Arquivo de configuração comentado e traduzido.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 | # Package generated configuration file # See the sshd(8) manpage for details ############################################### # Porta padrão usada pelo servidor sshd. Múltiplas portas podem ser # # especificadas separadas por espaços. # ############################################### Port 22 ############################################### # Especifica o endereço IP das interfaces de rede que o servidor sshd # # servirá requisições. Múltiplos endereços podem ser especificados # # separados por espaços. A opção Port deve vir antes desta opção. # # O padrão é que o sshd escute em todos os endereços de rede # ############################################### #ListenAddress 192.168.0.x ################################################### # Protocolos aceitos pelo servidor, primeiro será verificado se o cliente é # # compatível com a versão 2 e depois a versão 1. Caso seja especificado # # somente a versão 2 e o cliente seja versão 1, a conexão será descartada. # # Quando não é especificada, o protocolo ssh 1 é usado como padrão. # ################################################### Protocol 2 ###################################################### # Especifica os arquivos que contém as chaves privadas do sshd. # # Lembre-se que o ssh faz a criptograifa dos dados usando chaves assimétricas # # privadas e públicas. # ###################################################### HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key ################################################### # Privilege Separation is turned on for security # # Está opção especifica se será criado um processo filho sem privilégios # # Após a autenticação bem-sucedida, outro processo será criado que tem # # o privilégio de o usuário autenticado. O objetivo da separação de # # privilégio é para evitar a escalonamento de privilégios, qualquer tipo de # # corrupção no âmbito dos processos sem privilégios. A padrão é "Sim". # ################################################### UsePrivilegeSeparation yes ################################################### # Lifetime and size of ephemeral version 1 server key # # Tempo para geração de nova chave do servidor (segundos). O padrão é # # 3600 segundos (1 hora). # # O propósito de regeneração de chaves é para evitar descriptografar # # trafégo capturado em sessões abertas para posteriormente tentar # # invadir a máquina e roubar as chaves. # # A chave nunca é armazenada em qualquer lugar. Se o valor for 0 # # a chave nunca será regenerada. # ################################################### KeyRegenerationInterval 1200 ############################################ # Tamanho da chave após ser gerada. 1024 bits é o padrão # ############################################ ServerKeyBits 1024 ############################################### # Indica Facilidade e nível logs do sshd que aparecerão no syslogd # # ou no rsyslog. você pode alterar conforme sua necessídade # ############################################### SyslogFacility AUTH LogLevel INFO ################################################### # Tempo máximo para fazer login no sistema antes da conexão ser fechada # # O tempo e informado em segundos. se o valor for 0 não tem limite. # # o padrão é 120 segundos. # ################################################### LoginGraceTime 120 ######################################### # ssh Permite (yes) ou nega (no) que o usuário root acesse # # remotamente o servidor. por segurança deixe desabilitada. # ######################################### PermitRootLogin no ############################################ # Especifica se o encaminhamento pelos dispositivos tun/tap # # é permitido, criando um rede ponto-a-ponto usando ssh. # # OU seja permiti ou não a criação de túneis cifrados com sshd # ############################################ #PermitTunnel yes ###################################################### # Checa por permissões de dono dos arquivos e diretório de usuário antes de # # fazer o login. É muito recomendável para evitar riscos de segurança # # com arquivos lidos por todos os usuários. # ###################################################### StrictModes yes ############################################ # Usuários que o ssh permite acessar remotamente o servidor # ############################################ AllowUsers edson nx ###################################################### # Está opção especifica quais usuários não terão permissão de acesso ao servidor# # sshd. a sintaxe é a mesma de AllowUsers, pode especificar vários usuários # # separados por espaço. # ###################################################### #DenyUsers root ################################################### # Especifica uma lista de groupos que terão acesso permitido ao sshd # # Se o usuário estiver contido no grupo especificadp nesta opção então seu # # acesso será liberado. # ################################################### #AllowGroups ###################################################### # Especifica um lista de grupos que terão seu acesso negado ao sshd # # se o usuário estiver contido no grupo espeficado nesta opção seu acesso será # # negado ao servidor sshd. # ###################################################### #DenyGroups ################################################### # Especifica se a autenticação via RSA é permitida (só usado na versão 1 do # # protocolo ssh). Por padrão "yes". # ################################################### RSAAuthentication yes ########################################### # Especifica se a autenticação usando chave pública é permitida. # # O padrão é "Sim". Note que esta opção se aplica ao protocolo # # versão 2, apenas. # ########################################### PubkeyAuthentication yes ################################################## #Especifica