Help us understand the problem. What is going on with this article?

OpenSSH_sshd_config(2)

DenyUsers
このキーワードの後に​​は、スペースで区切ったユーザー名パターンのリストを続けることができます。パターンの1つに一致するユーザー名のログインは許可されていません。ユーザー名のみが有効です。数値のユーザーIDは認識されません。デフォルトでは、ログインはすべてのユーザーに許可されています。パターンがUSER @ HOSTの形式をとる場合、USERとHOSTが別々にチェックされ、特定のホストからの特定のユーザーへのログインが制限されます。 HOST基準には、CIDRアドレス/マスクレン形式で一致するアドレスが追加で含まれる場合があります。ユーザーの許可/拒否ディレクティブは、DenyUsers、AllowUsersの順序で処理されます。
パターンの詳細については、ssh_config(5)のPATTERNSを参照してください。

DisableForwarding
X11、ssh-agent(1)、TCP、StreamLocalを含むすべての転送機能を無効にします。このオプションは、他のすべての転送関連オプションを上書きし、制限された構成を簡素化する場合があります。
ExposeAuthInfo
ユーザーの認証に使用される認証方法と公開認証情報(キーなど)のリストを含む一時ファイルを書き込みます。ファイルの場所は、SSH_USER_AUTH環境変数を介してユーザーセッションに公開されます。デフォルトはnoです。
FingerprintHash
キーフィンガープリントをログに記録するときに使用されるハッシュアルゴリズムを指定します。有効なオプションは、md5およびsha256です。デフォルトはsha256です。
ForceCommand
ForceCommandで指定されたコマンドの実行を強制します。クライアントから提供されたコマンドと、存在する場合は〜/ .ssh / rcを無視します。このコマンドは、ユーザーのログインシェルを-cオプションとともに使用して呼び出されます。これは、シェル、コマンド、またはサブシステムの実行に適用されます。これは、Matchブロック内で最も役立ちます。クライアントによって最初に提供されたコマンドは、SSH_ORIGINAL_COMMAND環境変数で使用できます。 internal-sftpのコマンドを指定すると、ChrootDirectoryで使用する場合にサポートファイルを必要としないインプロセスSFTPサーバーの使用が強制されます。デフォルトはnoneです。
GatewayPorts
リモートホストがクライアントに転送されたポートへの接続を許可されるかどうかを指定します。デフォルトでは、sshd(8)はリモートポート転送をループバックアドレスにバインドします。これにより、他のリモートホストが転送されたポートに接続できなくなります。 GatewayPortsを使用して、sshdがリモートポート転送を非ループバックアドレスにバインドできるようにし、他のホストが接続できるようにすることを指定できます。引数は、リモートポート転送をローカルホストのみが使用できるようにする場合はno、リモートポート転送をワイルドカードアドレスにバインドする場合はyes、クライアントが転送先のアドレスを選択できるようにする場合はclientspecifiedです。デフォルトはnoです。
GSSAPIAuthentication
GSSAPIに基づくユーザー認証を許可するかどうかを指定します。デフォルトはnoです。
GSSAPICleanupCredentials
ログアウト時にユーザーの資格情報キャッシュを自動的に破棄するかどうかを指定します。デフォルトはyesです。
GSSAPIStrictAcceptorCheck
クライアントが認証するGSSAPIアクセプターのIDを厳密にするかどうかを決定します。 yesに設定されている場合、クライアントは現在のホスト名でホストサービスに対して認証する必要があります。 noに設定すると、クライアントはマシンのデフォルトストアに保存されているサービスキーに対して認証できます。この機能は、マルチホームマシンでの操作を支援するために提供されています。デフォルトはyesです。
HostbasedAcceptedKeyTypes
ホストベースの認証で受け入れられるキータイプを、コンマ区切りのパターンのリストとして指定します。または、指定されたリストが「+」文字で始まる場合、指定されたキータイプは、それらを置き換えるのではなく、デフォルトセットに追加されます。指定されたリストが「-」文字で始まる場合、指定されたキータイプ(ワイルドカードを含む)は、それらを置き換えるのではなく、デフォルトセットから削除されます。指定されたリストが「^」文字で始まる場合、指定されたキータイプはデフォルトセットの先頭に配置されます。このオプションのデフォルトは次のとおりです。
ssh-ed25519-cert-v01@openssh.com
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521-cert-v01@openssh.com
sk-ssh-ed25519-cert-v01@openssh.com
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com
rsa-sha2-512-cert-v01@openssh.com
rsa-sha2-256-cert-v01@openssh.com
ssh-rsa-cert-v01@openssh.com
ssh-ed25519、
ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、ecdsa-sha2-nistp521、
sk-ssh-ed25519@openssh.com
sk-ecdsa-sha2-nistp256@openssh.com
rsa-sha2-512、rsa-sha2-256、ssh-rsa
使用可能なキータイプのリストは、「ssh -QHostbasedAcceptedKeyTypes」を使用して取得することもできます。

