『壹』 Linux系統中SSH命令的使用教程
ssh用於登錄遠程主機, 並且在遠程主機上執行命令,它的目的是替換rlogin和rsh,同時在不安全的網路之上,兩個互不信任的主機之間, 提供加密的, 安全的通信連接.先來看一下ssh命令的一些參數:
參數
-a
禁止轉發認證代理的連接.
-A
允許轉發認證代理的連接. 可以在配置文件中對每個主機單獨設定這個參數.
代理轉發須謹慎. 某些用戶能夠在遠程主機上繞過文件訪問許可權 (由於代理的 UNIX 域 socket), 他們可以通過轉發的連接訪問本地代理. 攻擊者不可能從代理獲得密鑰內容, 但是他們能夠操作這些密鑰, 利用載入到代理上 的身份信息通過認證.
-b bind_address
在擁有多個介面或地址別名的機器上, 指定收發介面.
-c blowfish|3des|des
選擇加密會話的密碼術. 3des 是默認演算法. 3des (triple-des) 用三支不同的密鑰做加密-解密-加密三次運算, 被認為比較可靠. blowfish 是一種快速的分組加密術(block cipher), 非常安全, 而且速度比 3des 快的多. des 僅支持 客戶端, 目的是能夠和老式的不支持 3des 的協議第一版互操作. 由於其密碼演算法上的弱點, 強烈建議避免使用.
-c cipher_spec
另外, 對於協議第二版, 這里可以指定一組用逗號隔開, 按優先順序排列的密碼術. 詳見 Ciphers
-e ch|^ch|none
設置 pty 會話的 escape 字元 (默認字元: `~' ) . escape 字元只在行首有效, escape 字元後面跟一個點 (`.' ) 表示結束連接, 跟一個 control-Z 表示掛起連接(suspend), 跟 escape 字元自己 表示輸出這個字元. 把這個字元設為 ``none 則禁止 escape 功能, 使會話完全透明.
-f
要求 在執行命令前退至後台. 它用於當 准備詢問口令或密語, 但是用戶希望它在後台進行. 該選項隱含了 -n 選項. 在遠端機器上啟動 X11 程序的推薦手法就是類似於 ssh -f host xterm 的命令.
-g
允許遠端主機連接本地轉發的埠.
-i identity_file
指定一個 RSA 或 DSA 認證所需的身份(私鑰)文件. 默認文件是協議第一版的 $HOME/.ssh/identity 以及協議第二版的 $HOME/.ssh/id_rsa 和 $HOME/.ssh/id_dsa 文件. 也可以在配置文件中對每個主機單獨指定身份文件. 可以同時使用多個 -i 選項 (也可以在配置文件中指定多個身份文件).
-I smartcard_device
指定智能卡(smartcard)設備. 參數是設備文件, 能夠用它和智能卡通信, 智能卡裡面存儲了用戶的 RSA 私鑰.
-k
禁止轉發 Kerberos 門票和 AFS 令牌. 可以在配置文件中對每個主機單獨設定這個參數.
-l login_name
指定登錄遠程主機的用戶. 可以在配置文件中對每個主機單獨設定這個參數.
-m mac_spec
另外, 對於協議第二版, 這里可以指定一組用逗號隔開, 按優先順序排列的 MAC(消息驗證碼)演算法 (message authentication code). 詳情以 MACs 為關鍵字查詢.
-n
把 stdin 重定向到 /dev/null (實際上防止從 stdin 讀取數據). 在後台運行時一定會用到這個選項. 它的常用技巧是遠程運行 X11 程序. 例如, ssh -n shadows.cs.hut.fi emacs 將會在 shadows.cs.hut.fi 上啟動 emacs, 同時自動在加密通道中轉發 X11 連接. 在後台運行. (但是如果 要求口令或密語, 這種方式就無法工作; 參見 -f 選項.)
-N
不執行遠程命令. 用於轉發埠. (僅限協議第二版)
-o option
可以在這里給出某些選項, 格式和配置文件中的格式一樣. 它用來設置那些沒有命令行開關的選項.
-p port
指定遠程主機的埠. 可以在配置文件中對每個主機單獨設定這個參數.
-q
安靜模式. 消除所有的警告和診斷信息.
