sshd_config

Mit der Secure Shell sind interaktive Verbindungen ala Telnet möglich. Allerdings sind diese Übertragungen verschlüsselt. Ausserdem kann die Art der Authentisierung eingestellt werden. Es ist möglich, sich ohne Passwort durch einen vorher ausgetauschten Schlüssel zu authentifizieren. Hier handelt es sich um eine Beschreibung der zentralen Server-Konfiguration auf Linux-Systemen.

Eingaben in spitzen Klammern "<" und ">" sind Text-Angaben. Wenn Sie nicht durch andere Symbole relativiert werden, sind sie zwingend. Der Inhalt ist vom Kontext abhängig.
Angaben in eckigen Klammern "[" und "]" sind optional.
Bei Parametern, die durch ein Pipe-Symbol "|" getrennt sind, muss eine der angegeben Optionen eingetragen werden.

AFSTokenPassing yes|no Definiert, ob ein AFS Token an den Server weitergeleitet wird. Default: "yes"
AllowGroups [<Gruppen-Name>] .... Diese Option erlaubt die Angabe von einer oder mehrerer, durch Spaces getrennte Anwender-Gruppen. Die Gruppe muss als Name angegeben werden. Wenn diese Option gesetzt ist, können sich nur Anwender anmelden, deren primäre Gruppe angegeben ist. '*' und '?' sind als Joker erlaubt. Default: keine Angabe, d. h., jeder kann sich unabhängig von seiner primären Gruppenzugehörigkeit anmelden.
AllowUsers [<User-Name>] .... Diese Option erlaubt die Angabe von einem oder mehreren, durch Spaces getrennte Anwender-Namen. Der Anwender muss als Name angegeben werden. Wenn diese Option gesetzt ist, können sich nur Anwender anmelden, deren Login-Name angegeben ist. '*' und '?' sind als Joker erlaubt.
Default: keine Angabe, d. h., jeder kann sich anmelden.
Ciphers [<Schlüssel>][,<Schlüssel>]..... Diese Option definiert die Schlüssel für die Protokoll-Version 2 in der Reihenfolge, wie sie angegeben werden. Mehrere Schlüssel müssen durch Kommata getrennt werden.
Default: "3des-cbc,blowfish-cbc,arcfour,cast128-cbc"
CheckMail yes|no Gibt an, ob bei interaktiven Sitzungen die Mailbox auf neue Mails kontrolliert werden soll.
Default: "no"
DenyGroups [<Gruppen-Name>] .... Diese Option erlaubt die Angabe von einer oder mehrerer, durch Spaces getrennte Anwender-Gruppen. Die Gruppe muss als Name angegeben werden. Anwender, deren primäre Gruppe hier angegeben ist, können sich nicht anmelden. '*' und '?' sind als Joker erlaubt.
Default: keine Angabe, d. h., jeder kann sich unabhängig von seiner primären Gruppenzugehörigkeit anmelden.
DenyUsers [<User-Name>] .... Diese Option erlaubt die Angabe von einem oder mehreren, durch Spaces getrennte Anwender-Namen. Der Anwender muss als Name angegeben werden. Anwender, deren Login-Name hier angegeben ist, können sich nicht anmelden. '*' und '?' sind als Joker erlaubt.
Default: keine Angabe, d. h., jeder kann sich anmelden.
DSAAuthentication yes|no Legt fest, ob DSA-Authentisierung erlaubt ist. Diese Option setzt die Verwendung der Protokoll-Version 2 voraus.
Defalut: "yes"
GatewayPorts yes|no Mit diesem Schlüssel wird festgelegt, ob der entfernte Rechner sich mit lokal weitergeleiteten Ports verbinden darf.
Erlaubte Werte sind "yes" oder "no".
Default: "no"
HostDSAKey <Pfad> Gibt den Pfad an zur Datei, die den privaten DSA Host-Keys für Protokoll-Version 2 enthält. Der SSH-Dämon deaktiviert das Protokoll 2.0, wenn Group/World-access auf diese Datei erlaubt ist!
Default: /etc/ssh_host_dsa_key
HostKey <Pfad> Gibt den Pfad an zur Datei, die den privaten RSA Host-Keys für die Protokoll-Versionen 1.3 und 1.5 enthält Der SSH-Dämon deaktiviert die Protokolle 1.3 und 1.5, wenn Group/World-access auf diese Datei erlaubt ist!
Default: /etc/ssh/ssh_host_key
IgnoreRhosts yes|no Definiert, ob rhosts1)- oder shosts-Dateien bei der Authentisierung ignoriert werden sollen.
Defaul: "yes"
