ssh (sshd_config)

sshd_config com a maioria das opções comentadas

Categoria: Networking

Software: ssh

[ Hits: 28.899 ]

Por: Edson


sshd_config é o arquivo de configuração do serviço ssh para o módulo servidor. A intenção dessa contribuição não é mostrar um exemplo simples e/ou seguro de configurar o ssh e sim de mostrar o que faz a maioria das opções de configuração do arquivo.


# Package generated configuration file
# See the sshd(8) manpage for details

###############################################
# Porta padrão usada pelo servidor sshd. Múltiplas portas podem ser   #
# especificadas separadas por espaços.                       #
###############################################
Port 22

###############################################
# Especifica o endereço IP das interfaces de rede que o servidor sshd   #
# servirá requisições. Múltiplos endereços podem ser especificados   #
# separados por espaços. A opção Port deve vir antes desta opção.   #
# O padrão é que o sshd escute em todos os endereços de rede      #
###############################################

#ListenAddress 192.168.0.x

###################################################
# Protocolos aceitos pelo servidor, primeiro será verificado se o cliente é   #
# compatível com a versão 2 e depois a versão 1. Caso seja especificado   #      
# somente a versão 2 e o cliente seja versão 1, a conexão será descartada.   #
# Quando não é especificada, o protocolo ssh 1 é usado como padrão.      #
###################################################

Protocol 2

######################################################
# Especifica os arquivos que contém as chaves privadas do sshd.                 #
# Lembre-se que o ssh faz a criptograifa dos dados usando chaves assimétricas   #
# privadas e públicas.                                                #
######################################################
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

###################################################
# Privilege Separation is turned on for security                            #
# Está opção especifica se será criado um processo filho sem privilégios   #
# Após a autenticação bem-sucedida, outro processo será criado que tem    #
# o privilégio de o usuário autenticado. O objetivo da separação de      #
# privilégio é para evitar a escalonamento de privilégios,  qualquer tipo de   #
# corrupção no âmbito dos processos sem privilégios. A padrão é "Sim".   #
###################################################

UsePrivilegeSeparation yes

###################################################
# Lifetime and size of ephemeral version 1 server key                         #
# Tempo para geração de nova chave do servidor (segundos). O padrão é   #
# 3600 segundos (1 hora).                                                  #
# O propósito de regeneração de chaves é para evitar descriptografar           #
# trafégo capturado em sessões abertas para posteriormente tentar           #
# invadir a máquina e roubar as chaves.                               #
# A chave nunca é armazenada em qualquer lugar. Se o valor for 0           #
# a chave nunca será regenerada.                                       #
###################################################

KeyRegenerationInterval 1200

############################################
# Tamanho da chave após ser gerada. 1024 bits é o padrão       #
############################################

ServerKeyBits 1024

###############################################
# Indica Facilidade e nível logs do sshd que aparecerão no syslogd   #
# ou no rsyslog. você pode alterar conforme sua necessídade      #
###############################################
   
SyslogFacility AUTH
LogLevel INFO

###################################################
# Tempo máximo para fazer login no sistema antes da conexão ser fechada   #
# O tempo e informado em segundos. se o valor for 0 não tem limite.           #
# o padrão é 120 segundos.                                          #
###################################################

LoginGraceTime 120

#########################################
# ssh Permite (yes) ou nega (no) que o usuário root acesse    #
# remotamente o servidor. por segurança deixe desabilitada.  #
#########################################

PermitRootLogin no

############################################
# Especifica se o encaminhamento pelos dispositivos tun/tap   #
# é permitido, criando um rede ponto-a-ponto usando ssh.           #
# OU seja permiti ou não a criação de túneis cifrados com sshd   #
############################################

#PermitTunnel yes

######################################################
# Checa por permissões de dono dos arquivos e diretório de usuário antes de   #
# fazer o login. É muito recomendável para evitar riscos de segurança              #
# com arquivos lidos por todos os usuários.                               #
######################################################

StrictModes yes

############################################
# Usuários que o ssh permite acessar remotamente o servidor   #
############################################

AllowUsers edson nx

######################################################
# Está opção especifica quais usuários não terão permissão de acesso ao servidor#
# sshd. a sintaxe é a mesma de AllowUsers, pode especificar vários usuários   #
# separados por espaço.                                                #
######################################################

#DenyUsers root

###################################################
# Especifica uma lista de groupos que terão acesso permitido ao sshd      #
# Se o usuário estiver contido no grupo especificadp nesta opção então seu   #
# acesso será liberado.                                        #   
###################################################

#AllowGroups

######################################################
# Especifica um lista de grupos que terão seu acesso negado ao sshd              #
# se o usuário estiver contido no grupo espeficado nesta opção seu acesso será   #
# negado ao servidor sshd.                                             #
######################################################

#DenyGroups

###################################################
# Especifica se a autenticação via RSA é permitida (só usado na versão 1 do   #
# protocolo ssh). Por padrão "yes".                                  #
###################################################

RSAAuthentication yes

###########################################
# Especifica se a autenticação usando chave pública é permitida.  #
# O padrão é "Sim". Note que esta opção se aplica ao protocolo   #
# versão 2, apenas.                                                #
###########################################   

PubkeyAuthentication yes

##################################################
#Especifica o arquivo que contém as chaves públicas que podem ser usados#
#para autenticação de usuários. "%h" especifica o diretório home do          #
# do usuário que está usando as chaves públicas e privadas.             #   
##################################################

AuthorizedKeysFile   %h/.ssh/authorized_keys

###################################
# Don't read the user's ~/.rhosts and ~/.shosts files #
# Ignora os arquivos ~/.rhosts e ~/.shosts ou não.   #
###################################

IgnoreRhosts yes

# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no

######################################################
# Ignora (yes) ou não (no) os arquivos ~/.ssh/known_hosts quando for usado           #
# para a opção RhostsRSAAuthentication. Se você não confia neste mecanismo   #
# ajuste esta opção para yes.                                             #
######################################################

#IgnoreUserKnownHosts yes

######################################################
# Se a opção PasswordAuthentication for usada, permite (yes) ou não (no) login   #
# sem senha. O padrão é "no". Não é recomendado habilitar (yes) essa opção   #
######################################################

PermitEmptyPasswords no

##########################################################
# Está opção permiti (yes) ou nega (no) se a autenticação desafio-resposta será aceita.   #
# via PAM Por exemplo. o Padrão é (yes).                                          #
##########################################################

ChallengeResponseAuthentication no

################################################
# Se a PasswordAuthentication for usada, permite (yes) ou não (no) login #
# usando senha. O padrão é "yes".                                 #
################################################

PasswordAuthentication yes

#Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

######################################################
# Permite (yes) ou não (no) o redirecionamento de conexões X11. A segurança   #
# do sistema não é aumentada com a desativação desta opção, outros métodos   #
# de redirecionamento podem ser usados. Isso permite ou nega a execução de    #
# aplicativos gráficos no servidor ssh.                                                                 #
######################################################

X11Forwarding yes

#######################################################
# Especifica o número do primeiro display que será usado para o redirecionamento #
# X11 do ssh. Por padrão é usado o display 10 como inicial para evitar conflito        #
# com display X locais                                                 #
#######################################################

X11DisplayOffset 10

#####################################################
# Mostra (yes) ou não (no) a mensagem em /etc/motd no login. O padrão é "no".#
#####################################################

PrintMotd no

###################################################
# Mostra (yes) ou não (no) a date e hora do último login do usuário      #
# O padrão é "sim".                                                #
###################################################

PrintLastLog yes

######################################################
# Permite (yes) ou não (no) o envio de pacotes keepalive (para verificar se o           #
# cliente responde. Isto é bom para fechar conexões que não respondem mas   #
# também podem fechar conexões caso não existam rotas para o cliente      #
# naquele momento (é um problema temporário). Colocando esta opção como   #
# "no" por outro lado pode deixar usuários que não tiveram a oportunidade           #
# de efetuar o logout do servidor dados como "permanentemente conectados"   #
# no sistema. Esta opção deve ser ativada/desativada aqui e no programa      #
# cliente para funcionar. caso queira manter uma conexão aberta mesmo estando   #
# inativa, habilite (yes) no servidor e no cliente está opção.                         #
######################################################

TCPKeepAlive yes

##################################################
# Usa (yes) ou não usa (no) o programa login para efetuar o login do cliente #
# no servidor ssh. o padrão é "não"                                      #
##################################################

#UseLogin no                        

###############################################
# Especifica o número máximo de tentativas de autenticação permitidas   #
# por conexão. Uma vez que o número de falhas chega a metade desse   #
# valor, falhas adicionais são registrados. O padrão é 6.              #
###############################################

MaxAuthTries 2

######################################################
# Especifica o número máximo de sessões abertas permitida por rede-trabalhos   #
# de ligação. O padrão é 10.                                             #
######################################################

MaxSessions 1

######################################################
# Especifica o número máximo de conexões de autenticação simultâneas feitas   #
# pelo daemon sshd. O valor padrão é 10. Valores aleatórios podem ser      #
# especificados usando os campos "inicio:taxa:máximo". Por exemplo,              #
# 5:40:15 rejeita até 40% das tentativas de autenticação que excedam o      #
# limite de 5 até atingir o limite máximo de 15 conexões, quando                      #
# nenhuma nova autenticação é permitida.                                       #
######################################################

MaxStartups 5:40:15

#####################################
# Mostra uma mensagem antes do nome de login.   #
#####################################

#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

#############################################
# Ativa o subsistema de ftp seguro. Para desabilitar comente a linha #
# abaixo                                                         #
#############################################

#Subsystem sftp /usr/lib/openssh/sftp-server

######################################
# Permite a autenticação usando o PAM (yes) ou não (no) #
# o padrão é "não".                                  #
######################################

#UsePAM no
  


Comentários
[1] Comentário enviado por removido em 05/07/2015 - 01:45h

vlw broder super da hora

[2] Comentário enviado por AlysonPires em 02/06/2016 - 10:41h

Parabéns, cara. Muito bem explicado e muito útil para todos.

[3] Comentário enviado por Professor_Deva em 16/09/2017 - 18:12h

Parabéns pelo artigo. Muito completo e bem explicado.

[4] Comentário enviado por aristidesbneto em 01/05/2019 - 20:49h

Show de bola cara!! muito útil essas informações...


Contribuir com comentário

  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts