Schlüsselwortreferenz für Konfigurationsdateien – Secure Shell-Einstellungen
Verwenden Sie diese Referenz, wenn Sie die Secure Shell-Konfigurationsdatei manuell bearbeiten möchten. Die Konfigurationsdatei ist in Abschnitte unterteilt, die jeweils durch ein Hostschlüsselwort gekennzeichnet sind. In jedem Abschnitt sind Secure Shell-Einstellungen für alle Verbindungen festgelegt, die mit dem jeweiligen Host unter Angabe dieses Abschnitts in der SSH-Konfigurationsdatei hergestellt werden.
Die Konfigurationsdatei besteht aus Kennwörtern mit zugeordneten Werten. Konfigurationsoptionen können durch Leerzeichen oder durch optionale Leerzeichen und genau ein Gleichheitszeichen (=) getrennt sein. Bei Argumenten muss die Groß- und Kleinschreibung beachtet werden, bei Schlüsselwörtern nicht.
Jede Zeile, die mit einem Nummernzeichen (#
) beginnt, ist ein Kommentar. Leerzeilen werden ignoriert.
Hinweis
Mit den Optionen in dieser Liste werden Funktionen konfiguriert, die Auswirkungen auf die Secure Shell-Verbindung haben. Weitere Schlüsselwörter sind für das Konfigurieren der Terminalemulation für Sitzungen über die ssh-Befehlszeile verfügbar. Referenzinformationen zu diesen Schlüsselwörtern finden Sie unter Schlüsselwortreferenz für Konfigurationsdateien: Terminalemulationseinstellungen
AddAuthKeyToAgent
Diese Einstellung wirkt sich darauf aus, wie der Client die Authentifizierung öffentlicher Schlüssel verarbeitet, wenn ForwardAgent auf „yes“ (ja) gesetzt ist. Wenn die Authentifizierung öffentlicher Schlüssel beim Server erfolgreich ist und sowohl ForwardAgent als auch AddAuthKeyToAgent auf yes (ja) gesetzt sind, wird der Schlüssel oder das Zertifikat, der bzw. das für die Authentifizierung verwendet wurde, automatisch zum Schlüsselagenten hinzugefügt. Dieser Schlüssel wird im Schlüsselagenten nicht gespeichert, bleibt jedoch verfügbar, während der Schlüsselagent ausgeführt wird. Wenn AddAuthKeyToAgent auf no (nein) (Standardeinstellung) gesetzt ist, werden Schlüssel und Zertifikate dem Schlüsselagenten nicht automatisch hinzugefügt. Der Agent verwendet dann nur die Schlüssel, die bereits manuell importiert wurden.
AgentEnumCertsAs
Diese Einstellung bietet dem Client die Auswahlmöglichkeit. Wenn both (beide) ausgewählt ist, bietet die Auflistung das Zertifikat und den Schlüssel als separate Optionen an. Wenn certs (Zertifikate) ausgewählt ist, ist zur Anmeldung ein Zertifikat erforderlich. Wenn keys (Schlüssel) ausgewählt ist, ist zur Anmeldung ein Schlüssel erforderlich, der in einem Zertifikat enthalten ist, und der Agent verwendet nur diesen Schlüssel. Die Reihenfolge der Optionen hängt von der ersten Verbindung ab. Wenn die Verbindung beispielsweise nur mit einem Schlüssel erfolgt, listet die Agentenweiterleitung den Schlüssel und dann das Zertifikat auf.
Diese Werte wurden basierend auf den derzeit unterstützten Algorithmen und Schlüsseltypen für die jeweiligen Servertypen optimiert. Verfügbare Optimierungswerte= sunssh, openvms, openssh, pkix und rsit
AuthUseAllKeys
Diese Einstellung wirkt sich darauf aus, wie der Client die Authentifizierung öffentlicher Schlüssel verarbeitet. Wenn die Einstellung auf no (nein) (Standardeinstellung) gesetzt ist, verwendet der Client bei der Authentifizierung nur die Schlüssel, die mithilfe des Schlüsselworts IdentityFile festgelegt wurden. Lautet die Einstellung yes (ja), startet der Client die Authentifizierung mit allen verfügbaren öffentlichen Schlüsseln.
BatchMode
Legt fest, ob alle Anfragen zu Benutzereingaben, z. B. Eingabeaufforderungen zu Kennwort und Passphrase, deaktiviert werden. Dies ist hilfreich bei Skripts und Sammelaufträgen. Die zulässigen Werte sind yes (ja) und no (nein). Die Standardeinstellung ist nein.
Hinweis
Das Schlüsselwort deaktiviert Eingabeaufforderungen nicht, wenn die interaktive Authentifizierung über die Tastatur konfiguriert wurde. Verbindungen, die die interaktive Tastatur zur Benutzerauthentifizierung verwenden, schlagen jedoch fehl, wenn BatchMode aktiviert ist.
BindAddress
Legt bei Computern mit mehreren Schnittstellen oder Alias-Adressen die Übermittlungsschnittstelle fest.
CheckHostIP
Wenn yes (ja) festgelegt ist, prüft der Secure Shell-Client zusätzlich zum öffentlichen Hostschlüssel die Host-IP-Adresse in der Datei known_hosts
. Die Verbindung ist nur zulässig, wenn Host-IP in der Liste der bekannten Hosts mit der IP-Adresse übereinstimmt, die Sie für die Verbindung verwenden. Die Standardeinstellung ist nein. Hinweis: Diese Einstellung hat keine Auswirkung, wenn StrictHostKeyChecking auf "no" gesetzt ist.
