Jakie uprawnienia musi mieć ssh config?

Sam plik musi być **czytelny i zapisywalny tylko dla Ciebie**: `chmod 600 ~/.ssh/config`. Katalog `.ssh` musi mieć `700`. Jeśli uprawnienia są zbyt luźne, SSH odmawia korzystania z pliku i krzyczy „Bad owner or permissions on /home/ty/.ssh/config". Na Windowsie sprawdzane są odpowiedniki w ACL.

Jak wygenerować klucz ed25519?

Uruchom `ssh-keygen -t ed25519 -C "twoj_email@example.com"`. Wciśnij enter, żeby zaakceptować domyślną lokalizację (`~/.ssh/id_ed25519`) i ustaw mocną **frazę zabezpieczającą** (chroni klucz, gdyby ktoś ukradł Ci laptopa). Klucz publiczny ląduje w `id_ed25519.pub`, ten wklejasz na serwer, do GitHuba albo gdziekolwiek się logujesz.

Dlaczego ed25519 zamiast RSA?

**ed25519** to krótkie klucze (około 80 znaków w pliku .pub), szybkie do wygenerowania i oparte na nowoczesnej matematyce krzywych eliptycznych. Klucze RSA muszą mieć **co najmniej 3072 bity**, żeby dorównać bezpieczeństwem, i są 10x większe. Każdy nowoczesny serwer obsługuje ed25519. RSA zostawiaj tylko dla bardzo starych serwerów (OpenSSH sprzed 2014 roku).

Jakie ryzyko niesie ForwardAgent: yes?

Agent forwarding pozwala **zdalnemu serwerowi** poprosić Twojego lokalnego agenta SSH o podpisanie czegoś, czyli **root na tym serwerze** może używać Twoich kluczy przez czas trwania sesji. OK dla hosta, któremu w pełni ufasz, niebezpieczne na maszynie współdzielonej albo skompromitowanej. Bezpieczniejsza nowoczesna alternatywa to **ProxyJump** dla przeskakiwania przez bastiony.

Co właściwie robi StrictHostKeyChecking?

**yes** (odmów, jeśli klucz hosta jest nieznany lub się zmienił, najbezpieczniejsze), **ask** (domyślne, pyta przy pierwszym kontakcie), **accept-new** (akceptuj nowych hostów, ale dalej odrzucaj zmiany, złoty środek), **no** (akceptuj wszystko, **podatne na MITM**). Używaj `no` tylko dla efemerycznych VM-ek w zamkniętym labie.

Czym ProxyJump różni się od ProxyCommand?

**ProxyJump** (od OpenSSH 7.3) to nowoczesna jednolinijka: `ProxyJump user@bastion`. **ProxyCommand** to dawny sposób za pomocą `ssh -W %h:%p bastion`. Oba działają, ProxyJump jest czytelniejszy, wspiera wiele hopów (`bastion1,bastion2`) i jest zalecanym domyślnym wyborem. ProxyCommand zostawiaj dla systemów ze starym OpenSSH.

Jaka jest różnica między LocalForward, RemoteForward i DynamicForward?

**LocalForward** otwiera port **u Ciebie** tunelujący na serwer (`8080 localhost:80` znaczy „moje 8080 dochodzi do ich 80"). **RemoteForward** otwiera port **na serwerze**, który tuneluje z powrotem do Ciebie (przydatny do tuneli odwrotnych). **DynamicForward** otwiera **proxy SOCKS** u Ciebie, dobre do puszczenia całej przeglądarki przez zdalną maszynę.

Sesja SSH ginie po kilku minutach bezczynności. Jak to naprawić?

Dodaj `ServerAliveInterval 60` (wysyłaj keepalive co 60 sekund) i `ServerAliveCountMax 3` (poddaj się po 3 nieodebranych keepalive'ach). To podtrzymuje połączenie, żeby routery NAT i firmowe firewalle go nie rzucały. Dodatkowy plus: SSH szybciej zauważy faktycznie zerwaną sieć i rozłączy się czysto, zamiast wisieć.

Czy mogę używać masek albo kilku hostów w jednym bloku?

Tak. Pojedyncza linia `Host` przyjmuje **listę oddzieloną spacjami i wzorce z gwiazdką**: `Host prod prod-* staging-eu-*`. Opcje wewnątrz dotyczą każdego dopasowania. Pierwszy match wygrywa, z góry na dół, więc **konkretne wpisy stawiaj nad ogólnymi**. Ten kreator pisze blok per host, połącz ręcznie, jeśli chcesz wzorców.

YourDevToolsPro

Kreator pliku ssh config

Złóż plik ~/.ssh/config z gotowych presetów: produkcja, bastion, GitHub, kontener, proxy SOCKS, tunel odwrotny. Każda opcja z opisem zwykłym językiem.

LiveDziała w przeglądarce

PresetyKliknij, żeby zastąpić aktywny wpis

Wpisy1 blok(ów)

Podstawowe

KomentarzKrótka notatka, pojawi się jako linia # nad blokiem Host

Host (alias)Krótka nazwa, którą wpisujesz po `ssh`. Np. `prod` → `ssh prod`HostNamePrawdziwy adres albo IP serweraUserNazwa użytkownika do logowaniaPortDomyślnie 22, zostaw puste żeby pominąć w pliku

IdentityFileŚcieżka do klucza prywatnego. Klucze nigdy nie opuszczają Twojego komputera

IdentitiesOnly

Próbuj wyłącznie podanego klucza. Zapobiega błędom „too many authentication failures", gdy agent ma wiele kluczy

~/.ssh/config

Wklej do pliku konfiguracji SSH

8 linii

# Production app server, key auth only
Host prod
  HostName 1.2.3.4
  User deploy
  IdentityFile ~/.ssh/prod_ed25519
  IdentitiesOnly yes
  ServerAliveInterval 60
  ServerAliveCountMax 3

Lokalizacja pliku

Linux/macOS: ~/.ssh/config
Windows: %USERPROFILE%\.ssh\config
Uprawnienia: chmod 600 ~/.ssh/config

Co to jest ~/.ssh/config i po co go zakładać?

Jeśli łączysz się po SSH z więcej niż jednym serwerem, zapewne wpisujesz w kółko coś takiego: `ssh -i ~/.ssh/work_key -p 2222 deploy@10.0.0.20`. Jeden plik `~/.ssh/config` zamienia to wszystko w `ssh prod`.

Ten kreator pisze ten plik za Ciebie. Wybierz preset (serwer produkcyjny, bastion, GitHub, proxy SOCKS, kontener developerski...), dopasuj pola, a prawa kolumna pokaże dokładny tekst do wklejenia w `~/.ssh/config`. Każda opcja ma podpowiedź zwykłym językiem, nie musisz pamiętać, którą wielką literą OpenSSH chce zobaczyć dane słowo.

Wszystko działa w przeglądarce: bez prawdziwych kluczy, bez wysyłania niczego, bez konta. Wynik to czysta konfiguracja OpenSSH, identyczna jak pisana ręcznie.

Jak używać

Zacznij od presetu (Serwer produkcyjny, Bastion, GitHub, SOCKS proxy...). Formularz wypełni sensowne wartości, które potem zmienisz.
Wpisz alias hosta (krótka nazwa, którą będziesz pisać po `ssh`), potem HostName (prawdziwy adres albo IP), User i Port, jeśli nie jest to 22.
Rozwiń Tożsamość i wskaż IdentityFile na swój klucz prywatny, np. `~/.ssh/id_ed25519`. Włącz IdentitiesOnly, żeby SSH nie próbował każdego klucza z agenta.
Potrzebujesz hosta pośredniego? Rozwiń Proxy / jump i wpisz `user@bastion` w ProxyJump. SSH automatycznie połączy się przez bastion.
Dla przekierowania portów rozwiń Forwarding i dopisz linie `8080 localhost:80` do LocalForward (zdalny port widoczny lokalnie) albo RemoteForward (lokalny port widoczny na serwerze).
Kliknij Kopiuj w panelu podglądu, wklej do `~/.ssh/config` (załóż plik, jeśli go nie ma) i uruchom `chmod 600 ~/.ssh/config`, żeby SSH zaufał plikowi.
Dodawaj kolejne wpisy plusem na górze. Podgląd skleja je w jeden plik, w kolejności, w jakiej pojawiają się na liście.

Kiedy się przydaje

Siedem konkretnych sytuacji, w których porządny `ssh config` realnie oszczędza czas:

Codziennie logujesz się na produkcję. Zamiast `ssh -i ~/.ssh/prod_ed25519 -p 22 deploy@1.2.3.4` piszesz `ssh prod`. Działa autouzupełnianie, działa historia, działają skrypty owinięte wokół ssh.
Cel jest za bastionem. Ustawiasz `ProxyJump` na hoście wewnętrznym i SSH przeskakuje przez bastion automatycznie. Koniec z ręcznym dwustopniowym łączeniem.
Masz osobne klucze do GitHuba i GitLaba. Przypinasz `IdentityFile` per host, dzięki czemu właściwy klucz idzie do właściwego serwisu. Znika błąd „too many authentication failures", gdy SSH próbuje wszystkich kluczy z agenta.
Potrzebujesz lokalnego portu do developmentu. Dodajesz `LocalForward 5432 localhost:5432` i Postgres z serwera ląduje na Twoim laptopie. Bez VPN.
Chcesz proxy SOCKS do przeglądania przez serwer. `DynamicForward 1080` plus Firefox ustawiony na localhost:1080 i Twój ruch wychodzi z maszyny zdalnej. Przydatne do dashboardów ograniczonych regionem.
Zarządzasz 30+ hostami. Grupujesz je wzorcami `Host prod-*` (ten kreator pisze blok per host, ale format pliku wspiera dziury, doklej wzorce ręcznie u góry).
Chcesz pokazać lokalną usługę światu (taki ręczny ngrok). `RemoteForward 8080 localhost:3000` na publicznie dostępnym serwerze i port 3000 z laptopa wychodzi pod port 8080 na tym serwerze.

Pytania i odpowiedzi

Na Linuksie i macOS: `~/.ssh/config`. Na Windowsie z wbudowanym klientem OpenSSH (Windows 10+): `%USERPROFILE%\.ssh\config` (czyli zwykle `C:\Users\ty\.ssh\config`). Klient OpenSSH czyta też `/etc/ssh/ssh_config` jako ustawienia systemowe, ale plik użytkownika ma pierwszeństwo.

Mogą Cię też zainteresować

Powiązane narzędzia

Builder tsconfig.json

Złóż tsconfig.json klikami. Presety dla Node, Next.js, Vite, React, biblioteki npm. Każda opcja kompilatora TypeScript z opisem po polsku.

Kreator wyrażeń cron

Wpisz wyrażenie cron, dostań opis po polsku i listę 10 najbliższych terminów w Twojej strefie czasowej. Plus gotowe presety dla GitHub Actions, Kubernetes CronJob i klasycznego crona.

Dekoder JWT

Wklej token JWT, zobacz zdekodowany nagłówek, payload i sygnaturę. Czytelny widok claims (iss, sub, exp, iat), wykrywanie wygasłego tokena, brak wysyłania danych.

Konwerter cURL na kod

Wklej komendę cURL, dostań to samo zapytanie w fetch, axios, Pythonie, Go, PHP, Ruby, Ruście. Wszystko po stronie przeglądarki, bez wysyłania URL-a nigdzie.