Сш 1 круглое: ГУО «Средняя школа № 1 г. Круглое»

Содержание

ГУО «Средняя школа № 1 г. Круглое»

В помощь учителю

Постановление Совета Министров Республики Беларусь от 08.04.2020 №208 «О введении ограничительного мероприятия»

В случае чрезвычайных ситуаций, создающих угрозу санитарно-эпидемиологическому благополучию, просим незамедлительно информировать отдел по образованию, спорту и туризму Круглянского райисполкома по тел. +375336284014 (Логосова Светлана Михайловна).

       

Режим  работы  школы

Начало работы8.00

Окончание работы21.00

Суббота: с 8.00 до 14.00

Выходнойвоскресенье

Государственное учреждение образования «Средняя школа №1 г.

Круглое» аккредитовано  на соответствие заявленному виду средняя школа (приказ Департамента контроля качества образования Министерств образования Республики Беларусь от 1 декабря 2020 г. № 307-и)

Сертификат выдан в соответствии с приказом Министерства образования Республики Беларусь от 4 декабря 2020 г. № 823 и действителен с 4 декабря 2020 г. до 4 декабря 2025 г.

… 1888-1889 учебный год. Круглянская земская двухклассная школа размещена в старом деревянном здании. Единственная учительница — дочь местного попа.

… Темная крестьянская хата. За столом низко склонили головы 21 мальчик и 2 девочки.
До октябрьской революции один ученик приходился на 600 жителей Круглого. Учеба в школе была примитивной. Один учитель учил ребят писать, считать, преподавал историю царской России, географию. Остальным предметом был закон божий. Преподавание велось на русском языке.

В конце 1919 года, после изгнания немецких оккупантов, в Круглом в бывшей усадьбе помещика Облонского была открыта школа второй ступени. Она давала среднее образование, и учились в ней четыре года после окончания двухклассного училища.
В 1924 году Круглянская школа стала семилетней. Первый пионервожатый школы — Тишуров Павел Владимирович.
В 1929 году здание школы сгорело. По инициативе рабочих начали строить новую среднюю школу. Через два года новая школа приняла учеников.
После освобождения Круглого от фашистских захватчиков в 1944 году детям негде было учиться. Уроки проходили в наемных зданиях, землянках.
Но так было недолго. Уже в 1951 году в Круглом была построена новая школа.
В 1974 году встал вопрос о строительстве в городском поселке Круглое новой современной школы. Такая школа была построена в 1976 году.

До 2000 года она была единственной в райцентре.
После ввода в эксплуатацию здания СОШ №2 Круглянская средняя школа стала именоваться СОШ №1 г.п.Круглое. В 2007 году после капитального ремонта, длившегося 2 года, школа встретила своих воспитанников красивой и обновленной. С 1 января 2010 года школа стала именоваться государственное учреждение образования «Средняя школа №1 г.п.Круглое». 

Статус городского поселка Круглое в марте 2016 года сменился на «город». Поэтому на сегодняшний день школа именуется государственное учреждение образования «Средняя школа №1 г.Круглое».
Сегодня в школе обучается 720 учеников, работает 60 педагогов. 75% из них имеют высшую и первую квалификационную категорию, 96% имеют высшее образование.
Ежегодно учащиеся школы являются победителями и призерами районных, областных и республиканских предметных олимпиад.
Более 50% выпускников школы становятся студентами ВУЗов и техникумов.

Школа в последние годы является победителем  районной круглогодичной спартакиады учащихся  среди учреждений образования района.

Школа находится в типовом здании, в котором действует учебно-кабинетная система. Все учебные кабинеты оснащены компьютерами и различными техническими средствами обучения. Имеется актовый зал, библиотека, спортивный зал, класс ритмики и танца, компьютерный класс, мастерские технического и обслуживающего труда, столовая на 200 посадочных мест.
С целью развития интересов учащихся в школе работают кружки по направлениям деятельности: краеведческий; гражданско-патриотический; спортивный; художественно-эстетический; хореографический; трудовой. В учреждении образования создан историко-краеведческий музей «Спадчына», который регулярно посещают учащиеся, их родители и гости нашего города.

Задачи педагогического коллектива

ГУО «Средняя школа № 1 г. Круглое»

 на 2021/2022 учебный год

1. Совершенствовать качество образовательного процесса, повышать его эффективность через реализацию системно-деятельностного и компетентностного подходов в преподавании учебных предметов, освоение педагогами обновлённого содержания образования, внедрение образовательных стандартов нового поколения, реализацию воспитательного потенциала учебных предметов.

2. Способствовать выстраиванию индивидуальной образовательной траектории для каждого обучающегося через организацию системной допрофильной и допрофессиональной подготовки учащихся на II ступени общего среднего образования, профильного обучения и профессиональной подготовки учащихся на III ступени общего среднего образования. 

3. Содействовать повышению уровня профессиональных компетенций педагогов через личностное развитие, активизацию работы по трансляции практических результатов образовательной деятельности, применение современных подходов к организации образовательного процесса.

4. Обеспечить доступность информации о содержании учебных занятий, успеваемости  и посещаемости учащихся для всех субъектов образовательного процесса посредством использования сервиса «Электронный дневник/электронный журнал».

5. Продолжить работу по  формированию гражданственности, патриотизма и национального самосознания учащихся средствами реализации инновационного проекта «Внедрение модели формирования социально-гражданских компетенций обучающихся на основе создания и реализации туристско-краеведческих медиапутешествий».

6. Содействовать повышению эффективности работы по профилактике асоциального поведения среди несовершеннолетних через совершенствование системы оказания социально-психологической и педагогической помощи учащимся и их родителям.

      

                                                  

            

         

     

Группа: Металлоконструкции | ЗСЦЦС

101-2525 Металлоконструкции балок ограждения: секции балок СБ-1,СБ-2,СБ-3 (из прокатных и гнутых профилей полосовой и круглой стали), вес от 0,05 до 1 т
101-2526 Металлоконструкции светоотражающих устройств из стали III с болтами и гайками, массой до 0,05 т
101-2424 Комплект материалов системы «ГЕОВЕБ» («ГЕОВЕБ», «Дорнит», анкерный шнур)
101-2425 Комплект материалов оцинкованного ограждения барьерного типа ГОСТ 26804-86, марка 11ДО-2
101-6555 Стойка для экрана шумозащитного с покрытием методом горячего оцинкованная в комплекте с крепежными деталями СШ. 1
101-6556 Панель звукоизолирующая шумозащитная из оцинкованной стали, окрашенная полиэфирной порошковой краской, с глухой или перфорированной фасадной крышкой
101-5811 Ограждение пешеходное сварное размером 1500х1750 мм (стойки 40х40 мм), ГОСТ 5284-80
101-7611 Труба гравитационно-капиллярная тепловая, марка ГКТТ наружным диаметром 51 мм
101-7100
Экран металлический гофрированный противофильтрационный толщиной 2,7 мм
101-2523 Конструкции рамные из круглых труб и гнутосварных профилей, массой от 1 т до 4 т (РМП,РМТ)
101-2524 Конструкции рамные из круглых труб и гнутосварных профилей, массой от 0,5 т до 1,5 т (РМГ)
101-2527 Комплект металлоконструкций барьерного ограждения, марка 11ДО-1,1Д/1,5-500
101-2528 Комплект металлоконструкций барьерного ограждения, марка 11ДД-1,1Д/1,5-500
101-4223 Комплект металлоконструкций барьерного ограждения, марка 11ДО-1,1Д/1,5-500
101-4225 Комплект металлоконструкций барьерного ограждения, марка 11ДД-1,1Д/1,5-500
101-2529 Комплект металлоконструкций барьерного ограждения, марка 11ДО-1,1Ш/1,5-300
101-2530 Комплект металлоконструкций барьерного ограждения, марка 11МО-1,1Д/2,0-500
101-2531 Комплект металлоконструкций барьерного ограждения, марка 11МД-1,1Д/2,0-500
101-2532 Комплект металлоконструкций барьерного ограждения, марка 11МД-1,1Д/2,0-400
101-4419 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/130-0,75-4,0-1,25, (ТУ 5216-003-44884958-04), горячее цинкование
101-4420 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/190-0,75-3,0-1,25, (ТУ 5216-003-44884958-04), горячее цинкование
101-4421 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/250-0,75-2,0-1,2, (ТУ 5216-003-44884958-04), горячее цинкование
101-4422 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/300-0,75-1,5-1,1, (ТУ 5216-003-44884958-04), горячее цинкование
101-6657 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/300-0,75-1,0-1,1 (ТУ 5216-003-44884958-04), горячее цинкование
101-4423 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/350-1,1-2,5-1,6, (ТУ 5216-003-44884958-04), горячее цинкование
101-4424 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/400-1,1-2,0-1,5, (ТУ 5216-003-44884958-04), горячее цинкование
101-4425 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/450-1,1-1,0-1,2, (ТУ 5216-003-44884958-04), горячее цинкование
101-4426 Комплект металлоконструкций барьерного ограждения, марка 11-ДД/300-0,75-2,0-1,1, (ТУ 5216-003-44884958-04), горячее цинкование
101-4427 Комплект металлоконструкций барьерного ограждения, марка 11-ДД/350-1,1-2,0-1,0, (ТУ 5216-003-44884958-04), горячее цинкование
101-4428 Комплект металлоконструкций барьерного ограждения, марка 11-ДД/400-1,1-1,5-1,1, (ТУ 5216-003-44884958-04), горячее цинкование
101-4429 Комплект металлоконструкций барьерного ограждения, марка 11-ДД/450-1,1-1,0-1,0, (ТУ 5216-003-44884958-04), горячее цинкование
101-4430 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/130-0,75-4,0-1,25, (ТУ 5216-003-44884958-04), огрунтованные
101-4431 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/190-0,75-3,0-1,25, (ТУ 5216-003-44884958-04) огрунтованные
101-4432 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/250-0,75-2,0-1,2, (ТУ 5216-003-44884958-04), огрунтованные
101-4433 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/300-0,75-1,5-1,1, (ТУ 5216-003-44884958-04), огрунтованные
101-4434 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/350-1,1-2,5-1,6, (ТУ 5216-003-44884958-04), огрунтованные
101-4435 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/400-1,1-2,0-1,5, (ТУ 5216-003-44884958-04), огрунтованные
101-4436 Комплект металлоконструкций барьерного ограждения, марка 11-ДО/450-1,1-1,0-1,2, (ТУ 5216-003-44884958-04), огрунтованные
101-4437 Комплект металлоконструкций барьерного ограждения, марка 11-ДД/300-0,75-2,0-1,1, (ТУ 5216-003-44884958-04), огрунтованные
101-4438 Комплект металлоконструкций барьерного ограждения, марка 11-ДД/350-1,1-2,0-1,0, (ТУ 5216-003-44884958-04), огрунтованные
101-4439 Комплект металлоконструкций барьерного ограждения, марка 11-ДД/400-1,1-1,5-1,1, (ТУ 5216-003-44884958-04), огрунтованные
101-4440 Комплект металлоконструкций барьерного ограждения, марка 11-ДД/450-1,1-1,0-1,0, (ТУ 5216-003-44884958-04), огрунтованные
101-4441 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-Н/0,75-25, горячее цинкование
101-4442 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-Н/0,75-18, горячее цинкование
101-4443 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-Н/0,75-12, горячее цинкование
101-4444 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-Н/1,1-25, горячее цинкование
101-4445 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-Н/1,1-18, горячее цинкование
101-4446 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДД-Н/0,75-25, горячее цинкование
101-4447 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДД-Н/1,1-25, горячее цинкование
101-4448 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-Н/0,75-25, огрунтованные
101-4449 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-Н/0,75-18, огрунтованные
101-4450 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-Н/0,75-12, огрунтованные
101-4451 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-Н/1,1-25, огрунтованные
101-4452 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-Н/1,1-18, огрунтованные
101-4453 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДД-Н/0,75-25, огрунтованные
101-4454 Комплект металлоконструкций начальных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДД-Н/1,1-25, огрунтованные
101-4455 Комплект металлоконструкций конечных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-К/0,75-15, горячее цинкование
101-4456 Комплект металлоконструкций конечных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-К/0,75-12, горячее цинкование
101-4457 Комплект металлоконструкций конечных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-К/1,1-15, горячее цинкование
101-4458 Комплект металлоконструкций конечных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-К/1,1-12, горячее цинкование
101-4459 Комплект металлоконструкций конечных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-К/0,75-15, огрунтованные
101-4460 Комплект металлоконструкций конечных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-К/0,75-12, огрунтованные
101-4461 Комплект металлоконструкций конечных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-К/1,1-15, огрунтованные
101-4462 Комплект металлоконструкций конечных участков барьерного ограждения (ТУ 5216-003-44884958-04), марка 11-ДО-К/1,1-12, огрунтованные
101-6531 Экран звукоотражающий светопрозрачный высотой 3050 мм, с индексом изоляции воздушного шума 32 дБ (стойка сварная с полимерным покрытием, звукоизолирующая панель — термопласт 12 мм, комплект креплений)
101-6532 Экран звукоотражающий светопрозрачный высотой 4050 мм, с индексом изоляции воздушного шума 32 дБ (стойка сварная с полимерным покрытием, звукоизолирующая панель — термопласт 12 мм, комплект креплений)
101-6533 Экран звукоотражающий светопрозрачный высотой 5100 мм, с индексом изоляции воздушного шума 32 дБ (стойка сварная с полимерным покрытием, звукоизолирующая панель — термопласт 12 мм, комплект креплений)
101-6534 Экран звукоотражающий светопрозрачный высотой 6100 мм, с индексом изоляции воздушного шума 32 дБ (стойка сварная с полимерным покрытием, звукоизолирующая панель — термопласт 12 мм, комплект креплений)
101-6535 Экран звукоотражающий сотовый высотой 3050 мм, шумопонижение 21 дБ (стойка сварная с полимерным покрытием, звукоизолирующая панель — термопласт 25 мм, комплект креплений)
101-6536 Экран звукоотражающий сотовый высотой 4050 мм, шумопонижение 21 дБ (стойка сварная с полимерным покрытием, звукоизолирующая панель — термопласт 25 мм, комплект креплений)
101-6537 Экран звукоотражающий сотовый высотой 5100 мм, шумопонижение 21 дБ (стойка сварная с полимерным покрытием, звукоизолирующая панель — термопласт 25 мм, комплект креплений)
101-6538 Экран звукоотражающий сотовый высотой 6100 мм, шумопонижение 21 дБ (стойка сварная с полимерным покрытием, звукоизолирующая панель — термопласт 25 мм, комплект креплений)
101-6585 Экран звукопоглощающий металлический высотой 2400 мм, с индексом изоляции воздушного шума 33 дБ, коэффициент шумопоглощения 0,97 (стойка сварная с полимерным покрытием, звукопоглощающая панель перфорированная с одной стороны 145 мм, комплект креплений)
101-6586 Экран звукопоглощающий металлический высотой 3600 мм, с индексом изоляции воздушного шума 33 дБ, коэффициент шумопоглощения 0,97 (стойка сварная с полимерным покрытием, звукопоглощающа панель перфорированная с одной стороны 145 мм, комплект креплений)
101-6587 Экран звукопоглощающий металлический высотой 4800 мм, с индексом изоляции воздушного шума 33 дБ, коэффициент шумопоглощения 0,97 (стойка сварная с полимерным покрытием, звукопоглощающа панель перфорированная с одной стороны 145 мм, комплект креплений)
101-6588 Экран звукопоглощающий металлический высотой 6000 мм, с индексом изоляции воздушного шума 33 дБ, коэффициент шумопоглощения 0,97 (стойка сварная с полимерным покрытием, звукопоглощающа панель перфорированная с одной стороны 145 мм, комплект креплений)
101-6589 Экран звукоотражающий металлический высотой 2400 мм, шумопонижение 23 дБ (стойка сварная с полимерным покрытием, звукоотражающая 3-х слойная сэндвич-панель 100 мм, комплект креплений)
101-6590 Экран звукоотражающий металлический высотой 3600 мм, шумопонижение 23 дБ (стойка сварная с полимерным покрытием, звукоотражающая 3-х слойная сэндвич-панель 100 мм, комплект креплений)
101-6591 Экран звукоотражающий металлический высотой 4800 мм, шумопонижение 23 дБ (стойка сварная с полимерным покрытием, звукоотражающая 3-х слойная сэндвич-панель 100 мм, комплект креплений)
101-6592 Экран звукоотражающий металлический высотой 6000 мм, шумопонижение 23 дБ (стойка сварная с полимерным покрытием, звукоотражающая 3-х слойная сэндвич-панель 100 мм, комплект креплений)
101-4802 Ограждение барьерное мостовое одностороннее, однорядное оцинкованное марки 11МО-2,5-130, толщина балки 4 мм, прогиб 0,48 м, высота 0,75 м
101-4803 Ограждение барьерное мостовое одностороннее, однорядное оцинкованное марки 11МО-1,5-190, толщина балки 4 мм, прогиб 0,48 м, высота 0,75 м
101-4804 Ограждение барьерное мостовое одностороннее, однорядное оцинкованное марки 11МО-1,0-250, толщина балки 4 мм, прогиб 0,48 м, высота 0,75 м
101-4842 Ограждение барьерное мостовое одностороннее, однорядное оцинкованное марки 11МД-1,5-400, толщина балки 4 мм, прогиб 0,40 м, высота 1,10 м
101-4805 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-2,5-300, толщина балки 4 мм, прогиб 0,83 м, высота 1,10 м
101-4806 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-2,5-300, толщина балки 4 мм, прогиб 0,40 м, высота 1,10 м
101-4807 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-2,0-350, толщина балки 4 мм, прогиб 0,83 м, высота 1,10 м
101-4808 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-2,0-350, толщина балки 4 мм, прогиб 0,40 м, высота 1,10 м
101-4809 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-1,5-400, толщина балки 4 мм, прогиб 0,83 м, высота 1,10 м
101-4810 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-1,5-400, толщина балки 4 мм, прогиб 0,40 м, высота 1,10 м
101-4811 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-1,0-450, толщина балки 4 мм, прогиб 0,83 м, высота 1,10 м
101-4812 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-1,0-450, толщина балки 4 мм, прогиб 0,40 м, высота 1,10 м
101-4813 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-1,5-500, толщина балки 4 мм, прогиб 0,59 м, высота 1,10 м
101-4814 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-1,5-500, толщина балки 4 мм, прогиб 0,59 м, высота 1,50 м
101-4815 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-2,5-500, толщина балки 4 мм, прогиб 0,73 м, высота 1,50 м
101-4816 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-1,33-550, толщина балки 4 мм, прогиб 0,59 м, высота 1,10 м
101-4817 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-1,33-550, толщина балки 4 мм, прогиб 0,59 м, высота 1,50 м
101-4818 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-2,0-450, толщина балки 4 мм, прогиб 0,73 м, высота 1,50 м
101-4819 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-1,0-600, толщина балки 4 мм, прогиб 0,59 м, высота 1,10 м
101-4820 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-1,0-600, толщина балки 4 мм, прогиб 0,59 м, высота 1,50 м
101-4821 Ограждение барьерное мостовое одностороннее, двухрядное оцинкованное марки 11МО-2,0-600, толщина балки 4 мм, прогиб 0,73 м, высота 1,50 м
101-4822 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-2,5-130, толщина балки 4 мм, прогиб 0,48 м, высота 0,75 м
101-4823 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-1,5-190, толщина балки 4 мм, прогиб 0,48 м, высота 0,75 м
101-4824 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-1,0-250, толщина балки 4 мм, прогиб 0,48 м, высота 0,75 м
101-4825 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-2,5-300, толщина балки 4 мм, прогиб 0,83 м, высота 1,10 м
101-4826 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-2,5-300, толщина балки 4 мм, прогиб 0,40 м, высота 1,10 м
101-4827 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-2,0-350, толщина балки 4 мм, прогиб 0,83 м, высота 1,10 м
101-4828 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-2,0-350, толщина балки 4 мм, прогиб 0,40 м, высота 1,10 м
101-4829 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-1,5-400, толщина балки 4 мм, прогиб 0,83 м, высота 1,10 м
101-4831 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-1,0-450, толщина балки 4 мм, прогиб 0,83 м, высота 1,10 м
101-4832 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-1,0-450, толщина балки 4 мм, прогиб 0,40 м, высота 1,10 м
101-4833 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-1,5-500, толщина балки 4 мм, прогиб 0,59 м, высота 1,10 м
101-4834 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-1,5-500, толщина балки 4 мм, прогиб 0,59 м, высота 1,50 м
101-4835 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-2,5-500, толщина балки 4 мм, прогиб 0,73 м, высота 1,50 м
101-4836 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-1,33-550, толщина балки 4 мм, прогиб 0,59 м, высота 1,10 м
101-4837 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-1,33-550, толщина балки 4 мм, прогиб 0,59 м, высота 1,50 м
101-4838 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-2,0-550, толщина балки 4 мм, прогиб 0,73 м, высота 1,50 м
101-4839 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-1,0-600, толщина балки 4 мм, прогиб 0,59 м, высота 1,10 м
101-4840 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-1,0-600, толщина балки 4 мм, прогиб 0,59 м, высота 1,50 м
101-4841 Ограждение барьерное мостовое двухстороннее, двухрядное оцинкованное марки 11МД-2,0-600, толщина балки 4 мм, прогиб 0,73 м, высота 1,50 м
101-6121 Конструкции металлические оцинкованные гофрированные сечение круглое, диаметром от 1,0 до 2,5 м, толщина стали 3-5 мм, марки 09Г2
101-6122 Конструкции металлические оцинкованные гофрированные сечение круглое, диаметром от 2,5 до 5,0 м, тощина стали 3-5 мм, марки 09Г2
101-6123 Конструкции металлические оцинкованные гофрированные сечение круглое, диаметром свыше 5,0 м, тощина стали 3-5 мм, марки 09Г2
101-6124 Конструкции металлические оцинкованные гофрированные сечение пониженное, полицентрическое, арочное, эллиптическое, пролет от 1 до 2,5 м, стрела от 1 до 2,5 м, толщина стали 3 мм, марки ст.3
101-6125 Конструкции металлические оцинкованные гофрированные сечение пониженное, полицентрическое, арочное, эллиптическое, пролет от 2,5 до 5 м, стрела от 2,5 до 5 м, толщина стали 3 мм, марки ст.3
101-6126 Конструкции металлические оцинкованные гофрированные сечение пониженное, полицентрическое, арочное, эллиптическое, пролет свыше 5 м, стрела свыше 5 м, толщина стали 3 мм, марки ст.3
101-6127 Конструкции металлические оцинкованные гофрированные сечение пониженное, полицентрическое, арочное, эллиптическое, пролет от 1 до 2,5 м, стрела от 1 до 2,5 м, толщина стали 3 мм, марки 09Г2
101-6128 Конструкции металлические оцинкованные гофрированные сечение пониженное, полицентрическое, арочное, эллиптическое, пролет от 2,5 до 5 м, стрела от 2,5 до 5 м, толщина стали 3 мм, марки 09Г2
101-6129 Конструкции металлические оцинкованные гофрированные сечение пониженное, полицентрическое, арочное, эллиптическое, пролет свыше 5 м, стрела свыше 5 м, толщина стали 3 мм, марки 09Г2
101-7831 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 500 мм, толщиной 2 мм
101-7832 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 800 мм, толщиной 2 мм
101-7833 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 800 мм, толщиной 2,5 мм
101-7834 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1000 мм, толщиной 2 мм
101-7835 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1000 мм, толщиной 2,5 мм
101-7836 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1000 мм, толщиной 3,0 мм
101-7837 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1200 мм, толщиной 2,5 мм
101-7838 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1200 мм, толщиной 3,0 мм
101-7839 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1200 мм, толщиной 3,5 мм
101-7840 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1500 мм, толщиной 2,5 мм
101-7841 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1500 мм, толщиной 3,0 мм
101-7842 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1500 мм, толщиной 3,5 мм
101-7843 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1800 мм, толщиной 2,5 мм
101-7844 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1800 мм, толщиной 3,0 мм
101-7845 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 1800 мм, толщиной 3,5 мм
101-7846 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 2000 мм, толщиной 2,5 мм
101-7847 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 2000 мм, толщиной 3,0 мм
101-7848 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 2000 мм, толщиной 3,5 мм
101-7849 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 2200 мм, толщиной 2,5 мм
101-7850 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 2200 мм, толщиной 3,0 мм
101-7851 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 2200 мм, толщиной 3,5 мм
101-7852 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 2500 мм, толщиной 3,0 мм
101-7853 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытие цинковое Z600) диаметром 2500 мм, толщиной 3,5 мм
101-7768 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 500 мм, толщиной 2 мм
101-7769 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 800 мм, толщиной 2 мм
101-7770 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 800 мм, толщиной 2,5 мм
101-7771 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1000 мм, толщиной 2 мм
101-7772 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1000 мм, толщиной 2,5 мм
101-7773 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1000 мм, толщиной 3,0 мм
101-7774 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1200 мм, толщиной 2,5 мм
101-7775 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1200 мм, толщиной 3,0 мм
101-7776 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1200 мм, толщиной 3,5 мм
101-7777 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1500 мм, толщиной 2,5 мм
101-7778 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1500 мм, толщиной 3,0 мм
101-7779 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1500 мм, толщиной 3,5 мм
101-7780 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1800 мм, толщиной 2,5 мм
101-7781 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1800 мм, толщиной 3,0 мм
101-7782 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 1800 мм, толщиной 3,5 мм
101-7783 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 2000 мм, толщиной 2,5 мм
101-7784 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 2000 мм, толщиной 3,0 мм
101-7785 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 2000 мм, толщиной 3,5 мм
101-7786 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 2200 мм, толщиной 2,5 мм
101-7787 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 2200 мм, толщиной 3,0 мм
101-7788 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 2200 мм, толщиной 3,5 мм
101-7789 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 2500 мм, толщиной 3,0 мм
101-7790 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z600 и двухстороннее полимерное TrenchCoat) диаметром 2500 мм, толщиной 3,5 мм
101-7791 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 500 мм, толщиной 2 мм
101-7792 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 800 мм, толщиной 2 мм
101-7793 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 800 мм, толщиной 2,5 мм
101-7794 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1000 мм, толщиной 2 мм
101-7795 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1000 мм, толщиной 2,5 мм
101-7796 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1000 мм, толщиной 3,0 мм
101-7797 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1000 мм, толщиной 3,5 мм
101-7798 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1200 мм, толщиной 2,5 мм
101-7799 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1200 мм, толщиной 3,0 мм
101-7800 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1200 мм, толщиной 3,5 мм
101-7801 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1500 мм, толщиной 2,5 мм
101-7802 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1500 мм, толщиной 3,0 мм
101-7803 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1500 мм, толщиной 3,5 мм
101-7804 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1500 мм, толщиной 4,0 мм
101-7805 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1500 мм, толщиной 4,2 мм
101-7806 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1600 мм, толщиной 2,5 мм
101-7807 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1600 мм, толщиной 3,0 мм
101-7808 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1600 мм, толщиной 3,5 мм
101-7809 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1600 мм, толщиной 4,0 мм
101-7810 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1600 мм, толщиной 4,2 мм
101-7811 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1800 мм, толщиной 2,5 мм
101-7812 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1800 мм, толщиной 3,0 мм
101-7813 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1800 мм, толщиной 3,5 мм
101-7814 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1800 мм, толщиной 4,0 мм
101-7815 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 1800 мм, толщиной 4,2 мм
101-7816 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 2000 мм, толщиной 2,5 мм
101-7817 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 2000 мм, толщиной 3,0 мм
101-7818 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 2000 мм, толщиной 3,5 мм
101-7819 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 2000 мм, толщиной 4,0 мм
101-7820 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 2000 мм, толщиной 4,2 мм
101-7821 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 2500 мм, толщиной 3,0 мм
101-7822 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 2500 мм, толщиной 3,5 мм
101-7823 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 2500 мм, толщиной 4,0 мм
101-7824 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 2500 мм, толщиной 4,2 мм
101-7825 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 3000 мм, толщиной 3,5 мм
101-7826 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 3000 мм, толщиной 4,0 мм
101-7827 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 3000 мм, толщиной 4,2 мм
101-7828 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 3500 мм, толщиной 3,5 мм
101-7829 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 3500 мм, толщиной 4,0 мм
101-7830 Труба гофрированная спиральновитая из стали марки DX51D с бандажом (покрытия цинковое Z800 и двухстороннее полимерное W-protect 800) диаметром 3500 мм, толщиной 4,2 мм
101-7078 Труба гофрированная цельновитая водопропускная из оцинкованной стали марки K8D 3506 SGHC толщиной 2,7 мм, диаметром 750 мм
101-7079 Труба гофрированная цельновитая водопропускная из оцинкованной стали марки K8D 3506 SGHC толщиной 2,7 мм, диаметром 1000 мм
101-7080 Труба гофрированная цельновитая водопропускная из оцинкованной стали марки K8D 3506 SGHC толщиной 2,7 мм, диаметром 1500 мм
101-7081 Труба гофрированная цельновитая водопропускная из оцинкованной стали марки K8D 3506 SGHC толщиной 2,7 мм, диаметром 1600 мм
101-7082 Труба гофрированная цельновитая водопропускная из оцинкованной стали марки K8D 3506 SGHC толщиной 2,7 мм, диаметром 1800 мм
101-7083 Труба гофрированная цельновитая водопропускная из оцинкованной стали марки K8D 3506 SGHC толщиной 3,0 мм, диаметром 2000 мм
101-7084 Труба гофрированная цельновитая водопропускная из оцинкованной стали марки K8D 3506 SGHC толщиной 3,2 мм, диаметром 2000 мм
101-7085 Труба гофрированная цельновитая водопропускная из оцинкованной стали марки K8D 3506 SGHC толщиной 3,2 мм, диаметром 2500 мм
101-7086 Оголовник для гофрированной цельновитой водопропускной трубы сечением (окаймляющим уголком) 50х50х5 мм, диаметром 750 мм
101-7087 Оголовник для гофрированной цельновитой водопропускной трубы сечением (окаймляющим уголком) 50х50х5 мм, диаметром 1000 мм
101-7088 Оголовник для гофрированной цельновитой водопропускной трубы сечением (окаймляющим уголком) 50х50х5 мм, диаметром 1500 мм
101-7089 Оголовник для гофрированной цельновитой водопропускной трубы сечением (окаймляющим уголком) 50х50х5 мм, диаметром 1600 мм
101-7090 Оголовник для гофрированной цельновитой водопропускной трубы сечением (окаймляющим уголком) 50х50х5 мм, диаметром 1800 мм
101-7091 Оголовник для гофрированной цельновитой водопропускной трубы сечением (окаймляющим уголком) 50х50х5 мм, диаметром 2000 мм
101-7092 Оголовник для гофрированной цельновитой водопропускной трубы сечением (окаймляющим уголком) 50х50х5 мм, диаметром 2500 мм
101-7093 Бандаж для гофрированной цельновитой водопропускной трубы из оцинкованной стали марки K8D 3506 SGHC толщиной 1,6 мм, диаметром 750 мм
101-7094 Бандаж для гофрированной цельновитой водопропускной трубы из оцинкованной стали марки K8D 3506 SGHC толщиной 1,6 мм, диаметром 1000 мм
101-7095 Бандаж для гофрированной цельновитой водопропускной трубы из оцинкованной стали марки K8D 3506 SGHC толщиной 1,6 мм, диаметром 1500 мм
101-7096 Бандаж для гофрированной цельновитой водопропускной трубы из оцинкованной стали марки K8D 3506 SGHC толщиной 1,6 мм, диаметром 1600 мм
101-7097 Бандаж для гофрированной цельновитой водопропускной трубы из оцинкованной стали марки K8D 3506 SGHC толщиной 1,6 мм, диаметром 1800 мм
101-7098 Бандаж для гофрированной цельновитой водопропускной трубы из оцинкованной стали марки K8D 3506 SGHC толщиной 2,7 мм, диаметром 2000 мм
101-7099 Бандаж для гофрированной цельновитой водопропускной трубы из оцинкованной стали марки K8D 3506 SGHC толщиной 2,7 мм, диаметром 2500 мм

Учреждение «Могилевская областная СДЮШОР профсоюзов «Спартак»

Учреждение «Могилевская областная СДЮШОР профсоюзов «Спартак» специализируется на подготовке спортсменов по одному виду спорта — лыжные гонки.

Фактический адрес: 212010, Могилевская область, г.Могилев, ул.Надточеева, 35.

Юридический адрес: 212030, Могилевская область, г.Могилев, пр-т Мира, 10, оф.5.

Контактные телефоны: 8(0222)20-65-46.

e-mail: [email protected]

Директор: Рубцова Елена Анатольевна тел. +375 (29) 122-26-93

Зам.директора по основной деятельности:

Гаврукович Василий Юрьевич +375 (29) 320-56-09

Дата основания спортивной школы: 1973 год.

В составе школы 25 человек. Из них 15 тренеров-преподавателей.

В каникулярные периоды проводятся лагеря дневного и круглосуточного пребывания с целью оздоровления и повышения спортивного мастерства.

Традиции школы:

Ежегодно проводятся открытое первенство по лыжным гонкам и кроссу. Проводятся встречи с выпускниками школы, которые участвовали на Чемпионатах Мира и Европы, Олимпийских играх.

Сведения о тренерско-преподавательском составе (штатные,совместители).

п/п

        Ф. И. О. Отделение по виду спорта Квалификационная 

категория

Место проведения УТЗ
1. Рубцова Е.А. л/гонки 1 л/база ул.Надточеева 35
2. Черный П.Л. л/гонки 1 СШ№45ул.Кулешова 20
3. Гаврукович В.Ю. л/гонки высшая
4. Семенчук Т.А. л/гонки 1
5. Королькова А.А. л\гонки
6. Шацев Г.В. л/гонки  1 СШ№35 пер.Гоголя 2
7. Буянов Н.И. л/гонки 1 Вишовская СШ д.Вишово
8. Цветов А.Б. л/гонки 2 Тетеринская СОШ Круглянский р-он ул.Школьная 22
9. Косачев С.Г. л/гонки 2 Комсеничская СШ Круглянский р-он. д.Комсеничи
10. Анаденко А.В. л/гонки 1 СШ№1 г.п.Круглое ул.Терновского 3
11. Близнякова А.М. л/гонки СШ№18
12. Лаврикова М.В. л/гонки СШ №40
13. Зуборенко В.Н. л/гонки СШ№12
15. Коршунов И.С. л/гонки г. Круглое
16. Кардымон П.П. л/гонки СШ№27
17. Дудкин Л.М. л/гонки СШ№12
18. Дудорев А.В. л/гонки

Выступили очень достойно — Круглянское районное объединение профсоюзов

Завершились весенние школьные каникулы. Одновременно в эти дни проходил и заключительный этап республиканской олимпиады по учебным предметам. У наших ребят четыре победы: по два диплома первой и второй степеней.
Особо яркие выступления демонстрирует экзаменаторам учащаяся 10 класса СШ №1 г. Круглое Мария Тоскаева – и в этом, и в прошлом году у нее Дипломы I степени по русскому языку и литературе. Учитель – Олег Головков. Фотография М. Тоскаевой заносится по итогам районного соревнования на Доску Почета.По итогам предыдущего года такой чести был удостоен Руслан Королёв – учащийся 10 класса Рубежского учебно-педагогического комплекса. Если в прошлом году он приехал с республики с Дипломом третьей степени по предмету «Трудовое обучение», то в этом стал обладателем заветного победного Диплома I степени. Учитель – Виталий Каховский.Очень показательно продемонстрировал свои знания и навыки по этому предмету и учащийся 11 класса Филатовского учебно-педагогического комплекса Андрей Кунец. У него – Диплом II степени. Увлеченность к труду мальчишке не первый год прививает учитель Александр Семченко.

Ряд ярких побед одержал на самых престижных соревнованиях областного и республиканского уровня наш юный спортсмен Максим Коровкин. Закономерен и успех его на олимпиаде по учебному предмету «Физическая культура и здоровье» – домой вернулся с Дипломом II степени. Учится он в 10 классе СШ №2 г. Круглое. Учитель – Андрей Семенов.

Стоит также отметить достойное участие в республиканской олимпиаде среди школьников и двух воспитанников СШ №1 Павла Кудревича (английский язык) и Андрея Браусова (обществоведение), остановившиеся в шаге от призовых мест. Спасибо говорим и их учителям Надежде Михайловой и Наталье Самолазовой.

Без всякого преувеличения, кругляне достойно поддержали в столь престижных соревнованиях в республике команду Могилевской области. В прошлом году у нас было три диплома.

krugloe.by

 

 

Официальный сайт МБОУ СОШ №1

Основные сведения
                               

Решаем вместе

                   

        Есть предложения по организации учебного процесса или знаете, как сделать школу лучше?      

             

                    Написать о проблеме                  

           

Опрос в рамках независимой оценки качества условий образовательной деятельности (НОК)


Пройти опрос Вы можете по данной ссылке

Информацию о результатах независимой оценки качества условий осуществления образовательной деятельности образовательными организациями Городецкого муниципального района в 2021 году Вы можете посмотреть по данной ссылке


Горячая линия по вопросам дистанционного обучения
Управление образования и молодежной политики администрации Городецкого муниципального района Нижегородской области

тел. 8(83161) 9-14-92, 8987-393-84-56 в рабочие дни с 8.00 до 16.30
E-mail: [email protected]
Муниципальное бюджетное общеобразовательное учреждение «Средняя школа №1 имени А.В. Ворожейкина»
тел. 8(83161) 9-36-59, 8(904)7989002 в рабочие дни с  09.00 до 15.00
E-mail: [email protected]

Школа была создана в 1910 году.
Учредители школы:
Управление образования и молодежной политики администрации Городецкого муниципального района

Адрес школы:
606502 Нижегородская область, г. Городец, ул. Свердлова д. 17

Режим работы школы:
ПН-ПТ 8.00 — 18.00
СБ 8.00 — 13.30

Телефоны:
8(831-61) 9-26-66 — кабинет директора
8(831-61) 9-36-59 — администрация, секретарь и учительская

Электронная почта:
[email protected]

8 (831) 433 — 24 — 51&nbsp &nbsp-&nbsp Министерство образования Нижегородской области


8 (831-61) 9 — 25 — 80 &nbsp-&nbsp Управление образования Городецкого района
8 (831-61) 9 — 36 — 59 &nbsp-&nbsp МБОУ «СШ №1 имени А.В.Ворожейкина»

Наличие условий для обучения детей-инвалидов и лиц с ограниченными возможностями:
В МБОУ «СШ №1 имени А.В.Ворожейкина» возможность для обучения детей-инвалидов и лиц с ограниченными возможностями здоровья – имеется в неполном объёме.

keygen(1) — страница руководства Linux

ssh-keygen(1) — страница руководства Linux
SSH-KEYGEN(1) Руководство по основным командам BSD SSH-KEYGEN(1)
 

ИМЯ         топ

       ssh-keygen  — Утилита ключа аутентификации OpenSSH
 

ОБЗОР         топ

       ssh-keygen  [  -q  ] [  -a   раундов  ] [  -b   бит  ] [  -C   комментарий  ]
                [  -f   output_keyfile  ] [  -m   формат  ] [  -N   new_passphrase  ]
                [  -O   опция  ]
                [  -т дса  |  ecdsa  |  ecdsa-sk  |  ed25519  |  ed25519-ск  |  рша  ]
                [  -w   провайдер  ] [  -Z   шифр  ]
       ssh-keygen -p  [ -a   раундов ] [ -f   ключевой файл ] [ -m   формат ]
                [  -N   новая_парольная фраза  ] [  -P   старая_парольная фраза  ] [  -Z   шифр  ]
       ssh-keygen -i  [ -f   input_keyfile ] [ -m   key_format ]
       ssh-keygen -e  [ -f   input_keyfile ] [ -m   key_format ]
       ssh-keygen -y  [  -f   input_keyfile  ]
       ssh-keygen -c  [ -a   раундов ] [ -C   комментарий ] [ -f   ключевой файл ] [ -P ]
       ssh-keygen -l  [ -v ] [ -E   отпечаток_хэша ] [ -f   input_keyfile ]
       ssh-keygen -B  [  -f   input_keyfile  ]
       ssh-keygen-D   pkcs11 
       ssh-keygen -F   имя хоста  [ -lv ] [ -f   known_hosts_file ]
       ssh-keygen -H  [  -f   known_hosts_file  ]
       ssh-keygen -K  [  -a   раундов  ] [  -w   провайдер  ]
       ssh-keygen -R   имя хоста  [  -f   known_hosts_file  ]
       ssh-keygen -r   имя хоста  [  -g  ] [  -f   input_keyfile  ]
       ssh-keygen -M generate  [ -O   опция ]  output_file 
       ssh-keygen -M screen  [ -f   input_file ] [ -O   option ]  output_file 
       ssh-keygen -I   certificate_identity   -s   ca_key  [  -hU  ]
                [  -D   pkcs11_provider  ] [ -n   принципалы  ] [ -O   опция  ]
                [  -V   интервал_действительности  ] [  -z   серийный_номер  ]  файл ... 
       ssh-keygen -L  [  -f   input_keyfile  ]
       ssh-keygen -A  [  -a   раундов  ] [  -f   prefix_path  ]
       ssh-keygen -k -f   krl_file  [ -u ] [ -s   ca_public ] [ -z   номер_версии ]
                  файл ... 
       ssh-keygen -Q  [  -l  ]  -f   файл krl_file ... 
       ssh-keygen -Y find-principals  [ -O   опция ]  -s   файл_подписи   -f 
                  allow_signers_file 
       ssh-keygen -Y check-novalidate  [  -O   опция  ]  -n   пространство имен   -s 
                  файл_подписи 
       ssh-keygen -Y знак -f   key_file   -n   файл пространства имен... 
       ssh-keygen -Y Verify  [ -O   опция ]  -f   allow_signers_file   -I 
                  signer_identity   -n   пространство имен   -s   signal_file 
                [  -r   отзыв_файл  ]
 

ОПИСАНИЕ         верхний

       ssh-keygen  генерирует, управляет и преобразует ключи аутентификации для
     СШ(1). ssh-keygen  может создавать ключи для использования версией протокола SSH
     2.