CheckHostPort
Wenn yes (ja) festgelegt ist, prüft der Secure Shell-Client zusätzlich zum öffentlichen Hostschlüssel den Hostanschluss in der Datei known_hosts
. Die Verbindung ist nur zulässig, wenn der Hostanschluss in der Liste der bekannten Hosts mit dem Anschluss übereinstimmt, den Sie für die Verbindung verwenden. Die Standardeinstellung ist nein. Hinweis: Diese Einstellung hat keine Auswirkung, wenn StrictHostKeyChecking auf no (nein) gesetzt ist.
Ciphers
Legt die für die Protokollversion 2 zulässigen Verschlüsselungsverfahren in der bevorzugten Reihenfolge fest. Mehrere Verschlüsselungen werden durch Kommata voneinander abgegrenzt. Die Standardeinstellung ist 'aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc,3des-cbc'.
ClearAllForwardings
Löscht alle lokalen, entfernten oder dynamisch weitergeleiteten Anschlüsse, die bereits durch eine Konfigurationsdatei oder die Befehlszeile bearbeitet wurden. Hinweis: scp und sftp löschen automatisch alle weitergeleiteten Anschlüsse unabhängig davon, welcher Wert festgelegt ist. Die zulässigen Werte sind yes (ja) und no (nein). Die Standardeinstellung ist nein.
Komprimierung
Bestimmt, ob die Komprimierung aktiviert ist. Die Komprimierung ist bei Modemverbindungen und anderen langsamen Verbindungen empfehlenswert, in schnellen Netzwerken verringert sie jedoch die Antwortgeschwindigkeiten. Außerdem ist das Paket durch die Komprimierung für potenzielle Angreifer noch schwerer zu entschlüsseln. Die zulässigen Werte sind yes (ja) und no (nein). Die Standardeinstellung ist nein.
ConnectionAttempts
Gibt an, wie viele Versuche (einer pro Sekunde) unternommen werden, bevor ein Abbruch erfolgt. Das Argument muss eine ganze Zahl sein. Dieses Schlüsselwort kann bei Skripts nützlich sein, wenn die Verbindung manchmal fehlschlägt. Der Standardwert ist 1.
ConnectionReuse
Legt fest, ob mehrere Sitzungen auf demselben Host die ursprüngliche Secure Shell-Verbindung wiederverwenden und daher keine erneute Authentifizierung erfordern. Das Argument muss yes (ja) oder no (nein) lauten. Bei yes (ja) wird der bestehende Tunnel auch dann für neue Verbindungen verwendet, wenn der Hostname, der Benutzername und der Abschnitt in der SSH-Konfigurationsdatei (sofern verwendet) übereinstimmen. Bei no (nein) stellt der Client für jede Sitzung eine neue Verbindung her. Der Authentifizierungsvorgang wird also für jede neue Verbindung erneut ausgeführt, und Änderungen an den verbindungsspezifischen Einstellungen (z. B. Vorwärtskanäle und Schlüssel) werden angewendet. Für Verbindungen, die über das Fenster des Clients hergestellt werden, ist die Standardeinstellung yes (ja). Wenn Sie Verbindungen über die Befehlszeilen-Dienstprogramme von herstellen, ist die Standardeinstellung no (nein). Weitere Informationen finden Sie unter Wiederverwenden von Verbindungen in Secure Shell-Sitzungen.
ConnectTimeout
Gibt die maximale Zeitspanne (in Sekunden) ein, die der Client wartet, wenn er versucht, die Verbindung zum Server herzustellen. Der Timer wird gestartet, wenn die Verbindung hergestellt wurde (vor der Anmeldung), und läuft während der Aushandlung der Einstellungen, des Austauschs des Hostschlüssels und der Authentifizierung weiter. Aus praktischer Sicht umfasst der gemessene Zeitraum die Authentifizierungsaktivitäten. Der Standardwert ist 120.
DisableCRL
Legt fest, ob bei der Überprüfung der Hostzertifikate eine Prüfung der CRL-Liste (CRL, Certificate Revocation List) auf widerrufene Zertifikate erfolgt. Wenn Sie diese Option auf yes (ja) setzen, wird die CRL-Prüfung deaktiviert. Der Standardwert für diese Einstellung hängt von Ihren aktuellen Systemeinstellungen für die CRL-Prüfung ab. Um die Systemeinstellungen anzuzeigen und zu bearbeiten, starten Sie das Dialogfeld Internetoptionen über das Startmenü, und navigieren Sie zur Registerkarte Erweitert. Deaktivieren Sie im Abschnitt Sicherheit die Einstellung Auf gesperrte Serverzertifikate überprüfen.
DynamicForward
Legt fest, dass ein TCP/IP-Anschluss auf dem lokalen Rechner über den sicheren Kanal weitergeleitet wird. Daraufhin wird durch das Anwendungsprotokoll bestimmt, mit welchem Anschluss der Remotecomputer eine Verbindung aufbaut. Das Argument muss eine Anschlussnummer sein. Zur Zeit wird das SOCKS4-Protokoll unterstützt. Die Secure Shell des Clients dient in diesem Fall als SOCKS4-Server. Es können mehrere Weiterleitungen angegeben werden. Außerdem können in der Befehlszeile zusätzliche Weiterleitungen eingegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten.
EscapeChar
Legt das Escape-Zeichen fest (Standard: ~). Dieses Escape-Zeichen kann auch in der Befehlszeile festgelegt werden. Das Argument muss ein einzelnes Zeichen ^ sein, gefolgt von einem Buchstaben oder none, um das Escape-Zeichen zu deaktivieren (die Verbindung wird transparent für Binärdaten).
FipsMode
Lautet diese Einstellung yes, werden alle Verbindungen mithilfe von Sicherheitsprotokollen und Algorithmen hergestellt, die dem FIPS-140-2-Standard (Federal Information Processing Standard) der US-Regierung entsprechen. Optionen, die diesem Standard nicht entsprechen, sind im Abschnitt Verschlüsselung nicht verfügbar.
