sshd_config – Arquivo de configuração comentado e traduzido.

Arquivo de configuração comentado e traduzido.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
 
# Package generated configuration file
# See the sshd(8) manpage for details
 
###############################################
# Porta padrão usada pelo servidor sshd. Múltiplas portas podem ser   #
# especificadas separadas por espaços.                       #
###############################################
Port 22
 
###############################################
# Especifica o endereço IP das interfaces de rede que o servidor sshd   #
# servirá requisições. Múltiplos endereços podem ser especificados   #
# separados por espaços. A opção Port deve vir antes desta opção.   #
# O padrão é que o sshd escute em todos os endereços de rede      #
###############################################
 
#ListenAddress 192.168.0.x
 
###################################################
# Protocolos aceitos pelo servidor, primeiro será verificado se o cliente é   #
# compatível com a versão 2 e depois a versão 1. Caso seja especificado   #      
# somente a versão 2 e o cliente seja versão 1, a conexão será descartada.   #
# Quando não é especificada, o protocolo ssh 1 é usado como padrão.      #
###################################################
 
Protocol 2
 
######################################################
# Especifica os arquivos que contém as chaves privadas do sshd.                 #
# Lembre-se que o ssh faz a criptograifa dos dados usando chaves assimétricas   #
# privadas e públicas.                                                #
######################################################
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
 
###################################################
# Privilege Separation is turned on for security                            #
# Está opção especifica se será criado um processo filho sem privilégios   #
# Após a autenticação bem-sucedida, outro processo será criado que tem    #
# o privilégio de o usuário autenticado. O objetivo da separação de      #
# privilégio é para evitar a escalonamento de privilégios,  qualquer tipo de   #
# corrupção no âmbito dos processos sem privilégios. A padrão é "Sim".   #
###################################################
 
UsePrivilegeSeparation yes
 
###################################################
# Lifetime and size of ephemeral version 1 server key                         #
# Tempo para geração de nova chave do servidor (segundos). O padrão é   #
# 3600 segundos (1 hora).                                                  #
# O propósito de regeneração de chaves é para evitar descriptografar           #
# trafégo capturado em sessões abertas para posteriormente tentar           #
# invadir a máquina e roubar as chaves.                               #
# A chave nunca é armazenada em qualquer lugar. Se o valor for 0           #
# a chave nunca será regenerada.                                       #
###################################################
 
KeyRegenerationInterval 1200
 
############################################
# Tamanho da chave após ser gerada. 1024 bits é o padrão       #
############################################
 
ServerKeyBits 1024
 
###############################################
# Indica Facilidade e nível logs do sshd que aparecerão no syslogd   #
# ou no rsyslog. você pode alterar conforme sua necessídade      #
###############################################
 
SyslogFacility AUTH
LogLevel INFO
 
###################################################
# Tempo máximo para fazer login no sistema antes da conexão ser fechada   #
# O tempo e informado em segundos. se o valor for 0 não tem limite.           #
# o padrão é 120 segundos.                                          #
###################################################
 
LoginGraceTime 120
 
#########################################
# ssh Permite (yes) ou nega (no) que o usuário root acesse    #
# remotamente o servidor. por segurança deixe desabilitada.  #
#########################################
 
PermitRootLogin no
 
############################################
# Especifica se o encaminhamento pelos dispositivos tun/tap   #
# é permitido, criando um rede ponto-a-ponto usando ssh.           #
# OU seja permiti ou não a criação de túneis cifrados com sshd   #
############################################
 
#PermitTunnel yes
 
######################################################
# Checa por permissões de dono dos arquivos e diretório de usuário antes de   #
# fazer o login. É muito recomendável para evitar riscos de segurança              #
# com arquivos lidos por todos os usuários.                               #
######################################################
 
StrictModes yes
 
############################################
# Usuários que o ssh permite acessar remotamente o servidor   #
############################################
 
AllowUsers edson nx
 
######################################################
# Está opção especifica quais usuários não terão permissão de acesso ao servidor#
# sshd. a sintaxe é a mesma de AllowUsers, pode especificar vários usuários   #
# separados por espaço.                                                #
######################################################
 
#DenyUsers root
 
###################################################
# Especifica uma lista de groupos que terão acesso permitido ao sshd      #
# Se o usuário estiver contido no grupo especificadp nesta opção então seu   #
# acesso será liberado.                                        #   
###################################################
 
#AllowGroups
 
######################################################
# Especifica um lista de grupos que terão seu acesso negado ao sshd              #
# se o usuário estiver contido no grupo espeficado nesta opção seu acesso será   #
# negado ao servidor sshd.                                             #
######################################################
 
#DenyGroups
 
###################################################
# Especifica se a autenticação via RSA é permitida (só usado na versão 1 do   #
# protocolo ssh). Por padrão "yes".                                  #
###################################################
 
RSAAuthentication yes
 
###########################################
# Especifica se a autenticação usando chave pública é permitida.  #
# O padrão é "Sim". Note que esta opção se aplica ao protocolo   #
# versão 2, apenas.                                                #
###########################################   
 