     Тип генерируемого ключа указывается с помощью опции  -t .
     При вызове без каких-либо аргументов  ssh-keygen  сгенерирует RSA
     ключ.

       ssh-keygen  также используется для создания групп для использования в Diffie-
     Групповой обмен Хеллмана (DH-GEX). См. раздел  MODULI GENERATION .
     для деталей.

     Наконец,  ssh-keygen  можно использовать для генерации и обновления ключа.
     Списки отзыва и проверка того, были ли отозваны данные ключи.
     одним.Подробности см. в разделе  СПИСКИ ОТМЕНЫ КЛЮЧЕЙ .

     Обычно каждый пользователь, желающий использовать SSH с открытым ключом
     аутентификация запускается один раз, чтобы создать ключ аутентификации в
       ~/.ssh/id_ecdsa ,  ~/.ssh/id_ecdsa ,  ~/.ssh/id_ecdsa_sk ,
       ~/.ssh/id_ed25519  ,  ~/.ssh/id_ed25519_sk  или  ~/.ssh/id_rsa  .
     Кроме того, системный администратор может использовать это для создания
     ключи хоста, как показано в  /etc/rc  .Обычно эта программа генерирует ключ и запрашивает файл в
     в котором хранить закрытый ключ. Открытый ключ хранится в файле
     с тем же именем, но с добавлением «.pub». Программа также требует
     парольная фраза. Парольная фраза может быть пустой, чтобы указать, что нет
     парольная фраза (ключи хоста должны иметь пустую парольную фразу), или это может быть
     строка произвольной длины. Парольная фраза похожа на
     пароль, за исключением того, что это может быть фраза из набора слов,
     знаки препинания, цифры, пробелы или любые строки символов, которые вы
     хотеть.Хорошие пароли длиной 10-30 символов не являются простыми.
     предложения или иным образом легко угадываемые (в английской прозе всего 1-2
     бит энтропии на символ и предоставляет очень плохие пароли),
     и содержать смесь прописных и строчных букв, цифр и не-
     буквенно-цифровые символы. Парольную фразу можно изменить позже,
     используя опцию  -p .

     Восстановить утерянную кодовую фразу невозможно. Если парольная фраза
     утерян или забыт, необходимо сгенерировать новый ключ и
     соответствующий открытый ключ копируется на другие машины. ssh-keygen  по умолчанию будет записывать ключи в специфичный для OpenSSH
     формат. Этот формат предпочтительнее, так как он обеспечивает лучшую защиту.
     для ключей в состоянии покоя, а также позволяет хранить ключевые комментарии в пределах
     сам файл закрытого ключа. Ключевой комментарий может быть полезен, чтобы помочь
     определить ключ. Комментарий инициализируется как «[email protected]», когда
     ключ создается, но его можно изменить с помощью опции  -c .

     Еще можно на  ssh-keygen  записать ранее использованный
     Закрытые ключи формата PEM с использованием флага  -m .Это может быть использовано, когда
     создание новых ключей, а существующие ключи нового формата могут быть преобразованы
     используя эту опцию в сочетании с  -p  (изменить парольную фразу)
     флаг.

     После генерации ключа  ssh-keygen  спросит, где ключи должны быть
     быть размещены для активации.

     Варианты следующие:

       -A  Для каждого из типов ключей (rsa, dsa, ecdsa и ed25519) для
             которых ключи хоста не существуют, сгенерируйте ключи хоста с помощью
             путь к ключевому файлу по умолчанию, пустая парольная фраза, по умолчанию
             биты для типа ключа и комментарий по умолчанию.Если  -f  также
             был указан, его аргумент используется в качестве префикса для
             путь по умолчанию для результирующих файлов ключей хоста. Это
             используется  /etc/rc  для генерации новых ключей хоста.

        патронов 
             При сохранении закрытого ключа эта опция указывает номер
             KDF (функция получения ключа, в настоящее время bcrypt_pbkdf(3))
             использованные патроны. Чем выше число, тем медленнее кодовая фраза.
             проверка и повышенная устойчивость к грубой силе
             взлом пароля (в случае кражи ключей).По умолчанию
             составляет 16 раундов.

       -B  Показать дайджест bubblebabble указанного частного или общедоступного
             ключевой файл.

       -b   бит 
             Указывает количество битов в ключе для создания. Для ЮАР
             ключи, минимальный размер 1024 бита, по умолчанию 3072 бита.
             биты. Как правило, 3072 бита считаются достаточными. ДСА
             ключи должны иметь длину ровно 1024 бита, как указано в FIPS 186-2.
             Для ключей ECDSA флаг  -b  определяет длину ключа
             выбор одного из трех размеров эллиптической кривой: 256, 384
             или 521 бит.Попытка использовать битовую длину, отличную от
             эти три значения для ключей ECDSA не сработают. ЭЦДСА-СК,
             Ключи Ed25519 и Ed25519-SK имеют фиксированную длину и  -b .
             флаг будет проигнорирован.

       -C   комментарий 
             Предоставляет новый комментарий.

       -c  Запросы на изменение комментария в закрытом и открытом ключе
             файлы. Программа запросит файл, содержащий
             закрытые ключи для парольной фразы, если она есть у ключа, и
             за новый комментарий. -D   шт11 
             Загрузите открытые ключи, предоставленные общим доступом PKCS#11.
             библиотека  pkcs11  . При использовании в сочетании с  -s  этот
             Параметр указывает, что ключ ЦС находится в токене PKCS#11.
             (подробности см. в разделе СЕРТИФИКАТЫ  ).

       -E   отпечаток_хэша 
             Указывает алгоритм хеширования, используемый при отображении ключа
             отпечатки пальцев. Допустимые варианты: «md5» и «sha256».
             по умолчанию «sha256».

       -e  Эта опция будет читать файл закрытого или открытого ключа OpenSSH.
             и вывести на стандартный вывод открытый ключ в одном из форматов
             определяется опцией  -m . Формат экспорта по умолчанию
             «RFC4716». Эта опция позволяет экспортировать ключи OpenSSH для
             использование другими программами, в том числе несколькими коммерческими SSH
             реализации.

       -F   имя хоста  |  [имя хоста]: порт 
             Найдите указанное имя хоста   (с необязательным портом
             номер) в файле  known_hosts  со списком всех вхождений
             найденный.Эта опция полезна для поиска хешированных имен хостов или
             адресов, а также может использоваться вместе с -H 
             возможность печатать найденные ключи в хешированном формате.

       -f   имя файла 
             Указывает имя файла ключа.

       -g  Использовать общий формат DNS при печати ресурса отпечатка пальца
             записи с помощью команды  -r .

       -H  Хэш файла  known_hosts .Это заменяет все имена хостов и
             адреса с хешированными представлениями в пределах указанного
             файл; исходное содержимое перемещается в файл с расширением .old
             суффикс. Эти хэши могут нормально использоваться  ssh  и  sshd  ,
             но они не раскрывают идентифицирующую информацию, если
             содержимое файла будет раскрыто. Эта опция не изменит
             существующие хешированные имена хостов и, следовательно, безопасны для использования на
             файлы, которые смешивают хешированные и нехешированные имена. -h  При подписании ключа создавайте сертификат хоста вместо
             сертификат пользователя. См. раздел СЕРТИФИКАТЫ   для
             Детали.

       -I   certificate_identity 
             Укажите идентификатор ключа при подписании открытого ключа. Пожалуйста
             подробности см. в разделе СЕРТИФИКАТЫ  .

       -i  Эта опция будет читать незашифрованные частные (или общедоступные)
             ключевой файл в формате, заданном параметром  -m , и распечатать
             закрытый (или открытый) ключ, совместимый с OpenSSH, на стандартный вывод.Эта опция позволяет импортировать ключи из другого программного обеспечения,
             включая несколько коммерческих реализаций SSH.
             формат импорта по умолчанию — «RFC4716».

       -K  Загрузите резидентные ключи от аутентификатора FIDO. Общественный
             и файлы закрытых ключей будут записаны в текущую
             каталог для каждого загруженного ключа. Если несколько FIDO
             аутентификаторы прилагаются, ключи будут скачиваться с
             первый коснулся аутентификатора. -k  Создать файл KRL. В этом режиме  ssh-keygen  будет
             создать файл KRL в месте, указанном с помощью  -f 
             флаг, который отзывает каждый ключ или сертификат, представленный на
             командная строка. Ключи/сертификаты, подлежащие отзыву, могут быть
             определяется файлом открытого ключа или с использованием описанного формата
             в разделе  КЛЮЧЕВЫЕ СПИСКИ ОТМЕНЫ .

       -L  Распечатывает содержимое одного или нескольких сертификатов. -l  Показать отпечаток указанного файла открытого ключа. Для ЮАР и
             Ключи DSA  ssh-keygen  пытается найти соответствующий открытый ключ
             файл и печатает свой отпечаток. В сочетании с  -v  ,
             визуальное представление ключа в формате ASCII поставляется с
             отпечаток пальца.

       -M генерировать 
             Генерация кандидата Diffie-Hellman Group Exchange (DH-GEX)
             параметры для последующего использования
             методы обмена ключами «diffie-hellman-group-exchange-*».Числа, сгенерированные этой операцией, должны быть далее
             экранируется перед использованием. См. раздел  MODULI GENERATION  для
             Дополнительная информация.

       -М экран 
             Экранные параметры-кандидаты для группы Диффи-Хеллмана
             Обмен. Это примет список номеров-кандидатов и
             проверить, что они являются безопасными (Софи Жермен) простыми числами с
             приемлемые групповые генераторы. Результаты этой операции
             можно добавить в файл  /etc/moduli .См.  MODULI 
               GENERATION  раздел для получения дополнительной информации.

       -m   key_format 
             Укажите формат ключа для генерации ключа,  -i  (импорт),
               -e  (экспорт) параметры преобразования и изменение  -p 
             операция с парольной фразой. Последний может быть использован для преобразования
             между закрытым ключом OpenSSH и закрытым ключом PEM.
             Поддерживаемые форматы ключей: «RFC4716» (RFC 4716/SSh3
             открытый или закрытый ключ), «PKCS8» (открытый или закрытый ключ PKCS8).
             ключ) или «PEM» (открытый ключ PEM).По умолчанию OpenSSH будет
             записывать вновь сгенерированные закрытые ключи в своем собственном формате, но
             при преобразовании открытых ключей для экспорта формат по умолчанию
             это «RFC4716». Установка формата «PEM» при создании или
             обновление поддерживаемого типа закрытого ключа приведет к тому, что ключ
             храниться в устаревшем формате закрытого ключа PEM.

       -N   новая_парольная фраза 
             Предоставляет новую парольную фразу.

       -n   руководители 
             Укажите одного или нескольких принципалов (имя пользователя или хоста), которые будут
             включается в сертификат при подписании ключа.Несколько
             принципы могут быть указаны через запятую. Пожалуйста
             подробности см. в разделе СЕРТИФИКАТЫ  .

        опция 
             Укажите параметр ключ/значение. Они специфичны для
             операция, которую запросил  ssh-keygen .

             При подписании сертификатов один из вариантов, перечисленных в
               СЕРТИФИКАТЫ  раздел может быть указан здесь.

             При выполнении генерации или скрининга модулей один из
             опции, перечисленные в разделе  MODULI GENERATION , могут быть
             указано.При генерации ключа, который будет размещен на FIDO
             аутентификатор, этот флаг может использоваться для указания
             конкретные варианты. В настоящее время поддерживаются:

               приложение 
                     Переопределить строку приложения/источника FIDO по умолчанию
                     из «ssh:». Это может быть полезно при создании host
                     или резидентные ключи домена. Указанный
                     строка приложения должна начинаться с «ssh:». вызов  =  путь 
                     Указывает путь к строке вызова, которая будет
                     передается токену FIDO во время генерации ключа.
                     Строка вызова может использоваться как часть
                     внеполосный протокол для регистрации ключа (случайный
                     вызов используется по умолчанию).

               устройство  Явно указать устройство fido(4) для использования, а не
                     чем позволить промежуточному программному обеспечению токена выбрать один. не требует касания 
                     Укажите, что сгенерированный закрытый ключ не должен
                     требовать сенсорных событий (присутствия пользователя) при создании
                     подписи. Обратите внимание, что sshd(8) откажется от таких
                     подписи по умолчанию, если они не переопределены с помощью
                     опция авторизованных_ключей.

               резидент 
                     Укажите, что ключ должен храниться в FIDO.
                     самого аутентификатора.Резидентные ключи могут быть
                     поддерживается на токенах FIDO2 и обычно требует
                     чтобы PIN-код был установлен на токене до генерации.
                     Резидентные ключи могут быть загружены с токена с помощью
                     ssh-добавить (1).

               пользователь  Имя пользователя, связанное с резидентным ключом,
                     переопределение пустого имени пользователя по умолчанию. Указание
                     имя пользователя может быть полезно при создании нескольких
                     резидентные ключи для того же имени приложения. требуется проверка 
                     Укажите, что этот закрытый ключ должен требовать от пользователя
                     проверка каждой подписи. Не все ФИДО
                     токены поддерживают эту опцию. Текущий PIN-код
                     аутентификация является единственной поддерживаемой проверкой
                     метод, но другие методы могут поддерживаться в
                     будущее.

               запись-аттестация  =  путь 
                     Может использоваться во время генерации ключа для записи
                     данные аттестации, возвращенные из токенов FIDO во время
                     генерация ключей.Обратите внимание, что эта информация
                     является потенциально чувствительным. По умолчанию это
                     информация отбрасывается.

             При выполнении параметров, связанных с подписью, с помощью  -Y 
             флаг, допустимы следующие варианты:

               печать-пабключ 
                     Вывести полный открытый ключ в стандартный вывод после
                     проверка подписи.

               время проверки  =  метка времени 
                     Указывает время, используемое при проверке подписи.
                     вместо текущего времени.Время может быть
                     указывается как дата в формате ГГГГММДД или время в
                     Формат ГГГГММДДЧЧММ[СС].

             Параметр  -O  может быть указан несколько раз.

       -P   парольная фраза 
             Предоставляет (старую) парольную фразу.

       -p  Запросы на изменение парольной фразы файла закрытого ключа
             вместо создания нового закрытого ключа. Программа будет
             подскажите файл, содержащий закрытый ключ, для старого
             парольную фразу и дважды для новой парольной фразы. -Q  Проверить, были ли отозваны ключи в KRL. Если  -l 
             опция также указана, тогда содержимое KRL будет
             быть напечатаны.

       -q  Тишина  ssh-keygen  .

       -R   имя хоста  |  [имя хоста]: порт 
             Удаляет все ключи, принадлежащие указанному  имени хоста  (с
             необязательный номер порта) из файла  known_hosts . Этот вариант
             полезно для удаления хешированных хостов (см. параметр  -H  выше). -r   имя хоста 
             Распечатайте запись ресурса отпечатка пальца SSHFP с именем  hostname 
             для указанного файла открытого ключа.

       -s   ca_key 
             Сертифицировать (подписать) открытый ключ, используя указанный ключ ЦС.
             Подробности см. в разделе СЕРТИФИКАТЫ  .

             При создании KRL  -s  указывает путь к общедоступному центру сертификации.
             ключевой файл, используемый для отзыва сертификатов непосредственно по идентификатору ключа или
             серийный номер.См. раздел  КЛЮЧЕВЫЕ СПИСКИ ОТМЕНЫ  для
             Детали.

      -т ДСА  |  ecdsa  |  ecdsa-sk  |  ed25519  |  ed25519-ск  |  рша 
             Указывает тип создаваемого ключа. Возможные значения
             являются «dsa», «ecdsa», «ecdsa-sk», «ed25519», «ed25519-sk» или
             «рса».

             Этот флаг также может использоваться для указания желаемой подписи.
             тип при подписании сертификатов с использованием ключа ЦС RSA.
             доступные варианты подписи RSA: «ssh-rsa» (SHA1
             подписи, не рекомендуется), «rsa-sha2-256» и
             «rsa-sha2-512» (по умолчанию).

       -U  При использовании в сочетании с  -s  этот параметр указывает
             что ключ CA находится в ssh-agent(1). См.
               СЕРТИФИКАТЫ  раздел для получения дополнительной информации.

       -u  Обновить KRL. При указании с помощью  -k  ключи, перечисленные через
             командная строка добавляется в существующий KRL, а не
             создается новый KRL. -V   действительность_интервал 
             Укажите интервал действия при подписании сертификата. А
             интервал действия может состоять из одного времени, указывающего
             что сертификат действителен, начиная с настоящего момента и заканчивая
             это время или может состоять из двух времен, разделенных двоеточием
             для указания явного временного интервала.

             Время начала может быть указано в виде строки «всегда», чтобы
             указать, что сертификат не имеет указанного времени начала, a
             дата в формате ГГГГММДД, время в формате ГГГГММДДЧЧММ[СС],
             относительное время (к текущему времени), состоящее из минуса
             знак, за которым следует интервал в формате, описанном в
             Раздел ФОРМАТЫ ВРЕМЕНИ в sshd_config(5).Время окончания может быть указано как дата ГГГГММДД,
             ГГГГММДДЧЧММ[СС] время, относительное время, начинающееся с плюса
             символ или строку «навсегда», чтобы указать, что
             сертификат не имеет срока действия.

             Например: «+52w1d» (действительно с настоящего момента до 52 недель и одного
             день с сегодняшнего дня), «-4н:+4н» (действительно с четырех недель назад до четырех
             недели), «20100101123000:20110101123000» (действительно
             с 12:30 1 января 2010 г. до 12:30 1 января 2010 г.
             2011), «-1d:20110101» (действителен со вчерашнего дня до полуночи,
             1 января 2011 г.), «-1m:forever» (действует с 1 мин.
             назад и никогда не истекает). -v  Подробный режим. Заставляет  ssh-keygen  печатать отладку
             сообщения о его ходе. Это полезно для отладки
             генерация модулей. Несколько опций  -v  увеличивают
             многословие. Максимум 3.

       -w   провайдер 
             Указывает путь к библиотеке, которая будет использоваться при
             создание ключей, размещенных на аутентификаторе FIDO, переопределение
             по умолчанию используется внутренняя поддержка USB HID. -Y найти-принципы 
             Найдите принципалов, связанных с открытым ключом
             подпись, предоставленная с использованием флага  -s  в авторизованном
             файл подписантов, предоставленный с использованием флага  -f . Формат
             файл разрешенных подписывающих лиц задокументирован в  ALLOWED SIGNERS 
             раздел ниже. Если один или несколько совпадающих принципалов
             найдены, они возвращаются на стандартный вывод.

       -Y проверить-обновить 
             Проверяет, что подпись сгенерирована с использованием  ssh-keygen -Y sign 
             имеет допустимую структуру.Это не подтверждает, если
             подпись исходит от уполномоченного подписавшего. При тестировании
             подпись,  ssh-keygen  принимает сообщение на стандартный ввод
             и пространство имен подписи с использованием  -n  . Файл, содержащий
             соответствующая подпись также должна быть предоставлена ​​с использованием  -s 
             флаг. Об успешном тестировании подписи свидетельствует
               ssh-keygen  возвращает нулевой статус выхода.

       - Знак Y 
             Криптографически подписать файл или некоторые данные с помощью ключа SSH.При подписании  ssh-keygen  принимает на подпись ноль или более файлов
             в командной строке - если файлы не указаны, то
               ssh-keygen  будет подписывать данные, представленные на стандартном вводе.
             Подписи записываются в путь к входному файлу с
             Добавление «.sig» или стандартный вывод, если сообщение должно быть
             signed был прочитан со стандартного ввода.

             Ключ, используемый для подписи, указывается с помощью параметра  -f .
             и может относиться либо к закрытому ключу, либо к открытому ключу с
             приватная половина доступна через ssh-agent(1).Дополнительный
             пространство имен подписи, используемое для предотвращения путаницы в подписи
             в разных областях использования (например, подписание файлов или электронная почта).
             подпись) должен быть предоставлен с помощью флага  -n . Пространства имен
             произвольные строки и могут включать: «файл» для файла
             подпись, «электронная почта» для подписи электронной почты. Для нестандартного использования это
             рекомендуется использовать имена после [email protected]
             шаблон для создания однозначных пространств имен. -Y проверить 
             Запрос на проверку подписи, сгенерированный с использованием  ssh-keygen -Y 
               подпишите  как описано выше. При проверке подписи
               ssh-keygen  принимает сообщение на стандартный ввод и
             пространство имен подписи с использованием  -n  . Файл, содержащий
             соответствующая подпись также должна быть предоставлена ​​с использованием  -s 
             флаг, а также личность подписавшего с использованием  -I  и
             список разрешенных подписантов с помощью флага  -f .Формат
             файл разрешенных подписывающих лиц задокументирован в  ALLOWED SIGNERS 
             раздел ниже. Файл, содержащий отозванные ключи, может быть
             передается с использованием флага  -r . Файл отзыва может быть KRL
             или построчный список открытых ключей. Успешный
             проверка уполномоченным лицом сигнализируется
               ssh-keygen  возвращает нулевой статус выхода.

       -y  Эта опция будет читать частный файл формата OpenSSH и
             вывести открытый ключ OpenSSH на стандартный вывод. -Z   шифр 
             Указывает шифр, используемый для шифрования при записи
             Файл закрытого ключа в формате OpenSSH. Список доступных
             шифры могут быть получены с использованием «шифра ssh -Q». По умолчанию
             это «aes256-ctr».

       -z   серийный_номер 
             Указывает серийный номер, который будет встроен в сертификат
             чтобы отличить этот сертификат от других от того же
             Калифорния. Если  серийный_номер  имеет префикс «+»,
             затем серийный номер будет увеличиваться для каждого
             сертификат, подписанный в одной командной строке.По умолчанию
             серийный номер равен нулю.

             При создании KRL для указания KRL используется флаг  -z .
             номер версии.
 

MODULI GENERATION         топ

       ssh-keygen  может использоваться для создания групп для Diffie-Hellman
     Протокол группового обмена (DH-GEX). Создание этих групп является
     двухэтапный процесс: сначала генерируются простые числа-кандидаты с использованием
     быстрый, но ресурсоемкий процесс. Эти простые кандидаты
     затем проверяется на пригодность (процесс с интенсивным использованием ЦП).Генерация простых чисел выполняется с помощью опции  -M generate .
     Желаемая длина простых чисел может быть указана битами  -O 
     вариант. Например:

           # ssh-keygen -M generate -O bits=2048 moduli-2048.candidates

     По умолчанию поиск простых чисел начинается со случайной точки
     желаемый диапазон длины. Это можно переопределить с помощью  -O start .
     опция, указывающая другую начальную точку (в шестнадцатеричном формате).

     После того, как набор кандидатов был сформирован, они должны быть проверены
     на пригодность.Это может быть выполнено с помощью опции  -M экрана .
     В этом режиме  ssh-keygen  будет читать кандидатов из стандартного ввода.
     (или файл, указанный с помощью опции  -f ). Например:

           # ssh-keygen -M screen -f moduli-2048.candidates moduli-2048

     По умолчанию каждый кандидат будет подвергнут 100 примализации.
     тесты. Это можно переопределить с помощью опции  -O prime-tests .
     Значение генератора DH будет выбрано автоматически для основного
     на рассмотрении.Если нужен конкретный генератор, это может быть
     запрашивается с помощью опции  генератора  -O. Допустимые значения генератора
     это 2, 3 и 5.

     Экранированные группы DH могут быть установлены в  /etc/moduli . это
     важно, чтобы этот файл содержал модули диапазона битовых длин.

     Доступен ряд опций для генерации модулей и
     экранирование с помощью флага  -O :

       строк  =  число 
             Выйти после просмотра указанного количества строк во время
             выполнение скрининга кандидатов DH. стартовая строка  =  строка номер 
             Начать скрининг с указанного номера строки, пока
             выполнение скрининга кандидатов DH.

       контрольная точка  =  имя файла 
             Запишите последнюю обработанную строку в указанный файл, пока
             выполнение скрининга кандидатов DH. Это будет использоваться для
             пропустить строки во входном файле, которые уже были
             обрабатывается, если задание перезапущено.

       память  =  мегабайт 
             Укажите объем используемой памяти (в мегабайтах), когда
             генерация модулей-кандидатов для DH-GEX. начало  =  шестнадцатеричное значение 
             Укажите начальную точку (в шестнадцатеричном формате) при создании кандидата
             модули для DH-GEX.

       генератор  =  значение 
             Укажите желаемый генератор (в десятичном формате) при тестировании
             модули-кандидаты для DH-GEX.
 

СЕРТИФИКАТЫ         top

       ssh-keygen  поддерживает подписывание ключей для создания сертификатов,
     может использоваться для аутентификации пользователя или хоста. Сертификаты состоят
     открытого ключа, некоторую идентификационную информацию, ноль или более основных
     (пользователя или хоста) и набор опций, которые подписаны
     Ключ центра сертификации (ЦС).Затем клиенты или серверы могут
     доверять только ключу ЦС и проверять его подпись на сертификате
     вместо того, чтобы доверять многим ключам пользователя/хоста. Обратите внимание, что OpenSSH
     сертификаты имеют другой и гораздо более простой формат по сравнению с X.509.
     сертификаты, используемые в ssl(8).

       ssh-keygen  поддерживает два типа сертификатов: пользовательский и хост. Пользователь
     сертификаты аутентифицируют пользователей на серверах, тогда как хост
     сертификаты аутентифицируют узлы сервера для пользователей. Чтобы создать
     сертификат пользователя:

           $ ssh-keygen -s /path/to/ca_key -I key_id
           /путь/к/user_key.паб

     Полученный сертификат будет помещен в
       /путь/к/user_key-cert.pub  . Сертификат хоста требует  -h 
     вариант:

           $ ssh-keygen -s /path/to/ca_key -I key_id -h
           /путь/к/host_key.pub

     Сертификат хоста будет выведен на  /path/to/host_key-cert.pub  .

     Подписать с помощью ключа CA, хранящегося в токене PKCS#11, можно с помощью
     предоставление библиотеки токенов с использованием  -D  и идентификация ключа ЦС с помощью
     предоставление своей публичной половины в качестве аргумента  -s  :

           $ ssh-keygen -s ca_key.pub -D libpkcs11.so -I key_id
           user_key.pub

     Точно так же ключ ЦС может быть размещен в
     ssh-агент(1). На это указывает флаг  -U  и, опять же, CA
     ключ должен быть идентифицирован его открытой половиной.

           $ ssh-keygen -Us ca_key.pub -I key_id user_key.pub

     Во всех случаях  key_id  — это «идентификатор ключа», который регистрируется
     сервер, когда сертификат используется для аутентификации.

     Сертификаты могут быть ограничены, чтобы быть действительными для набора основных
     (пользователь/хост) имена.По умолчанию сгенерированные сертификаты действительны.
     для всех пользователей или хостов. Чтобы сгенерировать сертификат для указанного
     набор принципов:

           $ ssh-keygen -s ca_key -I key_id -n user1,user2 user_key.pub
           $ ssh-keygen -s ca_key -I key_id -h -n host.domain
           host_key.pub

     Дополнительные ограничения на действительность и использование пользовательских сертификатов
     можно указать через параметры сертификата. Вариант сертификата
     может отключать функции сеанса SSH, может быть действительным только при
     представлены с определенных исходных адресов или могут заставить использовать
     конкретная команда.Для пользовательских сертификатов допустимы следующие параметры:

       очистить  Очистить все включенные разрешения. Это полезно для очистки
             набор разрешений по умолчанию, поэтому разрешения могут быть добавлены
             индивидуально.

       критический  :  имя  [=  содержимое  ]
       расширение  :  имя  [=  содержимое  ]
             Включает критический параметр произвольного сертификата или
             расширение. Указанное имя   должно включать домен
             суффикс, т.грамм. «имя@example.com». Если  указано содержимое 
             затем он включается как содержимое расширения/опции
             кодируется как строка, в противном случае расширение/опция
             создается без содержимого (обычно с указанием флага).
             Расширения могут игнорироваться клиентом или сервером, который
             не распознает их, тогда как неизвестные критические параметры будут
             привести к отказу в выдаче сертификата.

       принудительная команда  =  команда 
             Принудительно выполняет команду   вместо любой оболочки или
             команда, указанная пользователем при использовании сертификата
             для аутентификации. без переадресации агента 
             Отключите переадресацию ssh-agent(1) (разрешено по умолчанию).

       без перенаправления портов 
             Отключите перенаправление портов (разрешено по умолчанию).

       no-pty  Отключить выделение PTY (разрешено по умолчанию).

       без пользователя-rc 
             Отключить выполнение  ~/.ssh/rc  с помощью sshd(8) (разрешено
             По умолчанию).

       нет-x11-переадресация 
             Отключите переадресацию X11 (разрешено по умолчанию). разрешение-агент-переадресация 
             Разрешает переадресацию ssh-agent(1).

       разрешение-переадресация портов 
             Разрешает переадресацию портов.

       разрешение-pty 
             Разрешает выделение PTY.

       разрешение-пользователь-rc 
             Разрешает выполнение  ~/.ssh/rc  с помощью sshd(8).

       разрешение-X11-пересылка 
             Разрешает переадресацию X11.

       не требует касания 
             Не требовать, чтобы подписи, сделанные с использованием этого ключа, включали
             демонстрация присутствия пользователя (т.грамм. имея пользователя
             коснитесь аутентификатора). Этот вариант имеет смысл только для
             алгоритмы аутентификации FIDO  ecdsa-sk  и  ed25519-sk .

       адрес-источник  =  список_адресов 
             Ограничьте исходные адреса, с которых сертификат
             считается действительным.  address_list  — это разделенный запятыми
             список из одной или нескольких пар адрес/маска сети в формате CIDR.

       требуется проверка 
             Требовать подписи, сделанные с использованием этого ключа, указывают, что
             пользователь прошел первую проверку.Этот вариант имеет смысл только для
             алгоритмы аутентификации FIDO  ecdsa-sk  и  ed25519-sk .
             В настоящее время аутентификация с помощью PIN-кода является единственным поддерживаемым
             метод проверки, но другие методы могут поддерживаться в
             будущее.

     В настоящее время для ключей хоста не действуют никакие стандартные параметры.

     Наконец, сертификаты могут быть определены со сроком действия.
       -V Параметр  позволяет указать время начала и окончания сертификата.Сертификат, представленный за пределами этого диапазона, будет
     не считать действительным. По умолчанию сертификаты действительны с
     эпохи UNIX в далекое будущее.

     Для сертификатов, которые будут использоваться для аутентификации пользователя или хоста, ЦС
     открытый ключ должен быть доверенным для sshd(8) или ssh(1). Пожалуйста, обратитесь к
     эти страницы руководства для получения подробной информации.
 

КЛЮЧЕВЫЕ СПИСКИ ОТМЕНЫ         top

       ssh-keygen  может управлять списками отзыва ключей в формате OpenSSH
     (КРЛ).Эти двоичные файлы определяют ключи или сертификаты,
     отзывается с использованием компактного формата, занимающего всего один бит на
     сертификат, если они отзываются по серийному номеру.

     KRL могут быть сгенерированы с использованием флага  -k . Эта опция читает один или
     больше файлов из командной строки и создает новый KRL.
     файлы могут содержать либо спецификацию KRL (см. ниже), либо общедоступные
     ключи, перечисленные по одному в строке. Простые открытые ключи отзываются
     перечисление их хэша или содержимого в KRL и отзыв сертификатов
     по серийному номеру или ID ключа (если серийный номер нулевой или нет
     имеется в наличии).Отзыв ключей с использованием спецификации KRL обеспечивает явный контроль
     над типами записей, используемых для отзыва ключей, и может использоваться для
     напрямую отзывать сертификаты по серийному номеру или идентификатору ключа без
     наличие полного оригинала сертификата на руках. КРЛ
     спецификация состоит из строк, содержащих один из следующих
     директивы, за которыми следует двоеточие и некоторые специфичные для директивы
     Информация.

       серийный номер  :  серийный_номер  [-  серийный_номер  ]
             Отзывает сертификат с указанным серийным номером.Серийные номера представляют собой 64-битные значения, не включая нуль и
             может быть выражен в десятичном, шестнадцатеричном или восьмеричном формате. Если два серийных
             числа указываются через дефис, затем диапазон
             серийных номеров в том числе и между каждым отзывается.
             Ключ CA должен быть указан на  ssh-keygen 
             командной строки с помощью параметра  -s .

       идентификатор  :  key_id 
             Отзывает сертификат с указанной строкой идентификатора ключа.Ключ CA должен быть указан на  ssh-keygen 
             командной строки с помощью параметра  -s .

       ключ  :  открытый_ключ 
             Отменяет указанный ключ. Если сертификат указан,
             затем он отзывается как простой открытый ключ.

       sha1  :  открытый_ключ 
             Отменяет указанный ключ, включая его хэш SHA1 в
             КРЛ.

       sha256  :  открытый_ключ 
             Отменяет указанный ключ, включая его хэш SHA256 в
             КРЛ.KRL, которые отзывают ключи по хэшу SHA256, не
             поддерживается версиями OpenSSH до 7.9.

       хэш  :  отпечаток пальца 
             Отзывает ключ, используя хэш отпечатка пальца, полученный от
             сообщение журнала аутентификации sshd(8) или  ssh-keygen -l 
             флаг. Здесь поддерживаются только отпечатки SHA256 и
             результирующие KRL не поддерживаются предыдущими версиями OpenSSH.
             до 7,9.

     KRL можно обновить с помощью флага  -u  в дополнение к  -k  .Когда это
     указана опция, ключи, перечисленные через командную строку, объединяются
     в КРЛ, добавляя к уже существующим.

     Также возможно, имея KRL, проверить, аннулирует ли он
     определенный ключ (или ключи). Флаг  -Q  будет запрашивать существующий KRL,
     тестирование каждого ключа, указанного в командной строке. Если какой-либо ключ указан
     в командной строке был отозван (или произошла ошибка), то
       ssh-keygen  завершит работу с ненулевым статусом выхода. Нулевой выход
     статус будет возвращен только в том случае, если ни один ключ не был отозван.

РАЗРЕШЕННЫЕ ПОДПИСЧИКИ         top

     При проверке подписи  ssh-keygen  использует простой список
     идентификаторы и ключи, чтобы определить, исходит ли подпись от
     авторизованный источник. Этот файл «разрешенных подписантов» использует формат
     по образцу ФОРМАТА ФАЙЛА AUTHORIZED_KEYS, описанного в
     сшд(8). Каждая строка файла содержит следующий пробел:
     разделенные поля: принципалы, параметры, тип ключа, ключ в кодировке base64.
     Пустые строки и строки, начинающиеся с «#», игнорируются как комментарии.Поле принципалов представляет собой список шаблонов (см. ШАБЛОНЫ в
     ssh_config(5)) состоящий из одного или нескольких разделенных запятыми
     Шаблоны идентификации [email protected], которые принимаются для подписи. Когда
     проверки, идентификатор, представленный с помощью опции  -I , должен соответствовать
     шаблон принципалов для того, чтобы соответствующий ключ был
     считается приемлемым для проверки.

     Параметры (если они есть) состоят из вариантов, разделенных запятыми.
     технические характеристики. Пробелы не допускаются, за исключением двойных
     цитаты.Поддерживаются следующие спецификации опций (примечание
     ключевые слова option нечувствительны к регистру):

       центр сертификации 
             Указывает, что этот ключ принят в качестве сертификата
             орган (CA) и что сертификаты, подписанные этим CA, могут
             принять к проверке.

       пространств имен  = список пространств имен
             Задает шаблон-список пространств имен, которые принимаются
             для этого ключа. Если эта опция присутствует, подпись
             пространство имен, встроенное в объект подписи и представленное на
             командная строка проверки должна соответствовать указанному списку
             прежде чем ключ будет считаться приемлемым. действительно после  = метка времени
             Указывает, что ключ действителен для использования во время или после
             указанная метка времени, которая может быть датой в формате ГГГГММДД
             или время в формате ГГГГММДДЧЧММ[СС].

       действительно до  = отметка времени
             Указывает, что ключ действителен для использования в
             указанная метка времени.

     При проверке подписей, сделанных сертификатами, ожидаемые
     имя принципала должно соответствовать обоим шаблонам принципалов в
     файл разрешенных подписантов и принципы, встроенные в сертификат
     сам.Пример файла разрешенных подписантов:

        # Разрешены комментарии в начале строки
        [email protected],[email protected] ssh-rsa AAAAX1...
        # Центр сертификации, которому доверяют все участники домена.
        *@example.com центр сертификации ssh-ed25519 AAAB4...
        # Ключ, который принимается только для подписи файлов.
        [email protected] namespaces="file" ssh-ed25519 AAA41...
 

ОКРУЖАЮЩАЯ СРЕДА         верхний

     SSH_SK_PROVIDER
             Указывает путь к библиотеке, которая будет использоваться при
             загружая любые ключи, размещенные на аутентификаторе FIDO, переопределяя
             по умолчанию используется встроенная поддержка USB HID.

ФАЙЛЫ         top

     ~/.ssh/id_dsa
     ~/.ssh/id_ecdsa
     ~/.ssh/id_ecdsa_sk
     ~/.ssh/id_ed25519
     ~/.ssh/id_ed25519_sk
     ~/.ssh/id_rsa
             Содержит DSA, ECDSA, ECDSA, размещенный на аутентификаторе,
             Ed25519, аутентификация Ed25519 или RSA, размещенная на аутентификаторе
             личность пользователя. Этот файл не должен быть доступен для чтения
             никому, кроме пользователя. Можно указать
             парольная фраза при генерации ключа; эта парольная фраза будет
             используется для шифрования частной части этого файла с использованием 128-битного
             АЕС.К этому файлу автоматически не обращается  ssh-keygen 
             но он предлагается в качестве файла по умолчанию для закрытого ключа.
             ssh(1) будет читать этот файл при попытке входа в систему.

     ~/.ssh/id_dsa.pub
     ~/.ssh/id_ecdsa.pub
     ~/.ssh/id_ecdsa_sk.pub
     ~/.ssh/id_ed25519.pub
     ~/.ssh/id_ed25519_sk.pub
     ~/.ssh/id_rsa.pub
             Содержит DSA, ECDSA, ECDSA, размещенный на аутентификаторе,
             Ed25519, Ed25519, размещенный на аутентификаторе, или открытый ключ RSA для
             аутентификация.Содержимое этого файла должно быть добавлено
             на  ~/.ssh/authorized_keys  на всех машинах, где пользователь
             хочет войти в систему, используя аутентификацию с открытым ключом. Там есть
             нет необходимости держать содержимое этого файла в секрете.

     /etc/модули
             Содержит группы Диффи-Хеллмана, используемые для DH-GEX. Файл
             формат описан в модулях(5).
 

СМ. ТАКЖЕ         вверх

     ssh(1), ssh-add(1), ssh-агент(1), модули(5), sshd(8)

       Формат файла открытого ключа Secure Shell (SSH)  , RFC 4716, 2006 г.

АВТОРЫ         топ

     OpenSSH является производным от оригинальной и бесплатной версии ssh 1.2.12.
     Тату Юлонен. Аарон Кэмпбелл, Боб Бек, Маркус Фридл, Нильс
     Provos, Theo de Raadt и Dug Song удалили много ошибок, повторно добавили
     новые функции и создали OpenSSH. Маркус Фридл предоставил
     поддержка протоколов SSH версий 1.5 и 2.0.
 

КОЛОФОН         верхний

     Эта страница является частью проекта  openssh  (Portable OpenSSH).Информацию о проекте можно найти на
     http://www.openssh.com/portable.html. Если у вас есть отчет об ошибке для
     эту страницу руководства, см. ⟨http://www.openssh.com/report.html⟩. Этот
     страница была получена из архива openssh-8.7p1.tar.gz
     с ⟨http://ftp.eu.openbsd.org/pub/OpenBSD/OpenSSH/portable/⟩ на
     2021-08-27. Если вы обнаружите какие-либо проблемы с рендерингом в этом HTML
     версия страницы, или вы считаете, что есть лучшая или более
     актуальный источник для страницы, или у вас есть исправления или
     улучшения информации в этом КОЛОФОНЕ (который является частью , а не 
     исходной страницы руководства), отправьте письмо по адресу [email protected]организация


 

Как сгенерировать безопасные SSH-ключи

SSH Login Check Scanner, Hydra, Xhydra, Ncrack, NMap и т. д. Это некоторые хакерские инструменты, которые позволяют любому сканировать сети и использовать пользователей и пароли, используя атаки грубой силы.

На самом деле, эти инструменты действительно просты в использовании, так что каждый может легче взломать ваши серверы, если они будут использовать простой логин и пароль для аутентификации пользователей, чем с аутентификацией на основе ключа, поэтому… как вы можете защитить свои удаленные ssh-соединения от грубой атаки силовые атаки?

В настоящее время самое известное решение основано на асимметричной криптографии, в которой для аутентификации используется пара открытого и закрытого ключей.

В этом посте мы объясним, как сгенерировать открытые и закрытые ключи для обеспечения безопасности и как управлять ими с помощью файла конфигурации. Наконец, мы кратко расскажем, как работает ssh-агент Linux и как с его помощью вы можете управлять своими ключами.

Асимметричная криптография

Системы шифрования низкой сложности обычно основаны на симметричной криптографии, состоящей из одного ключа (пароля) для шифрования и одного и того же пароля для дешифрования.

Как и симметричная криптография, асимметричная криптография опирается на математические задачи, не имеющие эффективного решения, такие как вычисление дискретных логарифмов.Этот тип шифрования генерирует два ключа, открытый и закрытый (секретный), поэтому, если вы не знаете закрытый ключ, очень сложно расшифровать данные, открытый ключ может быть предоставлен любому для шифрования информации и только вы сможете расшифровать эту информацию, потому что вы единственный, у кого есть секретный ключ, как показано на следующем рисунке.

Известными алгоритмами в асимметричной криптографии являются DSA, ECDSA, EdDSA и наиболее часто используемый RSA.

Для получения дополнительной информации вы можете проверить https://en.wikipedia.org/wiki/Public-key_cryptography.

ДСА

Алгоритм цифровой подписи

появился в 1991 году и основан на дискретном логарифмировании, этот метод фиксирует длину ключа до 1024 бит. В настоящее время безопасность больше не гарантируется ключом длиной 1024 бита или меньше. По этой причине OpenSSH 7.0 устарел и отключил такие ключи.

ECDSA

Алгоритм цифровой подписи на эллиптических кривых

— это усовершенствование DSA, основанное на криптографии на эллиптических кривых.

