der nachfolgende Sprung
»host-b>host-c« auch durch die Zielbeschränkungen
erlaubt ist.
Rechner werden durch ihre Rechnerschlüssel identifiziert und werden
in den Dateien bekannter Rechner von ssh-add
nachgeschlagen. Platzhaltermuster können für Rechnernamen
verwandt werden und Zertifikat-Rechnerschlüssel werden
unterstützt. Standardmäßig sind durch
ssh-add hinzugefügte Schlüssel
nicht zielbeschränkt.
Zielbeschränkungen wurde in OpenSSH Veröffentlichung 8.9
hinzugefügt. Bei der Verwendung von zielbeschränkten
Schlüsseln über einen weitergeleiteten
ssh-agent(1) -Kanal ist es notwendig, dass
sowohl der ferne Client als auch Server dies unterstützen.
Es ist auch wichtig anzumerken, dass die Zielbeschränkungen nur mit
ssh-agent(1) durchgesetzt werden
können, wenn ein Schlüssel verwandt oder wenn er durch einen
kooperierenden
ssh(1) weitergeleitet wird. Insbesondere
verhindert dies nicht, dass ein Angreifer mit Zugang zu einem fernen
SSH_AUTH_SOCK ihn wieder weiterleitet
und auf einem anderen Rechner verwendet (aber nur zu einem erlaubten
Ziel).
- -K
- Lädt residente Schlüssel von einem
FIDO-Authentifikator.
- -k
- Beim Laden von Schlüsseln in den oder Löschen
von Schlüsseln aus dem Vermittler werden nur einfache private
Schlüssel verarbeitet und Zertifikate übersprungen.
- -L
- Listet Parameter der öffentlichen Schlüssel
von allen in dem Vermittler dargestellten Identitäten auf.
- -l
- Listet Fingerabdrücke von allen in dem Vermittler
dargestellten Identitäten auf.
- -q
- Keine Ausgabe nach einer erfolgreichen Aktion.
-
-S
Anbieter
- Gibt einen Pfad zu einer Bibliothek an, die beim
Hinzufügen eines auf einem FIDO-Authentifikator liegenden
Schlüssels verwandt wird und die Vorgabe der internen
USB-HID-Unterstützung außer Kraft setzt.
-
-s
pkcs11
- Fügt die durch die PKCS#11-Laufzeitbibliothek
pkcs11 bereitgestellten Schlüssel
hinzu.
-
-T
öffentlicher_Schlüssel
…
- Prüft, ob die privaten Schlüssel, die dem
angegebenen
öffentlichen_Schlüssel
entsprechen, funktionieren, indem mit jedem Schlüssel Signier- und
Signaturüberprüfungsaktionen erfolgen.
-
-t
Lebensdauer
- Setzt eine maximale Lebensdauer beim Hinzufügen von
Identitäten zum Vermittler. Die Lebensdauer kann in Sekunden oder
in einem in sshd_config(5) spezifizierten
Zeitformat angegeben werden.
- -v
- Ausführlicher Modus. Führt dazu, dass
ssh-add Fehlersuchmeldungen über
seinen Fortschritt ausgibt. Dies ist zur Fehlersuche bei Problemen
hilfreich. Wird die Option -v mehrmals
angegeben, erhöht dies die Ausführlichkeit. Maximal drei
sind möglich.
- -X
- Entsperrt den Vermittler.
- -x
- Sperrt den Vermittler mit einem Passwort.
DISPLAY,
SSH_ASKPASS und SSH_ASKPASS_REQUIRE- Falls ssh-add eine Passphrase
benötigt, wird es diese vom aktuellen Terminal einlesen, falls es
von einem Terminal ausgeführt wurde. Falls
ssh-add über kein zugeordnetes
Terminal verfügt, sondern mit gesetztem
DISPLAY und
SSH_ASKPASS ausgeführt wurde,
wird es das durch SSH_ASKPASS
festgelegte Programm (standardmäßig
»ssh-askpass«) ausführen und ein X11-Fenster
öffnen, um die Passphrase einzulesen. Dies ist insbesondere
nützlich, wenn ssh-add von einer
.xsession oder einem zugehörigen
Skript ausgeführt wird.
SSH_ASKPASS_REQUIRE erlaubt weitere
Kontrolle über die Verwendung eines Programms zur Abfrage eines
Passworts. Falls diese Variable auf »never« gesetzt ist,
dann wird ssh-add niemals versuchen, ein
solches zu verwenden. Falls sie auf »prefer« gesetzt ist,
dann wird ssh-add bevorzugt das Programm zur
Abfrage eines Passworts statt des TTY verwenden, wenn es Passwörter
anfordert. Falls diese Variable schließlich auf
»force« gesetzt ist, dann wird das Programm zur Abfrage
eines Passworts für sämtliche Passphraseneingaben verwandt,
unabhängig davon, ob DISPLAY
gesetzt ist.
SSH_AUTH_SOCK- Kennzeichnet den Pfad eines zur Kommunikation mit dem
Vermittler verwandten UNIX-domain -Sockets.
SSH_SK_PROVIDER- Gibt einen Pfad zu einer Bibliothek an, die beim Laden
jedes FIDO-Authentifikator-basierten Schlüssels verwandt wird. Dies
setzt die standardmäßige, eingebaute
USB-HID-Unterstützung außer Kraft.
- ~/.ssh/id_dsa
-
- ~/.ssh/id_ecdsa
-
- ~/.ssh/id_ecdsa_sk
-
- ~/.ssh/id_ed25519
-
- ~/.ssh/id_ed25519_sk
-
- ~/.ssh/id_rsa
- Enthält die DSA-, ECDSA-, Authentifikator-basierende
ECDSA-, Ed25519-, Authentifikator-basierende Ed25519- oder
RSA-Authentifizierungsidentität des Benutzers.
Identitätsdateien sollten ausschließlich durch den Benutzer lesbar
sein. Beachten Sie, dass
ssh-add
Identitätsdateien ignoriert, auf die andere zugreifen können.
Bei Erfolg ist der Exit-Status 0; 1 falls der angegebene Befehl
fehlschlägt und 2 falls
ssh-add nicht in
der Lage ist, den Authentifzierungsvermittler zu erreichen.
ssh(1),
ssh-agent(1),
ssh-askpass(1),
ssh-keygen(1),
sshd(8)
OpenSSH ist eine Ableitung der ursprünglichen und freien
SSH-1.2.12-Veröffentlichung durch
Tatu
Ylonen.
Aaron Campbell, Bob Beck, Markus
Friedl, Niels Provos, Theo de Raadt und
Dug
Song entfernten viele Fehler, fügten neuere
Funktionalitäten wieder hinzu und erstellten OpenSSH.
Markus Friedl steuerte die
Unterstützung für SSH-Protokollversion 1.5 und 2.0 bei.
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann
<
[email protected]> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die
GNU
General Public License Version 3 oder neuer bezüglich der
Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken
Sie bitte eine E-Mail an die Mailingliste der Übersetzer:
[email protected]