Afficher Sommaire / Index / Recherche

Utilitaire de ligne de commande ssh

Syntaxe : ssh [options] [utilisateur@]nomhôte [commande hôte]

Vous pouvez utiliser l'utilitaire de ligne de commande ssh pour établir des connexions Secure Shell à partir de la ligne de commande de Windows.

Remarques :

  • Reflection propose également un utilitaire ssh2. ssh et ssh2 peuvent être utilisés pour établir des connexions Secure Shell mais avec quelques différences dans les options. Les options ssh se fondent sur l'implémentation OpenSSH Secure Shell avec quelques options supplémentaires prises en charge uniquement par le client Reflection. Les options ssh2 sont compatibles avec le client Reflection for Secure IT UNIX et le client F-Secure.
  • Vous pouvez réutiliser une connexion Secure Shell existante. Pour cela, vous devez toutefois l'activer manuellement sur chaque ligne de commande ou définir la variable d'environnement SSHConnectionReUse sur Yes. Pour plus d'informations, reportez-vous à la section Réutilisation de connexion dans les sessions Secure Shell.

Options

-A

Active le transfert d'agent. Peut également être spécifiée pour chaque hôte dans un fichier de configuration. Le transfert d'agent(s) doit être activé avec circonspection. En effet, les utilisateurs ayant la capacité de contourner les permissions de fichiers sur l'hôte distant peuvent accéder à l'agent local par l'intermédiaire de la connexion transférée. Des attaquants ne peuvent pas obtenir d'informations sur la clé auprès de l'agent, mais ils peuvent cependant exécuter certaines opérations sur les clés qui leur permettront de s'authentifier grâce aux identités chargées dans l'agent.

-a

Désactive le transfert d'agent. (Il s'agit du paramètre par défaut.)

-b adresse_liée

Indiquez l'interface de transmission sur les ordinateurs à interfaces multiples ou avec plusieurs alias.

-c spécification_chiffrement

Liste des chiffrements séparés par des virgules et indiqués dans l'ordre de préférence. La valeur par défaut est « aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour ». Si la connexion est configurée pour s'exécuter en mode FIPS, la valeur par défaut est « aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc ».

La version 1 du protocole (dépassée et déconseillée) permet d'indiquer un seul chiffrement. Les valeurs prises en charge sont « 3des », « blowfish » et « des ».

-C

Active la compression de toutes les données transmises. La compression est souhaitable pour les lignes modem et toute autre connexion lente, mais elle ralentit le flux de réponse sur les réseaux rapides.

-e caractère_échappement

Définit le caractère d'échappement pour la session terminal. La valeur par défaut est le tilde (~). Attribuer la valeur « none » signifie qu'aucun caractère d'échappement n'est disponible et que le tilde agit comme tout autre caractère. Les séquences d'échappement suivantes sont disponibles. (Remplacez le tilde par votre caractère d'échappement.)

~. Met fin à la connexion.
~R Demande la clé (protocole SSH 2 uniquement).
~# Liste les connexions transférées
~? Affiche les séquences d'échappement disponibles.
~~ Entre le caractère d'échappement deux fois pour l'envoyer à l'hôte.

-E fournisseur

Utilise le fournisseur spécifié comme fournisseur de clés externe.

-f

Place le client en arrière-plan juste avant l'exécution de la commande.

-F fichier_config

Indique un fichier de configuration à utiliser pour cette connexion. Si un fichier de configuration est indiqué sur la ligne de commande, tout autre fichier de configuration est ignoré.

-g

Active les passerelles. Permet à des hôtes distants de se connecter à des ports transférés en local.

-h

Affiche un résumé des options de ligne de commande.

-H schéma

Indique un schéma de configuration SSH à utiliser pour cette connexion.

-i fichier_clé

Indique la clé privée à utiliser pour l'authentification par clé. Les fichiers de clé peuvent également être spécifiés pour chaque hôte dans le fichier de configuration. Il est possible d'avoir plusieurs options -i (et plusieurs clés spécifiées dans un fichier de configuration). Utilisez des guillemets si le fichier ou le chemin contient des espaces.

-k répertoire

Indique un autre emplacement pour les fichiers de configuration, de clés hôte et de clés utilisateur. Remarque : Lorsque -k est utilisé, les clés d'hôte sont lues et écrites à partir de l'emplacement indiqué, uniquement si un fichier d'hôtes connus existe déjà à cet emplacement. Si aucun fichier d'hôtes connus n'est trouvé, les clés d'hôte sont lues et écrites dans le fichier d'hôtes connus à l'emplacement par défaut.

-l nom_ouverture de session

Indique un nom à utiliser pour l'ouverture de session sur l'ordinateur distant. Peut également être spécifiée dans le fichier de configuration.

-L portlocal:hôtedistant:porthôte

Redirige les données du port local indiqué vers l'hôte et le port distants indiqués via le tunnel sécurisé. Pour plus d'informations, reportez-vous à la section Transfert de port local. Le transfert de port peut également être spécifié dans un fichier de configuration. Vous ne pouvez pas transférer de ports avec privilèges (portant un numéro inférieur à 1024) à moins d'avoir ouvert une session en tant qu'administrateur. Les adresses IPv6 peuvent être spécifiées à l'aide de la syntaxe suivante : port/hôte/porthôte.

-m spécification_mac

Indique un ou plusieurs algorithmes MAC (Message Authentication Code) séparés par des virgules à utiliser avec cette connexion. Indique les algorithmes par ordre de préférence. La valeur par défaut est « hmac-sha1,hmac-sha256,hmac-sha512,hmac-md5,hmac-ripemd160,hmac-sha1-96,hmac-md5-96 ». Si la connexion est configurée pour être exécutée en mode FIPS, la valeur par défaut est « hmac-sha1,hmac-sha256,hmac-sha512 ».

-N

N'exécute aucune commande distante. Cette option est utile pour la configuration du transfert de port. (version 2 du protocole uniquement).

-o option

Définit toute option prise en charge par le fichier de configuration. Par exemple :

ssh "-o FIPSMode=yes" utilisateur@hôte

-p port

Spécifie le port auquel se connecter sur le serveur. La valeur par défaut est 22. Elle correspond au port standard pour les connexions Secure Shell. Peut être spécifiée pour chaque hôte dans le fichier de configuration.

-q

Active le mode silencieux qui entraîne la suppression de tous les messages d'avertissement et de diagnostic, y compris les indicatifs.

-R portlocal:hôtedistant:porthôte

Redirige les données du port distant spécifié (sur l'ordinateur exécutant le serveur Secure Shell) vers l'hôte et le port de destination indiqués, via le tunnel sécurisé. Pour plus d'informations, reportez-vous à la section Transfert de port distant. Le transfert de port peut également être spécifié dans un fichier de configuration. Vous ne pouvez pas transférer de ports avec privilèges (portant un numéro inférieur à 1024) à moins d'avoir ouvert une session en tant qu'administrateur. Les adresses IPv6 peuvent être spécifiées à l'aide de la syntaxe suivante : port/hôte/porthôte.

-S

N'exécute pas un shell.

-t

Force « tty allocation » même si une commande est spécifiée.

-T

Désactive « pseudo-tty allocation ».

-v

Active le mode détaillé pour le débogage, ce qui équivaut à définir le niveau de débogage sur 2.

-V

Affiche le nom de produit, la version et ferme l'utilitaire. Si d'autres options sont spécifiées sur la ligne de commande, elles sont ignorées.

-x

Disables X11 connection forwarding.

-X

Active le transfert de connexion X11 et traite les clients X11 comme non approuvés. Il n'est pas possible pour les clients X11 distants non approuvés de modifier les données des clients X11 approuvés.

Le transfert X11 doit être activé avec circonspection. En effet, les utilisateurs ayant la capacité de contourner les permissions de fichiers sur l'hôte distant (pour atteindre la base de données d'autorisation X de l'utilisateur) peuvent accéder au client X11 local par l'intermédiaire de la connexion transférée. Un attaquant peut alors réaliser des actions telles que la surveillance de la frappe.

-Y

Active le transfert de connexion X11 et traite les clients X11 comme approuvés.

Le transfert X11 doit être activé avec circonspection. En effet, les utilisateurs ayant la capacité de contourner les permissions de fichiers sur l'hôte distant (pour atteindre la base de données d'autorisation X de l'utilisateur) peuvent accéder au client X11 local par l'intermédiaire de la connexion transférée. Un attaquant peut alors réaliser des actions telles que la surveillance de la frappe.

-1

Force ssh à n'essayer que la version 1 de SSH. La version 1 du protocole est dépassée et déconseillée.

-2

Force ssh à n'essayer que la version 2 de SSH.

-4

Force l'utilisation d'adresses IPv4 uniquement.

-6

Force l'utilisation d'adresses IPv6 uniquement.