-s
請求遠程系統激活一個子系統. 子系統是 SSH2 協議的一個特性, 能夠協助 其他應用程序(如 sftp)把SSH用做安全通路. 子系統通過遠程命令指定.
-t
強制分配偽終端. 可以在遠程機器上執行任何全屏幕(screen-based)程序, 所以非常有用, 例如菜單服務. 並聯的 -t 選項強制分配終端, 即使 沒有本地終端.
-T
禁止分配偽終端.
-v
冗詳模式. 使 列印關於運行情況的調試信息. 在調試連接, 認證和配置問題時非常有用. 並聯的 -v 選項能夠增加冗詳程度. 最多為三個.
-x
禁止 X11 轉發.
-X
允許 X11 轉發. 可以在配置文件中對每個主機單獨設定這個參數.
應該謹慎使用 X11 轉發. 如果用戶在遠程主機上能夠繞過文件訪問許可權 (根據用戶的X授權資料庫), 他就可以通過轉發的連接訪問本地 X11 顯示器. 攻擊者可以據此採取行動, 如監視鍵盤輸入等.
-C
要求進行數據壓縮 (包括 stdin, stdout, stderr 以及轉發 X11 和 TCP/IP 連接 的數據). 壓縮演算法和 gzip(1) 的一樣, 協議第一版中, 壓縮級別 ``level 用 CompressionLevel 選項控制. 壓縮技術在 modem 線路或其他慢速連接上很有用, 但是在高速網路上反而 可能降低速度. 可以在配置文件中對每個主機單獨設定這個參數. 另見 Compression 選項.
-F configfile
指定一個用戶級配置文件. 如果在命令行上指定了配置文件, 系統級配置文件 (/etc/ssh/ssh_config ) 將被忽略. 默認的用戶級配置文件是 $HOME/.ssh/config
-L port:host:hostport
將本地機(客戶機)的某個埠轉發到遠端指定機器的指定埠. 工作原理是這樣的, 本地機器上分配了一個 socket 偵聽 port 埠, 一旦這個埠上有了連接, 該連接就經過安全通道轉發出去, 同時遠程主機和 host 的 hostport 埠建立連接. 可以在配置文件中指定埠的轉發. 只有 root 才能轉發特權埠. IPv6 地址用另一種格式說明: port/host/hostport
-R port:host:hostport
將遠程主機(伺服器)的某個埠轉發到本地端指定機器的指定埠. 工作原理是這樣的, 遠程主機上分配了一個 socket 偵聽 port 埠, 一旦這個埠上有了連接, 該連接就經過安全通道轉向出去, 同時本地主機和 host 的 hostport 埠建立連接. 可以在配置文件中指定埠的轉發. 只有用 root 登錄遠程主機 才能轉發特權埠. IPv6 地址用另一種格式說明: port/host/hostport
-D port
指定一個本地機器 ``動態的 應用程序埠轉發. 工作原理是這樣的, 本地機器上分配了一個 socket 偵聽 port 埠, 一旦這個埠上有了連接, 該連接就經過安全通道轉發出去, 根據應用程序的協議可以判斷出遠程主機將和哪裡連接. 目前支持 SOCKS4 協議, 將充當 SOCKS4 伺服器. 只有 root 才能轉發特權埠. 可以在配置文件中指定動態埠的轉發.
-1
強制 只使用協議第一版.
-2
強制 只使用協議第二版.
-4
強制 只使用 IPv4 地址.
-6
強制 只使用 IPv6 地址.
基本用法
最簡單的 SSH 命令只需要指定用戶名和主機名參數即可. 主機名可以是 IP 地址或者域名. 命令格式如下:
$ ssh user@hostname
比如要在我的區域網內登錄一個樹莓派系統, 只需要簡單的在命令行輸入如下命令:
復制代碼代碼如下:
$ ssh [email protected]
命令中的 pi 和 10.42.0.47 分別是我的樹莓派系統的用戶名和區域網 IP 地址. 實際使用時主機名需要改成你的目標主機(區域網內或者遠程)的 IP 地址.
如果你能夠成功登陸, 那麼下面的內容對你來說就輕而易舉了.
使用其他埠
SSH 默認連接到目標主機的 22 埠上,但是由於各種原因你可能需要連接到其他埠.
$ ssh -p 10022 user@hostname
如上命令就是通過添加參數 -p 指定埠號為 10022.
