sshd_configの(5)のOpenBSDプログラマーズ・マニュアルのsshd_config(5)
名前
のsshd_config - OpenSSHのSSHサーバデーモンの設定ファイルの
概要
は、/ etc / ssh / sshd_configの
記述は、
sshd(8)の/ etc / ssh / sshd_configファイルからデフォルト(または-fコマンドラインオプションにより、設定情報を読み込むための、指定されたファイル)。
プロファイルは、組成物、1行につき1つの「指令値」です。空行と行の先頭に「#」は無視されます。
値は、特殊記号、または他の空白文字が含まれている場合、双方は二重引用符(「)で定義することができる。
[注]の値は、大文字と小文字が区別されるが、命令は、大文字小文字を区別している。
すべての現在の構成を使用することができます次のように説明書は以下のとおりです。
AcceptEnvは、
セッション環境に渡されるクライアント環境変数によって送ら指定してください。【注意】環境変数を渡すだけSSH-2プロトコルをサポート。
詳細には、(5)SendEnv項目の指示に配置さはssh_configできる参照します。
命令の値は(「*」あなたが使用することができますし、「?」のワイルドカードとして)変数名をスペースで区切ったリストです。AcceptEnvの複数の同一の目的のために使用することができます。
いくつかの環境変数は、ユーザが使用禁止の環境変数をバイパスするために使用できることに留意すべきです。このため、指令は注意して使用する必要があります。
デフォルトでは、すべての環境変数を渡さないです。
AddressFamily
アドレスファミリを使用する必要があり、指定のsshd(8)。範囲は次のとおりです。 "任意の"(デフォルト)、 "INET"(IPv4のみ)、 "INET6"(IPv6のみ)。
AllowGroups
(「*」と「?」のワイルドカードを使用することができます)グループ名をスペースで区切ったリストの文字列に続いてこの命令の背後にあります。デフォルトでは、すべてのグループがログオンすることができます。
このコマンドを使用する場合は他のすべてのグループを排除しながら、それだけで、メンバーはこれらのグループをログに記録することができます。
ここで、「基」は、指定されたグループのものであり、/ etc / passwdファイル、「プライマリグループ」(一次群)を指します。
ここだけGIDを使用することを許可されていないグループの名前を使用することができました。:関連して以下の順序で命令の処理を拒否/許可
DenyUsers、AllowUsersという、のDenyGroups、にAllowGroups
AllowTCPForwardingに
TCP転送を許可するかどうか、デフォルトは「yes」です。
シェルへのユーザーアクセスを禁止しない限り、ユーザーが独自のフォワーダをインストールすることができますので、TCP転送を無効にすると、セキュリティを強化しません。
AllowUsersという
(「*」と「?」のワイルドカードを使用することができます)ユーザー名のスペース区切りのリストの文字列に続いてこの命令の背後にあります。デフォルトでは、すべてのユーザーがログオンを許可されています。
このコマンドを使用すると、それだけでこれらのユーザーはログオンできますが、他のすべてのユーザーを拒否します。
ユーザーモードUSER @ hostの場合、USERとHOSTもチェックされます。
ここだけUIDを使用することを許可されていないユーザーの名前を使用することができました。:関連して以下の順序で命令の処理を拒否/許可
DenyUsers、AllowUsersという、のDenyGroups、にAllowGroups
AuthorizedKeysFileの
ユーザーがRSA / DSA公開鍵をログインするために使用することができます店。
この命令は、次の接続の実際の状況に応じて拡張したシンボルを使用することができます:
%%表す「%」が、%hは、ユーザーのホームディレクトリを表し、%Uはユーザー名を表します。
必見のいずれかによって拡張後の値は、絶対パスまたは相対パスでユーザのホームディレクトリからの相対です。
デフォルト値は「の.ssh / authorized_keysに」です。
バナーは、
このディレクティブは、ユーザーが認証される前にファイルをリモートユーザに表示されている指定します。
