Inhalt /Index /Suche anzeigen

SSH (Befehlszeilen-Dienstprogramm)

Syntax: SSH [Optionen] [benutzer@]hostname [hostbefehl]

Sie können das SSH-Befehlszeilen-Dienstprogramm verwenden, um Secure Shell-Verbindungen über die Windows-Eingabeaufforderung herzustellen.

Hinweise:

  • Reflection stellt auch das Dienstprogramm ssh2 zur Verfügung. Secure Shell-Verbindungen können sowohl über ssh als auch über ssh2 hergestellt werden. Die beiden Dienstprogramme unterscheiden sich jedoch in Bezug auf einige der unterstützten Optionen. Die ssh-Optionen basieren auf der Secure Shell-Implementierung mit OpenSSH, wobei einige zusätzliche Optionen nur vom Reflection-Client unterstützt werden. Optionen unter ssh2 sind kompatibel mit dem UNIX-Client für Reflection for Secure IT sowie dem F-Secure-Client.
  • Vorhandene Secure Shell-Verbindungen können wiederverwendet werden. Allerdings müssen Sie dies in jeder Befehlszeile explizit aktivieren bzw. die Umgebungsvariable SSHConnectionReUse auf den Wert "Yes" setzen. Weitere Informationen finden Sie unter Wiederverwenden von Verbindungen in Secure Shell-Sitzungen.

Optionen

-A

Aktiviert die Weiterleitung durch den Authentifizierungsagenten. Dies kann auch für jeden Host in einer Konfigurationsdatei angegeben werden. Gehen Sie bei der Aktivierung der Agentweiterleitung mit großer Vorsicht vor. Benutzer, die Dateiberechtigungen auf dem Remotehost umgehen können, haben über die weitergeleitete Verbindung Zugriff auf den lokalen Agenten. Ein Angreifer erhält vom Agenten zwar keine Informationen über den Schlüssel, er kann aber den Schlüssel so ändern, dass er sich mithilfe der im Agenten geladenen Identifizierungen authentifizieren kann.

-a

Deaktiviert die Weiterleitung durch den Authentifizierungsagenten. (Dies ist die Standardeinstellung.)

-b bindungsadresse

Legen Sie bei Rechnern mit mehreren Schnittstellen oder Aliasadressen die Übermittlungsschnittstelle fest.

-c verschlüsselungsspezifikationen

Liste mit Verschlüsselungen, die durch Kommata getrennt und in einer bevorzugten Reihenfolge angegeben sind. Die Standardeinstellung lautet "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour". Wenn die Verbindung für den FIPS-Modus konfiguriert wurde, lautet die Standardeinstellung "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc".

Bei der Verwendung von Protokollversion 1 (wird nicht empfohlen) ist es möglich, nur eine Verschlüsselung zu wählen. Die möglichen Werte sind "3des", "blowfish" und "des".

-C

Aktiviert die Komprimierung aller übertragenen Daten. Die Komprimierung ist bei Modem- und anderen langsamen Verbindungen empfehlenswert, in schnellen Netzwerken verringert sie jedoch die Antwortgeschwindigkeit.

-e escape-zeichen

Legt das Escape-Zeichen für die Terminalsitzung fest. Das Standardzeichen ist eine Tilde (~). Wenn "none" festgelegt wurde, ist kein Escape-Zeichen verfügbar, und die Tilde wird wie ein normales Zeichen verwendet. Die folgenden Escape-Sequenzen stehen zur Verfügung. (Ersetzen Sie die Tilde mit dem unter "escape-zeichen" festgelegten Zeichen.)

~. Verbindung trennen.
~R Anforderungstaste (nur SSH-Protokoll 2).
~# Weitergeleitete Verbindungen auflisten.
~? Verfügbare Escape-Sequenzen anzeigen.
~~ Escape-Zeichen zweimal eingeben, um es an den Host zu senden.

-E anbieter

Verwendet den angegebenen Anbieter als externen Schlüsselanbieter.

-f

Stellt den Client in den Hintergrund, bevor der Befehl ausgeführt wird.

-F konfigurationsdatei

Gibt eine alternative Konfigurationsdatei an, die für diese Verbindung verwendet werden kann. Wenn eine Konfigurationsdatei in der Befehlszeile eingegeben wird, werden andere Konfigurationsdateien ignoriert.

-g

Aktiviert Gatewayanschlüsse. Ermöglicht Remotehosts, eine Verbindung mit lokal weitergeleiteten Anschlüssen aufzubauen.

-h

Zeigt eine Zusammenfassung von Befehlszeilenoptionen an.

-H abschnitt

Legt fest, welcher Abschnitt in der SSH-Konfigurationsdatei für diese Verbindung verwendet werden soll.

-i schlüsseldatei

Gibt einen privaten Schlüssel für die Authentifizierung an. Schlüsseldateien können auch für jeden Host in der Konfigurationsdatei angegeben werden. Es können mehrere -i-Optionen (und mehrere Schlüssel in einer Konfigurationsdatei) angegeben werden. Sie müssen Anführungszeichen verwenden, wenn die Datei oder der Pfad Leerzeichen enthält.

-k verzeichnis

Gibt einen alternativen Speicherort für die Konfigurations-, Hostschlüssel- und Benutzerschlüsseldateien an. Hinweis: Bei der Verwendung von -k werden Hostschlüssel nur dann gelesen und aus dem angegebenen Speicherort geschrieben, wenn an diesem Speicherort bereits eine Datei mit bekannten Hosts vorhanden ist. Kann eine solche Datei nicht gefunden werden, werden die Hostschlüssel gelesen und in die im Standardverzeichnis gespeicherte Datei mit den bekannten Hosts geschrieben.

