áá±ážáááŒá¬ááŒá®ážáá±á¬áẠááœá¶á·ááŒáá¯ážááá¯ážáááºáá¬áááºá
á¡áááááŒá±á¬ááºážáá²ááŸá¯áá»á¬áž-
- áá¯á¶ááŒá¯á¶áá±ážá¡ááŒá±á¬ááºážá¡áá²áá»á¬áž-
- ssh-agent ááœááºá SSH á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážá¡ááœáẠáááºáá®ážáá¬ážááŒááºážááá¯ááºáá±á¬ FIDO áá±á¬á·áá»á¬ážááá¯á¡áá¯á¶ážááŒá¯áá±á¬á¡áá« (áá±á¬á· ID ááẠ"ssh:" áá°áá±á¬á á¬ááŒá±á¬ááºážááŒáá·áºáá áááºáá«)á SSH áááá¯ááá¯áá±á¬ááœááºá¡áá¯á¶ážááŒá¯ááá·áºáááºážáááºážáá»á¬ážááá¯á¡áá¯á¶ážááŒá¯á áááºáá±á·áá»áºááᯠááá¯á á áºáá±ážáá«áááºá ááŒá±á¬ááºážáá²ááŸá¯ááẠáááºá¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážáá±á¬ááºážááá¯ááŸá¯áá»á¬ážá¡ááœáẠáááºááŸááºáá»á¬ážáá¯ááºáá±ážááẠFIDO áá±á¬á·áá»á¬ážáá«ááŸááá±á¬ á¡áá±ážááááºážá¡áááºááŸááºáá»á¬ážáᶠssh-agent ááá¯á· ááŒááºááœáŸááºážááŒááºážááᯠááœáá·áºáááŒá¯áá« (ááá±á¬ááºáá¬áá áºáá¯á០SSH áá±á¬ááºážááá¯áá»ááºáá áºáá¯ááᯠáááºááŸááºáá±ážááá¯ážááá¯ááºáá±á¬á¡áá«ááœáẠááŒá±á¬ááºážááŒááºááá á¹á ááŸá¬ á¡á ááá¯ááºážááœáẠáááºáá¯ááºáá¬ážááẠkey identifier ááœáẠ"ssh:" prefix ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááŒá±á¬áá·áº)á
- ssh-keygen ááá±ááá¯ááºáá°áá±á¬á·áá¯ááºáá¯ááºááŒááºážááœáẠFIDO 2.1 áááºááŸááºáá»ááºááœááºáá±á¬áºááŒáá¬ážáá±á¬ credProtect á¡ááá¯áááá¯ááááºá¡ááœáẠáá¶á·ááá¯ážááŸá¯áá«áááºáááºá áááºážááẠááá¯áááºááŸáá±ááá¯ááºáá°áá®ážááá¯áá¯ááºáá°ááŒááºážáááŒá¯áá® PIN ááá¯á¡ááºááŒááºážááŒáá·áº áá±á¬á·áá»á¬ážá¡ááœáẠáááºáá±á¬ááºážáá¬ááœááºááŸá¯áá±ážáááºá
- ááá¯ááºáááºáá®ááŸá¯ááᯠáá»áá¯ážáá»ááºááá¯ááºááá·áº á¡ááŒá±á¬ááºážá¡áá²áá»á¬áž-
- FIDO/U2F ááᯠáá¶á·ááá¯ážáááºá á¡áááºážáá¯á¶áž áá¬ážááŸááºáž 2 ááœáẠlibfido1.5.0 á á¬ááŒáá·áºááá¯ááºááᯠá¡áá¯á¶ážááŒá¯ááẠá¡ááŒá¶ááŒá¯áá¬ážáááºá áá¯ááºáá±ááŸá¯á¡áá±á¬ááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááẠá áœááºážáááºááᯠáá áºá áááºáá áºááá¯ááºáž á¡áá±á¬ááºá¡áááºáá±á¬áºááŒá®ážááŒá áºáá±á¬áºáááºáž á€ááá á¹á ááœááºá áá±ááá¯ááºáá°áá®ážáá»á¬ážá PIN áá±á¬ááºážááá¯áá»ááºááŸáá·áº ááá¯áááºáá»á¬ážá áœá¬ááᯠáá»áááºáááºááŒááºážáá²á·ááá¯á·áá±á¬ áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠááááá¯ááºáá«á
- ssh-keygen ááœááºá áá áºáá»á áºáááºáááºááŸááºáá»á¬ážááᯠá¡áááºááŒá¯ááẠááá¯á¡ááºáá±á¬ á¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážáá±áá¬ááᯠá¡áááºááŒá¯áá»ááºá¡áá»ááºá¡áááºáá»á¬ážááá±á¬áºáááºááá¯á· áá±á«ááºážááá·áºáá¬ážááŒá®áž FIDO áá±á¬á·ááá¯áá¯ááºáá±ážááá·áºá¡áá« ááœá±ážáá»ááºááá¯ááºá áœá¬ ááááºážáááºážáá¬ážáááºá