使用可能なキータイプのリストは、「ssh -QHostbasedAcceptedKeyTypes」を使用して取得することもできます。

HostbasedAuthentication
rhostsまたは/etc/hosts.equiv認証と、成功した公開鍵クライアントホスト認証を許可するかどうかを指定します(ホストベースの認証)。デフォルトはnoです。
HostbasedUsesNameFromPacketOnly
HostbasedAuthentication中に〜/ .shosts、〜/ .rhosts、および/etc/hosts.equivファイルの名前を照合するときに、サーバーが名前の逆引き参照を実行するかどうかを指定します。 yesの設定は、sshd(8)が、TCP接続自体から名前を解決しようとするのではなく、クライアントによって提供された名前を使用することを意味します。デフォルトはnoです。
HostCertificate
パブリックホスト証明書を含むファイルを指定します。証明書の公開鍵は、HostKeyによってすでに指定されている秘密ホスト鍵と一致する必要があります。 sshd(8)のデフォルトの動作は、証明書をロードしないことです。
HostKey
SSHで使用される秘密ホストキーを含むファイルを指定します。デフォルトは/ etc / ssh / ssh_host_ecdsa_key、/ etc / ssh / ssh_host_ed25519_key、および/ etc / ssh / ssh_host_rsa_keyです。
sshd(8)は、ファイルがグループ/ワールドアクセス可能である場合、ファイルの使用を拒否し、HostKeyAlgorithmsオプションは、sshd(8)が実際に使用するキーを制限することに注意してください。

複数のホストキーファイルを持つことが可能です。代わりに、公開ホストキーファイルを指定することもできます。この場合、秘密鍵の操作はssh-agent(1)に委任されます。

HostKeyAgent
秘密ホストキーにアクセスできるエージェントとの通信に使用されるUNIXドメインソケットを識別します。文字列「SSH_AUTH_SOCK」が指定されている場合、ソケットの場所はSSH_AUTH_SOCK環境変数から読み取られます。
HostKeyAlgorithms
サーバーが提供するホストキーアルゴリズムを指定します。このオプションのデフォルトは次のとおりです。
ssh-ed25519-cert-v01@openssh.com
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521-cert-v01@openssh.com
sk-ssh-ed25519-cert-v01@openssh.com
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com
rsa-sha2-512-cert-v01@openssh.com
rsa-sha2-256-cert-v01@openssh.com
ssh-rsa-cert-v01@openssh.com
ssh-ed25519、
ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、ecdsa-sha2-nistp521、
sk-ssh-ed25519@openssh.com
sk-ecdsa-sha2-nistp256@openssh.com
rsa-sha2-512、rsa-sha2-256、ssh-rsa
使用可能なキータイプのリストは、「ssh-QHostKeyAlgorithms」を使用して取得することもできます。

IgnoreRhosts
HostbasedAuthentication中にユーザーごとの.rhostsファイルと.shostsファイルを無視するかどうかを指定します。システム全体の/etc/hosts.equivおよび/etc/shosts.equivは、この設定に関係なく引き続き使用されます。
受け入れられる値は、ユーザーごとのすべてのファイルを無視する場合はyes(デフォルト)、shosts-.shostsの使用を許可する場合のみ。.rhostsを無視する場合、または.shostsとrhostsの両方を許可する場合はnoです。