-l anmeldename

Gibt den Benutzernamen an, der für die Anmeldung beim Remotecomputer zu verwenden ist. Dies kann auch in der Konfigurationsdatei angegeben werden.

-L localport:remotehost:hostport

Daten von einem bestimmten lokalen Anschluss werden durch den sicheren Tunnel an den angegebenen Zielhost und -anschluss weitergeleitet. Weitere Informationen finden Sie unter Lokale Anschlussweiterleitung. Die Anschlussweiterleitung kann auch in der Konfigurationsdatei angegeben werden. Sie können keine privilegierten Anschlüsse (Anschlussnummern bis 1024) weiterleiten, wenn Sie nicht als Administrator angemeldet sind. Für die Angabe von IPv6-Adressen gibt es eine alternative Syntax: port/host/hostport.

-m mac_spezifikation

Gibt einen oder mehrere durch Komma getrennte MAC-Algorithmen (Message Authentication Code, Meldungsauthentifizierungscode) an, die für diese Verbindung verwendet werden. Geben Sie Algorithmen in einer von Ihnen bevorzugten Reihenfolge an. Die Standardeinstellung ist "hmac-sha1,hmac-sha256,hmac-sha512,hmac-md5,hmac-ripemd160,hmac-sha1-96,hmac-md5-96". Wenn für die Verbindung der FIPS-Modus eingerichtet wurde, lautet die Standardeinstellung "hmac-sha1,hmac-sha256,hmac-sha512".

-N

Es wird kein Remotebefehl ausgeführt. Diese Option eignet sich, wenn lediglich Anschlüsse weitergeleitet werden. (Nur Protokollversion 2.)

-o option

Für die Einstellung von Optionen, die in der Konfigurationsdatei unterstützt werden. Beispiel:

ssh "-o FIPSMode=yes" meinbenutzer@meinhost

-p anschluss

Gibt die Anschlussnummer für die Verbindung mit dem Server an. Die Standardeinstellung ist 22, da dies der Standardanschluss für Secure Shell-Verbindungen ist. Dies kann auch für jeden Host in der Konfigurationsdatei angegeben werden.

-q

Aktiviert den unbeaufsichtigten Modus, bei dem alle Warn- und Diagnosemeldungen einschließlich der Banner unterdrückt werden.

-R localport:remotehost:hostport

Daten werden von dem angegebenen Remoteanschluss (auf dem Secure Shell-Servercomputer) durch den sicheren Tunnel an den festgelegten Zielhost und -anschluss weitergeleitet. Weitere Informationen finden Sie unter Entfernte Anschlussweiterleitung. Die Anschlussweiterleitung kann auch in der Konfigurationsdatei angegeben werden. Sie können keine privilegierten Anschlüsse (Anschlussnummern bis 1024) weiterleiten, wenn Sie nicht als Administrator angemeldet sind. Für die Angabe von IPv6-Adressen gibt es eine alternative Syntax: port/host/hostport.

-S

Führen Sie keine Shell aus.

-t

Erzwingt eine TTY-Zuordnung selbst dann, wenn ein Befehl eingegeben wird.

-T

Deaktiviert die Pseudo-TTY-Zuordnung.

-v

Legt für die Protokollierungsstufe den detaillierten Modus (Verbose) fest. Dieser entspricht der Protokollierungsstufe 2 (Debug2).

-V

Zeigt den Produktnamen sowie Informationen zur Reflection-Version an und schließt das Fenster wieder. Andere in der Befehlszeile angegebene Optionen werden gegebenenfalls ignoriert.

-x

Deaktiviert die X11-Verbindungsweiterleitung.

-X

Aktiviert die X11-Verbindungsweiterleitung und behandelt x11-Clients als nicht zuverlässig. Entfernte X11-Clients, die als unzuverlässig eingestuft werden, können Daten von zuverlässigen X11-Clients nicht manipulieren.

Gehen Sie bei der Aktivierung der X11-Weiterleitung mit großer Vorsicht vor. Benutzer, die Dateiberechtigungen auf dem Remotehost umgehen können (für die X-Autorisierung des Benutzers), können über die weitergeleitete Verbindung auf die lokale X11-Anzeige zugreifen. Ein Angreifer kann unter Umständen verschiedene Aktivitäten ausführen, beispielsweise die Überwachung von Tastenkombinationen.

-Y

Aktiviert die X11-Verbindungsweiterleitung und behandelt x11-Clients als zuverlässig.

Gehen Sie bei der Aktivierung der X11-Weiterleitung mit großer Vorsicht vor. Benutzer, die Dateiberechtigungen auf dem Remotehost umgehen können (für die X-Autorisierung des Benutzers), können über die weitergeleitete Verbindung auf die lokale X11-Anzeige zugreifen. Ein Angreifer kann unter Umständen verschiedene Aktivitäten ausführen, beispielsweise die Überwachung von Tastenkombinationen.

-1

Zwingt ssh, nur die Protokollversion 1 zu verwenden. Protokollversion 1 ist nicht anerkannt und wird nicht empfohlen.

-2

Zwingt ssh, nur die Protokollversion 2 zu verwenden.

-4

Erzwingt Verbindungen, die ausschließlich IPv4-Adressen verwenden.

-6

Erzwingt Verbindungen, die ausschließlich IPv6-Adressen verwenden.