この機能は、SSH-2、デフォルトの表示ではありません何のためにのみ使用することができます。この機能を無効にする「なし」。
ChallengeResponseAuthenticationの
答え(チャレンジ・レスポンス)の認証-質問を許可するかどうか。デフォルトは「yes」です。
すべてはlogin.conf(5)は、認証方法がサポートされていますができました。
暗号は、
SSH-2を指定して暗号化アルゴリズムを使用することができます。アルゴリズムのコンマ複数の分離。次のようなアルゴリズムを使用することができる
:"AES128-CBC"、 "AES192-CBC"、 "AES256-CBC"、 "AES128-CTR"、 "AES192-CTR"、 "AES256-CTR"、
"3DES-CBC"、「arcfour128 「」arcfour256「」ARCFOUR 「」ふぐ-CBC「」CAST128-CBC「
デフォルト値は、上記のアルゴリズムの全てを使用することができます。
ClientAliveCountMaxは、
任意のクライアントの応答を送信する前に、「生きている」メッセージの数の最大値を受信しない(8)のsshd。デフォルト値は3です。
この制限に達した後、sshd(8)の強制的に切断され、セッションが閉じられます。
なお、「生きている」のメッセージTCPKEEPALIVEは非常に異なっています。
「生きている」というメッセージが暗号化された接続を介して送信され、それはだまされないであろう、とTCPKEEPALIVEそれが詐称することができます。
ClientAliveIntervalは15とClientAliveCountMaxに設定されている場合はデフォルト値のまま、
顧客は45秒後に強制的に切断大きな終了日を答えていません。このコマンドは、SSH-2プロトコルを使用することができます。
ClientAliveIntervalは、
このような長い時間以上は、任意のデータクライアントを受け取っていない場合は、長い秒を覚えておく時間を設定し、
(8)安全なチャネルを介してクライアントに「生きている」というメッセージを送信し、応答を待つのsshd。
0のデフォルト値は、送信なし「生きている」というメッセージことを示しています。このオプションは、有効なSSH-2です。
圧縮
通信データを暗号化し、通信データを再暗号化するために認証が成功した後に遅延しているかどうか。
利用可能な値:「はい」、「遅延」 ( デフォルト)、「いいえ」。
DenyGroups
(「*」と「?」のワイルドカードを使用することができます)グループ名をスペースで区切ったリストの文字列に続いてこの命令の背後にあります。デフォルトでは、すべてのグループがログオンすることができます。
このコマンドを使用する場合は、そのグループのメンバーがログインを拒否されます。
ここで、「基」は、指定されたグループのものであり、/ etc / passwdファイル、「プライマリグループ」(一次群)を指します。
ここだけGIDを使用することを許可されていないグループの名前を使用することができました。:関連して以下の順序で命令の処理を拒否/許可
DenyUsers、AllowUsersという、のDenyGroups、にAllowGroups
DenyUsers
(「*」と「?」のワイルドカードを使用することができます)ユーザー名のスペース区切りのリストの文字列に続いてこの命令の背後にあります。デフォルトでは、すべてのユーザーがログオンを許可されています。
このコマンドを使用する場合は、それらのユーザーがログインを拒否されます。
ユーザーモードUSER @ hostの場合、USERとHOSTもチェックされます。
ここだけUIDを使用することを許可されていないユーザーの名前を使用することができました。:関連して以下の順序で命令の処理を拒否/許可
DenyUsers、AllowUsersという、のDenyGroups、にAllowGroups
ForceCommand
、ここで指定されたコマンドを強制し、クライアントによって提供される任意のコマンドを無視します。このコマンドは、ユーザのログインシェル(シェル-c)を使用して実行されます。
これは、コマンド、シェルに適用することができ、サブシステムは、一般的にマッチブロックのため、完成されています。
このコマンドは、もともとSSH_ORIGINAL_COMMAND環境変数でクライアントをサポートします。
GatewayPortsを
リモートホストがローカルポート転送を接続することを許可するかどうか。デフォルトは「no」です。
sshdが(8)ループバックアドレスへのリモートポート転送のデフォルトをバインドします。これは、転送されたポートに接続するために、他のリモートホストを防ぐことができます。
GatewayPortsのコマンドを使用すると、リモートホスト接続を許可することができるようにsshdが、非ループバックアドレスへのリモートポート転送をバインドすることができます。
「なし」は、ローカル接続を許可し、「YES」ワイルドカードアドレス(ワイルドカードアドレス)に必須のバインドリモートポートフォワーディングを示し、
表現「clientspecifiedない」クライアントは、リモートポートフォワーディングアドレスにバインドするかを選択することを可能にします。
GSSAPIAuthentication
使用GSSAPIベースのユーザ認証を許可するかどうか。デフォルトは「no」です。唯一のSSH-2。
GSSAPICleanupCredentials
自動的にログオフした後、ユーザーの資格情報のキャッシュを破棄するかどうか。デフォルトは「yes」です。唯一のSSH-2。
HostbasedAuthentication機能
と同様のが、唯一のSSH-2のために使用することがこの命令RhostsRSAAuthentication(RhostsRSA認証の許可)。「いいえ」のデフォルト値を使用することをお勧めします。
デフォルト値は、そのような安全でない認証方式の「なし」の禁止を使用しないことをお勧めします。
HostbasedUsesNameFromPacketOnly
オープンでHostbasedAuthenticationの場合は、
逆ドメイン名の問い合わせかどうか、〜/ .shosts〜/ .rhostsファイル/etc/hosts.equivのリモートホスト名の一致を使用してサーバーを指定します。
「はい」の逆引き参照せずに、クライアントが提供するsshd(8)の信頼されたホスト名を表します。デフォルトは「no」です。
ホスト鍵
ホストの場所秘密鍵ファイル。権限がない場合は、sshd(8)の開始を拒否することができます。
SSH-1デフォルトの/ etc / sshを/ ssh_host_key。
SSH-2デフォルトの/ etc / sshを/ ssh_host_rsa_keyと/ etc / sshを/ ssh_host_dsa_keyに。
ホストは、いくつかの異なる秘密鍵を持つことができます。のみSSH-1のための"RSA1"、 "DSA"とのみSSH-2の"RSA"。
IgnoreRhosts
ファイルおよび.shosts RhostsRSAAuthentication(RhostsRSA認証の許可)またはHostbasedAuthentication機能プロセスを.rhostsファイル無視するかどうか。
しかし、/etc/hosts.equivのと/etc/shosts.equivが使用されます。「はい」のデフォルトとして設定推奨。
IgnoreUserKnownHosts
ユーザーのRhostsRSAAuthentication(RhostsRSA認証の許可)またはHostbasedAuthentication機能プロセスの〜/ .ssh / known_hostsファイルを無視するかどうか。
デフォルトは「no」です。セキュリティを改善するには、「はい」に設定することができます。
KerberosAuthenticationは、
KerberosのKDCの認証を経て、Kerberos認証を使用するかどうか、つまり、PasswordAuthenticationをを提供しなければならないユーザのパスワードを要求するかどうか。
Kerberos認証を使用するには、サーバーは、Kerberos servtabのチェックKDCのアイデンティティである必要があります。デフォルトは「no」です。
KerberosGetAFSTokenは、
AFSと、ユーザがKerberos 5 TGTを持っている場合は、コマンドを開いた後
、ユーザーのホームディレクトリにアクセスする前に、AFSトークンを取得しようとします。デフォルトは「no」です。
KerberosOrLocalPasswd