IgnoreUserKnownHosts
sshd(8)がHostbasedAuthentication中にユーザーの〜/ .ssh / known_hostsを無視し、システム全体の既知のホストファイル/ etc / ssh / known_hostsのみを使用するかどうかを指定します。デフォルトは「no」です。
含める
指定された構成ファイルを含めます。複数のパス名を指定でき、各パス名には、辞書式順序で展開および処理されるglob(7)ワイルドカードを含めることができます。絶対パスのないファイルは/ etc / sshにあると見なされます。条件付き包含を実行するために、IncludeディレクティブがMatchブロック内に表示される場合があります。
IPQoS
接続のIPv4Type-of-ServiceまたはDSCPクラスを指定します。許容値は、af11、af12、af13、af21、af22、af23、af31、af32、af33、af41、af42、af43、cs0、cs1、cs2、cs3、cs4、cs5、cs6、cs7、ef、le、lowdelay、スループットです。 、信頼性、数値、またはオペレーティングシステムのデフォルトを使用するためのなし。このオプションは、空白で区切られた1つまたは2つの引数を取ることができます。引数を1つ指定すると、無条件にパケットクラスとして使用されます。 2つの値が指定されている場合、最初の値は対話型セッション用に自動的に選択され、2番目は非対話型セッション用に選択されます。デフォルトは、対話型セッションの場合はaf21(低遅延データ)、非対話型セッションの場合はcs1(低労力)です。

KbdInteractiveAuthentication
キーボードインタラクティブ認証を許可するかどうかを指定します。このキーワードの引数はyesまたはnoでなければなりません。デフォルトでは、ChallengeResponseAuthenticationに設定されている値を使用します(デフォルトではyes)。
KerberosAuthentication
PasswordAuthentication用にユーザーが提供したパスワードをKerberosKDCを介して検証するかどうかを指定します。このオプションを使用するには、サーバーにKerberosservtabが必要です。これによりKDCのIDを検証できます。デフォルトはnoです。
KerberosGetAFSToken
AFSがアクティブで、ユーザーがKerberos 5 TGTを使用している場合は、ユーザーのホームディレクトリにアクセスする前にAFSトークンの取得を試みてください。デフォルトはnoです。
KerberosOrLocalPasswd
Kerberosによるパスワード認証が失敗した場合、パスワードは/ etc / passwdなどの追加のローカルメカニズムを介して検証されます。デフォルトはyesです。
KerberosTicketCleanup
ログアウト時にユーザーのチケットキャッシュファイルを自動的に破棄するかどうかを指定します。デフォルトはyesです。
KexAlgorithms
使用可能なKEX(鍵交換)アルゴリズムを指定します。複数のアルゴリズムはコンマで区切る必要があります。または、指定されたリストが「+」文字で始まる場合、指定されたメソッドは、それらを置き換えるのではなく、デフォルトセットに追加されます。指定されたリストが「-」文字で始まる場合、指定されたメソッド(ワイルドカードを含む)は、それらを置き換えるのではなく、デフォルトセットから削除されます。指定されたリストが「^」文字で始まる場合、指定されたメソッドはデフォルトセットの先頭に配置されます。サポートされているアルゴリズムは次のとおりです。
カーブ25519-sha256
Curve25519-sha256@libssh.org
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
sntrup4591761x25519-sha512@tinyssh.org
デフォルトは次のとおりです。

Curve25519-sha256、curve25519-sha256 @ libssh.org、
ecdh-sha2-nistp256、ecdh-sha2-nistp384、ecdh-sha2-nistp521、
diffie-hellman-group-exchange-sha256、
diffie-hellman-group16-sha512、diffie-hellman-group18-sha512、
diffie-hellman-group14-sha256
使用可能な鍵交換アルゴリズムのリストは、「ssh-QKexAlgorithms」を使用して取得することもできます。

ListenAddress
sshd(8)がリッスンするローカルアドレスを指定します。次のフォームを使用できます。
ListenAddressホスト名|アドレス[rdomainドメイン]
ListenAddress hostname:port [rdomain domain]
ListenAddress IPv4_address:port [rdomainドメイン]
ListenAddress [hostname | address]:port [rdomain domain]
オプションのrdomain修飾子は、明示的なルーティングドメインでsshd(8)をリッスンするように要求します。ポートが指定されていない場合、sshdは指定されたアドレスとすべてのポートオプションをリッスンします。デフォルトでは、現在のデフォルトルーティングドメイン上のすべてのローカルアドレスをリッスンします。複数のListenAddressオプションが許可されます。ルーティングドメインの詳細については、rdomain(4)を参照してください。

LoginGraceTime
ユーザーが正常にログインしなかった場合、サーバーはこの時間の後に切断されます。値が0の場合、時間制限はありません。デフォルトは120秒です。