PubkeyAuthentication yes
 
##################################################
#Especifica o arquivo que contém as chaves públicas que podem ser usados#
#para autenticação de usuários. "%h" especifica o diretório home do          #
# do usuário que está usando as chaves públicas e privadas.             #   
##################################################
 
AuthorizedKeysFile   %h/.ssh/authorized_keys
 
###################################
# Don't read the user's ~/.rhosts and ~/.shosts files #
# Ignora os arquivos ~/.rhosts e ~/.shosts ou não.   #
###################################
 
IgnoreRhosts yes
 
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
 
######################################################
# Ignora (yes) ou não (no) os arquivos ~/.ssh/known_hosts quando for usado           #
# para a opção RhostsRSAAuthentication. Se você não confia neste mecanismo   #
# ajuste esta opção para yes.                                             #
######################################################
 
#IgnoreUserKnownHosts yes
 
######################################################
# Se a opção PasswordAuthentication for usada, permite (yes) ou não (no) login   #
# sem senha. O padrão é "no". Não é recomendado habilitar (yes) essa opção   #
######################################################
 
PermitEmptyPasswords no
 
##########################################################
# Está opção permiti (yes) ou nega (no) se a autenticação desafio-resposta será aceita.   #
# via PAM Por exemplo. o Padrão é (yes).                                          #
##########################################################
 
ChallengeResponseAuthentication no
 
################################################
# Se a PasswordAuthentication for usada, permite (yes) ou não (no) login #
# usando senha. O padrão é "yes".                                 #
################################################
 
PasswordAuthentication yes
 
#Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
 
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
 
######################################################
# Permite (yes) ou não (no) o redirecionamento de conexões X11. A segurança   #
# do sistema não é aumentada com a desativação desta opção, outros métodos   #
# de redirecionamento podem ser usados. Isso permite ou nega a execução de    #
# aplicativos gráficos no servidor ssh.                                                                 #
######################################################
 
X11Forwarding yes
 
#######################################################
# Especifica o número do primeiro display que será usado para o redirecionamento #
# X11 do ssh. Por padrão é usado o display 10 como inicial para evitar conflito        #
# com display X locais                                                 #
#######################################################
 
X11DisplayOffset 10
 
#####################################################
# Mostra (yes) ou não (no) a mensagem em /etc/motd no login. O padrão é "no".#
#####################################################
 
PrintMotd no
 
###################################################
# Mostra (yes) ou não (no) a date e hora do último login do usuário      #
# O padrão é "sim".                                                #
###################################################
 
PrintLastLog yes
 
######################################################
# Permite (yes) ou não (no) o envio de pacotes keepalive (para verificar se o           #
# cliente responde. Isto é bom para fechar conexões que não respondem mas   #
# também podem fechar conexões caso não existam rotas para o cliente      #
# naquele momento (é um problema temporário). Colocando esta opção como   #
# "no" por outro lado pode deixar usuários que não tiveram a oportunidade           #
# de efetuar o logout do servidor dados como "permanentemente conectados"   #
# no sistema. Esta opção deve ser ativada/desativada aqui e no programa      #
# cliente para funcionar. caso queira manter uma conexão aberta mesmo estando   #
# inativa, habilite (yes) no servidor e no cliente está opção.                         #
######################################################
 
TCPKeepAlive yes
 
##################################################
# Usa (yes) ou não usa (no) o programa login para efetuar o login do cliente #
# no servidor ssh. o padrão é "não"                                      #
##################################################
 
#UseLogin no                        
 
###############################################
# Especifica o número máximo de tentativas de autenticação permitidas   #
# por conexão. Uma vez que o número de falhas chega a metade desse   #
# valor, falhas adicionais são registrados. O padrão é 6.              #
###############################################
 
MaxAuthTries 2
 
######################################################
# Especifica o número máximo de sessões abertas permitida por rede-trabalhos   #
# de ligação. O padrão é 10.                                             #
######################################################
 
MaxSessions 1
 
######################################################
# Especifica o número máximo de conexões de autenticação simultâneas feitas   #
# pelo daemon sshd. O valor padrão é 10. Valores aleatórios podem ser      #
# especificados usando os campos "inicio:taxa:máximo". Por exemplo,              #
# 5:40:15 rejeita até 40% das tentativas de autenticação que excedam o      #
# limite de 5 até atingir o limite máximo de 15 conexões, quando                      #
# nenhuma nova autenticação é permitida.                                       #
######################################################
 
MaxStartups 5:40:15
 
#####################################
# Mostra uma mensagem antes do nome de login.   #
#####################################
 
#Banner /etc/issue.net
 
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
 
#############################################
# Ativa o subsistema de ftp seguro. Para desabilitar comente a linha #
# abaixo                                                         #
#############################################
 
#Subsystem sftp /usr/lib/openssh/sftp-server
 
######################################
# Permite a autenticação usando o PAM (yes) ou não (no) #
# o padrão é "não".                                  #
######################################
 
#UsePAM no

by: http://www.vivaolinux.com.br/etc/sshd_config-4/