遠程執行命令
有時在遠程主機執行一條命令並顯示到本地, 然後繼續本地工作是很方便的. SSH 就能滿足這個需求:
$ ssh [email protected] ls -l
比如上面這個命令就會枚舉遠程主機的主目錄內容並在本地顯示. 是不是很酷? 你可以嘗試下其他命令看看.
掛載遠程文件系統
另外一個很贊的基於 SSH 的工具叫 sshfs. sshfs 可以讓你在本地直接掛載遠程主機的文件系統.
$ sshfs -o idmap=user user@hostname:/home/user ~/Remote
比如下面這條命令:
復制代碼代碼如下:
$ sshfs -o idmap=user [email protected]:/home/pi ~/Pi
該命令就將遠程主機 pi 用戶的主目錄掛載到本地主目錄下的 Pi 文件夾.
要詳細了解可以參考 sshfs 教程.
X11 圖形界面
假如現在你想要在遠程主機運行一個圖形界面的程序, SSH 已經幫你想到了! 用前面提到的 SSH 基本命令加上參數 -X 連接到遠程主機即可開啟 X11 轉發功能. 登錄後你可能覺得沒什麼差別, 但是當你運行一個圖形界面程序後就會發現其中的不同的.
$ ssh -X [email protected]
$ pistore
如果你想在運行圖形界面程序的同時做些別的事情, 只需要簡單地在命令末尾加一個 & 符號.
復制代碼代碼如下:
$ pistore&
轉義字元
SSH 提供了多樣的轉義字元功能. 用 SSH 連接到任意一台遠程主機然後輸入 ~? 你就可以看到支持的轉義字元和功能說明列表. 以下例子展示了 ~# 和 ~C 的效果.
配置 SSH
如果你需要改變 SSH 的配置, 請用你喜好的文本編輯器打開 /etc/ssh/sshd_config 進行編輯. 比如你想改變登陸的標語, 在配置文件中找到下面這行:
#Banner none
刪除 # 字元(取消該行的注釋), 將 none 替換為包含你期望顯示內容的文件地址. 修改後該行應該類似這樣:
復制代碼代碼如下:
Banner /etc/issue
在配置文件 /etc/ssh/sshd_config 中你還可以找到埠號, 空閑超時時間等配置項. 配置項大都比較容易理解, 但是保險起見在你修改一些不是很確定的配置項時最好參考下 SSH 的幫助文檔.
構建 ssh 密鑰對
運行以下命令創建密鑰對:
$ ssh-keygen -t dsa
此命令會要求你輸入密碼(可以留空), 然後就會生成密鑰並會顯示一張該密鑰對應的隨機圖.
尋找主機密鑰
在你准備添加密鑰之前不妨先用以下命令看看是否已經添加了對應主機的密鑰了.
$ ssh-keygen -F 10.42.0.47
刪除主機密鑰
某些情況下, 比如主機地址更改或者不再使用某個密鑰, 你就可能需要刪除某個密鑰.
$ ssh-keygen -R 10.42.0.47
用以上命令就可刪除. 這比手動在 ~/.ssh/known_hosts 文件中刪除要方便很多.