Hinweis
Diese Einstellung betrifft den vom Hostschlüsselwort angegebenen Abschnitt der SSH-Konfigurationsdatei und hat nur dann Auswirkungen auf spätere Secure Shell-Sitzungen, wenn diese für denselben Abschnitt der SSH-Konfigurationsdatei (oder denselben Hostnamen) konfiguriert sind.
ForwardAgent
Wenn Sie diese Option auf yes (ja) setzen, aktivieren Sie die Weiterleitung der Verbindung zum Schlüsselagenten. Gehen Sie bei der Aktivierung der Agentenweiterleitung mit großer Vorsicht vor. Benutzer, die Dateiberechtigungen auf dem Remotehost (für das Unix Domain Socket des Agenten) umgehen können, haben über die weitergeleitete Verbindung Zugriff auf den lokalen Agenten. Ein Angreifer erhält vom Agenten zwar keine Informationen über den Schlüssel, er kann den Schlüssel aber so ändern, dass er sich mithilfe der im Agenten geladenen Identifizierungen authentifizieren kann. Die Option muss gegebenenfalls auch auf dem Server aktiviert werden. Die Standardeinstellung ist nein.
ForwardX11
Gibt an, ob X11-Verbindungen automatisch über den sicheren Kanal und DISPLAY-Satz umgeleitet werden. Das Argument muss yes (ja) oder no (nein) lauten. Die Standardeinstellung ist nein. (Hinweis: Zur Konfiguration von Secure Shell in Reflection X siehe ForwardX11ReflectionX.)
ForwardX11ReflectionX
Diese Einstellung wird nur verwendet, wenn Sie Secure Shell-Verbindungen für Reflection X konfigurieren (ab 14.1). Gibt an, ob X11-Verbindungen automatisch über den sicheren Kanal und DISPLAY-Satz umgeleitet werden. Das Argument muss yes (ja) oder no (nein) lauten. Die Standardeinstellung ist ja.
GatewayPorts
Legt fest, ob externe Hosts eine Verbindung mit lokalen weitergeleiteten Anschlüssen herstellen können. Standardmäßig verbindet Secure Shell lokale Anschlussweiterleitungen mit der LOOPBACK-Adresse. Damit wird verhindert, dass andere Fernhosts eine Verbindung zu weitergeleiteten Anschlüssen herstellen. Mit GatewayPorts können Sie festlegen, dass Secure Shell lokale Anschlussweiterleitungen mit der Platzhalteradresse verbindet, damit Remotehosts eine Verbindung mit weitergeleiteten Anschlüssen herstellen können. Überlegen Sie sich gründlich, ob Sie diese Einstellung aktivieren möchten. Mit ihr kann die Sicherheit Ihres Netzwerks und Ihrer Verbindung verringert werden, da sie zulassen kann, dass entfernte Hosts den weitergeleiteten Anschluss auf Ihrem System ohne Authentifizierung nutzen. Das Argument muss yes (ja) oder no (nein) lauten. Die Standardeinstellung ist nein.
GlobalKnownHostsFile
Legt eine Datei fest, die statt der Standarddatei ssh_known_hosts
im Windows-Ordner für gemeinsam genutzte Anwendungsdaten für die Datenbank mit globalen Hostschlüsseln verwendet werden soll.
Hinweis
Wenn der Pfad oder der Dateiname Leerzeichen enthält, müssen Sie ihn in Anführungszeichen setzen.
GssapiAuthentication
Legt fest, ob für ein Schlüsselverteilungscenter (KDC) die GSSAPI-Authentifizierung verwendet wird. Diese Einstellung gilt nur für Protokolle mit der Protokollversion 2.
GssapiDelegateCredentials
Gibt an, ob GSSAPI verwendet wird, um das Kerberos-TGT (krbtgt) an den Host weiterzuleiten. Diese Einstellung gilt nur für Protokolle mit der Protokollversion 2.
GssapiUseSSPI
Legt fest, ob die Microsoft Security Support Provider-Schnittstelle (SSPI) für die GSSAPI-Authentifizierung verwendet wird. Diese Einstellung ist nur anwendbar, wenn die GSSAPI-Authentifizierung aktiviert ist (mit GssapiAuthentication für Protokollversion 2). Das Argument für dieses Schlüsselwort ist entweder yes (ja) oder no (nein) enthalten. Wenn dies auf no (nein) festgelegt ist, verwendet der Secure Shell-Client die GSSAP-Authentifizierung. Wenn diese Einstellung auf yes gesetzt ist, authentifiziert der Secure Shell-Client den Secure Shell-Server mit Ihren Windows-Domänenanmeldeberechtigung (SSPI). SSPI ist nur für Protokoll-2-Verbindungen verfügbar, und der Server muss die Authentifizierungsmethode GSSAPI-with-mic unterstützen. Die Standardeinstellung ist ja.
GssServicePrincipal
Legt einen nicht standardmäßigen Dienst-Benutzernamen fest, der verwendet wird, wenn der Client eine Anforderung eines Dienstnutzungstickets an das KDC ( Key Distribution Center) sendet. Wenn Sie SSPI als GSSAPI-Modul ausgewählt haben, können Sie mit dieser Einstellung einen Dienstteilnehmer in einem anderen Gültigkeitsbereich als der Windows-Domäne festlegen. Verwenden Sie einen vollständigen Hostnamen, gefolgt von "@" und anschließend dem Namen des Gültigkeitsbereichs, z. B.:myhost.myrealm.com@MYREALM.COM
. (Standardmäßig entspricht der Wert des Hostnamens dem Namen des Secure Shell-Servers, mit dem Sie eine Verbindung aufbauen. Der Gültigkeitsbereich ist abhängig vom Wert für GssapiUseSSPI. Ist GssapiUseSSPI auf no (nein) gesetzt, ist der Name des Gültigkeitsbereichs in Ihrem Standardbenutzerprofil festgelegt. Ist GssapiUseSSPI auf yes gesetzt, wird als Gültigkeitsbereich der Name Ihrer Windows-Domäne verwendet.)
Host
Schränkt die nachfolgenden Deklarationen (bis zum nächsten Hostschlüsselwort) auf den angegebenen Abschnitt in der SSH-Konfigurationsdatei ein. Die Zeichen „“ und „?“ können als Platzhalter verwendet werden. Ein einziges „“ als Muster verweist auf globale Standardwerte für alle Hosts. Verbindungen über den Client verwenden die erste übereinstimmende Host-Zeichenfolge, die (unter Berücksichtigung von Platzhalterzeichen) gefunden wird. Alle nachfolgenden Übereinstimmungen bleiben unberücksichtigt.
Hinweis
Wenn Sie das Dialogfeld Secure Shell-Einstellungen schließen, werden die Werte mit den Standardeinstellungen nicht in der Konfigurationsdatei gespeichert. Wenn ein Standardwert manuell zur Datei hinzugefügt wurde, wird dieser beim Schließen des Dialogfelds gelöscht. Dies stellt Designeinschränkungen dar, wenn Sie Platzhalter-Hoststanzas in Verbindung mit Stanzas verwenden, die bestimmte Hostnamen verwenden.
Wenn Sie in einem bestimmten Hoststanza manuell einen Standardwert konfiguriert haben, durch den der Wert in einer Platzhalterstanza überschrieben werden soll, wird die Einstellung gelöscht, sobald Sie das Dialogfeld für die Secure Shell-Einstellungen öffnen, um die Einstellungen für den hostspezifischen Abschnitt in der SSH-Konfigurationsdatei anzuzeigen. Verwenden Sie in dieser Situation die globale Konfigurationsdatei, die nicht aktualisiert wird, wenn Benutzer das Dialogfeld Secure Shell-Einstellungen öffnen und schließen.
HostKeyAlgorithms
Legt die vom Client verwendeten Hostschlüsselalgorithmen in der bevorzugten Reihenfolge fest. Der Standardwert für diese Option ist: x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256, ssh-rsa-sha2-256\@attachmate.com, ssh-rsa,ssh-dss.
Diese Einstellung ist nützlich, wenn der Server sowohl für die Authentifizierung mit Zertifikaten als auch für die standardmäßige Hostschlüsselauthentifizierung konfiguriert ist. Der Standardwert präsentiert x509-Algorithmen vor regulären SSH-Schlüsselalgorithmen. Beim SSH-Protokoll steht für die Hostauthentifizierung nur ein Versuch zur Verfügung. (Im Gegensatz dazu sind bei der Benutzerauthentifizierung mehrere Authentifizierungsmethoden und Versuche möglich.) Wenn der Host ein Zertifikat präsentiert, der Client aber nicht für die Hostauthentifizierung mit Zertifikaten konfiguriert ist, schlägt die Verbindung fehl, sofern x509-Algorithmen bevorzugt werden. In diesem Fall können Sie den Client so konfigurieren, dass SSH-Schlüssel den Zertifikaten bevorzugt werden, indem Sie die Bevorzugungsreihenfolge in „ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss“ ändern.
Verfügbare Werte: ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-ecdsa-sha2-nistp521,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss
HostKeyAlias
Gibt einen Alias an, der anstelle des wirklichen Hostnamens zum Suchen oder Speichern des Hostschlüssels in den Dateien der Hostschlüsseldatenbank verwendet werden kann. Diese Option eignet sich dazu, SSH-Verbindungen zu umgehen oder für mehrere Server, die auf dem gleichen Host ausgeführt werden.
IdentityFile
Gibt einen privaten Schlüssel für die Authentifizierung an. Die Dateien befinden sich im .ssh-Benutzerordner. (\Benutzer\Benutzername\Dokumente\Micro Focus\Produktname\.ssh\
). Optionen für IdentifyFile werden hinzugefügt, wenn Sie im Dialogfeld Reflection Secure Shell-Einstellungen in der Registerkarte Benutzerschlüssel Schlüssel oder Zertifikate in der Liste auswählen. In den Konfigurationsdateien können mehrere Kennungsdateien angegeben werden, deren Kennungen dann nacheinander ausprobiert werden.
Hinweis
Setzen Sie den vollständigen Pfad in Anführungszeichen, wenn dieser Leerzeichen enthält.
KbdInteractiveAuthentication
Legt fest, ob die Authentifizierung interaktiv über die Tastatur erfolgen soll. Die zulässigen Werte sind yes (ja) und no (nein). Die Standardeinstellung ist ja. Diese Methode ist empfehlenswert, wenn Sie die SecurID-, PAM- oder eine andere externe Authentifizierungsmethode verwenden, die serverseitige Eingabeaufforderungen sowie Antworten vom Benutzer erfordert. Unter Umständen funktioniert diese Methode sogar besser als PasswordAuthentication für die Kennwortauthentifizierung auf Hosts, für die definierte Kennwörter regelmäßig ablaufen oder bei der ersten Anmeldung geändert werden müssen. Sie kann auch zur Kennwortauthentifizierung erforderlich sein, wenn abgelaufene Kennwörter zurückgesetzt werden müssen, um eine erfolgreiche Authentifizierung zu ermöglichen. Dies gilt nur für SSH-Protokoll 2.