ЮАР

Ривест, Ади Шамир и Леонард Адлеман — авторы RSA, одной из первых асимметричных криптосистем, лауреатов премии Тьюринга. RSA основан на целочисленной факторизации. Это наиболее распространенный способ создания пар ключей из-за его безопасности и переносимости. Теоретически он был взломан алгоритмом Шара (основанным на методах квантовых вычислений). Но в наши дни его по-прежнему безопасно использовать, если длина его ключа составляет не менее 4096 бит.

ЭдДСА

Алгоритм цифровой подписи на основе кривой Эдвардса разработан таким образом, чтобы быть быстрее существующих схем цифровой подписи без ущерба для безопасности.Он основан на искривленных кривых Эдвардса. Этот алгоритм достаточно новый (2012 г.) и доступен пока не везде, так как был представлен в OpenSSH 6.5 в 2014 г.

Генерация ключей SSH

Прежде всего, какую цифровую подпись следует использовать: DSA, ECDSA, EdDSA или RSA ? Забудьте об использовании DSA и ECDSA, они НЕЗАЩИЩЕНЫ!

Таким образом, ваш первый вариант должен быть ED25519, так как это означает меньшее время аутентификации (время, необходимое для проверки пары открытый/закрытый ключ).Основная проблема с EdDSA заключается в том, что для него требуется как минимум OpenSSH 6.5 (ssh -V) или GnuPG 2.1 (gpg —version), и, возможно, ваша ОС не так обновлена, поэтому, если ключи ED25519 невозможны, ваш выбор должен быть RSA не менее 4096 бит.

Еще одной рекомендацией по безопасности является установка парольной фразы. Парольная фраза аналогична паролю, для которого будет предложено использовать ваш закрытый ключ. В зависимости от вашей конфигурации, это может быть каждый раз, когда вы хотите подключиться через ssh (самый безопасный способ его использования).

Вот основные команды для генерации ключей:

1

2

ssh -keygen -t ed25519

ssh -keygen -t rsa -b 4096

Но… бывает и лучше!

  • Опция -a для ssh-keygen, как сказано на справочной странице ssh-keygen, рандомизирует фразу-пароль за столько раундов, сколько вы определите, чтобы замедлить проверку пароля и предотвратить атаку грубой силы.
  • Параметр -o заставляет ssh-keygen сохранять закрытые ключи, используя новый формат OpenSSH, а не более совместимый формат PEM. Новый формат обладает повышенной устойчивостью к взлому паролей методом грубой силы, но не поддерживается версиями OpenSSH до 6.5. Если вы используете ключи Ed25519, они всегда используют новый формат закрытого ключа.

Наконец, когда мы выполним команду, нас попросят ввести имя ключа и парольную фразу. Необходимо установить парольную фразу для каждого закрытого ключа ssh.Эта парольная фраза требуется каждый раз, когда она используется или когда вы добавляете ключ к ssh-agent (гораздо менее утомительный метод, но немного менее безопасный), но это будет объяснено в следующих разделах.

Если вы хотите узнать больше о ssh-keygen, мы рекомендуем вам справочную страницу Linux или просто команду `man ssh-keygen` на вашем терминале.

Создание файла .ssh/config

Для управления нашими ключами мы можем создать файл конфигурации в $HOME/.ssh. Здесь мы в основном объявляем хостов , к которым мы хотим подключиться, и какой ключ использует каждый, но этот файл может обрабатывать более специализированные параметры.Вот пример:

1

2

3

4

5

6

7

8

9

10

#GitLab

Хост gitlab.com

   Имя хоста gitlab.com

   IdentityFile ~/.ssh/id_rsa_gitlab

 

# Raspberry Pi

Хост raspberrypi

   Имя хоста 192.168.0.168

   IdentityFile ~/.ssh/id_rsa_raspberrypi

   Число пи пользователя

Для получения дополнительной информации о параметрах конфигурации прочитайте это: https://www.ssh.com/ssh/config/.

Запуск сеанса ssh-агента

ssh-agent — это программа, которая запускается в каждой оболочке, она хранит незашифрованных ключей (она расшифровывает ключи с помощью вашей парольной фразы) и управляет ssh-соединениями.

Существует несколько вариантов запуска агента. Мы рекомендуем один из следующих:

  1. Выполнить eval $(ssh-agent) в каждой оболочке, нам нужно использовать ssh.
  2. Добавьте eval $(ssh-agent) > /dev/null в ваш файл bashrc, чтобы у нас был ssh-агент, работающий в каждой оболочке, хотя он вам не нужен.

После запуска агента нам может потребоваться добавить необходимые ключи , если нет, парольная фраза будет запрашиваться каждый раз, когда вам нужен закрытый ключ, при добавлении ключей к агенту система кэширует парольную фразу во время работы оболочки. , поэтому, если вы откроете другую оболочку, вам нужно будет снова добавить ключ и написать его парольную фразу.Способ добавления ключа к ssh-агенту с помощью следующей команды:

Эту часть также можно автоматизировать в .bashrc , но делать это не рекомендуется. Если вы это сделаете, вас попросят ввести парольные фразы в каждой открытой оболочке, хотя вы не хотите никуда подключаться.

Мы рекомендуем добавить следующие функции bash в ваш файл .bashrc для управления ssh-агентом и ключами:

1

2

3

4

5

6

7

8

9

функция ssh_agent_run(){

   eval $( ssh - агент)

   ssh -добавить -D

}

 

функция ssh_agent_add_key(){

   локальный -r key_name= "$1"

   ssh -добавить "$HOME/.ssh/$имя_ключа"

}

Полезные команды:

  • Список добавленных ключей: ssh-add -l
  • Удалить все добавленные ключи: ssh-add -D

Выводы

В этом посте вы узнали, как создавать более безопасные пары ключей ssh ​​с помощью ssh-keygen. А также, как управлять всеми своими ключами с помощью ssh-агента и конфигурационного файла ssh.

Подводя итог, можно сказать, что существует два типа пар ключей, которые считаются безопасными: EdDSA и RSA .Первый не совместим с устаревшими системами, но используйте его, когда это возможно. RSA является наиболее часто используемым типом аутентификации пары ключей, но длина ключа должна быть не менее 4096 бит из-за вычислительной мощности современных компьютеров. При генерации ключей с помощью ssh-keygen существует множество возможных вариантов, особенно -a и -o. После того, как ключи сгенерированы, вы можете организовать их в файл конфигурации. И, наконец, чтобы упростить управление ssh-агентом, мы поделились с вами некоторыми функциями bash, которые можно добавить в ваш .bashrc.

Ссылки

 

Преобразование старых закрытых ключей SSH со слабым шифрованием в новый формат PKCS8 · GitHub

Шифрование на основе пароля по умолчанию для закрытых ключей openSSH RSA (сгенерированное с помощью ssh-keygen -t rsa ) имеет неадекватную защиту от грубого форсирования из-за слабой функции получения ключа на основе пароля (PBKDF), так как оно использует вывод ключа OpenSSL с всего один раунд MD5.

TL;DR: Вместо этого сгенерируйте новые ключи с помощью ssh-keygen -t ed25519 , которые по умолчанию должны использовать более безопасный PBKDF с форматом PKCS8.Генерация ключа RSA по умолчанию использует слабый PBKDF, хранящийся в формате PEM.

Однако, если вам по-прежнему требуется RSA для работы со старыми системами Unix, сетевыми устройствами и серверами SSH других систем, которые еще не обновлены с поддержкой Ed25519, это предоставляет информацию, чтобы избежать менее безопасного значения по умолчанию сохранения закрытых ключей в устаревшем формате PEM. при генерации ключей RSA. Обратная совместимость не так уж важна, поскольку только клиенту SSH нужна достаточно современная версия SSH.

Определите, используется ли старый формат PEM

Старый формат PEM со слабым шифрованием с закрытым ключом выглядит следующим образом:

 ----- НАЧАТЬ ЗАКРЫТЫЙ КЛЮЧ RSA-----
 Тип процедуры: 4, ЗАШИФРОВАННЫЙ
 DEK-информация: DES-EDE3-CBC, 3F215EB97E7B45D4 

Примечание:

  • Шестигранная часть 3F215EB97E7B45D4 используется в качестве IV и соли для нестандартного PBKDF.
  • Только один раунд хеширования делает его очень уязвимым для атак грубой силы.
  • В приведенном выше примере старая версия 3DES не является основной проблемой. Даже если используется AES-128-CBC , у него все еще есть проблема с одним хеш-раундом.
  • Совместное использование IV в качестве SALT также является довольно незначительной проблемой по сравнению с принудительным выполнением только одного раунда хеширования.

Переопределить значение по умолчанию и использовать новый формат PKCS8

Чтобы преобразовать старые ключи в новый формат PKCS8 с помощью bcrypt, у меня сработало следующее:

 ssh-keygen -i -p -f id_rsa -o 

При создании новых ключей RSA также можно использовать -o , иначе вы по умолчанию используете менее безопасный PBKDF и устаревший формат PEM:

Проверка шифра, ключа и режима, используемых с bcrypt

Чтобы проверить, какая схема шифрования используется в новом формате PKCS8, выполните:

 openssl base64 -d < ~/.[A-Za-z0-9+/]*={0,2}$' ~/.[A-Za-z0-9+/]*={0,2}$'  выбирает только те строки, которые содержат допустимую кодировку base64, и пропускает заголовки и нижние колонтитулы файлов, такие как  ----- НАЧАТЬ ОТКРЫВАТЬ ЗАКРЫТЫЙ КЛЮЧ---- -  и  -----КОНЕЦ ОТКРЫТИЯ ЧАСТНОГО КЛЮЧА-----  . 
  

Версии OpenSSH и обратно совместимые по умолчанию с ключами RSA

Примечания к выпуску OpenSSH v8.1 (~ октябрь 2019 г.):

  • Все: поддержка PKCS8 в качестве дополнительного формата для хранения ключи на диск. Собственный формат ключа OpenSSH остается по умолчанию, но PKCS8 является превосходным форматом по сравнению с PEM, если он совместим с требуется программное обеспечение, отличное от OpenSSH, так как оно может использовать менее безопасный ключевая функция вывода, чем PEM.

Формулировка громоздкая, но в принципе 8.1+ позволяет использовать этот более безопасный формат PBKDF.

Я протестировал версию OpenSSH 7.6 (~ декабрь 2017 г.) и заметил, что она по умолчанию генерирует ключи RSA, используя старый слабый формат PEM. Однако вы можете принудительно использовать более новый формат с помощью параметра ssh-keygen -o . Согласно справочной странице для Ubuntu 18.04 LTS:

  -o Заставляет ssh-keygen сохранять закрытые ключи, используя новый OpenSSH для
         mat, а не более совместимый формат PEM.Новый формат
         обладает повышенной устойчивостью к взлому паролей методом грубой силы, но
         не поддерживается версиями OpenSSH до 6.5. Ключи Ed25519
         всегда используйте новый формат закрытого ключа.
  

Таким образом, формат PKCS8 должен работать с версиями клиента openssh >= 6.5.

Связанные

ТОО Шепард Шварц и Харрис

Что такое Shepard Schwartz & Harris LLP?

SS&H — это общественная бухгалтерская фирма среднего размера с 70 сотрудниками, расположенная у реки в Чикаго-Луп.SSH оценивается Crain's Chicago Business как одна из 25 лучших фирм в Чикаго, а также входит в число 11 лучших бухгалтерских фирм Чикаго по версии AdvisoryHQ как в 2016, так и в 2017 году. В 2020 году SSH отпраздновала свое 85-летие. лет в бизнесе!

В SS&H мы гордимся тем, что ставим наших сотрудников на первое место и прилагаем все усилия, чтобы вдохновлять на сотрудничество и вовлечение в рабочую культуру. Наши сотрудники находятся в центре успеха SS&H, и мы развиваем отношения между нашими межфункциональными командами на всех уровнях.В SS&H работает разнообразная команда руководителей с разносторонними личностями и уровнями опыта, охватывающими несколько поколений. Благодаря политике открытых дверей мы призываем наших сотрудников задавать вопросы, учиться и получать удовольствие от работы в SS&H!

Неполный рабочий день, круглогодичная налоговая стажировка Описание работы:

  • Подготовка простых деклараций по подоходному налогу с физических лиц, трастов, товариществ и корпораций типа S подготовить сложные индивидуальные, трастовые, товарищеские и S-корпоративные налоговые декларации по подоходному налогу.
    • Узнайте о Приложении K-1 хедж-фонда.
    • Узнайте о налогообложении опционов на акции/грантов.
    • Получите доступ к недвижимости и инвестиционным товариществам.
  • Предоставление налоговых исследований и ответов на налоговые уведомления.
  • Общие понятия налога на прибыль.
  • Навыки межличностного общения, устные и письменные для контакта с потенциальным клиентом
  • Как эффективно расставлять приоритеты/управлять рабочим процессом с вашим руководителем.
  • Все обучение проводится на рабочем месте.
  • Работа в нашем офисе дает бесценный опыт в области бухгалтерского учета и в профессиональной среде. Учащиеся извлекают выгоду, применяя концепции классных комнат и учебников к личному и практическому участию.

  Основные требования:

  • Быть действующим студентом колледжа или университета.
  • Первокурсники, второкурсники и младшие школьники поощряются к участию в этой программе.
  • Возможность работать 20 часов мин.р/неделю и по субботам при необходимости.
  • Возможность работать полный рабочий день во время весенних каникул
  • Умение пользоваться программами для Windows (Excel, Word и PowerPoint).
  • Способность объяснять сложные концепции нетехническим языком.
  • Высокая организованность и внимание к деталям, возможность расставлять приоритеты.
  • Возможность переключения задач в зависимости от приоритетов.
  • Возьмите на себя ответственность за поставленную задачу.

Для участия в нашей программе стажировки отправьте свое резюме и сопроводительное письмо по адресу [email protected]ком.

Январь 2021

Повышение безопасности файлов с закрытыми ключами SSH — блог Мартина Клеппманна

Твитнуть

Опубликовано Мартином Клеппманном 24 мая 2013 г.

Обновление (июль 2015 г.): этот пост в настоящее время довольно устарел, и процедура изменения вашего файлы закрытых ключей больше не рекомендуются. Лучшим решением является использование ssh-keygen -o .

Вы когда-нибудь задумывались, как эти ключевые файлы в ~/.ssh на самом деле работают ? Насколько они на самом деле безопасны?

Как и вы, вероятно, тоже, я использую ssh много раз каждый день — каждые git fetch и git push , каждое развертывание, каждый вход на сервер. И недавно я понял, что для меня ssh был просто криптографией. вуду, которым я привык пользоваться, но толком не понимал. Это позор - я хотел бы знать, как вещи работают.Итак, я отправился в небольшое путешествие открытий, и вот некоторые из вещи, которые я нашел.

Когда вы начинаете читать о «криптоматериалах», вы очень быстро погружаетесь в лавину сокращения. Я буду кратко упоминать аббревиатуры по ходу дела; они не помогают понять концепции, но они полезны, если вы хотите получить более подробную информацию в Google.

Краткий обзор: если вы когда-либо использовали аутентификацию с открытым ключом, у вас, вероятно, есть файл ~/.ssh/id_rsa . или ~/.ssh/id_dsa в вашем домашнем каталоге. Это ваш закрытый ключ RSA/DSA и ~/.ssh/id_rsa.pub или ~/.ssh/id_dsa.pub — это аналог открытого ключа. Любая машина, на которую вы хотите войти, должна имейте свой открытый ключ в ~/.ssh/authorized_keys на этом компьютере. Когда вы пытаетесь войти, ваш SSH клиент использует цифровую подпись, чтобы доказать, что у вас есть закрытый ключ; сервер проверяет, что подпись действительна и что открытый ключ авторизован для вашего имени пользователя; если все хорошо то ты предоставил доступ.

Так что же на самом деле находится внутри этого файла закрытого ключа?

Формат незашифрованного закрытого ключа

Всем рекомендуется защищать закрытый ключ парольной фразой (в противном случае любой, кто крадет файл у вас, вы можете войти во все, к чему у вас есть доступ). Если вы оставите парольную фразу пустой, ключ не зашифрован. Давайте сначала посмотрим на этот незашифрованный формат и рассмотрим защита паролем позже.

Файл закрытого ключа ssh обычно выглядит примерно так:

  -----НАЧАЛО ЗАКРЫТОГО КЛЮЧА RSA-----
MIIEogIBAAKCAQEARrCQG213utzqE5YVjTVF5exGRCkE9OuM7LCp/FOuPdoHrFUXk
y2MQcwf29J3A4i8zxpES9RdSEU6iIEsow98wIi0x1/Lnfx6jG5Y0/iQsG1NRlNCC
aydGvGaC+PwwWiwYRc7PtBgV4KOAVXMZdMB5nFRaekQ1ksdH/360KCGgljPtzTNl
09e97QBwHFIZ3ea5Eih/HireTrRSnvF+ywmwuxX4ubDr0ZeSceuF2S5WLXh3+TV0
   ... и т.д... много base64 бла-бла...
-----КОНЕЦ ЗАКРЫТОГО КЛЮЧА RSA-----
  

Закрытый ключ представляет собой структуру данных ASN.1, сериализованную в байтовая строка с использованием DER, а затем Кодировка Base64. ASN.1 примерно сопоставим с JSON (он поддерживает различные типы данных, такие как целые числа, логические значения, строки и списки/последовательности, которые могут быть вложенные в древовидную структуру). Он очень широко используется в криптографических целях, но каким-то образом вышло из моды с веб-поколением (не знаю почему, вроде вполне приличное формат).

Чтобы заглянуть внутрь, давайте сгенерируем поддельный ключ RSA без парольной фразы, используя ssh-keygen, а затем расшифровать его используя asn1parse:

  $ ssh-keygen -t rsa -N '' -f test_rsa_key
$ openssl asn1parse -in test_rsa_key
    0:d=0 hl=4 l=1189 минусы: ПОСЛЕДОВАТЕЛЬНОСТЬ
    4:d=1 hl=2 l= 1 prim: INTEGER :00
    7:d=1 hl=4 l= 257 prim: INTEGER :C36EB2429D429C7768AD9D879F98C...
  268:d=1 гл=2 л= 3 первичное число: ЦЕЛОЕ ЧИСЛО :010001
  273:d=1 hl=4 l= 257 prim: INTEGER :A27759F60AEA1F4D1D56878901E27...
  534:d=1 hl=3 l= 129 prim: INTEGER :F9D23EF31A387694F03AD0D050265...
  666:d=1 hl=3 l= 129 prim: INTEGER :C84415C26A468934F1037F99B6D14...
  798:d=1 hl=3 l= 129 prim: INTEGER :D0ACED4635B5CA5FB896F88BB9177...
  930:d=1 hl=3 l= 128 prim: INTEGER :511810DF9AFD590E11126397310A6...
 1061:d=1 hl=3 l= 129 prim: INTEGER :E3A296AE14E7CAF32F7E493FDF474...
  

Кроме того, вы можете вставить строку Base64 в отличный АСН JavaScript.1 декодер. Вы можете видеть, что структура ASN.1 довольно простой: последовательность из девяти целых чисел. Их значение определяется в RFC2313. Первое целое число — это номер версии (0), а третье число совсем маленькое (65537) — публичный показатель e . Два важных числа — это 2048-битные целые числа, которые появляются вторыми и четвертыми в последовательности: модуль RSA n и частный показатель d . Эти числа используются непосредственно в Алгоритм RSA. Остальные пять чисел можно быть производными от n и d и кэшироваться в ключевом файле только для ускорения определенных операций.

Ключи DSA похожи, a последовательность шести целых чисел:

  $ ssh-keygen -t dsa -N '' -f test_dsa_key
$ openssl asn1parse -in test_dsa_key
    0:d=0 hl=4 l= 444 минус: ПОСЛЕДОВАТЕЛЬНОСТЬ
    4:d=1 hl=2 l= 1 prim: INTEGER :00
    7:d=1 hl=3 l= 129 prim: INTEGER :E497DFBFB5610906D18BCFB4C3CCD...
  139:d=1 hl=2 l= 21 prim: INTEGER :CF2478A96A941FB440C38A86F22CF...
  162:d=1 hl=3 l= 129 prim: INTEGER :83218C0CA49BA8F11BE40EE1A7C72...
  294:d=1 hl=3 l= 128 prim: INTEGER :16953EA4012988E914B466B9C37CB...
  425:d=1 hl=2 l= 21 prim: INTEGER :89A356E8EDEB1D388258C825...
  

Ключи, защищенные паролем

Далее, чтобы усложнить жизнь злоумышленнику, которому удастся украсть ваш файл закрытого ключа, вы защитить его кодовой фразой. Как это работает на самом деле?