- OpenSSH ááẠFIDO ááá¯áááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááºá¡ááœáẠá¡ááœáŸá¬ááŸáá·áº á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááá·áºá¡áá« á¡áá¯á¶ážááŒá¯ááá·áº API ááᯠááŒá±á¬ááºážáá²áá¬ážáááºá
- OpenSSH á áááºáá±á¬ááºáááœááºáá°áá±á¬ áá¬ážááŸááºážáá áºáá¯ááᯠáááºáá±á¬ááºáá±á¬á¡áá«ááœááºá ááá¯á¡áá«ááœáẠconfigure script ááŸáá·áº áá°ážááœá²áá«ááŸááá±á¬ áááºáá±á¬ááºááá¯ááºáá»á¬ážááᯠáá¯ááºáá¯ááºááẠá¡ááá¯á¡áá»á±á¬ááºáá¯ááºáá±á¬ááºááẠááá¯á¡ááºááẠ(áá¯ááºáá±áá¬ážáá±á¬ áá¯áẠtar ááá¯ááºá០áááºáá±á¬ááºáá«áá configure ááŒááºáááºáá¯ááºáá¯ááºááẠáááá¯á¡ááºáá«)á
- ssh ááŸáá·áº ssh-keygen ááœáẠPIN á¡áááºááŒá¯ááẠááá¯á¡ááºáá±á¬ FIDO áá±á¬á·áá»á¬ážá¡ááœáẠáá¶á·ááá¯ážááŸá¯ áááºááá·áºáá¬ážáááºá PIN ááŒáá·áº áá±á¬á·áá»á¬ážáá¯ááºáá¯ááºáááºá "á¡áááºááŒá¯áááºááá¯á¡ááºáááº" ááœá±ážáá»ááºááœáá·áºááᯠssh-keygen ááœáẠááá·áºááœááºážáá¬ážáááºá ááá¯ááá¯á·áá±á¬á·áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá«áá áááºááŸááºáááºáá®ážááŸá¯ áá¯ááºáá±á¬ááºáá»ááºááᯠááá¯ááºáá±á¬ááºáá®á á¡áá¯á¶ážááŒá¯áá°ááẠPIN áá¯ááºááᯠááá·áºááœááºážááŒááºážááŒáá·áº áááºážááá¯á·á áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠá¡áááºááŒá¯ááẠáá±á¬ááºážááá¯áá¬ážáááºá
- sshd ááœááºá "á¡áááºááŒá¯áááºááá¯á¡ááºáááº" ááœá±ážáá»ááºááŸá¯ááᯠauthorized_keys áááºáááºááœáẠá¡áá±á¬ááºá¡áááºáá±á¬áºáá¬ážááŒá®ážá áááºážááẠááá¯áááºááŸáá·áºá¡áá° áááºáááºáá±á ááºá¡ááœááºáž á¡áá¯á¶ážááŒá¯áá°áááŸá±á·ááŸá±á¬ááºááœáẠááŸááá±ááŒá±á¬ááºáž á¡áááºááŒá¯ááẠá áœááºážáááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááºááá¯á¡ááºáááºá FIDO á á¶ááŸá¯ááºážááẠáááºážáá²á·ááá¯á· á¡áááºááŒá¯ááŒááºážá¡ááœáẠááœá±ážáá»ááºá áá¬áá»á¬ážá áœá¬ááᯠáá±ážá áœááºážáá±á¬áºáááºáž áááºááŸáááœáẠOpenSSH ááẠPIN-based á¡áááºááŒá¯ááŒááºážááá¯áᬠáá¶á·ááá¯ážáá±ážáá«áááºá
- sshd ááŸáá·áº ssh-keygen ááá¯á·ááẠFIDO Webauthn á á¶ááŸá¯ááºážááŸáá·áºá¡áá® áá®ááá¯áá®ážáá»á¬ážááᯠáááºááá±á¬ááºáá¬áá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯ááœáá·áºááŒá¯ááá·áº áá áºáá»á áºáááºáááºááŸááºáá»á¬ážááᯠá¡áááºááŒá¯áááºá¡ááœáẠáá¶á·ááá¯ážááŸá¯ áááºáá±á¬ááºážáá±ážáá¬ážáááºá
- CertificateFile áááºáááºáá»á¬ážááŸá ssh ááœááºá
ControlPathá IdentityAgentá IdentityFileá LocalForward ááŸáá·áº
