PermitTTY
pty(4)の割り当てを許可するかどうかを指定します。デフォルトはyesです。
PermitTunnel
tun(4)デバイス転送を許可するかどうかを指定します。引数は、yes、ポイントツーポイント(レイヤー3)、イーサネット(レイヤー2)、またはnoである必要があります。 yesを指定すると、ポイントツーポイントとイーサネットの両方が許可されます。デフォルトはnoです。
この設定とは関係なく、選択したtun(4)デバイスのアクセス許可は、ユーザーへのアクセスを許可する必要があります。
PermitUserEnvironment
〜/ .ssh / authorized_keysの〜/ .ssh / environmentおよびenvironment =オプションをsshd(8)で処理するかどうかを指定します。有効なオプションは、yes、no、または受け入れる環境変数名を指定するパターンリストです(たとえば、「LANG、LC_ *」)。デフォルトはnoです。環境処理を有効にすると、LD_PRELOADなどのメカニズムを使用して、一部の構成でユーザーがアクセス制限をバイパスできるようになる場合があります。
PermitUserRC
〜/ .ssh / rcファイルを実行するかどうかを指定します。デフォルトはyesです。
PidFile
SSHデーモンのプロセスIDを含むファイルを指定するか、書き込みを行わない場合はnoneを指定します。デフォルトは/var/run/sshd.pidです。
ポート
sshd(8)がリッスンするポート番号を指定します。デフォルトは22です。このタイプの複数のオプションが許可されます。 ListenAddressも参照してください。
PrintLastLog
ユーザーが対話的にログインするときに、sshd(8)が最後のユーザーログインの日付と時刻を出力するかどうかを指定します。デフォルトはyesです。
PrintMotd
ユーザーが対話的にログインしたときにsshd(8)が/ etc / motdを出力するかどうかを指定します。 (一部のシステムでは、シェル、/ etc / profile、または同等のものによっても出力されます。)デフォルトはyesです。
PubkeyAcceptedKeyTypes
公開鍵認証で受け入れられる鍵の種類を、コンマ区切りのパターンのリストとして指定します。または、指定されたリストが「+」文字で始まる場合、指定されたキータイプは、それらを置き換えるのではなく、デフォルトセットに追加されます。指定されたリストが「-」文字で始まる場合、指定されたキータイプ(ワイルドカードを含む)は、それらを置き換えるのではなく、デフォルトセットから削除されます。指定されたリストが「^」文字で始まる場合、指定されたキータイプはデフォルトセットの先頭に配置されます。このオプションのデフォルトは次のとおりです。
ssh-ed25519-cert-v01@openssh.com、
ecdsa-sha2-nistp256-cert-v01@openssh.com、
ecdsa-sha2-nistp384-cert-v01@openssh.com、
ecdsa-sha2-nistp521-cert-v01@openssh.com、
sk-ssh-ed25519-cert-v01@openssh.com、
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com、
rsa-sha2-512-cert-v01@openssh.com、
rsa-sha2-256-cert-v01@openssh.com、
ssh-rsa-cert-v01@openssh.com、
ssh-ed25519、
ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、ecdsa-sha2-nistp521、
sk-ssh-ed25519@openssh.com、
sk-ecdsa-sha2-nistp256@openssh.com、
rsa-sha2-512、rsa-sha2-256、ssh-rsa
使用可能なキータイプのリストは、「ssh -QPubkeyAcceptedKeyTypes」を使用して取得することもできます。
PubkeyAuthOptions
1つ以上の公開鍵認証オプションを設定します。サポートされているキーワードは、none(デフォルト、追加オプションが有効になっていないことを示す)、touch-required、verify-requiredです。
touch-requiredオプションを使用すると、FIDOオーセンティケーターアルゴリズム(ecdsa-skまたはed25519-sk)を使用した公開鍵認証で、物理的に存在するユーザーが認証を明示的に確認したことを証明するための署名が常に必要になります(通常はオーセンティケーターにタッチします)。デフォルトでは、authorized_keysオプションでオーバーライドされない限り、sshd(8)はユーザーの存在を必要とします。 touch-requiredフラグは、このオーバーライドを無効にします。
検証が必要なオプションには、ユーザーが検証されたことを証明するFIDO調号が必要です。 PIN経由。
touch-requiredまたはverify-requiredオプションは、他の非FIDOの公開鍵タイプには影響しません。
PubkeyAuthentication
公開鍵認証を許可するかどうかを指定します。デフォルトはyesです。
RekeyLimit
セッションキーが再ネゴシエートされる前に送信される可能性のあるデータの最大量を指定します。オプションで、セッションキーが再ネゴシエートされる前に経過する可能性のある最大時間の後に続きます。最初の引数はバイト単位で指定され、「K」、「M」、または「G」の接尾辞を付けて、それぞれキロバイト、メガバイト、またはギガバイトを示すことができます。デフォルトは、暗号に応じて「1G」と「4G」の間です。オプションの秒の値は秒単位で指定され、「時間形式」セクションに記載されている任意の単位を使用できます。 RekeyLimitのデフォルト値はdefaultnoneです。これは、暗号のデフォルト量のデータが送信または受信された後にキーの再生成が実行され、時間ベースのキーの再生成が行われないことを意味します。
RevokedKeys
取り消された公開鍵ファイルを指定するか、使用しない場合はnoneを指定します。このファイルにリストされている鍵は、公開鍵認証で拒否されます。このファイルが読み取り可能でない場合、公開鍵認証はすべてのユーザーに対して拒否されることに注意してください。キーは、1行に1つの公開キーをリストするテキストファイルとして、またはssh-keygen(1)によって生成されるOpenSSHキー失効リスト(KRL)として指定できます。 KRLの詳細については、ssh-keygen(1)の「KEYREVOCATIONLISTS」セクションを参照してください。
RDomain
認証の完了後に適用される明示的なルーティングドメインを指定します。ユーザーセッション、および転送またはリッスンしているIPソケットは、このrdomain(4)にバインドされます。ルーティングドメインが%Dに設定されている場合、着信接続が受信されたドメインが適用されます。
SecurityKeyProvider
組み込みのUSBHIDサポートを使用するデフォルトをオーバーライドして、FIDOオーセンティケーターがホストするキーをロードするときに使用されるライブラリへのパスを指定します。
SetEnv
sshd(8)によって開始される子セッションで設定する1つ以上の環境変数を「NAME = VALUE」として指定します。環境値は引用符で囲むことができます(たとえば、空白文字が含まれている場合)。 SetEnvによって設定された環境変数は、デフォルトの環境と、AcceptEnvまたはPermitUserEnvironmentを介してユーザーが指定した変数をオーバーライドします。
StreamLocalBindMask
ローカルまたはリモートポート転送用のUnixドメインソケットファイルを作成するときに使用される8進数ファイル作成モードマスク(umask)を設定します。このオプションは、Unixドメインソケットファイルへのポート転送にのみ使用されます。
デフォルト値は0177で、所有者のみが読み取りおよび書き込み可能なUnixドメインソケットファイルを作成します。すべてのオペレーティングシステムがUnixドメインソケットファイルのファイルモードを尊重するわけではないことに注意してください。
StreamLocalBindUnlink
新しいファイルを作成する前に、ローカルポート転送またはリモートポート転送用に既存のUnixドメインソケットファイルを削除するかどうかを指定します。ソケットファイルがすでに存在し、StreamLocalBindUnlinkが有効になっていない場合、sshdはポートをUnixドメインソケットファイルに転送できません。このオプションは、Unixドメインソケットファイルへのポート転送にのみ使用されます。
引数はyesまたはnoでなければなりません。デフォルトはnoです。
StrictModes
ログインを受け入れる前に、sshd(8)がファイルモードとユーザーのファイルおよびホームディレクトリの所有権を確認するかどうかを指定します。初心者が誤ってディレクトリやファイルを誰でも書き込み可能のままにしてしまうことがあるため、これは通常望ましいことです。デフォルトはyesです。これは、権限と所有権が無条件にチェックされるChrootDirectoryには適用されないことに注意してください。
サブシステム
外部サブシステム(ファイル転送デーモンなど)を構成します。引数は、サブシステム名と、サブシステム要求時に実行するコマンド(オプションの引数付き)である必要があります。
コマンドsftp-serverは、SFTPファイル転送サブシステムを実装します。
あるいは、internal-sftpという名前は、インプロセスSFTPサーバーを実装します。これにより、ChrootDirectoryを使用して構成を簡素化し、クライアントに別のファイルシステムルートを強制することができます。
デフォルトでは、サブシステムは定義されていません。
SyslogFacility
sshd(8)からのメッセージをログに記録するときに使用される機能コードを提供します。可能な値は、DAEMON、USER、AUTH、LOCAL0、LOCAL1、LOCAL2、LOCAL3、LOCAL4、LOCAL5、LOCAL6、LOCAL7です。デフォルトはAUTHです。
TCPKeepAlive
システムがTCPキープアライブメッセージを反対側に送信するかどうかを指定します。それらが送信されると、接続の切断またはいずれかのマシンのクラッシュが適切に通知されます。ただし、これは、ルートが一時的にダウンすると接続が切断されることを意味し、一部の人々はそれを煩わしく感じます。一方、TCPキープアライブが送信されない場合、セッションはサーバー上で無期限にハングし、「ゴースト」ユーザーが残り、サーバーリソースを消費する可能性があります。
デフォルトはyes(TCPキープアライブメッセージを送信するため)であり、サーバーはネットワークがダウンしたか、クライアントホストがクラッシュしたかを認識します。これにより、セッションが無限にハングするのを防ぎます。
TCPキープアライブメッセージを無効にするには、値をnoに設定する必要があります。
TrustedUserCAKeys
認証のためにユーザー証明書に署名することを信頼されている認証局の公開鍵を含むファイルを指定します。証明書を使用しない場合は何も指定しません。キーは1行に1つずつリストされています。 「#」で始まる空の行とコメントは許可されます。証明書が認証用に提示され、その署名CAキーがこのファイルにリストされている場合、証明書のプリンシパルリストにリストされているすべてのユーザーの認証に使用できます。プリンシパルのリストがない証明書は、TrustedUserCAKeysを使用した認証には許可されないことに注意してください。証明書の詳細については、ssh-keygen(1)の「CERTIFICATES」セクションを参照してください。
UseDNS
sshd(8)がリモートホスト名を検索するかどうか、およびリモートIPアドレスの解決されたホスト名がまったく同じIPアドレスにマップされることを確認するかどうかを指定します。
このオプションがno(デフォルト)に設定されている場合、〜/ .ssh / authorized_keysfromおよびsshd_configMatch Hostディレクティブでは、アドレスのみを使用でき、ホスト名は使用できません。
VersionAddendum
オプションで、接続時にサーバーから送信されるSSHプロトコルバナーに追加する追加のテキストを指定します。デフォルトはnoneです。
X11DisplayOffset
sshd(8)のX11転送に使用できる最初の表示番号を指定します。これにより、sshdが実際のX11サーバーに干渉するのを防ぎます。デフォルトは10です。
X11転送
X11転送を許可するかどうかを指定します。引数はyesまたはnoでなければなりません。デフォルトはnoです。
X11転送が有効になっている場合、sshd(8)プロキシディスプレイがワイルドカードアドレスをリッスンするように構成されていると(X11UseLocalhostを参照)、サーバーとクライアントディスプレイがさらに露出する可能性がありますが、これはデフォルトではありません。さらに、認証のなりすましと認証データの検証と置換はクライアント側で行われます。 X11転送を使用する場合のセキュリティ上のリスクは、SSHクライアントが転送を要求したときにクライアントのX11ディスプレイサーバーが攻撃にさらされる可能性があることです(ssh_config(5)のForwardX11に関する警告を参照)。システム管理者は、無意識のうちにX11転送を要求することにより、攻撃にさらされる可能性のあるクライアントを保護したいというスタンスを持っている場合があります。これにより、設定なしが保証される場合があります。
ユーザーはいつでも独自のフォワーダーをインストールできるため、X11転送を無効にしても、ユーザーがX11トラフィックを転送できなくなるわけではないことに注意してください。
X11UseLocalhost
sshd(8)がX11転送サーバーをループバックアドレスまたはワイルドカードアドレスのどちらにバインドするかを指定します。デフォルトでは、sshdは転送サーバーをループバックアドレスにバインドし、DISPLAY環境変数のホスト名部分をlocalhostに設定します。これにより、リモートホストがプロキシディスプレイに接続できなくなります。ただし、一部の古いX11クライアントは、この構成では機能しない場合があります。 X11UseLocalhostをnoに設定して、転送サーバーをワイルドカードアドレスにバインドする必要があることを指定できます。引数はyesまたはnoでなければなりません。デフォルトはyesです。
XAuthLocation
xauth(1)プログラムの絶対パス名を指定するか、使用しない場合はnoneを指定します。デフォルトは/ usr / X11R6 / bin / xauthです。
時間形式
時間を指定するsshd(8)コマンドライン引数および構成ファイルオプションは、time [qualifier]の形式のシーケンスを使用して表すことができます。ここで、timeは正の整数値であり、修飾子は次のいずれかです。
⟨無し⟩
秒
s | S
秒
m | M
分
h | H
時間
d | D
日々
w | W
週
シーケンスの各メンバーが合計されて、合計時間の値が計算されます。
時間形式の例:
600
600秒(10分)
10メートル
10分
1時間30分
1時間30分(90分)
トークン
一部のキーワードの引数は、実行時に展開されるトークンを利用できます。
%%
リテラルの「%」。
%D
着信接続が受信されたルーティングドメイン。
%F
CAキーのフィンガープリント。
%f
キーまたは証明書のフィンガープリント。
%h
ユーザーのホームディレクトリ。
%私
証明書のキーID。
%K
base64でエンコードされたCAキー。
%k
認証用のbase64でエンコードされたキーまたは証明書。
%s
証明書のシリアル番号。
%T
CAキーのタイプ。
%t
キーまたは証明書のタイプ。
%U
ターゲット・ユーザーの数値ユーザーID。
%u
ユーザー名。
AuthorizedKeysCommandは、トークン%%、%f、%h、%k、%t、%U、および%uを受け入れます。
AuthorizedKeysFileは、トークン%%、%h、%U、および%uを受け入れます。
AuthorizedPrincipalsCommandは、トークン%%、%F、%f、%h、%i、%K、%k、%s、%T、%t、%U、および%uを受け入れます。
AuthorizedPrincipalsFileは、トークン%%、%h、%U、および%uを受け入れます。
ChrootDirectoryは、トークン%%、%h、%U、および%uを受け入れます。
RoutingDomainはトークン%Dを受け入れます。
ファイル
/ etc / ssh / sshd_config
sshd(8)の構成データが含まれています。このファイルはrootのみが書き込み可能である必要がありますが、誰でも読み取り可能であることが推奨されます(必須ではありません)。
関連項目
sftp-server(8)、sshd(8)
著者
OpenSSHは、TatuYlonenによるオリジナルの無料のssh1.2.12リリースから派生したものです。 Aaron Campbell、Bob Beck、Markus Friedl、Niels Provos、Theo de Raadt、Dug Songは多くのバグを削除し、新しい機能を再度追加し、OpenSSHを作成しました。 Markus Friedlは、SSHプロトコルバージョン1.5および2.0のサポートに貢献しました。 NielsProvosとMarkusFriedlは、特権分離のサポートに貢献しました。