LogLevel
sshd(8)からのメッセージをログに記録するときに使用される詳細レベルを示します。可能な値は、QUIET、FATAL、ERROR、INFO、VERBOSE、DEBUG、DEBUG1、DEBUG2、およびDEBUG3です。デフォルトはINFOです。 DEBUGとDEBUG1は同等です。 DEBUG2とDEBUG3はそれぞれ、より高いレベルのデバッグ出力を指定します。 DEBUGレベルでログを記録すると、ユーザーのプライバシーが侵害されるため、お勧めしません。
LogVerbose
LogLevelに1つ以上のオーバーライドを指定します。オーバーライドは、ソースファイル、関数、および行番号に一致するパターンリストで構成され、詳細なログ記録を強制します。たとえば、次のオーバーライドパターン:
kex.c::1000、:kex_exchange_identification():、packet.c:
kex.cの行1000、kex_exchange_identification()関数のすべて、およびpacket.cファイルのすべてのコードの詳細なログを有効にします。このオプションはデバッグを目的としており、デフォルトではオーバーライドは有効になっていません。

MAC
使用可能なMAC(メッセージ認証コード)アルゴリズムを指定します。 MACアルゴリズムは、データの整合性保護に使用されます。複数のアルゴリズムはコンマで区切る必要があります。指定されたリストが「+」文字で始まる場合、指定されたアルゴリズムは、それらを置き換えるのではなく、デフォルトセットに追加されます。指定されたリストが「-」文字で始まる場合、指定されたアルゴリズム(ワイルドカードを含む)は、それらを置き換えるのではなく、デフォルトセットから削除されます。指定されたリストが「^」文字で始まる場合、指定されたアルゴリズムはデフォルトセットの先頭に配置されます。
「-etm」を含むアルゴリズムは、暗号化後にMACを計算します(encrypt-then-mac)。これらはより安全であると考えられており、それらの使用が推奨されています。サポートされているMACは次のとおりです。

hmac-md5
hmac-md5-96
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
umac-64@openssh.com
umac-128@openssh.com
hmac-md5-etm@openssh.com
hmac-md5-96-etm@openssh.com
hmac-sha1-etm@openssh.com
hmac-sha1-96-etm@openssh.com
hmac-sha2-256-etm@openssh.com
hmac-sha2-512-etm@openssh.com
umac-64-etm@openssh.com
umac-128-etm@openssh.com
デフォルトは次のとおりです。

umac-64-etm @ openssh.com、umac-128-etm @ openssh.com、
hmac-sha2-256-etm @ openssh.com、hmac-sha2-512-etm @ openssh.com、
hmac-sha1-etm@openssh.com
umac-64 @ openssh.com、umac-128 @ openssh.com、
hmac-sha2-256、hmac-sha2-512、hmac-sha1
使用可能なMACアルゴリズムのリストは、「ssh-Qmac」を使用して取得することもできます。

一致
条件付きブロックを導入します。一致行のすべての基準が満たされると、次の行のキーワードは、別の一致行またはファイルの終わりまで、構成ファイルのグローバルセクションで設定されたキーワードを上書きします。満たされる複数のMatchブロックにキーワードが表示される場合、キーワードの最初のインスタンスのみが適用されます。
Matchの引数は、1つ以上の基準とパターンのペア、またはすべての基準に一致する単一のトークンAllです。使用可能な基準は、User、Group、Host、LocalAddress、LocalPort、RDomain、およびAddressです(RDomainは、接続が受信されたrdomain(4)を表します)。

一致パターンは、単一のエントリまたはコンマ区切りのリストで構成され、ssh_config(5)のPATTERNSセクションで説明されているワイルドカードおよび否定演算子を使用できます。

アドレス基準のパターンには、192.0.2.0 / 24や2001:db8 :: / 32などのCIDRアドレス/マスクレン形式で一致するアドレスが追加で含まれる場合があります。提供されるマスク長はアドレスと一致している必要があることに注意してください。アドレスに対して長すぎるマスク長、またはアドレスのこのホスト部分にビットが設定されているマスク長を指定するのはエラーです。たとえば、それぞれ192.0.2.0/33と192.0.2.0/8です。

Matchキーワードに続く行では、キーワードのサブセットのみを使用できます。使用可能なキーワードは、AcceptEnv、AllowAgentForwarding、AllowGroups、AllowStreamLocalForwarding、AllowTcpForwarding、AllowUsers、AuthenticationMethods、AuthorizedKeysCommand、AuthorizedKeysCommandUser、AuthorizedKeysFile、AuthorizedPrincipalsCommand、AuthorizedPrincipalsCommandUser、AuthorizedPrincipalsFile、Banner、ChrootDirectory、ClientAliveCountMax、ClientAliveInterval、DenyGroupです。 、HostbasedUsesNameFromPacketOnly、IgnoreRhosts、Include、IPQoS、KbdInteractiveAuthentication、KerberosAuthentication、LogLevel、MaxAuthTries、MaxSessions、PasswordAuthentication、PermitEmptyPasswords、PermitListen、PermitOpen、LocalKey、 、TrustedUserCAKeys、X11DisplayOffset、X11Forwarding、およびX11UseLocalhost。

MaxAuthTries
接続ごとに許可される認証の最大試行回数を指定します。障害の数がこの値の半分に達すると、追加の障害がログに記録されます。デフォルトは6です。
MaxSessions
ネットワーク接続ごとに許可されるオープンシェル、ログイン、またはサブシステム(sftpなど)セッションの最大数を指定します。複数のセッションは、接続の多重化をサポートするクライアントによって確立される場合があります。 MaxSessionsを1に設定すると、セッションの多重化が事実上無効になりますが、0に設定すると、転送を許可しながら、すべてのシェル、ログイン、およびサブシステムセッションが防止されます。デフォルトは10です。
MaxStartups
SSHデーモンへの認証されていない同時接続の最大数を指定します。追加の接続は、認証が成功するか、接続のLoginGraceTimeが期限切れになるまでドロップされます。デフォルトは10:30:100です。
または、コロンで区切られた3つの値start:rate:fullを指定することでランダム早期ドロップを有効にすることもできます(例:「10:30:60」)。 sshd(8)は、現在開始(10)の認証されていない接続がある場合、rate / 100(30%)の確率で接続の試行を拒否します。認証されていない接続の数がいっぱいになると(60)、確率は直線的に増加し、すべての接続試行は拒否されます。

PasswordAuthentication
パスワード認証を許可するかどうかを指定します。デフォルトはyesです。
PermitEmptyPasswords
パスワード認証が許可されている場合、サーバーが空のパスワード文字列を持つアカウントへのログインを許可するかどうかを指定します。デフォルトはnoです。
PermitListen
リモートTCPポートフォワーディングがリッスンできるアドレス/ポートを指定します。リッスン仕様は、次のいずれかの形式である必要があります。
PermitListenポート
PermitListen host:port
複数の権限は、空白で区切ることで指定できます。 anyの引数を使用して、すべての制限を削除し、すべてのリッスン要求を許可できます。 noneの引数を使用して、すべてのリッスン要求を禁止できます。 ssh_config(5)のPATTERNSセクションで説明されているように、ホスト名にはワイルドカードを含めることができます。ポート番号の代わりにワイルドカード「*」を使用して、すべてのポートを許可することもできます。デフォルトでは、すべてのポート転送リッスン要求が許可されます。 GatewayPortsオプションは、リッスンできるアドレスをさらに制限する場合があることに注意してください。また、リッスンホストが特に要求されていない場合、ssh(1)は「localhost」のリッスンホストを要求します。この名前は、「127.0.0.1」および「:: 1」の明示的なローカルホストアドレスとは異なる方法で処理されます。

PermitOpen
TCPポート転送が許可される宛先を指定します。転送仕様は、次のいずれかの形式である必要があります。
PermitOpen host:port
PermitOpen IPv4_addr:port
PermitOpen [IPv6_addr]:port
複数の転送は、空白で区切ることで指定できます。 anyの引数を使用して、すべての制限を削除し、転送要求を許可できます。 noneの引数を使用して、すべての転送要求を禁止できます。ワイルドカード「*」をホストまたはポートに使用して、すべてのホストまたはポートをそれぞれ許可できます。それ以外の場合、指定された名前に対してパターンマッチングまたはアドレスルックアップは実行されません。デフォルトでは、すべてのポート転送要求が許可されます。

PermitRootLogin
rootがssh(1)を使用してログインできるかどうかを指定します。引数は、yes、prohibit-password、forced-commands-only、またはnoである必要があります。デフォルトはprohibit-passwordです。
このオプションがprovoid-password(またはその非推奨のエイリアス、パスワードなし)に設定されている場合、パスワードおよびキーボード対話型認証はrootに対して無効になります。

このオプションがforced-commands-onlyに設定されている場合、公開鍵認証を使用したrootログインが許可されますが、コマンドオプションが指定されている場合に限ります(rootログインが通常許可されていない場合でも、リモートバックアップを作成する場合に役立ちます)。他のすべての認証方法は、rootに対して無効になっています。

このオプションがnoに設定されている場合、rootはログインを許可されません。

dororinn
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away