總結
通過以上的內容你應該可以輕松使用 SSH 了. SSH 還有很多功能值得你去發掘, 這就要看你的想像力了。
『貳』 如何建立linux ssh信任的方法與常見問題
在Linux伺服器之間建立信任關系,是很多線上服務系統的基礎性工作,這樣能便於程序在多台伺服器之間自動傳輸數據,或者方便用戶不輸入密碼就可以在不同的主機間完成登錄或者各種操作。
網上關於建立Linux信任關系(ssh trust)的中文文章有一些,但是寫得都不太詳細,這里匯總了方方面面的資料,把多機信任關系建立方法說說清楚(文/陳運文)
一 建立信任關系的基本操作
基本場景是想從一台Server伺服器直接登錄另一台,或者將Server伺服器的數據不需密碼驗證直接拷貝至Client伺服器,以下我們簡稱Server伺服器為S(待發送的數據文件在這台伺服器上),Client服務為C,信任關系的最簡單操作方法如下:
1 在S伺服器上,進入當前用戶根目錄下的隱藏目錄 .ssh,命令如下:
cd ~/.ssh
(註:目錄名前的點好」.」表示該文件夾是一個特殊的隱藏文件夾,ls命令下默認是看不到的,通過 ls –a 命令觀察到)
2 生成S伺服器的私鑰和公鑰:
ssh-keygen -t rsa
(註:rsa是一種加密演算法的名稱,此處也可以使用dsa,關於rsa和dsa演算法的介紹可見本文後半章節)
ssh-keygen生成密鑰用於信任關系生成
-此時會顯示Generating public/private key pair. 並提示生成的公鑰私鑰文件的存放路徑和文件名,默認是放在 /home/username/.ssh/id_rsa 這樣的文件里的,通常不用改,回車就可以
然後Enter passphrase(empty for no passphrase): 通常直接回車,默認不需要口令
Enter same passphrase again: 也直接回車
然後會顯式密鑰fingerprint生成好的提示,並給出一個RSA加密協議的方框圖形。此時在.ssh目錄下ls,就可以看到生成好的私鑰文件id_rsa和公鑰文件id_rsa.pub了
以下是各種補充說明:
注1:如果此時提示 id_rsaalready exists,Overwrite(y/n) 則說明之前已經有人建好了密鑰,此時選擇n 忽略本次操作就行,可以直接用之前生成好的文件;當然選y覆蓋一下也無妨
注2:公鑰用於加密,它是向所有人公開的(pub是公開的單詞public的縮寫);私鑰用於解密,只有密文的接收者持有。
3 在Server伺服器上載入私鑰文件
仍然在.ssh目錄下,執行命令:
ssh-add id_rsa
系統如果提示:Identity added: id_rsa (id_rsa) 就表明載入成功了
下面有幾個異常情況處理:
–如果系統提示:could not open a connection to your authentication agent
則需要執行一下命令:
ssh-agent bash
然後再執行上述的ssh-add id_rsa命令
–如果系統提示id_rsa: No such file or directory
這是系統無法找到私鑰文件id_rsa,需要看看當前路徑是不是不在.ssh目錄,或者私鑰文件改了名字,例如如果建立的時候改成 aa_rsa,則這邊命令中也需要相應改一下
-如果系統提示 command not found,那肯定是你命令敲錯字元了J
-提示Agent admitted failure to sign using the key,私鑰沒有載入成功,重試ssh-add
-注意id_rsa/id_rsa.pub文件不要刪除,存放在.ssh目錄下
4 把公鑰拷貝至Client伺服器上
很簡單,例如 scp id_rsa.pub [email protected]:~
5 ssh登錄到Client伺服器上,然後在Client伺服器上,把公鑰的內容追加到authorized_keys文件末尾(這個文件也在隱藏文件夾.ssh下,沒有的話可以建立,沒有關系)
cat id_rsa.pub >> ~/.ssh/authorized_keys
以下是各種補充說明,遇到問題時可以參考:
注1:這里不推薦用文件覆蓋的方式,有些教程直接scp id_rsa.pub 到Client伺服器的authorized_keys文件,會導致之前建的其他信任關系的數據被破壞,追加到末尾是更穩妥的方式;
注2: cat 完以後,Client伺服器上剛才拷貝過來的id_rsa.pub文件就不需要了,可以刪除或移動到其它地方)
注3:ssh-keygen 命令通過-b參數可以指定生成的密鑰文件的長度,如果不指定則默認為1024,如果ssh-keygen –b 4096(最長4096),則加密程度提高,但是生成和驗證時間會增加。對一般的應用來說,默認長度已經足夠勝任了。如果是rsa加密方式,那麼最短長度為768 byte
注4:authorized_keys文件的許可權問題。如果按上述步驟建立關系後,仍然要驗證密碼,並且沒有其他報錯,那麼需要檢查一下authorized_keys文件的許可權,需要作下修改: chmod g-w authorized_keys