Kerberosパスワード認証が失敗した場合、パスワードは(例えば、/ etc / passwdファイルのような)他の認証メカニズムを介してであろう。
デフォルトは「yes」です。
KerberosTicketCleanup
自動的にユーザーのチケットを破棄するかどうかをユーザーがログアウトした後。デフォルトは「yes」です。
KeyRegenerationIntervalに
SSH-1プロトコルでの時間は、短期キーサーバーの命令は、この期間(秒)に設定し、常に再生します。
このメカニズムは、キー紛失または損失をハッキングさを最小限に抑えることができます。
再生することがないために0に設定すると、デフォルトでは3600(秒)です。
ListenAddressを
指定sshdが(8)デフォルトでは、すべてのアドレスを聞いて、ネットワークアドレスで待機します。:次の形式を使用することができます
IPv4_addr | | IPv6_addr ListenAddressをホストを
ListenAddressをホスト| IPv4_addr:ポート
ListenAddressを[ホスト| IPv6_addr]:ポート
のポートを使用してポートが指定されていない場合は、指示値。
あなたは、複数のListenAddressを命令モニタ複数のアドレスを使用することができます。
LoginGraceTimeは
、ユーザは、指定された制限時間内に成功した無制限のために0を認証する必要があります制限します。デフォルト値は120秒です。
ログレベルは、
ログレベル(詳細レベル)のSSHD(8)を指定しました。可能な値は:
QUIET、FATAL、ERROR、INFO(デフォルト)、VERBOSE、DEBUG、DEBUG1、DEBUG2、DEBUG3
DEBUGとDEBUG1と同等であり、より詳細に指定されたそれぞれDEBUG2 DEBUG3と、より詳細なログ出力。
DEBUGは、ユーザーに関する機密情報を漏洩し、そのための使用に反対するかもしれないより多くの詳細を記録します。
MACは、
SSH-2データ検証にメッセージダイジェストアルゴリズムを使用することを許可されるユーザーを指定します。
カンマ区切りのリストは、許可され複数のアルゴリズムを指定するために使用されてもよいです。(使用することができるすべてのアルゴリズムを含む)デフォルトは:
HMAC-MD5、HMAC-SHA1、UMAC-64 @ openssh.com、HMAC-RIPEMD160ザ、HMAC-SHA1-96、HMAC-MD5-96
一致
条件ブロックを導入します。ブロック終了フラグは、matchコマンドまたはファイルの別の終わりです。
マッチライン指定された条件が満たされた場合には、後続の命令は、グローバルコンフィギュレーションコマンドを上書きします。
ペア-マッチ値は、1つ以上の「モードの状態」です。「条件」を使用することができます:ユーザー、グループ、ホスト、アドレス 。
AllowTcpForwarding、バナー、:のみ次の手順では、マッチブロックで使用することができ
ForceCommand、GatewayPortsを、GSSAPIAuthentication、
KbdInteractiveAuthentication、KerberosAuthentication、
PasswordAuthenticationを、PermitOpen、のPermitRootLogin、
RhostsRSAAuthentication(RhostsRSA認証の許可)、RSAAuthentication、X11DisplayOffset、
X11Forwarding、X11UseLocalhost
MaxAuthTries
最大許容各接続のための認証の数を指定します。デフォルトは6です。
認証失敗の数がこの値の半分を超えている場合、接続が強制的にオフになり、追加の障害ログメッセージが生成されます。
MaxStartups
ままにし、認証されていない接続の最大数。デフォルト値は10です。
限界に達した後、あなたは、もはや以前の接続認証が成功しない限り、新しい接続を受け付けていないか、LoginGraceTimeの限界を超えてしまいます。
PasswordAuthenticationの
パスワードベースの認証の使用を許可するかどうか。デフォルトは「yes」です。
PermitEmptyPasswords
リモートでログインするユーザーのための空白のパスワードを許可するかどうか。デフォルトは「no」です。
PermitOpen