o arquivo que contém as chaves públicas que podem ser usados# #para autenticação de usuários. "%h" especifica o diretório home do # # do usuário que está usando as chaves públicas e privadas. # ################################################## AuthorizedKeysFile %h/.ssh/authorized_keys ################################### # Don't read the user's ~/.rhosts and ~/.shosts files # # Ignora os arquivos ~/.rhosts e ~/.shosts ou não. # ################################### IgnoreRhosts yes # For this to work you will also need host keys in /etc/ssh_known_hosts RhostsRSAAuthentication no # similar for protocol version 2 HostbasedAuthentication no ###################################################### # Ignora (yes) ou não (no) os arquivos ~/.ssh/known_hosts quando for usado # # para a opção RhostsRSAAuthentication. Se você não confia neste mecanismo # # ajuste esta opção para yes. # ###################################################### #IgnoreUserKnownHosts yes ###################################################### # Se a opção PasswordAuthentication for usada, permite (yes) ou não (no) login # # sem senha. O padrão é "no". Não é recomendado habilitar (yes) essa opção # ###################################################### PermitEmptyPasswords no ########################################################## # Está opção permiti (yes) ou nega (no) se a autenticação desafio-resposta será aceita. # # via PAM Por exemplo. o Padrão é (yes). # ########################################################## ChallengeResponseAuthentication no ################################################ # Se a PasswordAuthentication for usada, permite (yes) ou não (no) login # # usando senha. O padrão é "yes". # ################################################ PasswordAuthentication yes #Kerberos options #KerberosAuthentication no #KerberosGetAFSToken no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes # GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes ###################################################### # Permite (yes) ou não (no) o redirecionamento de conexões X11. A segurança # # do sistema não é aumentada com a desativação desta opção, outros métodos # # de redirecionamento podem ser usados. Isso permite ou nega a execução de # # aplicativos gráficos no servidor ssh. # ###################################################### X11Forwarding yes ####################################################### # Especifica o número do primeiro display que será usado para o redirecionamento # # X11 do ssh. Por padrão é usado o display 10 como inicial para evitar conflito # # com display X locais # ####################################################### X11DisplayOffset 10 ##################################################### # Mostra (yes) ou não (no) a mensagem em /etc/motd no login. O padrão é "no".# ##################################################### PrintMotd no ################################################### # Mostra (yes) ou não (no) a date e hora do último login do usuário # # O padrão é "sim". # ################################################### PrintLastLog yes ###################################################### # Permite (yes) ou não (no) o envio de pacotes keepalive (para verificar se o # # cliente responde. Isto é bom para fechar conexões que não respondem mas # # também podem fechar conexões caso não existam rotas para o cliente # # naquele momento (é um problema temporário). Colocando esta opção como # # "no" por outro lado pode deixar usuários que não tiveram a oportunidade # # de efetuar o logout do servidor dados como "permanentemente conectados" # # no sistema. Esta opção deve ser ativada/desativada aqui e no programa # # cliente para funcionar. caso queira manter uma conexão aberta mesmo estando # # inativa, habilite (yes) no servidor e no cliente está opção. # ###################################################### TCPKeepAlive yes ################################################## # Usa (yes) ou não usa (no) o programa login para efetuar o login do cliente # # no servidor ssh. o padrão é "não" # ################################################## #UseLogin no ############################################### # Especifica o número máximo de tentativas de autenticação permitidas # # por conexão. Uma vez que o número de falhas chega a metade desse # # valor, falhas adicionais são registrados. O padrão é 6. # ############################################### MaxAuthTries 2 ###################################################### # Especifica o número máximo de sessões abertas permitida por rede-trabalhos # # de ligação. O padrão é 10. # ###################################################### MaxSessions 1 ###################################################### # Especifica o número máximo de conexões de autenticação simultâneas feitas # # pelo daemon sshd. O valor padrão é 10. Valores aleatórios podem ser # # especificados usando os campos "inicio:taxa:máximo". Por exemplo, # # 5:40:15 rejeita até 40% das tentativas de autenticação que excedam o # # limite de 5 até atingir o limite máximo de 15 conexões, quando # # nenhuma nova autenticação é permitida. # ###################################################### MaxStartups 5:40:15 ##################################### # Mostra uma mensagem antes do nome de login. # ##################################### #Banner /etc/issue.net # Allow client to pass locale environment variables AcceptEnv LANG LC_* ############################################# # Ativa o subsistema de ftp seguro. Para desabilitar comente a linha # # abaixo # ############################################# #Subsystem sftp /usr/lib/openssh/sftp-server ###################################### # Permite a autenticação usando o PAM (yes) ou não (no) # # o padrão é "não". # ###################################### #UsePAM no |
by: http://www.vivaolinux.com.br/etc/sshd_config-4/