  $ ssh-keygen -t rsa -N 'сверхсекретная фраза-пароль' -f test_rsa_key
$ кошка test_rsa_key
-----НАЧАТЬ ЗАКРЫТЫЙ КЛЮЧ RSA-----
Тип процедуры: 4, ЗАШИФРОВАННЫЙ
DEK-информация: AES-128-CBC,D54228DB5838E32589695E83A22595C7

3+Mz0A4wqbMuyzrvBIHx1HNc2ZUZU2cPPRagDc3M+rv+XnGJ6PpThbOeMawz4Cbu
lQX/Ahbx+UadJZOFrTx8aEWyZoI0ltBh9O5+ODov+vc25Hia3jtayE51McVWwSXg
wYeg2L6U7iZBk78yg+sIKFVijxiWnpA7W2dj2B9QV0X3ILQPxbU/cRAVTd7AVrKT
    ... и т.д ...
-----КОНЕЦ ЗАКРЫТОГО КЛЮЧА RSA-----
  

Мы получили две строки заголовка, и если вы попытаетесь разобрать этот текст в формате Base64, вы обнаружите, что он больше не действительный АСН.1. Это потому, что вся структура ASN.1, которую мы видели выше, была зашифрована, и Текст в кодировке Base64 является результатом шифрования. Заголовок сообщает нам алгоритм шифрования что использовалось: AES-128 в режим ЦБК. 128-битная шестнадцатеричная строка в заголовке DEK-Info является вектор инициализации (IV) для шифра.Это довольно стандартный материал; все распространенные криптобиблиотеки могут с этим справиться.

Но как перейти от парольной фразы к ключу шифрования AES? Я не мог найти это документально где угодно, поэтому мне пришлось копаться в исходниках OpenSSL, чтобы найти его:

  1. Добавить первые 8 байт IV к парольной фразе без разделителя (служит солью).
  2. Взять хэш MD5 полученной строки (один раз).

Вот и все. Чтобы доказать это, давайте расшифруем закрытый ключ вручную (используя IV/соль из DEK-Info заголовок выше):

  $ tail -n +4 test_rsa_key | grep -v 'КОНЕЦ' | base64-D | # получить только двоичный объект
  openssl aes-128-cbc -d -iv D54228DB5838E32589695E83A22595C7 -K $(
    ruby -rdigest/md5 -e 'помещает Digest::MD5.hexdigest(["суперсекретная парольная фраза",0xD5,0x42,0x28,0xDB,0x58,0x38,0xE3,0x25].pack("a*cccccccc"))'
  ) |
  openssl asn1parse -информировать DER
  

… который выводит последовательность целых чисел из ключа RSA в открытом виде. Конечно, если ты хочешь для осмотра ключа, сделать это гораздо проще:

  $ openssl rsa -text -in test_rsa_key -passin 'pass:super secret password'
  

, но я хотел продемонстрировать, как именно ключ AES получается из пароля.Это важно потому что защита закрытого ключа имеет две слабости:

  • Алгоритм дайджеста жестко закодирован как MD5, что означает, что без изменения формата он невозможно перейти на другую хэш-функцию (например, SHA-1). Это может быть проблемой, если MD5 оказывается недостаточно хорошим.
  • Хэш-функция применяется только один раз — нет растяжка. Это проблема, потому что MD5 и AES оба быстро вычисляются, поэтому короткую парольную фразу довольно легко взломать грубой силой.

Если ваш закрытый SSH-ключ когда-либо попадет в чужие руки, например. потому что кто-то украл ваш ноутбук или ваш резервный жесткий диск, злоумышленник может попробовать огромное количество возможных парольных фраз, даже с умеренные вычислительные ресурсы. Если ваша парольная фраза является словарным словом, ее, вероятно, можно взломать. дело секунд.

Это были плохие новости: фраза-пароль на вашем SSH-ключе не так полезна, как вы думали. Но есть и хорошие новости: вы можете перейти на более безопасный формат закрытого ключа, и все. продолжает работать!

Улучшенная защита ключей с помощью PKCS#8

Мы хотим получить симметричный ключ шифрования из парольной фразы, и мы хотим, чтобы это вывод должен быть медленным для вычислений, поэтому злоумышленнику нужно купить больше вычислительного времени, если он хочет для перебора парольной фразы.Если вы видели использование bcrypt мем, это должно звучать очень знакомо.

Для закрытых ключей SSH есть несколько стандартов с неуклюжими именами (внимание, аббревиатура!), которые могут нам помочь:

  • PKCS #5 (RFC 2898) определяет PBKDF2 (функция получения ключа на основе пароля 2), алгоритм получения ключа шифрования из пароля путем многократного применения хэш-функции. PBES2 (схема шифрования на основе пароля 2) также определяется здесь; это просто означает использование Сгенерированный PBKDF2 ключ с симметричным шифром.
  • PKCS #8 (RFC 5208) определяет формат для хранения зашифрованных закрытые ключи, поддерживающие PBKDF2. OpenSSL прозрачно поддерживает закрытые ключи в формате PKCS#8, а OpenSSH использует OpenSSL, поэтому, если вы используете OpenSSH, это означает, что вы можете поменять местами свой традиционный SSH ключевые файлы для файлов PKCS#8, и все продолжает работать как обычно!

Я не знаю, почему ssh-keygen по-прежнему генерирует ключи в традиционном формате SSH, хотя лучше формат был доступен в течение многих лет.Совместимость с серверами не вызывает беспокойства, т.к. закрытый ключ никогда не покидает вашу машину. К счастью, достаточно легко конвертировать в PKCS#8:

  $ mv test_rsa_key test_rsa_key.old
$ openssl pkcs8 -topk8 -v2 des3 \
    -in test_rsa_key.old -passin 'pass: суперсекретная фраза-пароль' \
    -out test_rsa_key -passout 'пароль: суперсекретная фраза-пароль'
  

Если вы попытаетесь использовать этот новый файл PKCS#8 с клиентом SSH, вы обнаружите, что он работает точно так же, такой же, как файл, сгенерированный ssh-keygen .Но что внутри?

  $ кошка test_rsa_key
-----НАЧАТЬ ЗАШИФРОВАННЫЙ ЗАКРЫТЫЙ КЛЮЧ-----
MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIOu/S2/v547MCAggA
MBQGCCqGSIb3DQMHBAh5q+o4ELaHnwSCBMjA+ho9K816gN1h9MAof4stq0akPoO0
CNvXdtqLudIxBq0dNxX0AxvEW6exWxz45bUdLOjQ5miO6Bko0lFoNUrOeOo/Gq4H
dMyI7Ot1vL9UvZRqLNj51cj/7B/bmfa4msfJXeuFs8jMtDz9J19k6uuCLUGlJscP
    ... и т.д ...
-----КОНЕЦ ЗАШИФРОВАННОГО ЗАКРЫТОГО КЛЮЧА-----
  

Обратите внимание, что строки верхнего/нижнего колонтитула изменились ( BEGIN ENCRYPTED PRIVATE KEY вместо BEGIN RSA PRIVATE KEY ), а незашифрованные заголовки Proc-Type и DEK-Info исчезли.Фактически, весь ключевой файл снова имеет структуру ASN.1:

  $ openssl asn1parse -in test_rsa_key
    0:d=0 hl=4 l=1294 минус: ПОСЛЕДОВАТЕЛЬНОСТЬ
    4:d=1 hl=2 l= 64 минус: ПОСЛЕДОВАТЕЛЬНОСТЬ
    6:d=2 hl=2 l= 9 prim: ОБЪЕКТ :PBES2
   17:d=2 hl=2 l= 51 минус: ПОСЛЕДОВАТЕЛЬНОСТЬ
   19:д=3 гл=2 л= 27 минус: ПОСЛЕДОВАТЕЛЬНОСТЬ
   21:d=4 hl=2 l= 9 prim: ОБЪЕКТ :PBKDF2
   32:д=4 гл=2 л= 14 минус: ПОСЛЕДОВАТЕЛЬНОСТЬ
   34:d=5 hl=2 l= 8 prim: OCTET STRING [HEX DUMP]:3AEFD2DBFBF9E3B3
   44:d=5 hl=2 l= 2 prim: INTEGER :0800
   48:д=3 гл=2 л= 20 минус: ПОСЛЕДОВАТЕЛЬНОСТЬ
   50:d=4 hl=2 l= 8 prim: ОБЪЕКТ :des-ede3-cbc
   60:d=4 hl=2 l= 8 prim: OCTET STRING [HEX DUMP]:78ABEA3810B6879F
   70:d=1 hl=4 l=1224 prim: OCTET STRING [HEX DUMP]:C0FA1A3D2BCD7A80DD61F4C0287F8B2D...
  

Используйте декодер JavaScript ASN.1 Лапо Лукини для отображения красивого дерева ASN.1 структура:

  Последовательность (2 элемента)
|- Последовательность (2 элемента)
| |- Идентификатор объекта: 1.2.840.113549.1.5.13 // использование PBES2 из PKCS#5
| `- Последовательность (2 элемента)
| |- Последовательность (2 элемента)
| | |- Идентификатор объекта: 1.2.840.113549.1.5.12 // с использованием PBKDF2 -- ура! :)
| | `- Последовательность (2 элемента)
| | |- Строка байтов (8 байт): 3AEFD2DBFBF9E3B3 // соль
| | `- Целое число: 2048 // количество итераций
| `- Последовательность (2 элемента)
| Идентификатор объекта: 1.2.840.113549.3.7 // зашифровано с помощью Triple DES, CBC
| Строка байтов (8 байт): 78ABEA3810B6879F // вектор инициализации
`- Строка байтов (1224 байта): C0FA1A3D2BCD7A80DD61F4C0287F8B2DAB46A43E... // зашифрованный ключевой блок
  

Формат использует OID, числовые коды, присвоенные регистрирующий орган однозначно ссылаться на алгоритмы. OID в этом ключевом файле говорят нам, что схема шифрования pkcs5PBES2, ключ производной функцией является PBKDF2, и что шифрование выполняется с помощью des-ede3-cbc.Хэш при необходимости функция может быть указана явно; здесь он опущен, что означает, что он по умолчанию hMAC-SHA1.

Хорошо иметь все эти идентификаторы в файле, так как если лучшие алгоритмы изобретенных в будущем, мы можем обновить файл ключа, не изменяя формат файла-контейнера.

Вы также можете видеть, что функция получения ключа использует количество итераций, равное 2048. По сравнению с просто одна итерация в традиционном формате SSH-ключа, это хорошо — значит, намного медленнее подобрать парольную фразу.Число 2048 в настоящее время жестко запрограммировано в OpenSSL; Я надеюсь, что это будет быть настраиваемым в будущем, так как вы, вероятно, могли бы увеличить его без какого-либо заметного замедления на современный компьютер.

Вывод: лучшая защита ваших закрытых ключей SSH

Если у вас уже есть надежная парольная фраза для вашего закрытого ключа SSH, преобразование ее из традиционный формат закрытого ключа для PKCS#8 примерно сравним с добавлением двух дополнительных нажатий клавиш к ваш пароль, бесплатно. И если у вас слабая парольная фраза, вы можете взять свой закрытый ключ степень защиты от «легко сломать» до «слегка сломать».

Это так просто, вы можете сделать это прямо сейчас:

  $ mv ~/.ssh/id_rsa ~/.ssh/id_rsa.old
$ openssl pkcs8 -topk8 -v2 des3 -in ~/.ssh/id_rsa.old -out ~/.ssh/id_rsa
$ chmod 600 ~/.ssh/id_rsa
# Проверяем работоспособность сконвертированного ключа; если да, удалите старый:
$ рм ~/.ssh/id_rsa.old
  

Команда openssl pkcs8 запрашивает парольную фразу три раза: один раз, чтобы разблокировать существующий частный ключ и дважды для парольной фразы для нового ключа. Неважно, используете ли вы новый парольную фразу для преобразованного ключа или оставьте ее такой же, как у старого ключа.

Не все программы могут читать формат PKCS8, но это нормально — только ваш SSH-клиент должен быть в конце концов, может прочитать закрытый ключ. С точки зрения сервера, хранение закрытого ключа в другой формат вообще ничего не меняет.

Обновление

: Брендан Томпсон упаковал это преобразование в удобный сценарий оболочки, называемый keycrypt.

Обновление: чтобы отменить это изменение

В Mac OS X 10.9 (Mavericks) установка OpenSSH по умолчанию больше не поддерживает частный PKCS#8 Ключи почему-то.Если вы следовали приведенным выше инструкциям, возможно, вы больше не сможете войти в систему. ваши серверы. К счастью, ваш закрытый ключ из формата PKCS#8 легко преобразовать обратно в традиционный формат ключа:

  $ mv ~/.ssh/id_rsa ~/.ssh/id_rsa.pkcs8
$ openssl pkcs8 -in ~/.ssh/id_rsa.pkcs8 -out ~/.ssh/id_rsa
$ chmod 600 ~/.ssh/id_rsa
$ ssh-keygen -f ~/.ssh/id_rsa -p
  

Команда openssl расшифровывает ключ, а команда ssh-keygen повторно шифрует его с помощью традиционный формат ключа SSH.

Если вы нашли этот пост полезным, пожалуйста поддержите меня на патреоне так что я могу написать больше, как это!

Чтобы получать уведомления, когда я пишу что-то новое, Следи за мной на Твиттере или введите свой адрес электронной почты:

Я никому не передам ваш адрес, не буду присылать вам спам, а вы в любой момент сможете отписаться.

ssh-keygen(1) — openssh-client — нестабильный Debian — справочные страницы Debian

ssh-кейген — Утилита ключа аутентификации OpenSSH

SSH-кейген [] [ патронов ] [ бит ] [ -C комментарий ] [ -f output_keyfile ] [ -m формат ] [ -N новая_парольная фраза ] [ -O опция ] [ ДСА | ecdsa | ecdsa-ск | ed25519 | ed25519-ск | rsa ] [ -w провайдер ] [ -Z шифр ]

ssh-keygen [ патронов ] [ -f ключевой файл ] [ -m формат ] [ -N новая_парольная фраза ] [ -P старая_парольная фраза ] [ -Z шифр ]

ssh-keygen -i [ -f input_keyfile ] [ -m формат_ключа ]

ssh-keygen -e [ -f input_keyfile ] [ -m формат_ключа ]

ssh-keygen [ input_keyfile ]

ssh-keygen [ патронов ] [ -C комментарий ] [ -f ключевой файл ] [ -P парольная фраза ]

ssh-keygen [ ] [ -E отпечаток пальца ] [ -f input_keyfile ]

ssh-keygen [ input_keyfile ]


ssh-keygen -F имя хоста [ -lv ] [ -f известный_хост_файл ]

ssh-keygen [ известный_хост_файл ]

ssh-keygen [ патронов ] [ -w провайдер ]

ssh-keygen -R имя хоста [ -f known_hosts_file ]

ssh-keygen -r имя хоста [ ] [ input_keyfile ]

ssh-keygen -M генерировать [ -O опция ] выходной_файл

ssh-keygen Экран [ -f входной_файл ] [ -O опция ] выходной_файл

ssh-keygen -I certificate_identity -s ca_key [ -ХУ ] [ pkcs11_provider ] [ -n руководители ] [ -O опция ] [ -V допустимый_интервал ] [ -z серийный_номер ] файл ...

ssh-keygen [ input_keyfile ]

ssh-keygen [ патронов ] [ -f префикс_путь ]

ssh-keygen krl_file [ -u ] [ -s ca_public ] [ -z номер_версии ] файл ...

ssh-keygen -Q [ ] -f krl_file файл...

ssh-keygen -Y найти-главных [ -O опция ] -s файл_подписи -f allow_signers_file

ssh-keygen -Y матч-основные -I signer_identity -f allow_signers_file

ssh-keygen -Y проверка-новалидация [ -O опция ] -n пространство имен -s файл_подписи

ssh-keygen -Y знак [ -O опция ] -f ключ_файл -n пространство имен файл ...

ssh-keygen -Y проверить [ -O опция ] -f allow_signers_file -I signer_identity -n пространство имен -s файл_подписи [ -r файл_отзыва ]

ssh-keygen генерирует, управляет и конвертирует ключи аутентификации для ssh(1). ssh-keygen может создавать ключи для использования по протоколу SSH версия 2.

Тип генерируемого ключа указан с помощью опция. При вызове без аргументов ssh-keygen сгенерирует ключ RSA.

ssh-keygen также используется для создания групп для использования в групповом обмене Диффи-Хеллмана (DH-GEX). См. Раздел MODULI GENERATION для Детали.

Наконец, ssh-keygen можно использовать для создавать и обновлять списки отзыва ключей, а также проверять, были отозваны одним.См. Раздел КЛЮЧЕВЫЕ СПИСКИ ОТЗЫВА для деталей.

Обычно каждый пользователь, желающий использовать SSH с открытым ключом аутентификация запускается один раз, чтобы создать ключ аутентификации в ~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519, ~/.ssh/id_ed25519_sk или ~/.ssh/id_rsa. Кроме того, система администратор может использовать это для создания ключей хоста.

Обычно эта программа генерирует ключ и запрашивает файл в в котором хранить закрытый ключ.Открытый ключ хранится в файле с то же имя, но с добавлением «.pub». Программа также запрашивает пароль. Парольная фраза может быть пустой, чтобы указать на отсутствие парольной фразы (ключи хоста должен иметь пустую фразу-пароль), или это может быть строка произвольной длины. А фраза-пароль аналогична паролю, за исключением того, что это может быть фраза с последовательностью слов, знаков препинания, цифр, пробелов или любых строк символов, которые вы хотеть. Хорошие пароли состоят из 10-30 символов и не являются простыми предложениями. или иначе легко догадаться (в английской прозе всего 1-2 бита энтропии за символ и содержит очень плохие пароли) и содержат смесь прописные и строчные буквы, цифры и небуквенно-цифровые символы. фразу-пароль можно изменить позже с помощью -p вариант.

Невозможно восстановить утерянную парольную фразу. Если парольная фраза утерян или забыт, необходимо сгенерировать новый ключ и соответствующий публичный ключ скопирован на другие машины.

ssh-keygen по умолчанию записывает ключи в формат, специфичный для OpenSSH. Этот формат предпочтительнее, так как он предлагает лучшее защита ключей в состоянии покоя, а также возможность хранения ключевых комментариев в самом файле закрытого ключа.Ключевой комментарий может быть полезен, чтобы помочь определить ключ. Комментарий инициализируется как «[email protected]». при создании ключа, но его можно изменить с помощью -c опция .

Все еще возможно для ssh-keygen запишите ранее использовавшиеся закрытые ключи формата PEM, используя флаг. Это может быть использовано при генерации новых ключей, и существующие ключи нового формата могут быть преобразованы с помощью этой опции в в сочетании с -p (изменить парольную фразу) флаг.

После генерации ключа ssh-keygen будет спросите, куда нужно поместить ключи, чтобы их активировать.

