ssh (sshd_config)
sshd_config com a maioria das opções comentadas
Categoria: Networking
Software: ssh
[ Hits: 58.174 ]
Por: Perfil removido
sshd_config é o arquivo de configuração do serviço ssh para o módulo servidor. A intenção dessa contribuição não é mostrar um exemplo simples e/ou seguro de configurar o ssh e sim de mostrar o que faz a maioria das opções de configuração do arquivo.
# Package generated configuration file # See the sshd(8) manpage for details ############################################### # Porta padrão usada pelo servidor sshd. Múltiplas portas podem ser # # especificadas separadas por espaços. # ############################################### Port 22 ############################################### # Especifica o endereço IP das interfaces de rede que o servidor sshd # # servirá requisições. Múltiplos endereços podem ser especificados # # separados por espaços. A opção Port deve vir antes desta opção. # # O padrão é que o sshd escute em todos os endereços de rede # ############################################### #ListenAddress 192.168.0.x ################################################### # Protocolos aceitos pelo servidor, primeiro será verificado se o cliente é # # compatível com a versão 2 e depois a versão 1. Caso seja especificado # # somente a versão 2 e o cliente seja versão 1, a conexão será descartada. # # Quando não é especificada, o protocolo ssh 1 é usado como padrão. # ################################################### Protocol 2 ###################################################### # Especifica os arquivos que contém as chaves privadas do sshd. # # Lembre-se que o ssh faz a criptograifa dos dados usando chaves assimétricas # # privadas e públicas. # ###################################################### HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key ################################################### # Privilege Separation is turned on for security # # Está opção especifica se será criado um processo filho sem privilégios # # Após a autenticação bem-sucedida, outro processo será criado que tem # # o privilégio de o usuário autenticado. O objetivo da separação de # # privilégio é para evitar a escalonamento de privilégios, qualquer tipo de # # corrupção no âmbito dos processos sem privilégios. A padrão é "Sim". # ################################################### UsePrivilegeSeparation yes ################################################### # Lifetime and size of ephemeral version 1 server key # # Tempo para geração de nova chave do servidor (segundos). O padrão é # # 3600 segundos (1 hora). # # O propósito de regeneração de chaves é para evitar descriptografar # # trafégo capturado em sessões abertas para posteriormente tentar # # invadir a máquina e roubar as chaves. # # A chave nunca é armazenada em qualquer lugar. Se o valor for 0 # # a chave nunca será regenerada. # ################################################### KeyRegenerationInterval 1200 ############################################ # Tamanho da chave após ser gerada. 1024 bits é o padrão # ############################################ ServerKeyBits 1024 ############################################### # Indica Facilidade e nível logs do sshd que aparecerão no syslogd # # ou no rsyslog. você pode alterar conforme sua necessídade # ############################################### SyslogFacility AUTH LogLevel INFO ################################################### # Tempo máximo para fazer login no sistema antes da conexão ser fechada # # O tempo e informado em segundos. se o valor for 0 não tem limite. # # o padrão é 120 segundos. # ################################################### LoginGraceTime 120 ######################################### # ssh Permite (yes) ou nega (no) que o usuário root acesse # # remotamente o servidor. por segurança deixe desabilitada. # ######################################### PermitRootLogin no ############################################ # Especifica se o encaminhamento pelos dispositivos tun/tap # # é permitido, criando um rede ponto-a-ponto usando ssh. # # OU seja permiti ou não a criação de túneis cifrados com sshd # ############################################ #PermitTunnel yes ###################################################### # Checa por permissões de dono dos arquivos e diretório de usuário antes de # # fazer o login. É muito recomendável para evitar riscos de segurança # # com arquivos lidos por todos os usuários. # ###################################################### StrictModes yes ############################################ # Usuários que o ssh permite acessar remotamente o servidor # ############################################ AllowUsers edson nx ###################################################### # Está opção especifica quais usuários não terão permissão de acesso ao servidor# # sshd. a sintaxe é a mesma de AllowUsers, pode especificar vários usuários # # separados por espaço. # ###################################################### #DenyUsers root ################################################### # Especifica uma lista de groupos que terão acesso permitido ao sshd # # Se o usuário estiver contido no grupo especificadp nesta opção então seu # # acesso será liberado. # ################################################### #AllowGroups ###################################################### # Especifica um lista de grupos que terão seu acesso negado ao sshd # # se o usuário estiver contido no grupo espeficado nesta opção seu acesso será # # negado ao servidor sshd. # ###################################################### #DenyGroups ################################################### # Especifica se a autenticação via RSA é permitida (só usado na versão 1 do # # protocolo ssh). Por padrão "yes". # ################################################### RSAAuthentication yes ########################################### # Especifica se a autenticação usando chave pública é permitida. # # O padrão é "Sim". Note que esta opção se aplica ao protocolo # # versão 2, apenas. # ########################################### PubkeyAuthentication yes ################################################## #Especifica o arquivo que contém as chaves públicas que podem ser usados# #para autenticação de usuários. "%h" especifica o diretório home do # # do usuário que está usando as chaves públicas e privadas. # ################################################## AuthorizedKeysFile %h/.ssh/authorized_keys ################################### # Don't read the user's ~/.rhosts and ~/.shosts files # # Ignora os arquivos ~/.rhosts e ~/.shosts ou não. # ################################### IgnoreRhosts yes # For this to work you will also need host keys in /etc/ssh_known_hosts RhostsRSAAuthentication no # similar for protocol version 2 HostbasedAuthentication no ###################################################### # Ignora (yes) ou não (no) os arquivos ~/.ssh/known_hosts quando for usado # # para a opção RhostsRSAAuthentication. Se você não confia neste mecanismo # # ajuste esta opção para yes. # ###################################################### #IgnoreUserKnownHosts yes ###################################################### # Se a opção PasswordAuthentication for usada, permite (yes) ou não (no) login # # sem senha. O padrão é "no". Não é recomendado habilitar (yes) essa opção # ###################################################### PermitEmptyPasswords no ########################################################## # Está opção permiti (yes) ou nega (no) se a autenticação desafio-resposta será aceita. # # via PAM Por exemplo. o Padrão é (yes). # ########################################################## ChallengeResponseAuthentication no ################################################ # Se a PasswordAuthentication for usada, permite (yes) ou não (no) login # # usando senha. O padrão é "yes". # ################################################ PasswordAuthentication yes #Kerberos options #KerberosAuthentication no #KerberosGetAFSToken no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes # GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes ###################################################### # Permite (yes) ou não (no) o redirecionamento de conexões X11. A segurança # # do sistema não é aumentada com a desativação desta opção, outros métodos # # de redirecionamento podem ser usados. Isso permite ou nega a execução de # # aplicativos gráficos no servidor ssh. # ###################################################### X11Forwarding yes ####################################################### # Especifica o número do primeiro display que será usado para o redirecionamento # # X11 do ssh. Por padrão é usado o display 10 como inicial para evitar conflito # # com display X locais # ####################################################### X11DisplayOffset 10 ##################################################### # Mostra (yes) ou não (no) a mensagem em /etc/motd no login. O padrão é "no".# ##################################################### PrintMotd no ################################################### # Mostra (yes) ou não (no) a date e hora do último login do usuário # # O padrão é "sim". # ################################################### PrintLastLog yes ###################################################### # Permite (yes) ou não (no) o envio de pacotes keepalive (para verificar se o # # cliente responde. Isto é bom para fechar conexões que não respondem mas # # também podem fechar conexões caso não existam rotas para o cliente # # naquele momento (é um problema temporário). Colocando esta opção como # # "no" por outro lado pode deixar usuários que não tiveram a oportunidade # # de efetuar o logout do servidor dados como "permanentemente conectados" # # no sistema. Esta opção deve ser ativada/desativada aqui e no programa # # cliente para funcionar. caso queira manter uma conexão aberta mesmo estando # # inativa, habilite (yes) no servidor e no cliente está opção. # ###################################################### TCPKeepAlive yes ################################################## # Usa (yes) ou não usa (no) o programa login para efetuar o login do cliente # # no servidor ssh. o padrão é "não" # ################################################## #UseLogin no ############################################### # Especifica o número máximo de tentativas de autenticação permitidas # # por conexão. Uma vez que o número de falhas chega a metade desse # # valor, falhas adicionais são registrados. O padrão é 6. # ############################################### MaxAuthTries 2 ###################################################### # Especifica o número máximo de sessões abertas permitida por rede-trabalhos # # de ligação. O padrão é 10. # ###################################################### MaxSessions 1 ###################################################### # Especifica o número máximo de conexões de autenticação simultâneas feitas # # pelo daemon sshd. O valor padrão é 10. Valores aleatórios podem ser # # especificados usando os campos "inicio:taxa:máximo". Por exemplo, # # 5:40:15 rejeita até 40% das tentativas de autenticação que excedam o # # limite de 5 até atingir o limite máximo de 15 conexões, quando # # nenhuma nova autenticação é permitida. # ###################################################### MaxStartups 5:40:15 ##################################### # Mostra uma mensagem antes do nome de login. # ##################################### #Banner /etc/issue.net # Allow client to pass locale environment variables AcceptEnv LANG LC_* ############################################# # Ativa o subsistema de ftp seguro. Para desabilitar comente a linha # # abaixo # ############################################# #Subsystem sftp /usr/lib/openssh/sftp-server ###################################### # Permite a autenticação usando o PAM (yes) ou não (no) # # o padrão é "não". # ###################################### #UsePAM no
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
SysAdmin ou DevOps: Qual curso inicial pra essa área? (0)
Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código (3)
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta