Июн 112011
 

# Исползвание порта
Port 22
По умолчанию sshd(8) слушает как на IPv4 так и на IPv6 адресах. Для того что бы отключить возможность работы по IPv6, необходимо изменить параметр AddressFamily:
#AddressFamily any
По умолчанию sshd(8) принимает подключения на всех интерфейсах, в чем не всегда есть необходимость. Если не требуется заходить на сервер «из вне», следует ограничить его работу определенным адресом с помощью параметра ListenAddress:
#ListenAddress 192.168.1.2
Дополнительно через двоеточие можно указать и номер порта. В данном примере используется значение порта, заданное глобально параметром Port.
#ListenAddress ::
активируем протокол второй версии
Protocol 2

# Ключи для протокола версии 1, если используеться протокол 2-й версии, то коментируем эту область.
#HostKey /etc/ssh/ssh_host_key
# Ключи для протокола версии 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key

# жизненый цикл ключа и размер шиврованияl version 1 серверных ключей
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

Код источника сообщений для протокола syslog. Допустимые значения: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Значение по умолчанию — AUTH.
#SyslogFacility AUTH
Задает степень подробности сообщений для протоколов sshd. Допустимыми являются значения: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2, and DEBUG3.
#LogLevel INFO

# Authentication:

Параметр LoginGraceTime определяет, по истечению какого времени простаивающее подключение будет разорвано (в секундах). Значение по умолчанию 120
#LoginGraceTime 2m
Запрещаем логинется под пользователем root , ибо эот не безопастно.
PermitRootLogin no

#StrictModes yes
Можно указать проста параметр 1, эквивалентно одной попытке.
MaxAuthTries 1
количеством одновременных запущенных сеансов
#MaxSessions 10

Servtifikat
Допускать аутентификацию только по ключу RSA. Значение по умолчанию — «yes» Данный параметр относится только к протоколу версии 1
#RSAAuthentication yes
Допускать аутентификацию по открытому ключу. Значение по умолчанию — «yes» Данный параметр относится только к протоколу версии 2
#PubkeyAuthentication yes
Файл с открытыми ключами которые могут быть использованы для аутентификации пользователей. Допустимо указание шаблонов, они преобразуются при настройке соединения: %% заменяется на символ ‘%’, %h заменяется на домашний каталог идентифицируемого пользователя, %u — на имя пользователя.
#AuthorizedKeysFile .ssh/authorized_keys

Допускать аутентификацию по rhosts или /etc/hosts.equiv совместно с аутентификацией по хосту RSA. Значение по умолчанию — «no» Данный параметр относится только к протоколу версии 1.
#RhostsRSAAuthentication no
опускать аутентификацию по хостам, т.е. аутентификацию по rhosts или /etc/hosts.equiv в сочетании с открытым ключом клиента. Этот параметр схож с RhostsRSAAuthentication и применим только к протоколу версии 2. Значение по умолчанию — «no»
#HostbasedAuthentication no
Не учитывать содержимое файла ~/.ssh/known_hosts при RhostsRSAAuthentication или HostbasedAuthentication Значение по умолчанию — «no»
#IgnoreUserKnownHosts no
Не учитывать содержимое файлов .rhosts и .shosts при аутентификации RhostsRSAAuthentication и HostbasedAuthentication
При этом будут учитываться только /etc/hosts.equiv и /etc/shosts.equiv. Значение по умолчанию — «yes»
#IgnoreRhosts yes

запрещаем авторизацию по паролю
PasswordAuthentication no
запрещаем использовать пустые пароли
PermitEmptyPasswords no

Определяет, разрешается ли безпарольная аутентификация «вызов-ответ». Поддерживаются все схемы аутентификации login.conf5 Значение по умолчанию — «yes»
ChallengeResponseAuthentication no

# Kerberos опции
Определяет, дозволена ли аутентификация Kerberos: Проверять ли пароль указанный пользователем для аутентификации PasswordAuthentication в Kerberos KDC.
#KerberosAuthentication no
если авторизация посредсвом kerberos не принята, то проверять пароль другими механизмами, такими как /etc/passwd Значение по умолчанию — «yes»
#KerberosOrLocalPasswd yes
очищаем кэш у пользователей по завершения сеанса
#KerberosTicketCleanup yes
Что то связанно с Kerberos 5 TGT
#KerberosGetAFSToken no

# GSSAPI опции
Разрешаем аутентификацию по GSSAPI
#GSSAPIAuthentication no
очищаем кэш у пользователей по завершения сеанса
#GSSAPICleanupCredentials yes

По сути таже авторизация по паролю.
Включить интерфейс модулей аутентификации Pluggable Authentication Module. При значении «yes» аутентификация PAM будет доступна через ChallengeResponseAuthentication и PasswordAuthentication в дополнение к учётной записи PAM и обработке модулей сеансов для всех типов аутентификации.
Поскольку безпарольная аутентификация PAM «вызов-ответ» служит заменой аутентификации по паролю, необходимо отключить либо PasswordAuthentication, либо ChallengeResponseAuthentication.
При включенном UsePAM службу sshd(8) можно будет выполнять только с правами root. Значение по умолчанию — «no»
UsePAM no

опция управление пересылками агента аутентификацию
#AllowAgentForwarding yes
опция по контролю TCP перенаправлений
#AllowTcpForwarding yes
Контроль над удаленными соединениями подключающимися к выделенным для туннелирования трафика клиентов.
#GatewayPorts no
тунелирование иксов, позволяет запускать на удаленной машине иксовые приложение и перевыводить их на нужные машины в сети.
X11Forwarding no
Номер первого дисплея доступного для туннелирования трафика X11 sshd(8)Ns. Позволяет избежать вмешательства sshd в работу настоящих серверов X11. Значение по умолчанию — 10.
#X11DisplayOffset 10
К какому адресу следует привязывать сервер туннелирования X11:
к кольцевому (loopback) или адресу указанному по шаблону. По умолчанию сервер туннелирования привязывается к кольцевому адресу, а в качестве хоста в переменную среды DISPLAY заносится «localhost» Это не позволяет удалённым хостам подключаться к дисплею-посреднику. Однако, в случае старый клиентов X11, такая конфигурация может не сработать. Установите тогда X11UseLocalhost в «no.» Допустимые значения — «yes» и «no» Значение по умолчанию — «yes»
#X11UseLocalhost yes
Указываем выводить ли содержимое файла /etc/motd при интерактивной регистрации пользователя в системе.
PrintMotd no
Выводим время и дату предыдущего входа в систему при интерактивной регистрации пользователя в ней
PrintLastLog no
Указывает, будет ли система посылать другой стороне контрольные сообщения для удержания соединения активным. Если они посылаются, то разрыв соединения или аварийный отказ одной из машин будут должным образом замечены. Однако, при этом временная потеря маршрута также повлечёт за собой разрыв соединения и некоторые люди сочтут это раздражающим. С другой стороны, если контрольные сообщения не посылаются, сеанс на сервере может зависнуть, оставив после себя «пользователей-привидений» и отнимая ресурсы сервера.
#TCPKeepAlive yes
Использовать login(1) для интерактивных сеансов регистрации в системе.
Если используется разделение полномочий, UsePrivilegeSeparation, директива будет отключена, после прохождения аутентификации.
#UseLogin no
Разделять полномочия путем создания дочернего процесса с меньшими привилегиями, для обработки входящего трафика. После успешной аутентификации пользователя, будет запущен отдельный процесс, с правами данного пользователя. Данная директива используется в целях повышения безопасности, что-бы предотвратить повышение своих полномочий, недобросовестному пользователю.
#UsePrivilegeSeparation yes
Директива определяет, принимать-ли во внимание содержимое ~/.ssh/environment и параметры environment= в файле ~/.ssh/authorized_keys. Изменяя переменные окружения, пользователь может обойти ограничения своих полномочий, например, с помощью механизма LD_PRELOAD.
#PermitUserEnvironment no
Данная директива позволяет разрешить сжатие сразу, разрешить после успешной аутентификации или отключить.
Возможные значения: «yes», «delayed» или «no».
#Compression delayed
Время простоя клиента в секундах, после которого демон sshd отправляет через защищённый канал запрос клиенту. используеться только с версией протокола 2
#ClientAliveInterval 0
Количество проверок доступности клиента, которые могут оставаться без ответа. Если предел достигнут, sshd завершит сеанс. Данные запросы, отличаются от TCPKeepAlive, так как отправляются через защищённый канал и не могут быть подменены, в то время как TCPKeepAlive такую возможность допускает.
СlientAlive полезен, если поведение клиента или сервера зависит от активности соединения. Если ClientAliveInterval (см. ниже) равно 15 секундам, а значение ClientAliveCountMax оставлено по-умолчанию, не отвечающие клиенты SSH, будут отключаться приблизительно через 45 секунд.
Параметр работает только для протокола версии 2.
#ClientAliveCountMax 3
Использовать DNS запросы, для определения имени удалённого хоста, с целью проверки, что обратное преобразование возвращает правильный IP-адрес.
#UseDNS yes
PID-файл в который записывается идентификатор процесса, сервера sshd.
#PidFile /var/run/sshd.pid
Количество параллельных неаутентифицированных подключений к серверу контролируется при помощи MaxStartups. Запись параметра имеет форму «start:rate:full». В нашем случае она означает отключение с вероятностью 70% при наличии двух неаутентифицированных связей, с линейным ростом вероятности до 100% при достижении 5.
#MaxStartups 2:70:5
Разрешать-ли использовать форвардинг для устройств tun. Возможные значения: «yes», «point-to-point» (уровень 3), «ethernet» (уровень 2), «no». Значение «yes», одновременно эквивалентно значениям, «point-to-point» и «ethernet».
#PermitTunnel no
Указываем диреткорию пользователю, в которую мы его посадим.
#ChrootDirectory none
Файл с сообщением, которое будет показано пользователю перед входом в систему.
#Banner none
Включает внешнюю подсистему (например FTP). В качестве параметров понимает, имя подсистемы и команду, которая будет выполнена при запросе подсистемы. Команда sftp-server, реализует протокол передачи файлов через SSH, «sftp».
Только для протокола версии 2.
#Subsystem sftp /usr/lib64/misc/sftp-server
Subsystem sftp internal-sftp
Match user aray
ForceCommand internal-sftp
ChrootDirectory /home/sftpjail/aray

В это параметре указываем каким пользователея разрешен доступ к нашему ssh серверу.
AllowUsers user@farm.med resus@10.15.7.15
запрет на определенного пользователя
DenyUsers

 Leave a Reply

(required)

(required)

35 Запросов к базе. 0,401 Генерации страницы, 36MB Использование памяти.
Вы зашли с IP: 54.225.16.10