ポート転送が可能に宛先TCPを指定するには、転送先を区切るためにスペースを使用することができます。デフォルトでは、すべての転送された要求を許可します。
次のように有効な命令の形式は次のとおりです。
PermitOpenホスト:ポート
PermitOpen IPv4_addr:ポート
PermitOpen [IPv6_addr]:ポートの
「任意の」すべての転送された要求をすべての制限を削除し、可能にするために使用することができます。
PermitRootLogin
のrootログインを許可するかどうか。値は次のとおりです:
「はい」(デフォルト)が許可されています。「いいえ」の禁止を表明。
「なしパスワード」を使用するパスワード認証ログインの禁止を表します。
「強制コマンドは、専用の」唯一のコマンドオプションを指定した状況下でのみログオンするために、公開鍵認証の使用を可能にすることを意味します。
他のすべての認証方法が無効になっていますが。この値は、リモートバックアップのようなものを行うために使用されます。
PermitTunnel
TUN(4)デバイスの転送を許可するかどうか。値は次のとおりです:
"はい"、 "ポイントツーポイント"(レイヤ3)、 "イーサネット"(レイヤ2)、 "NO"(デフォルト)。
「はい」同時に「ポイント・ツー・ポイント」と「イーサネット」が含まれています。
許可するにはPermitUserEnvironment
指定sshd(8)の処理の〜/ .ssh /環境との〜/ .ssh / authorized_keysに環境=オプションかどうか。
デフォルトは「no」です。設定した場合は「はい」の脆弱性で、その結果、ユーザーがアクセス制御をバイパスする(例えばLD_PRELOADなど)いくつかのメカニズムを使用する機会を持っている可能性があります。
PidFileオプションは
デフォルトは/var/run/sshd.pidファイルで、ファイル、SSHデーモンに保存されているプロセスIDを指定します。
ポートは、
(8)デーモンは、ポート番号を聞いてSSHDを指定し、デフォルトは22です。あなたは、複数のポートをリッスンするように複数の命令を使用することができます。
デフォルトでは、マシンのすべてのネットワークインタフェースで待機しますが、あなただけの指定ListenAddressをすることによって、特定のインターフェイス上で聴くことができます。
PrintLastLogは
、すべての対話型ログオン時にユーザーのための最終ログイン時刻を印刷するかどうかにsshd(8)を指定しました。デフォルトは「yes」です。
PrintMotdは、
(8)各時間の対話型ログオンの/ etc / motdファイルの内容を印刷するかどうかをSSHDを指定しました。デフォルトは「yes」です。
プロトコル
指定のsshd(8)は、SSHプロトコルのバージョンがサポートされています。
'1'と'2'のみSSH-1およびSSH-2プロトコルをサポートして示しています。"2,1"は、両方のSSH-1およびSSH-2プロトコルをサポートすることを示します。
PubkeyAuthentication
公開鍵認証を許可するかどうか。それだけでSSH-2を使用することができます。デフォルトは「yes」です。
RhostsRSAAuthentication(RhostsRSA認証の許可)
強い信頼できるホスト認証(リモートホスト名と関連付けられたユーザー名をチェックして認証)を使用するかどうか。唯一のSSH-1。
これは、RSA認証によって認定されて成功した後、〜/ .rhostsファイルまたは/etc/hosts.equivファイルを確認してください。
セキュリティ上の理由から、「なし」のデフォルト値を使用することをお勧めします。
RSAAuthentication
純粋なRSA公開鍵認証の使用を許可するかどうか。唯一のSSH-1。デフォルトは「yes」です。
ServerKeyBitsには、
一時的なサーバキーの長さを指定します。唯一のSSH-1。デフォルト値は768(ビット)です。最小値は512です。
StrictModesをは
、接続要求を受け入れる前に、ユーザのホームディレクトリと関連付けられている設定ファイルのホストおよび権限チェックのためかどうかはsshd(8)を指定します。
強く発生する可能性があり、低レベルのエラーを防ぐために、「はい」のデフォルト値を使用することをお勧めします。