Возможны следующие варианты:

Для каждого из типов ключей (rsa, dsa, ecdsa и ed25519), для которого хост ключей не существует, сгенерируйте ключи хоста с путем к файлу ключей по умолчанию, пустая парольная фраза, биты по умолчанию для типа ключа и комментарий по умолчанию. Если также указано -f , его аргумент равен используется в качестве префикса к пути по умолчанию для результирующих файлов ключей хоста.Это используется сценариями системного администрирования для создания нового хоста. ключи.
патронов
При сохранении закрытого ключа этот параметр указывает количество KDF (ключ функция деривации, в настоящее время раунды bcrypt_pbkdf(3)) использовал. Более высокие числа приводят к более медленной проверке парольной фразы и повышенная устойчивость к подбору паролей методом грубой силы (если ключи украденный). По умолчанию 16 раундов.
Показать дайджест bubblebabble указанного файла закрытого или открытого ключа.
бит
Указывает количество битов в создаваемом ключе. Для ключей RSA минимальный размер 1024 бита, по умолчанию 3072 бита. В общем, 3072 бит считается достаточным. Ключи DSA должны быть ровно 1024 бита, т.к. определяется FIPS 186-2. Для ключей ECDSA -b флаг определяет длину ключа, выбирая один из трех эллиптических размеры кривой: 256, 384 или 521 бит. Попытка использовать другие битовые длины чем эти три значения для ключей ECDSA не будут работать.ECDSA-SK, Ed25519 и Ключи Ed25519-SK имеют фиксированную длину и -b . флаг будет проигнорирован.
комментарий
Предоставляет новый комментарий.
Запрашивает изменение комментария в файлах закрытого и открытого ключей. программа запросит файл, содержащий закрытые ключи, для парольную фразу, если она есть в ключе, и для нового комментария.
шт11
Загрузите открытые ключи, предоставленные общей библиотекой PKCS#11. шт11 .При использовании в сочетании с -s , этот параметр указывает, что ключ ЦС находится в токен PKCS#11 (см. раздел СЕРТИФИКАТЫ для Детали).
отпечаток_хэша
Указывает алгоритм хэширования, используемый при отображении отпечатков ключей. Действительный варианты: «md5» и «sha256». По умолчанию это «sha256».
Этот параметр будет считывать файл закрытого или открытого ключа OpenSSH и печатать на stdout открытый ключ в одном из форматов, указанных вариант.Формат экспорта по умолчанию «RFC4716». Эта опция позволяет экспортировать ключи OpenSSH для использования другими программами, включая несколько коммерческих реализаций SSH.
имя хоста | [имя хоста]: порт
Поиск указанного имени хоста (с необязательным номер порта) в файле known_hosts со списком всех обнаруженные явления. Эта опция полезна для поиска хешированных имен хостов или адресов, а также может использоваться вместе с -H опция для печати найденных ключей в виде хэша формат.
имя файла
Указывает имя файла ключа.
Использовать общий формат DNS при печати записей ресурсов отпечатков пальцев с помощью команда -r .
Хэшируйте файл known_hosts. Это заменяет все имена хостов и адреса с хешированными представлениями в пределах указанного файл; исходное содержимое перемещается в файл с расширением .старый суффикс. Эти хэши могут нормально использоваться ssh и sshd , но не показывают идентификацию информацию, если содержимое файла будет раскрыто. Этот вариант не будет изменять существующие хэшированные имена хостов и, следовательно, безопасно использовать в файлах которые смешивают хешированные и нехешированные имена.
При подписании ключа создайте сертификат хоста вместо пользователя сертификат. Посмотреть СЕРТИФИКАТЫ раздел для подробностей.
-I certificate_identity
Укажите идентификатор ключа при подписании открытого ключа. См. раздел СЕРТИФИКАТЫ для Детали.
Этот параметр будет считывать незашифрованный файл закрытого (или открытого) ключа в формате, заданном параметром -m , и напечатать Закрытый (или открытый) ключ, совместимый с OpenSSH, на стандартный вывод. Эта опция позволяет импорт ключей из другого программного обеспечения, включая несколько коммерческих SSH реализации.Формат импорта по умолчанию «RFC4716».
Загрузите резидентные ключи из аутентификатора FIDO. Открытый и закрытый ключ файлы будут записаны в текущий каталог для каждого загруженного ключа. Если подключено несколько аутентификаторов FIDO, ключи будут загружены с первый коснулся аутентификатора.
Создать файл KRL. В этом режиме ssh-keygen будет создать файл KRL в месте, указанном с помощью -f флаг, который отзывает каждый ключ или сертификат представлены в командной строке.Ключи/сертификаты, подлежащие отзыву, могут быть определяется файлом открытого ключа или с использованием формата, описанного в КЛЮЧЕВЫЕ СПИСКИ ОТЗЫВА раздел.
Распечатывает содержимое одного или нескольких сертификатов.
Показать отпечаток указанного файла открытого ключа. Для ключей RSA и DSA ssh-keygen пытается найти соответствующий открытый ключ файл и печатает свой отпечаток. Если в сочетании с -v , визуальное представление ключа в формате ASCII. поставляется с отпечатком пальца.
генерировать
Генерация параметров группового обмена Диффи-Хеллмана-кандидата (DH-GEX) для возможное использование ключа «diffie-hellman-group-exchange-*» методы обмена. Числа, сгенерированные этой операцией, должны быть далее экранируется перед использованием. См. Раздел MODULI GENERATION для Дополнительная информация.
экран
Отобразить параметры-кандидаты для группового обмена Диффи-Хеллмана.Это будет принять список номеров-кандидатов и проверить их безопасность (Софи Germain) простые числа с приемлемыми образующими групп. Результаты этого операцию можно добавить в /etc/ssh/moduli файл. См. МОДУЛИ ГЕНЕРАЦИЯ для получения дополнительной информации.
key_format
Укажите формат ключа для генерации ключа, -i (импорт), -e (экспорт) варианты преобразования и -p операция смены пароля.Последнее может быть используется для преобразования между форматами закрытого ключа OpenSSH и закрытого ключа PEM. Поддерживаемые форматы ключей: «RFC4716» (RFC 4716/SSh3 открытый или закрытый ключ), «PKCS8» (открытый или закрытый ключ PKCS8). ключ) или «PEM» (открытый ключ PEM). По умолчанию OpenSSH будет записывать вновь сгенерированные приватные ключи в собственном формате, но при конвертации открытые ключи для экспорта, формат по умолчанию — «RFC4716». Установка формата «PEM» при создании или обновлении поддерживаемый тип закрытого ключа приведет к тому, что ключ будет храниться в устаревшем Формат закрытого ключа PEM.
новая_парольная фраза
Предоставляет новую парольную фразу.
руководители
Укажите одного или нескольких принципалов (имена пользователей или хостов), которые будут включены в сертификат при подписании ключа. Можно указать несколько принципалов, разделенных запятыми. См. раздел СЕРТИФИКАТЫ для Детали.
опция
Укажите параметр "ключ-значение".Они специфичны для операции, которая ssh-keygen был запрошен для выполнения.

При подписании сертификатов один из параметров, перечисленных в раздел СЕРТИФИКАТЫ может быть указано здесь.

При выполнении генерации или скрининга модулей один из опции, перечисленные в MODULI Можно указать раздел GENERATION.

При создании ключа, который будет размещен на FIDO аутентификатор, этот флаг может использоваться для указания опций, специфичных для ключа.В настоящее время поддерживаются:

приложение
Переопределить строку приложения/источника FIDO по умолчанию «сш:». Это может быть полезно при создании хоста или доменные резидентные ключи. Указанная строка приложения должна начинайте с «ssh:».
вызов = путь
Указывает путь к строке вызова, которая будет передана в FIDO токен во время генерации ключа.Строка вызова может использоваться как часть внеполосного протокола для регистрации ключей (случайный вызов используется по умолчанию).
устройство
Явно укажите устройство fido(4) для использования, а не чем позволить промежуточному программному обеспечению токена выбрать один.
без сенсорного экрана
Укажите, что сгенерированный закрытый ключ не должен требовать касания события (присутствие пользователя) при создании подписей.Обратите внимание, что sshd(8) по умолчанию откажется от таких подписей, если это не переопределено с помощью параметра author_keys.
резидент
Указать, что ключ должен храниться в аутентификаторе FIDO сам. Резидентные ключи могут поддерживаться токенами FIDO2 и обычно требуют, чтобы PIN-код был установлен на токене до генерации. Резидент ключи могут быть загружены с токена с помощью ssh-добавить (1).
пользователь
Имя пользователя, которое должно быть связано с резидентным ключом, переопределяя пустое имя пользователя по умолчанию.Указание имени пользователя может быть полезно при создании несколько резидентных ключей для одного и того же имени приложения.
требуется проверка
Укажите, что этот закрытый ключ должен требовать проверки пользователем для каждой подписи. Не все токены FIDO поддерживают эту опцию. Текущий PIN-код аутентификация является единственным поддерживаемым методом проверки, но другие методы могут быть поддержаны в будущем.
запись-аттестация = путь
Может использоваться во время генерации ключа для записи данных аттестации. возвращается из токенов FIDO во время генерации ключа.Эта информация потенциально чувствительный. По умолчанию эта информация отбрасывается.

При выполнении параметров, связанных с подписью, с помощью -Y флаг, допустимы следующие варианты:

хэшалг = алгоритм
Выбирает алгоритм хеширования, который будет использоваться для хеширования сообщения, которое будет подписал. Допустимые алгоритмы: «sha256» и «ша512». По умолчанию используется «sha512».
печатный ключ
Вывести полный открытый ключ в стандартный вывод после подписи проверка.
время проверки = отметка времени
Указывает время, используемое при проверке подписи вместо Текущее время. Время может быть указано как дата в формате ГГГГММДД. или время в формате ГГГГММДДЧЧММ[СС].

Можно указать опцию -O много раз.

парольная фраза
Предоставляет (старую) парольную фразу.
Запрашивает изменение парольной фразы файла закрытого ключа вместо создания новый закрытый ключ.Программа запросит файл, содержащий закрытый ключ, для старой парольной фразы и дважды для новой пароль.
-Q
Проверить, были ли отозваны ключи в KRL. Если -l также указана опция, тогда содержимое KRL будет напечатан.
-q
Тишина ssh-keygen .
имя хоста | [имя хоста]: порт
Удаляет все ключи, принадлежащие указанному имени хоста (с необязательным номером порта) из known_hosts файл.Эта опция полезна для удаления хешированных хостов (см. -H вариант выше).
имя хоста
Печать записи ресурса отпечатка пальца SSHFP с именем имя хоста для указанного файла открытого ключа.
ca_key
Сертифицировать (подписать) открытый ключ, используя указанный ключ ЦС. См. раздел СЕРТИФИКАТЫ.

При создании KRL -s указывает путь к файлу открытого ключа ЦС, используемому для отзыва сертификатов непосредственно по ключу ID или серийный номер.См. КЛЮЧЕВЫЕ СПИСКИ ОТЗЫВА раздел для подробностей.

ДСА | ecdsa | ecdsa-sk | эд25519 | ed25519-ск | рса
Указывает тип создаваемого ключа. Возможные значения «dsa», «ecdsa», «ecdsa-sk», «ed25519», «ed25519-sk» или «рса».

Этот флаг также может использоваться для указания желаемой подписи. тип при подписании сертификатов с использованием ключа ЦС RSA.Доступный RSA Варианты подписи: «ssh-rsa» (подписи SHA1, а не рекомендуется), «rsa-sha2-256» и «rsa-sha2-512» (по умолчанию).

При использовании в сочетании с -s этот параметр указывает, что ключ CA находится в ssh-agent(1). Видеть в разделе СЕРТИФИКАТЫ подробнее Информация.
Обновить KRL. При указании с -k перечисляются ключи через командную строку добавляются в существующий KRL, а не в новый KRL создается.
действительность_интервал
Укажите интервал действия при подписании сертификата. Срок действия интервал может состоять из единственного времени, указывающего, что сертификат действительный, начинающийся сейчас и истекающий в то время, или может состоять из двух раз разделенные двоеточием, чтобы указать явный временной интервал.

Время начала может быть указано в виде строки «всегда», чтобы указать, что сертификат не имеет указанного время начала, дата в формате ГГГГММДД, время в формате ГГГГММДДЧЧММ[СС] формат, относительное время (к текущему времени), состоящее из знака минус за которым следует интервал в формате, описанном в ФОРМАТАХ ВРЕМЕНИ раздел sshd_config(5).

Время окончания может быть указано как дата ГГГГММДД, ГГГГММДДЧЧММ[СС] время, относительное время, начинающееся со знака плюс или строка «навсегда», чтобы указать, что сертификат нет срока годности.

Например: «+52w1d» (действительно с настоящего момента до 52 недель и через один день), «-4н:+4н» (действительно с четырех недель назад до четырех недель спустя), «20100101123000:20110101123000» (действует с 12:30, с 1 января 2010 г. до 12:30 1 января 2011 г.), «-1d:20110101» (действителен со вчерашнего дня до полуночи января 1-го числа 2011 г.), «-1m:forever» (действует с минуты назад и бессрочный).

Подробный режим. Заставляет ssh-keygen печатать отладку сообщения о его ходе. Это полезно для отладки модулей поколение. Несколько опций -v увеличивают многословие. Максимум 3.
провайдер
Указывает путь к библиотеке, которая будет использоваться при создании FIDO ключи, размещенные на аутентификаторе, переопределяющие использование по умолчанию внутреннего Поддержка USB HID.
-Y найти-главных
Найти участников, связанных с открытым ключом подписи, предоставляется с использованием флага -s в авторизованном файл подписантов, предоставленный с использованием флага -f . формат файла разрешенных подписантов задокументирован в РАЗРЕШЕННЫЕ ПОДПИСЫВАЮЩИЕ ЛИЦА ниже. Если найдены один или несколько совпадающих принципалов, они возвращаются стандартный вывод.
-Y основные матчи
Найти принципала, совпадающего с именем принципала, предоставленным с помощью -I Флаг в файле авторизованных подписывающих лиц указан используя флаг -f .Если одно или несколько совпадений принципы найдены, они возвращаются на стандартный вывод.
-Y проверка-новация
Проверяет, что подпись сгенерирована с использованием ssh-keygen -Y знак имеет действительный структура. Это не подтверждает, если подпись исходит от авторизованного подписант. При проверке подписи ssh-keygen принимает сообщение на стандартный ввод и пространство имен подписи, используя .Файл, содержащий соответствующую подпись также должен быть предоставлен с использованием флага -s . Об успешном тестировании подписи свидетельствует ssh-keygen возвращает нулевой статус выхода.
-Y знак
Криптографически подписать файл или некоторые данные с помощью ключа SSH. При подписании, ssh-keygen принимает ноль или более файлов для входа командная строка - если файлы не указаны, то ssh-keygen будет подписывать данные, представленные на стандартном вход.Подписи записываются в путь к входному файлу с Добавление «.sig» или стандартный вывод, если сообщение должно быть signed был прочитан со стандартного ввода.

Ключ, используемый для подписи, указывается с помощью -f и может относиться либо к закрытому ключу, или открытый ключ с закрытой половиной, доступной через ssh-агент(1). Дополнительное пространство имен подписи, используемое чтобы предотвратить путаницу в подписи в разных областях использования (например, подпись файла по сравнению с подписью электронной почты) должны быть предоставлены через флаг.Пространства имен представляют собой произвольные строки, и может включать: «файл» для подписи файла, «email» для подписи по электронной почте. Для нестандартного использования это рекомендуется использовать имена, следующие шаблону [email protected], чтобы генерировать однозначные пространства имен.

-Y проверить
Запрос на проверку подписи, созданной с использованием ssh-кейген -Y подпишите как описано выше. При проверке подпись, ssh-keygen принимает сообщение на стандартный ввод и пространство имен подписи с использованием -n .Файл, содержащий соответствующую подпись, также должен быть предоставлен с использованием флаг -s вместе с личностью подписавшего используя -I и список разрешенных подписантов через -f флаг. Формат файла разрешенных подписантов: задокументировано в РАЗРЕШЕННОМ раздел ПОДПИСЧИКИ ниже. Файл с отозванными ключами можно передать используя флаг -r . Файл отзыва может быть KRL или построчный список открытых ключей.Успешная проверка авторизованный подписывающий сигнализируется ssh-keygen возвращает нулевой статус выхода.
Этот параметр будет считывать частный файл формата OpenSSH и печатать файл OpenSSH. открытый ключ на стандартный вывод.
шифр
Указывает шифр, используемый для шифрования при записи в формате OpenSSH. файл закрытого ключа. Список доступных шифров можно получить с помощью "ssh -Q шифр".По умолчанию используется «aes256-ctr».
серийный_номер
Указывает серийный номер, который должен быть встроен в сертификат, чтобы различать этот сертификат от других из того же центра сертификации. Если серийный_номер имеет префикс «+» символ, то серийный номер будет увеличиваться для каждого сертификата подписывается в одной командной строке. Серийный номер по умолчанию равен нулю.

При создании KRL используется флаг -z . используется для указания номера версии KRL.

ssh-keygen может использоваться для создания групп для протокола Diffie-Hellman Group Exchange (DH-GEX). Создание этих групп представляет собой двухэтапный процесс: сначала генерируются простые числа-кандидаты с использованием быстрый, но ресурсоемкий процесс. Затем эти кандидаты в простые числа проверяются для пригодности (процесс с интенсивным использованием ЦП).

Генерация простых чисел выполняется с помощью -M создать опцию . желаемая длина простых чисел может быть указана -O бит опция.За пример:

# ssh-keygen -M generate -O бит=2048 модули-2048.кандидаты

По умолчанию поиск простых чисел начинается со случайной точки в желаемый диапазон длины. Это может быть переопределено с помощью -O опция запуска , которая указывает другую начальную точку (в шестнадцатеричном формате).

После создания набора кандидатов их необходимо проверены на пригодность. Это может быть выполнено с помощью -M экран опция.В этом режим ssh-keygen будет читать кандидатов из стандартного input (или файл, указанный с помощью опции -f ). За пример:

# ssh-keygen -M экран -f модули-2048.кандидаты модули-2048

По умолчанию каждому кандидату будет присвоено 100 примуществ. тесты. Это можно переопределить с помощью -O . прайм-тесты опция. Значение генератора DH будет выбирается автоматически для рассматриваемого простого числа.Если конкретный Генератор желателен, его можно запросить с помощью генератор опция. Действительный значения генератора 2, 3 и 5.

Экранированные группы DH могут быть установлены в /etc/ssh/модули. Важно, чтобы этот файл содержит модули диапазона битовых длин.

Для генерации модулей и экранирование через флаг -O :

строк = номер
Выход после просмотра указанного количества строк при выполнении DH отбор кандидатов.
стартовая строка = номер строки
Начать проверку с указанного номера строки при выполнении кандидата DH скрининг.
контрольная точка = имя файла
Записать последнюю обработанную строку в указанный файл при выполнении DH отбор кандидатов. Это будет использоваться для пропуска строк во входном файле. которые уже были обработаны, если задание перезапущено.
память = мегабайт
Укажите объем используемой памяти (в мегабайтах) при создании модули-кандидаты для DH-GEX.
начало = шестнадцатеричное значение
Укажите начальную точку (в шестнадцатеричном формате) при создании модулей-кандидатов для DH-GEX.
генератор = значение
Укажите желаемый генератор (в десятичном формате) при тестировании модулей-кандидатов на DH-GEX.

ssh-keygen поддерживает подписание ключей к создавать сертификаты, которые могут использоваться для аутентификации пользователя или хоста. Сертификаты состоят из открытого ключа, некоторой идентификационной информации, нуля или больше основных имен (пользователей или хостов) и набор опций, которые подписаны ключ центра сертификации (ЦС).После этого клиенты или серверы могут доверять только ключ ЦС и проверять его подпись на сертификате, а не доверять много ключей пользователя/хоста. Обратите внимание, что сертификаты OpenSSH отличаются друг от друга и намного проще, отформатируйте сертификаты X.509, используемые в SSL (8).

ssh-keygen поддерживает два типа сертификаты: пользовательский и хост. Пользовательские сертификаты аутентифицируют пользователей для серверов, тогда как сертификаты хостов аутентифицируют хосты серверов для пользователей. К создать сертификат пользователя:

$ ssh-keygen -s /path/to/ca_key -I key_id /путь/к/user_key.паб

Полученный сертификат будет помещен в /путь/к/user_key-cert.pub. Сертификат хоста требуется опция -h :

$ ssh-keygen -s /path/to/ca_key -I key_id -h /path/to/host_key.pub

Сертификат хоста будет выведен на /путь/к/host_key-cert.pub.

Можно подписать с помощью ключа ЦС, хранящегося в токене PKCS#11, путем предоставление библиотеки токенов с использованием -D и идентификация ключ CA, предоставив его открытую половину в качестве аргумента :

$ ssh-keygen -s ca_key.паб -D libpkcs11.so -I key_id user_key.pub

Точно так же ключ ЦС может быть размещен в ssh-агент(1). На это указывает -U флаг и, опять же, ключ CA должен быть идентифицирован его публичная половина.

$ ssh-keygen -Us ca_key.pub -I key_id user_key.pub

Во всех случаях key_id является "ключом идентификатор», который регистрируется сервером при использовании сертификата для аутентификации.

Сертификаты могут быть действительны только для набора (пользователь/хост) имена.По умолчанию сгенерированные сертификаты действительны для всех пользователей или хостов. Чтобы сгенерировать сертификат для указанного набора руководители:

$ ssh-keygen -s ca_key -I key_id -n пользователь1, пользователь2 user_key.pub

$ ssh-keygen -s ca_key -I key_id -h -n host.domain host_key.pub

Дополнительные ограничения на действительность и использование пользователя сертификаты могут быть указаны через опции сертификата. Сертификат параметр может отключить функции сеанса SSH, может быть действителен только тогда, когда представлены с определенных исходных адресов или могут потребовать использования конкретная команда.

Для сертификатов пользователей допустимы следующие параметры:

прозрачный
Очистить все включенные разрешения. Это полезно для очистки набора по умолчанию. разрешений, поэтому разрешения могут быть добавлены индивидуально.
критический : имя [= содержимое ]
 
добавочный номер : имя [= содержимое ]
Включает критический параметр или расширение произвольного сертификата. указанное имя должно включать суффикс домена, например. «имя@example.com». Если содержит указан, то он включается как содержимое расширения/опции кодируется как строка, в противном случае расширение/опция создается без содержимое (обычно с указанием флага). Расширения могут быть проигнорированы клиент или сервер, который их не распознает, тогда как неизвестные критические options приведет к отклонению сертификата.
принудительная команда = команда
Принудительное выполнение команды вместо любой оболочки или команда, указанная пользователем, когда сертификат используется для аутентификация.
без переадресации агента
Отключить переадресацию ssh-agent(1) (разрешено по умолчанию).
без перенаправления портов
Отключить перенаправление портов (разрешено по умолчанию).
без участия
Отключить выделение PTY (разрешено по умолчанию).
без пользователя-RC
Отключить выполнение ~/.ssh/rc с помощью sshd(8) (разрешено по умолчанию).
без x11-переадресации
Отключить переадресацию X11 (разрешено по умолчанию).
разрешение-агент-экспедиция
Разрешает переадресацию ssh-agent(1).
разрешение на переадресацию портов
Разрешает переадресацию портов.
разрешительный номер
Разрешает выделение PTY.
разрешение-пользователь-RC
Разрешает выполнение ~/.ssh/rc сшд(8).
разрешение-X11-пересылка
Разрешает переадресацию X11.
без сенсорного экрана
Не требовать подписей, сделанных с помощью этого ключа, включая демонстрацию присутствие пользователя (например, когда пользователь прикасается к аутентификатору). Этот опция имеет смысл только для алгоритмов аутентификации FIDO ecdsa-sk и ed25519-sk .
адрес-источник = список_адресов
Ограничить исходные адреса, с которых рассматривается сертификат действительный. address_list представляет собой список разделенных запятыми одна или несколько пар адрес/маска сети в формате CIDR.
требуется проверка
Требовать подписи, сделанные с помощью этого ключа, указывают, что пользователь был первым проверено. Этот вариант имеет смысл только для аутентификатора FIDO. алгоритмы ecdsa-sk и ed25519-ск . В настоящее время аутентификация с помощью PIN-кода только поддерживаемый метод проверки, но другие методы могут поддерживаться в будущее.

В настоящее время стандартные параметры недействительны для ключей хоста.

Наконец, сертификаты могут быть определены со сроком действия. -V Опция позволяет указать начало сертификата и конечные времена. Сертификат, представленный за пределами этого диапазона не будет считаться действительным. По умолчанию сертификаты действительны с Эпоха UNIX в далеком будущем.

Для сертификатов, которые будут использоваться для аутентификации пользователя или хоста, Открытый ключ ЦС должен быть доверенным sshd(8) или СШ(1).Подробную информацию см. на этих страницах руководства.

ssh-keygen может управлять OpenSSH форматировать списки отзыва ключей (KRL). Эти двоичные файлы определяют ключи или сертификаты должны быть отозваны с использованием компактного формата, занимающего всего один бит на сертификат, если они отзываются по серийному номеру.

KRL могут быть сгенерированы с использованием флага -k . Эта опция считывает один или несколько файлов из командной строки и создает новый КРЛ. Файлы могут содержать либо спецификацию KRL (см. ниже), либо открытые ключи, перечисленные по одному в строке.Обычные открытые ключи отзываются путем перечисления их хэш или содержимое в KRL и отозванные сертификаты по серийному номеру или ID ключа (если серийный номер нулевой или недоступен).

Отзыв ключей с использованием спецификации KRL обеспечивает явное управление над типами записей, используемых для отзыва ключей, и может использоваться для прямого отозвать сертификаты по серийному номеру или идентификатору ключа, не имея полного оригинал сертификата на руках. Спецификация KRL состоит из строк содержащий одну из следующих директив, за которой следует двоеточие и некоторые информация, относящаяся к директиве.

серийный номер : серийный_номер [- серийный_номер ]
Отзывает сертификат с указанным серийным номером. Серийные номера 64-битные значения, не включая ноль, и могут быть выражены в десятичном, шестнадцатеричном или восьмеричный. Если два серийных номера указаны через дефис, то диапазон серийных номеров, включая и между каждым, аннулируется. Ключ ЦС должен быть указан в команде ssh-keygen строку с помощью опции -s .
идентификатор : key_id
Отзывает сертификат с указанной строкой идентификатора ключа. Ключ ЦС должен были указаны в командной строке ssh-keygen используя опцию -s .
ключ : открытый_ключ
Отменяет указанный ключ. Если сертификат указан, то он отзывается как обычный открытый ключ.
ша1 : открытый_ключ
Отменяет указанный ключ, включая его хэш SHA1 в KRL.
ша256 : открытый_ключ
Отменяет указанный ключ, включая его хэш SHA256 в KRL. KRL что ключи отзыва по хэшу SHA256 не поддерживаются версиями OpenSSH до 7.9.
хеш : отпечаток пальца
Отзывает ключ, используя хэш отпечатка пальца, полученный от сообщение журнала аутентификации sshd(8) или ssh-keygen -l флаг. Только Здесь поддерживаются отпечатки пальцев SHA256, а результирующие KRL не поддерживаются. поддерживается версиями OpenSSH до 7.9.

KRL можно обновить с помощью флага -u в дополнение к -k . Когда указан этот параметр, ключи перечисленные через командную строку, объединяются в KRL, добавляя к уже там.

Также можно, имея KRL, проверить, отменяет ли он определенный ключ (или ключи). Флаг -Q будет запрашивать существующий KRL, проверяя каждый ключ, указанный в командной строке. Если какой-либо ключ указанный в командной строке, был отозван (или произошла ошибка), то ssh-keygen завершится с ненулевым статусом выхода.А нулевой статус выхода будет возвращен только в том случае, если ни один ключ не был отозван.

При проверке подписи ssh-keygen использует простой список удостоверений и ключей для определения, приходит ли подпись из авторизованного источника. Этот файл «разрешенных подписантов» использует формат по образцу ФОРМАТА ФАЙЛА AUTHORIZED_KEYS, описанного в сшд(8). Каждая строка файла содержит следующее поля, разделенные пробелами: принципалы, параметры, тип ключа, ключ в кодировке base64. Пустые строки и строки, начинающиеся с « # » игнорируются как комментарии.

Поле принципалов представляет собой список шаблонов (см. ШАБЛОНЫ в ssh_config(5)) состоящий из одного или нескольких разделенных запятыми Шаблоны идентификации [email protected], которые принимаются для подписи. При проверке, идентификатор, представленный с помощью опции -I , должен совпадать шаблон принципалов для рассмотрения соответствующего ключа приемлемо для проверки.

Параметры (если они есть) состоят из параметров, разделенных запятыми технические характеристики. Пробелы не допускаются, за исключением двойных кавычек. поддерживаются следующие спецификации параметров (обратите внимание, что ключевые слова параметров без учета регистра):

Центр сертификации
Указывает, что этот ключ принят в качестве центра сертификации (ЦС) и что сертификаты, подписанные этим ЦС, могут быть приняты для проверки.
пространств имен = список пространств имен
Указывает шаблон-список пространств имен, которые принимаются для этого ключа. Если эта опция присутствует, пространство имен подписи встроено в подпись объект и представленный в командной строке проверки, должен соответствовать указанный список перед ключом будет считаться приемлемым.
действительно после = отметка времени
Указывает, что ключ действителен для использования в указанное время или после него. метка времени, которая может быть датой в формате ГГГГММДД или временем в Формат ГГГГММДДЧЧММ[СС].
действительно до = отметка времени
Указывает, что ключ действителен для использования до указанного метка времени.

При проверке подписей, сделанных сертификатами, ожидаемый имя принципала должно соответствовать обоим шаблонам принципалов в разрешенных подписантах. файл и принципы, встроенные в сам сертификат.

Пример файла разрешенных подписантов:

 # Разрешены комментарии в начале строки
[email protected],[email protected] ssh-rsa AAAAX1...
# Центр сертификации, которому доверяют все участники домена.
*@example.com центр сертификации ssh-ed25519 AAAB4...
# Ключ, который принимается только для подписи файлов.
[email protected] namespaces="file" ssh-ed25519 AAA41... 
SSH_SK_PROVIDER
Указывает путь к библиотеке, которая будет использоваться при загрузке любого файла FIDO. ключи, размещенные на аутентификаторе, переопределяющие использование по умолчанию встроенного Поддержка USB HID.
~/.ssh/id_dsa
 
~/.ssh/id_ecdsa
 
~/.ssh/id_ecdsa_sk
 
~/.ssh/id_ed25519
 
~/.ssh/id_ed25519_sk
 
~/.ssh/id_rsa
Содержит DSA, ECDSA, ECDSA, размещенный на аутентификаторе, Ed25519, аутентификатор, размещенный на Ed25519, или идентификатор аутентификации пользователя RSA. Этот файл не должен быть доступен для чтения никому, кроме пользователя.можно указать парольную фразу при генерации ключа; эта парольная фраза будет использоваться для шифрования частной части этого файла с использованием 128-битного AES. Этот файл не используется автоматически ssh-keygen , но это предлагается в качестве файла по умолчанию для закрытого ключа. сш(1) будет читать этот файл при попытке входа в систему.
~/.ssh/id_dsa.pub
 
~/.ssh/id_ecdsa.pub
 
~/.ssh/id_ecdsa_sk.pub
 
~/.ssh/id_ed25519.pub
 
~/.ssh/id_ed25519_sk.pub
 
~/.ssh/id_rsa.pub
Содержит DSA, ECDSA, ECDSA, размещенный на аутентификаторе, Ed25519, открытый ключ Ed25519, размещенный на аутентификаторе, или открытый ключ RSA для аутентификации. содержимое этого файла должно быть добавлено в ~/.ssh/authorized_keys на всех машинах, где пользователь хочет войти в систему, используя аутентификацию с открытым ключом.Нет необходимости держите содержимое этого файла в секрете.
/etc/ssh/модули
Содержит группы Диффи-Хеллмана, используемые для DH-GEX. Формат файла описано в модулях (5).

ssh(1), ssh-добавить(1), ssh-агент(1), модули(5), сшд(8)

Общедоступная безопасная оболочка (SSH) Формат файла ключа, RFC 4716, 2006.

OpenSSH является производным от оригинального и бесплатного ssh 1.2.12. релиз Тату Юлонен.Аарон Кэмпбелл, Боб Бек, Маркус Фридл, Нильс Provos, Theo de Raadt и Dug Song удалили много ошибок, повторно добавили новые функции и создали OpenSSH. Маркус Фридл внес свой вклад в поддержку SSH версии протокола 1.5 и 2.0.

Отказ в подключении к SSH (причины и решения)

В этом руководстве рассматривается наиболее распространенная ошибка, с которой вы, вероятно, столкнетесь при использовании SSH: отказ в подключении. Читайте дальше, чтобы подробнее рассмотреть эту проблему и различные ее решения.

Secure Shell (SSH) — один из наиболее распространенных инструментов, используемых системным администратором.Это необходимо для управления всеми вашими серверами и выполнения повседневных задач.

 

 

Служба SSH не работает

Самое простое устранение неполадок, которое вы можете сделать, это сначала убедиться, что SSH установлен в системе. Существует клиентская версия SSH (используется для удаленного взаимодействия с другими системами) и серверная версия (используется для приема входящих подключений в систему).

Чтобы убедиться, что ваш SSH-клиент установлен правильно, просто введите «ssh» в терминал.

 $ ssh 

Вы увидите вывод, подобный приведенному выше снимку экрана, если в вашей системе установлен клиент SSH.

Чтобы проверить, установлен ли в вашей системе SSH-сервер, попробуйте инициировать удаленное подключение к самой системе:

 $ ssh localhost 

соединения.

Здесь мы получаем ужасное сообщение об ошибке «отказ в соединении».Это либо означает, что пакет SSH-сервера не установлен в системе, либо это может означать, что служба в данный момент не запущена.

Попробуем проверить состояние службы SSH:

 $ systemctl status sshd 

При проверке состояния демона SSH система сообщает нам, что служба не найдена. Это означает, что нам нужно установить его.

В этом примере мы используем Ubuntu, поэтому мы собираемся использовать apt-get для установки пакета openssh-server.Возможно, вам придется использовать немного другую команду, в зависимости от того, какой дистрибутив вы используете.

 $ sudo apt-get install openssh-server 

После установки служба SSH может запуститься автоматически. Чтобы проверить, работает ли он, снова проверьте статус:

Systemctl показывает нам, что служба SSH теперь запущена (нажмите «q», чтобы выйти из этого экрана и вернуться в терминал).

Если демон SSH еще не запущен в вашей системе, вы можете запустить его с помощью:

 $ systemctl start sshd 

Забудьте сделать его открытым при запуске и решении

Запуск службы SSH каждый раз, когда вам нужно это, очевидно, немного раздражает, поэтому, если вы хотите убедиться, что ваша система открыта для автоматического приема SSH-соединений при запуске, вы можете использовать следующую команду от имени пользователя root или с помощью sudo:

 $ sudo systemctl enable ssh 

Выполнение этой команды указывает вашей системе запускать службу SSH каждый раз при загрузке компьютера.Если вам нужно вернуть этот параметр позже, просто введите ту же команду, но с «отключить» вместо «включить».

SSH-порт не открыт

Если у вас по-прежнему возникают проблемы с подключением после проверки того, что служба SSH запущена и работает, возможно, SSH-соединение блокируется еще до того, как оно сможет достичь системы, например, на вашем маршрутизаторе.

Маршрутизаторы обычно блокируют входящие SSH-соединения через порт 22. Вы можете использовать любой тестер переадресации портов, чтобы проверить, виден ли порт в Интернете.Если это не так, соединение может быть заблокировано на вашем маршрутизаторе или брандмауэре в вашей системе, о чем мы поговорим далее.

Чтобы настроить маршрутизатор для разрешения входящих соединений SSH, вам необходимо ознакомиться с инструкциями производителя относительно переадресации портов на вашей конкретной модели маршрутизатора.

Брандмауэр блокирует порт SSH

Еще одна вещь, которую нужно проверить, это брандмауэр вашей операционной системы. В Ubuntu и многих других дистрибутивах ufw (несложный брандмауэр) установлен по умолчанию, и, как правило, это один из наиболее распространенных способов быстрого выполнения команд, связанных с брандмауэром, в вашей системе.

Чтобы разрешить SSH через брандмауэр через ufw, используйте следующую команду:

 $ sudo ufw allow ssh 

Ufw — это просто внешний интерфейс для брандмауэра iptables, поэтому, если вы предпочитаете использовать команду iptables (или, может быть, вы ufw не установлен), вот команда iptables для разрешения входящих соединений SSH:

 $ sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT 

Если вы запущены firewalld и вам необходимо разрешить SSH-подключения, используйте следующую команду:

 $ firewall-cmd --zone=public --add-service=ssh 

 

SELinux блокирует SSH

Некоторые дистрибутивы, такие как Red Hat и основанные на на нем запустите SELinux (Security Enhanced Linux).SELinux должен быть автоматически настроен на прослушивание порта 22 для SSH, и вы можете проверить это с помощью следующей команды:

 $ semanage port -l | grep ssh 

На снимке экрана выше команда semanage показывает нам, что она прослушивает входящие соединения SSH на порту 22 (порт по умолчанию для SSH). Вам не нужно выполнять какие-либо дополнительные настройки, если только вы не пытаетесь изменить порт, на котором ваша система запускает службу SSH.

Если вам нужно настроить SELinux для прослушивания SSH на другом порту, вы можете использовать эту команду:

 $ semanage port -a -t ssh_port_t -p tcp 1234 

Замените «1234» на новый порт, который вы Мы настроили SSH для работы.

Обязательно перезапустите службу SSH после внесения следующих изменений:

 $ systemctl restart sshd 

 

Проблема конфликта IP-адресов

которые зависят от вашей сети), скорее всего, будут иметь проблемы с правильной работой. Это всегда полезно проверить, и это довольно просто сделать с помощью команды host.

 $ host x.x.x.x 

Команда host возвращает информацию об IP-адресе, который мы только что ей передали.Используйте имя хоста, чтобы определить, действительно ли вы пытаетесь получить доступ к нужной системе.

В Windows вы можете использовать команду ping -a в командной строке для получения аналогичного результата:

Изменение открытых ключей после переустановки

Служба SSH создает уникальный открытый ключ для каждой системы. Это делается для того, чтобы клиенты, подключающиеся к системе, могли убедиться, что они подключаются к нужному серверу.

Например, что если сервер, к которому вы обычно подключаетесь, сменил IP-адрес? Вы не хотите вводить свои данные для входа в неправильную систему, которая приняла прежний IP-адрес.

Если возникает подобная ситуация, ваш SSH-клиент должен предупредить вас об изменении открытых ключей. Путь $HOME/.ssh содержит все ключи от хостов, к которым ранее подключалась ваша система. Вы можете проверить файл known_hosts следующим образом:

 $ cat ~/.ssh/known_hosts 

В нашем файле есть только один хост, но даже это нам кажется тарабарщиной. Вместо того, чтобы редактировать этот файл самостоятельно, лучше использовать команду ssh-keygen для удаления определенного ключа хоста из файла.

 $ ssh-keygen -r x.x.x.x 

Или

 $ ssh-keygen -r example.com 

Используйте либо IP-адрес, либо имя хоста сервера. В нашем примере ключ в нашем файле находится только на локальном хосте, поэтому мы удаляем его следующим образом:

Права доступа к файлам ключей SSH

Поскольку клиент SSH читает из файла known_hosts при подключении к другой системе, текущий пользователь должны иметь соответствующие разрешения на этот файл.

Без надлежащих разрешений вы можете увидеть такую ​​ошибку:

При использовании ключей для аутентификации (вместо пароля) вы будете полностью заблокированы в системе, пока не исправите разрешения для своих файлов ключей.Выполнение этих команд должно решить проблему:

 $ chmod 700 ~/.ssh

$ chmod 644 ~/.ssh/authorized_keys

$ chmod 644 ~/.ssh/known_hosts

$ chmod 644 ~/.ssh/config

$ chmod 600 ~/.ssh/id_rsa

$ chmod 644 ~/.ssh/id_rsa.pub 

 

Вход в систему root, если он отключен, и как его включить

Из соображений безопасности Linux почти никогда не требует, чтобы вы делали что-либо от имени root по умолчанию. Когда это возможно, вы должны использовать учетную запись с меньшим количеством разрешений и подниматься до root только при необходимости.

Ну, это рекомендуется в очень и очень редких случаях, и иногда вам может понадобиться просто войти прямо в root. SSH по умолчанию настроен на запрет входа в систему с правами суперпользователя.

Если вы пытаетесь войти в систему как пользователь root и не выполнили никаких настроек, позволяющих это сделать, вы сможете войти только с помощью обычной учетной записи пользователя.

Вы можете настроить SSH-сервер, чтобы разрешить вход в систему root, отредактировав файл sshd_config. Используйте nano, vi или другой ваш любимый текстовый редактор, чтобы открыть файл здесь:

 $ sudo vi /etc/ssh/sshd_config 

Прокрутите этот файл вниз, пока не увидите PermitRootLogin.

В нашей установке Ubuntu PermitRootLogin по умолчанию имеет значение «запретить пароль». Это означает, что мы можем войти в систему как root с помощью аутентификации по ключу, но не с помощью пароля root.

В некоторых системах вы можете увидеть простое «нет», что означает, что вход в систему с правами суперпользователя с использованием любого метода аутентификации запрещен.

Чтобы разрешить пользователю root входить в систему через SSH, вы можете изменить эту строку, чтобы сказать «да». Убедитесь, что вы удалили # в начале, чтобы он больше не был закомментирован.Чтобы разрешить вход в систему root, он должен выглядеть следующим образом:

Всякий раз, когда вы вносите изменения в этот файл, вам необходимо перезапустить службу SSH, чтобы они вступили в силу:

 $ sudo systemctl restart ssh 

Предупреждение: Прежде чем редактировать файл конфигурации SSH, убедитесь, что у вас установлен очень надежный пароль root, чтобы разрешить вход root с паролем. Существуют боты, постоянно сканирующие Интернет в поисках серверов для SSH, и они будут пытаться войти в учетную запись root чаще, чем кто-либо другой.

Вот почему SSH по умолчанию настроен так, чтобы не разрешать какой-либо вход в систему root с помощью пароля. В следующем разделе мы покажем, как увидеть эти попытки подключения, и покажем реальный пример того, как постоянно выполняются атаки на наш рабочий сервер.

Задержки запросов на подключение (Flooding)

Все попытки подключения к вашему серверу хранятся в файле журнала. Просмотр этого файла журнала может быть полезен при устранении неполадок с подключением или учетными записями пользователей, но вы также можете использовать его, чтобы определить, был ли ваш сервер перегружен запросами на подключение.

Проверьте неудачные попытки входа с помощью этой команды:

 $ cat /var/log/auth.log | grep «Неверный пароль» 

Если у вас есть сервер, открытый для доступа в Интернет через порт 22, будет обычным делом по крайней мере несколько попыток подключения каждые 10 минут или около того только из-за ботов, постоянно просматривающих Интернет в поисках слабых серверов. взломать.

Вот посмотрите на файл auth.log одного из моих общедоступных серверов:

На этом снимке экрана нет ничего тревожного, поскольку попытки подключения каждый раз отстают как минимум на несколько секунд.

Чтобы защитить ваш сервер от SSH-атак методом перебора, мы рекомендуем установить CSF Firewall. По умолчанию он настроен на прекращение повторных попыток SSH с одного и того же IP-адреса. Вы можете настроить эти параметры по своему вкусу, но значения по умолчанию должны хорошо подходить для большинства систем:

 $ vi /etc/csf/csf.conf 

# [*]Включить обнаружение ошибок при входе в систему для соединений sshd

 LF_SSHD = " 5 дюймов

LF_SSHD_PERM = «1» 

LF_SSHD, установленный на «5», — это максимальное количество неудачных подключений до блокировки IP-адреса.

LF_SSHD_PERM, установленный в «1», делает эту блокировку постоянной.

Еще один популярный метод ограничения этих фиктивных попыток подключения — внести доверенные IP-адреса в белый список и заблокировать все остальные. Это работает только в том случае, если одни и те же IP-адреса всегда подключаются к вашему серверу по SSH. Чтобы добиться этого с помощью iptables, вы должны использовать следующую команду:

 $ sudo iptables -A INPUT -p tcp -s 10.1.1.1,10.1.1.2 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT 

Эта команда разрешает SSH-соединения только с 10.1.1.1 и 10.1.1.2. В этой команде вы можете указать столько IP-адресов, сколько вам нужно, или указать всю подсеть, например 10.1.1.0/24. Обратите внимание, что политика цепочки ваших входных данных должна быть настроена на удаление.

Использование ssh -vvv для отладки соединения SSH и проверки журналов

Получение простой ошибки, такой как «отказ в соединении», не так уж полезно для выяснения проблемы. Если вы хотите увидеть больше информации о том, что происходит во время попытки подключения SSH, вы можете использовать ssh -v.

 $ ssh -v имя хоста 

Или

 $ ssh -vvv имя хоста 

Добавление трех букв v в команду еще больше увеличит количество детализации.

Добавить комментарий

Ваш адрес email не будет опубликован.

*