KeepAlive
Legt fest, ob das System TCP-Lebenszeichen an die andere Seite senden soll. Wenn diese Meldungen versendet werden, kann der Abbruch einer Verbindung oder der Absturz einer der Rechner erkannt werden. Die Standardeinstellung ist yes (ja) (Aktivhaltungsmeldungen werden versendet), d. h., der Client kann einen Ausfall des Netzwerks oder Remotehosts feststellen. Das ist besonders bei Skripts von Bedeutung und außerdem sehr hilfreich für die Benutzer. Es bedeutet aber auch, dass die Verbindung jedes Mal getrennt wird, wenn die Route zeitweise nicht verfügbar ist; ein Umstand, der von einigen Benutzern als störend empfunden wird. Um das Versenden dieser Meldungen zu deaktivieren, wählen Sie no. Dieses Schlüsselwort aktiviert die Windows TCP-Aktivhaltungseinstellung, die standardmäßig alle zwei Stunden Mitteilungen zur Verbindungsüberwachung sendet. Die TCP/IP-Aktivhaltungseinstellung kann mit zwei optionalen Parametern konfiguriert werden, die normalerweise nicht in der Windows-Registrierung vorkommen: KeepAliveTime und KeepAliveInterval. Die Konfiguration dieser Parameter erfolgt in der Teilstruktur HKEY_LOCAL_MACHINE
der Registrierung unter:
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Informationen zum Festlegen dieser Parameter finden Sie im Microsoft Knowledge Base-Artikel Nr. 120642.
KexAlgorithms
Gibt an, welche Schlüsselaustauschalgorithmen der Client unterstützt und in welcher Reihenfolge diese angefordert werden. Unterstützte Werte sind „ecdh-sha2-nistp256“, „ecdh-sha2-nistp384“, „ecdh-sha2-nistp521“, „diffie-hellman-group18-sha512“, „diffie-hellman-group16-sha512“, „diffie-hellman-group14-sha256“, „diffie-hellman-group1-sha1“, „diffie-hellman-group-exchange-sha1“ und „diffie-hellman-group14-sha1“. Die Standardeinstellung ist „ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1“.
LocalForward
Legt fest, dass ein TCP/IP-Anschluss auf dem lokalen Rechner über den sicheren Kanal an den angegebenen Host und Anschluss des Remotecomputers weitergeleitet wird. Es können mehrere Weiterleitungen angegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten. Sie können optionale Argumente für die FTP-Weiterleitung, die Konfiguration eines entfernten Desktops und das automatische Starten einer ausführbaren Datei (*.exe) auch konfigurieren, nachdem die Verbindung hergestellt worden ist. Die Syntax für dieses Schlüsselwort lautet wie folgt:
LocalForward` localport host: hostport [FTP=0|1] [RDP=0|1] ["ExecutableFile" [args]]
Die Optionen sind:
localport | Nummer eines lokalen Anschlusses. |
host: hostport | Ein Remotehost und ein Anschluss, der sich auf diesem Host befindet. (Sie können festlegen, dass localhost Daten an einen anderen Anschluss auf demselben Remotehost weiterleitet, zu dem Sie bereits eine Secure Shell-Verbindung hergestellt haben.) Für die Angabe der IPv6-Adressen gibt es eine alternative Syntax: host/port . |
FTP | Setzen Sie den Wert auf 1 , wenn Sie die FTP-Dateiübertragung über einen Tunnel ausführen. |
RDP | Setzen Sie den Wert auf 1 , wenn Sie eine Remotedesktopsitzung über einen Tunnel ausführen. |
"ExecutableFile" | Geben Sie eine ausführbare Datei (einschließlich der Pfadinformationen, sofern erforderlich) an, damit der Client eine Anwendung startet, sobald die Secure Shell-Verbindung hergestellt ist. Damit Daten über einen sicheren Tunnel weitergeleitet werden, sollte diese Anwendung so konfiguriert sein, dass eine Verbindung zum localhost (oder zur LOOPBACK-IP-Adresse 127.0.0.1 ) über den angegebenen lokalen Anschluss localport hergestellt wird. |
Logfile
Gibt eine Protokolldatei an, die zur Fehlersuche herangezogen werden kann. Alle während der Sitzung vorgenommenen Eingaben und Ausgaben werden in dieser Datei gespeichert. Verwenden Sie das Schlüsselwort mit der Befehlszeilen-Dienstprogrammoption -o wie im Folgenden beschrieben:
-o Logfile=\ Pfad\ Name_der_Protokolldatei
Hinweis
Wenn der Pfaddateiname Leerzeichen enthält, müssen Sie ihn in Anführungszeichen setzen.
Protokollierumfang
Gibt an, wie ausführlich Meldungen vom Secure Shell-Client protokolliert werden. Mögliche Werte sind QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 und DEBUG3. Der Standardwert ist INFO. DEBUG und DEBUG1 sind gleichbedeutend. DEBUG2 und DEBUG3 stehen für eine jeweils ausführlichere Ausgabe.
MACs
Gibt die MAC-Algorithmen (Message Authentication Code, Meldungsauthentifizierungs-Code) in der bevorzugten Reihenfolge an. MAC-Algorithmen werden in der Protokollversion 2 zum Schutz der Datenintegrität verwendet. Mehrere Algorithmen werden durch ein Komma voneinander getrennt. Die Standardeinstellung ist „hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-ripemd160, hmac-sha1-96, hmac-md5-96, hmac-sha512, hmac-sha2-512“.
MatchHostName
Legt fest, ob bei der Überprüfung der Hostzertifikate ein Hostnamensvergleich erforderlich ist. Wenn diese Einstellung auf yes (ja) (Standardeinstellung) gesetzt ist, muss der für die Sitzung konfigurierte Hostname genau mit einem der Hostnamen übereinstimmen, die im Feld CommonName oder SubjectAltName des Zertifikats eingegeben wurden.
Multihop
Konfiguriert Multi-Hop-Einstellungen, mit denen sichere Verbindungen über eine Reihe von SSH-Servern hergestellt werden können. Dies ist nützlich, wenn Ihre Netzwerkkonfiguration keinen direkten Zugriff auf einen entfernten Server zulässt, der Zugriff über zwischengeschaltete Server jedoch möglich ist.