IgnoreUserKnownHosts yes|no Definiert, ob die Datei $HOME/.ssh/known_hosts des Users während der RhostsRSAAuthentcation ignoriert werden soll.
Defaul: "no"
KeepAlive yes|no Mit dieser Option wird festgelegt, ob das System Keepalive-Nachrichten an die andere Seite schicken soll. Ist die Option gesetzt, werden Leitungsausfälle oder der Absturz eines der beteiligten Rechner sicher erkannt. Bei Verbindungen über Weitverkehrsnetze kann es bei Routingproblemen zu Verbindungsabbrüchen kommen.
Ist die Option nicht gesetzt, kann eine abgerochene Verbindung bis in "alle Ewigkeit" bestehen und zu sogenannten "Geister-Usern" führen, die dann unnötig Ressourcen belegen.
Diese Einstellung muss bei Client und Server übereinstimmen.
Default: "yes"
KerberosAuthentication yes|no Mit dieser Option wird festgelegt, ob Kerberos-Authentisierung erlaubt ist. Dies kann durch ein Kerberos-Ticket geschehen.Wenn PasswordAuthentication aktiviert ist, dann wird das übergebene Passwort durch die Kerberos KDC überprüft.
Default: "yes"
KerberosOrLocalPasswd yes|no Wenn diese Option gesetzt ist, wird bei fehlgeschlagener Authentisierung durch Kerberos eine Überprüfung durch zusätzliche lokale Mechanismen wie /etc/passwd oder SecurID durchgeführt.
Default: "yes"
KerberosTgtPassing yes|no Legt fest, ob ein Kerberos TGT an den Server weitergeleitet werden soll. Das funktioniert nur, wenn der Server ein Kerberos AFS Server ist.
Default: "no"
KerberosTicketCleanup yes|no Legt fest, ob die Ticket-Cache-Datei des Anwenders beim Abmelden automatisch gelöscht wird.
Default: "yes"
KeyRegenerationInterval <Sekunden> Diese Option gibt an, nach wievielen Sekunden der Server-Schlüssel regeneriert wird, sofern er benutzt wurde. Der Zweck der Regeneration ist, das Entschlüsseln übernommener Sitzungen durch gestohlene Schlüssel zu verhindern. Der Schlüssel wird niemals gespeichert. Ist der Wer auf 0 gesetzt, dann wird der Schlüssel nicht neu generiert.
Default: "3600"
ListenAddress <IP-Adresse> Legt fest, auf welcher lokalen Adresse der SSHD "lauschen" soll. Per default werden alle Adressen überwacht.
Es sind mehrere Einträge erlaubt.
Die Option Port muss vor dieser Option eingetragen sein.
LoginGraceTime <Sekunden> Eine Verbindung wird vom Server abgebrochen, wenn der Anwender sich nicht innerhalb hier angegebenen Zeit in Sekunden erfolgreich angemeldet hat. Es besteht kein Limit, wenn der Wert 0 eingetragen ist.
Default: "600"
LogLevel QUIET|FATAL|ERROR|INFO|VERBOSE|DEBUG Gibt an, wie ausführlich die Protokollierung des SSHD sein soll.
Die Benutzung des LogLevel DEBUG verletzt die Privatsphäre des Anwenders und wird nicht empfohlen.
Default: "INFO"
PasswordAuthentication yes|no Legt fest, ob Authentisierung durch Passwort erlaubt ist. Diese Option wird von den Protokoll-Versionen 1 und 2 unterstützt.
Default: "yes"
PermitEmptyPasswords yes|no Wenn PasswordAuthentication aktiviert ist, kann mit dieser Option die Anmeldung von Anwendern, deren Passwort nicht gesetzt ist, erlaubt werden.
Default: "yes"
PermitRootLogin yes|no|without-password Legt fest, ob sich der Superuser root über SSH anmelden darf. Wenn diese Option auf without-password gesetzt ist, ist nur die Authentisierung mittels Passwort für root deaktiviert.
Nicht interaktiven Verbindungen2) als root mit RSA-Authentisierung sind, unabhängig von dieser Option, immer möglich.
Default: "yes"
PidFile <Pfad> Gibt die Datei an, die die Prozess-ID des SSH-Dänons enthält.
Default: /var/run/sshd.pid
Port <Port-Nummer> Definiert den TCP-Port, auf der Server auf Verbindungen wartet. Diese Option kann mehrfach verwendet werden.
Default: "22"