OK,現在試試在Server端拷貝一個文件到Client伺服器,應該無需交互直接就傳過去了。
但是此時從Client傳數據到Server伺服器,仍然是需要密碼驗證的。如果需要兩台伺服器間能直接互傳數據,則反過來按上述步驟操作一下就可以了
二 刪除伺服器間信任關系的方法
如果想取消兩台伺服器之間的信任關系,直接刪除公鑰或私鑰是沒有用的,需要在Client伺服器上,打開 ~/.ssh/ authorized_keys 文件,找到對應的伺服器的公鑰欄位並刪除
每個段落的開頭是ssh-rsa字樣,段尾是Server伺服器的帳號和ip(如下圖紅框),需要細心的找一下後刪除整段
密鑰文件內容和刪除Linux伺服器間信任關系的方法
三 各種可能遇到的情況和處理方法
–提示 port 22: Connection refused
可能的原因:沒有正確安裝最新的openssh-server,安裝方法如下
sudo apt-get install openssh-server
不支持apt安裝的,可以手工下載:
wget ftp.ssh.com/pub/ssh/ssh-3.2.9.1.tar.gz
–關於目錄和文件的許可權設置
.ssh目錄的許可權必須是700,同時本機的私鑰的許可權必須設置成600:
chmod 600 id_rsa
否則ssh伺服器會拒絕登錄
四 關於RSA和DSA加密演算法
在ssh-keygen命令中,-t參數後指定的是加密演算法,可以選擇rsa或者dsa
RSA 取名自演算法的三位提出者Ron Rivest, Adi Shamir, and Leonard Adleman的姓名首字母,作為一種非對稱加密演算法,RSA的安全性基於及其困難的大整數分解(兩個素數的乘積的還原問題)。關於RSA演算法原理的文章很多,感興趣的朋友可以找來讀一讀。
DSA = Digital Signature Algorithm,基於有限域離散對數難題,是Schnorr和ElGamal簽名演算法的變種,一般用於數字簽名和認證,被美國標准局(NIST)採納為數字簽名標准DSS(Digital Signature Standard),based on discrete logarithms computation.
DES = Digital Encryption Standard. Obsolete standard.
RSA演算法好在網路容易實現密鑰管理,便進行數字簽名,演算法復雜,加/解速度慢,採用非對稱加密。在實際用於信任關系建立中,這兩種方法的差異很微小,可以挑選其一使用。
五 關於SSH協議的介紹
SSH全稱Secure SHell,顧名思義就是非常安全的shell的意思,SSH協議是IETF(Internet Engineering Task Force)的Network Working Group所制定的一種協議。SSH的主要目的是用來取代傳統的telnet和R系列命令(rlogin,rsh,rexec等)遠程登陸和遠程執行命令的工具,實現對遠程登陸和遠程執行命令加密。防止由於網路監聽而出現的密碼泄漏,對系統構成威脅。
ssh協議目前有SSH1和SSH2,SSH2協議兼容SSH1。目前實現SSH1和SSH2協議的主要軟體有OpenSSH和SSH Communications Security Corporation公司的SSH Communications 軟體。前者是OpenBSD組織開發的一款免費的SSH軟體,後者是商業軟體,因此在linux、FreeBSD、OpenBSD、NetBSD等免費類UNIX系統種,通暢都使用OpenSSH作為SSH協議的實現軟體。因此,本文重點介紹一下OpenSSH的使用。需要注意的是OpenSSH和SSH Communications的登陸公鑰/私鑰的格式是不同的,如果想用SSH Communications產生的私鑰/公鑰對來登入到使用OpenSSH的linux系統需要對公鑰/私鑰進行格式轉換。
第一次登陸後,ssh就會把登陸的ssh指紋存放在用戶home目錄的.ssh目錄的know_hosts文件中,如果遠程系統重裝過系統,ssh指紋已經改變,你需要把 .ssh 目錄下的know_hosts中的相應指紋刪除,再登陸回答yes,方可登陸。請注意.ssh目錄是開頭是」.」的隱藏目錄,需要ls –a參數才能看到。而且這個目錄的許可權必須是700,並且用戶的home目錄也不能給其他用戶寫許可權,否則ssh伺服器會拒絕登陸。如果發生不能登陸的問題,請察看伺服器上的日誌文件/var/log/secure。通常能很快找到不能登陸的原因。
六 關於ssh_config和sshd_config文件配置的說明
/etc/ssh/ssh_config:
Host *
選項「Host」只對能夠匹配後面字串的計算機有效。「*」表示所有的計算機。
ForwardAgent no
「ForwardAgent」設置連接是否經過驗證代理(如果存在)轉發給遠程計算機。
ForwardX11 no
「ForwardX11」設置X11連接是否被自動重定向到安全的通道和顯示集(DISPLAY set)。
RhostsAuthentication no
「RhostsAuthentication」設置是否使用基於rhosts的安全驗證。