Die Syntax für dieses Schlüsselwort lautet wie folgt:
Multihop localport host: hostport ["SSH-Konfigurationsschema"]
Fügen Sie für jeden Server in der Reihe eine neue Multi-Hop-Zeile hinzu. Jede Verbindung in der Liste wird durch den Tunnel gesendet, der durch die Verbindung darüber hergestellt wird.
Im folgenden Beispiel sind SSH-Verbindungen zu ServerC so konfiguriert, dass zunächst eine Verbindung zu ServerA, dann zu ServerB und schließlich zu ServerC hergestellt wird.
Host ServerC
Multihop 2022 ServerA:22
Multihop 3022 ServerB:22
Sie können optional einen Namen der SSH-Konfigurationsdatei angeben, um Secure Shell-Einstellungen für jeden Host in der Kette zu konfigurieren. Beispiel:
Multihop 4022 joe@ServerA:22 "Multihop SchemeA"
Nodelay
Diese Einstellung bezieht sich auf eine von Microsoft vorgenommene Änderung, durch die der Nagle-Algorithmus für Windows-TCP-Sockets standardmäßig aktiviert wird, was sich negativ auf die Leistung von Secure Shell-Verbindungen auswirken kann. Indem Sie Nodelay auf "yes" (die Standardeinstellung) setzen, wird dieser Algorithmus deaktiviert und die Leistung auf den meisten Systemen verbessert.
NoShell
Wenn NoShell auf yes (ja) gesetzt ist, erstellt der Client einen Tunnel, ohne eine Terminalsitzung zu öffnen. Diese Option kann in Verbindung mit der Option "ConnectionReuse" aktiviert werden, um einen Tunnel zu erstellen, der von anderen SSH-Verbindungen erneut verwendet werden kann.
Hinweis
Diese Option wirkt sich auf die Verbindungen aus, die mit dem Befehlszeilenprogramm hergestellt wurden; sie ist nicht für die Verwendung mit der Benutzeroberfläche vorgesehen.
NumberOfPasswordPrompts
Gibt an, wie oft zur Eingabe des Kennworts aufgefordert wird, bevor abgebrochen wird. Für dieses Schlüsselwort muss das Argument eine ganze Zahl sein. Der Standardport ist 3.
PasswordAuthentication
Legt fest, ob die Kennwortauthentifizierung verwendet wird. Die zulässigen Werte sind yes (ja) und no (nein). Die Standardeinstellung ist ja.
Anschluss
Gibt die Anschlussnummer auf dem entfernten Host an. Der Standardport ist 22.
PreferredAuthentications
Bestimmt die Reihenfolge, in der der Client die Authentifizierungsmethoden von Protokoll 2 testet. Dies entspricht der Reihenfolge (von oben nach unten), in der die Methoden in der Liste Benutzerauthentifizierung der Registerkarte Allgemein (Dialogfeld Secure Shell-Einstellungen) angezeigt werden. Mit dieser Einstellung wird es dem Client ermöglicht, eine Methode (z. B. interaktiv über die Tastatur) einer anderen (z. B. Kennwortmethode) vorzuziehen. Standardmäßig führt der Client die Authentifizierung in der folgenden Reihenfolge durch: "publickey,keyboard-interactive,password". Wenn die GSSAPI-Authentifizierung aktiviert ist, ändert sich die Standardreihenfolge folgendermaßen: "gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password".
Hinweis
- Wenn Sie PreferredAuthentications in Ihre Konfigurationsdatei aufnehmen, muss die von ihnen festgelegte Liste jede Authentifizierungsmethode aufführen, die Sie versuchen möchten. Wenn PreferredAuthentications vorhanden ist, aber eine bestimmte Authentifizierungsmethode fehlt, verwendet der Client diese Authentifizierungsmethode selbst dann nicht, wenn das Schlüsselwort zur Aktivierung dieser Authentifizierungsmethode richtig konfiguriert ist.
- Durch das Aufnehmen einer Authentifizierungsmethode in die Liste PreferredAuthentication allein wird die Authentifizierung mit dieser Methode nicht aktiviert. Damit eine nicht voreingestellte Authentifizierungsmethode aktiviert wird, muss das Schlüsselwort für diese Authentifizierungsmethode ebenfalls richtig konfiguriert sein (zur Aktivierung der GSSAPI-Authentifizierung müssen Sie beispielsweise GssapiAuthentication auf "yes" setzen).
PreserveTimestamps
Gibt an, ob Dateiattribute und Zeitstempel bearbeitet werden, wenn Dateien vom und an den Server übertragen werden. Wenn das Schlüsselwort no (nein) (Standardeinstellung) ist, werden Zeitstempel und Attribute geändert. Lautet das Schlüsselwort yes (ja), behalten die Dateien ihre ursprünglichen Zeitstempel und Attribute.
Protokoll
Der Secure Shell-Client unterstützt Protokoll 2. Dies wird mit dem Wert 2 identifiziert.
Vertretung
Legt den Proxytyp für Secure Shell-Verbindungen fest. Die unterstützten Werte lauten "SOCKS" und "HTTP".
Hinweis
Die Proxyverwendung ist für jeden Host-Abschnitt in der Konfigurationsdatei aktiviert, der diese Einstellung verwendet. Die Adresse des Proxyservers wird in der Windows-Registrierung für jeden Benutzer gespeichert.
PubkeyAlgorithms
Gibt die Schlüsselalgorithmen in der festgelegten Reihenfolge an, in der sie der Client dem Server anzeigt. Wenn der Server nur für einen Algorithmus konfiguriert ist, können Sie dieses Schlüsselwort so festlegen, dass nur die entsprechende Option angezeigt wird.
Verfügbare Werte:ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-ecdsa-sha2-nistp521x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss
PubkeyAuthentication
Legt fest, ob versucht werden soll, eine Authentifizierung mit öffentlichen Schlüsseln durchzuführen. Diese Option gilt für die Protokollversion 2. Die zulässigen Werte sind yes (ja) und no (nein). Die Standardeinstellung ist ja.
RemoteCommand
Legt einen oder mehrere Befehle fest, die auf dem entfernten Server ausgeführt werden sollen. Bei der Herstellung einer Verbindung mit einem UNIX-Server müssen mehrere Befehle durch ein Semikolon (;) abgegrenzt werden. Bei der Herstellung einer Verbindung zu einem Windows-Server müssen Befehle durch ein Und-Zeichen (&) abgegrenzt werden. Wenn die Verbindung aufgebaut ist, führt der Server den bzw. die angegebenen Befehl(e) aus, oder zumindest versucht er es. Danach wird die Sitzung beendet. Der Server muss entsprechend konfiguriert sein, damit er die Befehle, die der Client sendet, zulässt und ausführt.
Befehle müssen in der von Ihrem Server verwendeten Syntax angegeben werden. So sind beispielsweise die folgenden Informationen identisch:
Unter UNIX: ls ; ls -l
Unter Windows: dir/w & dir
RemoteForward
Legt fest, dass ein TCP/IP-Anschluss auf dem externen Rechner über den sicheren Kanal an den angegebenen Host und den angegebenen Anschluss des lokalen Rechners weitergeleitet wird. Das erste Argument muss eine Anschlussnummer sein und das zweite host:
port. Für die Angabe der IPv6-Adressen gibt es eine alternative Syntax: host/port. Es können mehrere Weiterleitungen angegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten.
SendEnv
Gibt eine Umgebungsvariable an, die auf dem Server eingestellt werden muss, bevor Shells oder Befehle ausgeführt werden können. Der Wert muss das folgende Format aufweisen: VAR val
. Der Server muss die angegebene Variable unterstützen und so konfiguriert sein, dass er Umgebungsvariablen akzeptiert.
ServerAlive
Legt fest, dass Meldungen zum Aktivhalten des Servers in dem durch ServerAliveInterval angegebenen Intervall an den SSH-Server gesendet werden. Die Secure Shell-Einstellung ServerAlive sendet in festgelegten Intervallen eine SSH-Protokollmeldung an den Server, damit sichergestellt ist, dass dieser noch funktioniert. Wenn diese Einstellung nicht aktiviert ist, wird die SSH-Verbindung nicht getrennt, wenn der Server abstürzt oder die Netzwerkverbindung getrennt wird. Mit dieser Einstellung kann auch verhindert werden, dass Verbindungen, die nur TCP-Sitzungen weiterleiten, aufgrund einer Zeitüberschreitung abgebrochen werden; dies ist möglicherweise der Fall, wenn der Server keinen SSH-Verkehr feststellen kann. Die zulässigen Werte sind yes (ja) und no (nein). Die Standardeinstellung ist nein.
Hinweis
Die Secure Shell-Einstellung ServerAlive ist nicht mit der TCP-Einstellung zum Aktivhalten (KeepAlive) zu vergleichen, bei der durch eine entsprechende Einstellung in der Windows-Registrierung verhindert wird, dass TCP/IP-Verbindungen bei Inaktivität durch eine Firewall getrennt werden. Um die TCP-/IP-Aktivhaltungseinstellung anzupassen, müssen Sie die Windows-Registrierung bearbeiten.
ServerAliveInterval
Legt das Intervall (in Sekunden) fest, wenn ServerAlive auf yes (ja) gesetzt ist. Geben Sie eine ganze Zahl größer als Null an. Der Standardport ist 30.
ServerKeyFormat
Gibt das zu verwendende Schlüsselformat beim Hochladen von Schlüsseln auf einen Host unter Verwendung der Hochladefunktion auf der Registerkarte "Benutzerschlüssel" an. Das Dienstprogramm ermittelt automatisch, welches Schlüsselformat verwendet werden soll. Ändern Sie diese Einstellung, falls das entsprechende Format nicht für Ihren Server geeignet ist. Die zulässigen Werte sind „OpenSSH“ und „SECSH“.
ServerStyle
Gibt die Konfigurationseinstellungen des öffentlichen Schlüssels für den Host beim Hochladen von Schlüsseln auf einen Host unter Verwendung der Hochladefunktion auf der Registerkarte "Benutzerschlüssel" an. Das Dienstprogramm ermittelt automatisch, welcher Hoststil verwendet werden soll. Ändern Sie diese Einstellung, falls das entsprechende Format nicht für Ihren Server geeignet ist. Die zulässigen Werte sind „UNIX“ und „VMS“.
SftpBufferLen
Legt die Anzahl der Bytes fest, die während SFTP-Übertragungen pro Paket angefordert werden. Der Standardwert ist 32768. Durch Änderung dieses Werts kann unter Umständen die Übertragungsgeschwindigkeit verbessert werden. Es hängt von Ihrem Netzwerk und von Ihrer Serverkonfiguration ab, welcher Wert optimal für Sie ist. Wenn Sie den Wert ändern, kann sich dies auch darauf auswirken, wie schnell eine Übertragung abgebrochen werden kann.
SftpMaxRequests
Legt die maximale Anzahl ausstehender Datenanforderungen fest, die der Client bei einer SFTP-Übertragung zulässt. Der Standardwert ist 10. Durch Änderung dieses Werts kann unter Umständen die Übertragungsgeschwindigkeit verbessert werden. Es hängt von Ihrem Netzwerk und von Ihrer Serverkonfiguration ab, welcher Wert optimal für Sie ist. Wenn Sie den Wert ändern, kann sich dies auch darauf auswirken, wie schnell eine Übertragung abgebrochen werden kann.