PrintMotd yes|no Legt fest, ob bei interaktiver Anmeldung die Datei /etc/motd3) ausgegeben wird. Auf manchen Systemen wird sie durch die Shell, /etc/profile oder ähnliches ausgegeben.
Default: "yes"
Protocol 1|2[1,2|2,1] Mit dieser Option kann festgelegt werden, welche Protoll-Version(en) und in welcher Reihenfolge diese unterstützt werden.
Default: "1"
RandomSeed Diese Option ist überholt. Es werden andere Techniken zur Generierung von Zufallszahlen verwendet.
RhostsAuthentication yes|no Legt fest, ob Authentisierung auf Basis von rhosts1) oder /etc/hosts.equiv4) ausreicht. Normalerweise sollte diese Methode nicht erlaubt sein, da sie unsicher ist. Statt dessen sollte die Option RhostsRSAAuthentication verwendet werden, weil sie zusätzlich eine Authentisierung mit RSA-Schlüsseln durchführt.
Default: "no"
RhostsRSAAuthentication yes|no Legt fest, ob Authentisierung auf Basis von rhosts1) oder /etc/hosts.equiv4) mit zusätzlicher Authentisierung über RSA-Schlüssel erlaubt ist.
Default: "no"
RSAAuthentication yes|no Legt fest, ob Authentisierung über RSA-Schlüssel erlaubt ist. Beachten Sie, dass diese Option nur auf Protokoll-Version 1 auswirkt.
Default: "yes"
ServerKeyBits <Zahl> Mit dieser Option wird festgelegt, wieviele Bits der Server-Schlüssel enthält. Der kleinste erlaubte Wert ist 512.
Default: "768"
SkeyAuthentication yes|no Legt fest, ob Authentisierung über "Skey" erlaubt ist. Die Skey-Authentisierung ist nur dann aktiviert, wenn auch die Option PasswordAuthentication aktiviert ist.
Default: "yes"
StrictModes yes|no Legt fest, ob SSHD die Zugriffsrechte und das Eingentum der Dateien des Anwenders und des Home-Verzeichnisses überprüfen soll, befor die Anmeldung akzeptiert wird. Da Anfänger ihre Dateien oder Verzeichnisse oftmals mit Schreibrechten für alle versehen, ist diese Überprüfung normalerweise erwünscht.
Default: "yes"
SyslogFacility DAEMON|USER|AUTH|LOCAL[0-7] Mit dieser Option wird bestimmt, unter welcher Kategorie5) Meldungen von SSHD protokolliert werden.
Default: "AUTH"
UseLogin yes|no Legt fest, ob login6) zur Anmeldung verwendet wird.
Default: "no"
X11DisplayOffset <Zahl> Legt die erste Display-Nummer fest, die für die X11-Weiterleitung von SSHD zur Verfügung steht. Dadurch wird verhindert, das SSHD "echte" X11-Server beeinträchtigt.
X11Forwarding yes|no Legt fest, ob die X11-Weiterleitung erlaubt ist. Beachten sie, dass die Deaktivierung dieser Option die Sicherheit in keiner Weise verbessert, da die Anwender immer ihre eigenen Weiterleitungen installieren können!
Default: "yes"
XAuthLocation <Dateiname> Definiert den Pfad zum xauth7)-Programm.
Der Standard ist /usr/X11R6/bin/xauth.

Beispiel:

# This is ssh server systemwide configuration file.

Port 22
Protocol 2,1
ListenAddress 0.0.0.0
#ListenAddress ::
HostKey /etc/ssh/ssh_host_key
ServerKeyBits 768
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin yes
#
# Don't read ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd yes
KeepAlive yes

# Logging
SyslogFacility AUTH
LogLevel INFO
#obsoletes QuietMode and FascistLogging

RhostsAuthentication no
#
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
#
RSAAuthentication yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
PermitEmptyPasswords no
# Uncomment to disable s/key passwords
#SkeyAuthentication no

# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

CheckMail yes
UseLogin no


1) Siehe rhosts in Kategorie 5 der Man-Pages
2) Verbindungen, die auf dem Server direkt Programme ausführen. Vergleichbar mit rsh und rcp.
3) Siehe motd in Kategorie 5 der Man-Pages
4) Siehe hosts_access in Kategorie 5 der Man-Pages
5) Siehe syslog in Kategorie 3 der Man-Pages
6) Siehe login in Kategorie 1 der Man-Pages
7) Siehe xauth in Kategorie 1x der Man-Pages



Anmerkung zur Fu▀zeile ;-)

zurück