サブシステムは、
外部サブシステム(例えば、ファイル転送デーモン)を設定します。唯一のSSH-2プロトコル。
(オプションやパラメータを含む)サブシステム名とコマンドラインに対応した値です。例えば、 "SFT / binに/ SFTPサーバー "。
SyslogFacilityには、
sshd(8)のスルーログメッセージロギングサブシステム(設備)を指定しました。有効な値は以下のとおりです。
DAEMON、USER、AUTH(デフォルト)、LOCAL0、LOCAL1、LOCAL2、 LOCAL3、LOCAL4、LOCAL5、LOCAL6、LOCAL7
TCPKEEPALIVE
システムがクライアントにTCPキープアライブメッセージを送信するかどうかを指定します。デフォルトは「yes」です。
検出することができ、このメッセージは、正しく閉じクライアントがクラッシュし、他の異常を、死に接続接続されています。
この機能をオフにするには、「なし」に設定することができます。
UseDNSは、
リモートホスト名でのsshd(8)は、ホスト名とその実際のIPアドレスの対応かどうかを確認するために分析を逆にするかどうかを指定します。デフォルトは「yes」です。
UseLoginを使っ
ログオンプロセスの対話型セッション中にログイン(1)かどうか。デフォルトは「no」です。
あなたがこの命令を有効にした場合、ログインが(1)(1)クッキーをxauthの処理方法を知らないので、X11Forwardingは、禁止されます。
ログイン(1)コマンドのリモート実行のために禁止され、注目されるべきです。
UsePrivilegeSeparationが指定された場合は、認証が完了すると、それは無効になります。
UsePrivilegeSeparation
sshd(8)のアクセス要求を処理する権限のない子プロセスの許可を分離するメソッドを作成できるようにするかどうか。デフォルトは「yes」です。
認証に成功すると、それは別の子プロセスユーザーのIDを作成します。
目的は、システムをより安全にする、欠陥のある子プロセスによって特権の昇格を防ぐことにあります。
X11DisplayOffsetは
sshd(8)の最初の利用可能な表示領域(表示)X11転送電話番号を指定しました。デフォルト値は10です。
これは、sshdが混乱の中で発生した実際のX11サーバの表示領域を、占有防ぐために使用することができます。
X11Forwarding
X11転送を許可するかどうか。デフォルトは「いいえ」に設定されている「はい」ことができます表明しました。
許容X11転送およびsshd(8)のプロキシ表示領域がワイルドカードを含むアドレス(X11UseLocalhost)をリッスンするように構成されている場合。
だから、追加情報が漏洩したことになるがあるかもしれません。なぜならX11フォワーディングを使用することの潜在的なリスクのは、このコマンドのデフォルトは「no」です。
ユーザーが独自のフォワーダをインストールすることができますよう、X11トラフィックを転送するからユーザーを防ぐことはできません。X11フォワーディングを禁止注意。
UseLoginを使っている場合は、X11転送は自動的に無効になります。
X11UseLocalhostは
X11フォワーディングサーバがローカルループバックアドレスにバインドする必要があるかどうか(8)のsshd。デフォルトは「yes」です。
DISPLAY環境変数のローカルループバックアドレスの名前部分をホストするためのsshdサーバーに転送のデフォルトのバインドは、「localhost」をするように設定されています。
これは、プロキシディスプレイに接続するリモートホストを防ぐことができます。ただし、一部の古いX11クライアントがこの構成で動作することはできません。
これらの古いX11クライアントとの互換性のために、あなたは「なし」に設定することができます。
XAuthLocationには、
(1)プログラムをXAUTHの絶対パスを指定します。デフォルトでは、/ usr / X11R6 / binに/ XAuthのある
---------------------
パーク思考統合:著者
CSDN:出典
元ます。https://blog.csdnを。ネット/ linghe301 /記事/詳細/ 8211305
免責条項:この記事はブロガーのオリジナルの記事、再現され、ボーエンのリンクを添付してください!