RhostsRSAAuthentication no
「RhostsRSAAuthentication」設置是否使用用RSA演算法的基於rhosts的安全驗證。
RSAAuthentication yes
「RSAAuthentication」設置是否使用RSA演算法進行安全驗證。
PasswordAuthentication yes
「PasswordAuthentication」設置是否使用口令驗證。
FallBackToRsh no
「FallBackToRsh」設置如果用ssh連接出現錯誤是否自動使用rsh。
UseRsh no
「UseRsh」設置是否在這台計算機上使用「rlogin/rsh」。
BatchMode no
「BatchMode」如果設為「yes」,passphrase/password(互動式輸入口令)的提示將被禁止。當不能互動式輸入口令的時候,這個選項對腳本文件和批處理任務十分有用。
CheckHostIP yes
「CheckHostIP」設置ssh是否查看連接到伺服器的主機的IP地址以防止DNS欺騙。建議設置為「yes」。
StrictHostKeyChecking no
「StrictHostKeyChecking」如果設置成「yes」,ssh就不會自動把計算機的密匙加入「$HOME/.ssh/known_hosts」文件,並且一旦計算機的密匙發生了變化,就拒絕連接。
IdentityFile ~/.ssh/identity
「IdentityFile」設置從哪個文件讀取用戶的RSA安全驗證標識。
Port 22
「Port」設置連接到遠程主機的埠。
Cipher blowfish
「Cipher」設置加密用的密碼。
EscapeChar ~
「EscapeChar」設置escape字元。
/etc/ssh/sshd_config:
Port 22
「Port」設置sshd監聽的埠號。
ListenAddress 192.168.1.1
「ListenAddress」設置sshd伺服器綁定的IP地址。
HostKey /etc/ssh/ssh_host_key
「HostKey」設置包含計算機私人密匙的文件。
ServerKeyBits 1024
「ServerKeyBits」定義伺服器密匙的位數。
LoginGraceTime 600
「LoginGraceTime」設置如果用戶不能成功登錄,在切斷連接之前伺服器需要等待的時間(以秒為單位)。
KeyRegenerationInterval 3600
「KeyRegenerationInterval」設置在多少秒之後自動重新生成伺服器的密匙(如果使用密匙)。重新生成密匙是為了防止用盜用的密匙解密被截獲的信息。
PermitRootLogin no
「PermitRootLogin」設置root能不能用ssh登錄。這個選項一定不要設成「yes」。
IgnoreRhosts yes
「IgnoreRhosts」設置驗證的時候是否使用「rhosts」和「shosts」文件。
IgnoreUserKnownHosts yes
「IgnoreUserKnownHosts」設置ssh daemon是否在進行RhostsRSAAuthentication安全驗證的時候忽略用戶的「$HOME/.ssh/known_hosts」
StrictModes yes
「StrictModes」設置ssh在接收登錄請求之前是否檢查用戶家目錄和rhosts文件的許可權和所有權。這通常是必要的,因為新手經常會把自己的目錄和文件設成任何人都有寫許可權。
X11Forwarding no
「X11Forwarding」設置是否允許X11轉發。
PrintMotd yes
「PrintMotd」設置sshd是否在用戶登錄的時候顯示「/etc/motd」中的信息。
SyslogFacility AUTH
「SyslogFacility」設置在記錄來自sshd的消息的時候,是否給出「facility code」。
LogLevel INFO
「LogLevel」設置記錄sshd日誌消息的層次。INFO是一個好的選擇。查看sshd的man幫助頁,已獲取更多的信息。
RhostsAuthentication no
「RhostsAuthentication」設置只用rhosts或「/etc/hosts.equiv」進行安全驗證是否已經足夠了。
RhostsRSAAuthentication no
「RhostsRSA」設置是否允許用rhosts或「/etc/hosts.equiv」加上RSA進行安全驗證。
RSAAuthentication yes
「RSAAuthentication」設置是否允許只有RSA安全驗證。
PasswordAuthentication yes
「PasswordAuthentication」設置是否允許口令驗證。
PermitEmptyPasswords no
「PermitEmptyPasswords」設置是否允許用口令為空的帳號登錄。
AllowUsers admin
「AllowUsers」的後面可以跟著任意的數量的用戶名的匹配串(patterns)或user@host這樣的匹配串,這些字元串用空格隔開。主機名可以是DNS名或IP地址。