SftpVersion
Gibt die Version an, die der Client für SFTP-Verbindungen verwendet. Gültige Werte sind 3 und 4. Wenn für diese Einstellung der Wert 4 festgelegt ist (Standardwert), wird bei der Verbindung SFTP-Version 4 verwendet, sofern der Server dies unterstützt. Wenn der Server Version 4 nicht unterstützt, wird automatisch Version 3 verwendet. Wenn für die Einstellung der Wert 3 festgelegt ist, verwendet der Client immer SFTP Version 3.
StrictHostKeyChecking
Das Argument ist yes (ja), no (nein) oder „ask“ (fragen). Voreingestellt ist "ask". Wenn für diese Option yes (ja) eingestellt ist, fügt der Secure Shell-Client der Datei „known_hosts“ im .ssh-Benutzerordner nie automatisch Hostschlüssel hinzu und stellt keine Verbindung zu Hosts her, deren Schlüssel geändert wurden. Durch diese Option wird der Benutzer gezwungen, alle neuen Hosts manuell hinzuzufügen. Wenn no (nein) eingestellt ist, stellt der Client die Verbindung zum Host her, ohne ein Bestätigungsdialogfeld einzublenden, und nimmt den Hostschlüssel nicht in die Liste der registrierten Schlüssel auf. Wenn ask (fragen) eingestellt ist, werden den Dateien der bekannten Hosts nur nach Bestätigung des Benutzers neue Hostschlüssel hinzugefügt. Die Hostschlüssel bekannter Hosts werden in jedem Fall automatisch verifiziert.
Hinweis
Diese Einstellung hat keine Auswirkungen, wenn der Host für die Authentifizierung mit x509-Zertifikaten konfiguriert wurde. Wenn der Host ein Zertifikat für die Hostauthentifizierung präsentiert und sich das erforderliche Zertifikat der Zertifizierungsstelle nicht in Ihrem Speicher der zuverlässigen Stammzertifikate befindet, schlägt die Verbindung fehl.
TryEmptyPassword
Wenn yes (ja) festgelegt ist, startet der Client die Kennwortauthentifizierung mit dem Versuch, ein leeres Kennwort einzugeben. Dieser Versuch wird von den meisten Systemen als Anmeldeversuch gewertet.
Benutzer
Legt den Benutzernamen fest. Dies ist besonders nützlich, wenn auf mehreren Rechnern unterschiedliche Benutzernamen verwendet werden.
UseOCSP
Legt fest, ob der Client das OSCP (Online Certificate Status Protocol) zur Validierung von Hostzertifikaten verwendet. Die zulässigen Werte sind yes (ja) und no (nein). Die Standardeinstellung ist nein.
UserKeyCertLast
Legt fest, wie der Client die Signatur für Zertifikate bei der Authentifizierung mit öffentlichen Schlüsseln behandelt. Wenn diese Einstellung auf yes (ja) (Standardeinstellung) festgelegt ist, sendet der Client das Zertifikat zuerst mit einer Standard-ssh-Schlüsselsignatur. Wenn dies nicht erfolgreich ist, führt der Client einen neuen Versuch mit einer Zertifikatsignatur aus. In manchen Fällen findet dieser zweite Versuch nicht statt, und die Authentifizierung schlägt fehl. Wenn diese Einstellung auf no (nein) festgelegt ist, verwendet der Client für den ersten Versuch die Zertifikatsignatur und anschließend die SSH-Schlüsselsignatur.
UserKnownHostsFile
Gibt eine Datei an, die anstelle der Datei known_hosts
(im .ssh-Benutzerordner) für die Hostschlüsseldatenbank des Benutzers verwendet werden soll. Sie müssen Anführungszeichen verwenden, wenn die Datei oder der Pfad Leerzeichen enthält.
x509dsasigtype
Gibt an, welchen Hashalgorithmus der Client verwendet, um die Authentizität von privaten DSA-Schlüsseln nachzuweisen. Mögliche Werte sind sha1raw (Standardeinstellung) und sha1asn1.
x509rsasigtype
Gibt an, welchen Hashalgorithmus der Client verwendet, um die Authentizität von privaten RSA-Schlüsseln nachzuweisen. Mögliche Werte sind md5, sha1 und sha256 und all (alle) (Standardeinstellung).
X11Display
Legt den Anschluss an der lokalen LOOPBACK-Schnittstelle des Rechners fest, an den X11-basierte Kommunikation weitergeleitet wird, wenn die X11-Weiterleitung aktiviert ist.
Hinweis
Wenn Sie mit Reflection X (Version 12.x, 13.x oder 14.x) arbeiten, muss dieses Schlüsselwort nicht konfiguriert werden. Der Reflection X-Server und der Secure Shell-Client werden automatisch synchronisiert, damit sie den richtigen Anschluss entsprechend den Anzeigeeinstellungen Ihres X-Servers verwenden (Einstellungen > Anzeige > X-Anzeigenummer). In diesem Fall wird das Schlüsselwort X11Display ignoriert. Wenn Sie mit einem anderen PC X Server arbeiten, geben Sie mit diesem Schlüsselwort den empfangenden Anschluss an, der für Ihren PC X Server definiert ist.
Der Standardwert ist 0. Dadurch wird die Weiterleitung an den Anschluss 6000 konfiguriert. Dies ist der Standardempfangsanschluss, der durch das X11-Protokoll definiert ist. Der von Ihnen angegebene Anzeigewert wird 6000 hinzugefügt, um den tatsächlichen Empfangsanschluss zu bestimmen. Legen Sie beispielsweise X11Display auf 20 fest, zeigt dies dem Secure Shell-Client an, dass der PC X Server an Anschluss 6020 empfängt.
Weitere Informationen