RemoteForward ááẠ"${ENV}" áá±á¬áºáááºááœáẠáááºááŸááºáá¬ážááá·áº áááºáááºážáá»áẠááááºážááŸááºáá»á¬ážá០áááºááá¯ážáá»á¬ážááᯠá¡á á¬ážááá¯ážááœáá·áºááŒá¯áááºá - ssh ááŸáá·áº ssh-agent ááá¯á·ááẠssh-askpass áá±á«áºááá¯ááŸá¯ááᯠááœáá·áºááẠááá¯á·ááá¯áẠááááºááẠá¡áá¯á¶ážááŒá¯ááá¯ááºááá·áº $SSH_ASKPASS_REQUIRE áááºáááºážáá»áẠááŒá±á¬ááºážáá²ááŸá¯á¡ááœáẠáá¶á·ááá¯ážááŸá¯ áááºáá±á¬ááºážáá±ážáá¬ážáááºá
- AddKeysToAgent áááºážááœáŸááºáá»ááºááŸá ssh ááœáẠssh_config ááœááºá áá±á¬á·áá áºáá¯áááá¬ážáááºááŸá¯áá¬áááᯠááá·áºáááºááá¯ááºá áœááºážááᯠááá·áºááœááºážáá¬ážáááºá áááºááŸááºáá¬ážáá±á¬ ááá·áºáááºáá»áẠáááºáááºážáá¯ááºááœá¬ážááŒá®ážáá±á¬ááºá áá±á¬á·áá»á¬ážááᯠssh-agent á០á¡ááá¯á¡áá»á±á¬áẠáá»ááºáá áºáá«áááºá
- scp ááŸáá·áº sftp ááœáẠ"-A" á¡áá¶ááᯠá¡áá¯á¶ážááŒá¯á áááºááẠááá¯á¡áá« ssh-agent ááᯠá¡áá¯á¶ážááŒá¯á ááŒááºááœáŸááºážááŒááºážááᯠscp ááŸáá·áº sftp ááá¯á· ááŒááºáá¬ážá áœá¬ ááœáá·áºááŒá¯ááá¯ááºáá«ááŒá® (áá°áááºážá¡á¬ážááŒáá·áº ááŒááºááœáŸááºážááŒááºážááᯠááááºáá¬ážáááº)á
- áááºáá¶áá°áá±á¬á·á¡áááºááá¯áááºááŸááºáá±ážááá·áº ssh áááºáááºáá»á¬ážááœáẠ'%k' á¡á á¬ážááá¯ážááŸá¯á¡ááœáẠáá¶á·ááá¯ážááŸá¯áááºááá·áºáá¬ážáááºá áá®ážááŒá¬ážááá¯ááºáá»á¬ážááá¯á· áá±á¬á·áá»á¬ážááŒáá·áºáá±ááẠá€á¡ááºá¹áá«áááºááᯠáá¯á¶ážááá¯ááºááẠ(á¥ááá¬á âUserKnownHostsFile ~/.ssh/known_hosts.d/%kâ)á
- áá»ááºáá áºáááá·áº stdin ááŸáá±á¬á·áá»á¬ážááᯠáááºááẠ"ssh-add -d -" áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯ááœáá·áºááŒá¯áá«á
- sshd ááœááºá áá»áááºáááºááŸá¯ááŒááºáá±á¬ááºááŒááºážáá¯ááºáááºážá ááºáá¡á ááŸáá·áºá¡áá¯á¶ážááẠMaxStartups ááá·áºáááºáá±á¬ááºááá¯á¡áá¯á¶ážááŒá¯á ááááºážáá»á¯ááºááá·áºááŸááºáááºážááœáẠáááºáááºáá±áááºá
OpenSSH developer áá»á¬ážááẠSHA-1 hashs ááá¯á¡áá¯á¶ážááŒá¯á áá¬ááá·áº algorithms áá»á¬ážáá»ááºááááºážááŒááºážááᯠááŒááºáááºá¡ááŸááºááá²á·áááºá
OpenSSH ááŸá algorithms á¡áá áºáá»á¬ážááá¯á· áá°ážááŒá±á¬ááºážááŸá¯ááᯠáá»á±á¬ááœá±á·á á±áááºá áá±á¬ááºááœááºááŸáááŸá¯ááẠUpdateHostKeys áááºáááºááᯠáá¯á¶ááŸááºá¡á¬ážááŒáá·áº ááœáá·áºáá±ážáááºááŒá áºááŒá®ážá áá¯á¶ážá áœá²áá°áá»á¬ážááᯠááá¯ááá¯áá¯á¶ááŒááºá áááºáá»ááá±á¬ á¡ááºáááá¯áá®áááºáá»á¬ážááá¯á· á¡ááá¯á¡áá»á±á¬áẠááœáŸá±á·ááŒá±á¬ááºážáá±ážáááºááŒá áºáááºá ááŒá±á¬ááºážááœáŸá±á·ááŒááºážá¡ááœáẠá¡ááŒá¶ááŒá¯áá¬ážáá±á¬ á¡ááºáááá¯áá®áááºáá»á¬ážááœáẠRFC2 RSA SHA-256 ááá¯á¡ááŒá±áá¶ááá·áº rsa-sha512-8332/2 (OpenSSH 7.2 ááááºážá áá¶á·ááá¯ážáá¬ážááŒá®áž áá°áááºážá¡ááá¯ááºážá¡áá¯á¶ážááŒá¯áá¬ážáááº)á ssh-ed25519 (OpenSSH 6.5 ááááºážá áá¶á·ááá¯ážáá¬ážáááº) ááŸáá·áº ecdsa-sha2-nisp256/384/521 RFC5656 ECDSA (OpenSSH 5.7 ááááºážá áá¶á·ááá¯ážáá¬ážáááº)á
source: opennet.ru