Provided by: manpages-ro_4.28.0-2_all 
NUME
sshd_config — fișierul de configurare al daemonului OpenSSH
DESCRIERE
sshd(8) citește datele de configurare din /etc/ssh/sshd_config (sau fișierul specificat cu -f în linia de
comandă). Fișierul conține perechi cuvânt_cheie-argument, una pe linie. Dacă nu se specifică altfel,
pentru fiecare cuvânt_cheie se va utiliza prima valoare obținută. Liniile care încep cu ‘#’ și liniile
goale sunt interpretate ca fiind comentarii. Argumentele pot fi opțional incluse între ghilimele duble
(") pentru a reprezenta argumentele care conțin spații.
Rețineți că pachetul Debian openssh-server stabilește mai multe opțiuni ca standard în
/etc/ssh/sshd_config care nu sunt cele implicite în sshd(8):
• Include /etc/ssh/sshd_config.d/*.conf
• KbdInteractiveAuthentication no
• X11Forwarding yes
• PrintMotd no
• AcceptEnv LANG LC_* COLORTERM NO_COLOR
• Subsystem sftp /usr/lib/openssh/sftp-server
• UsePAM yes
Fișierele /etc/ssh/sshd_config.d/*.conf sunt incluse la începutul fișierului de configurare, astfel încât
opțiunile stabilite acolo le vor înlocui pe cele din /etc/ssh/sshd_config.
Cuvintele-cheie posibile și semnificațiile acestora sunt următoarele (rețineți că cuvintele-cheie nu
disting majusculele de minuscule, iar argumentele disting majusculele de minuscule):
AcceptEnv
Specifică ce variabile de mediu trimise de client vor fi copiate în environ(7) al sesiunii.
Consultați SendEnv și SetEnv în ssh_config(5) pentru modul de configurare a clientului. Variabila
de mediu TERM este întotdeauna acceptată ori de câte ori clientul solicită un pseudo-terminal,
deoarece acesta este cerut de protocol. Variabilele sunt specificate prin nume, care poate
conține caracterele joker ‘*’ și ‘?’. Variabilele de mediu multiple pot fi separate prin spațiu
alb sau repartizate pe mai multe directive AcceptEnv. Fiți avertizați că unele variabile de
mediu ar putea fi utilizate pentru a ocoli mediile de utilizator restricționate. Din acest motiv,
trebuie avută grijă la utilizarea acestei directive. Valoarea implicită este de a nu accepta
nicio variabilă de mediu.
AddressFamily
Specifică ce familie de adrese ar trebui să fie utilizată de sshd(8). Argumentele valide sunt
any (implicit), inet (utilizează numai IPv4) sau inet6 (utilizează numai IPv6).
AllowAgentForwarding
Specifică dacă este permisă redirecționarea ssh-agent(1). Valoarea implicită este yes. Rețineți
că dezactivarea redirecționării agentului nu îmbunătățește securitatea decât dacă utilizatorilor
li se interzice și accesul la shell, deoarece aceștia își pot instala întotdeauna propriile
instrumente de redirecționare.
AllowGroups
Acest cuvânt cheie poate fi urmat de o listă de modele de nume de grup, separate prin spații.
Dacă este specificat, autentificarea este permisă numai pentru utilizatorii al căror grup
principal sau listă de grupuri suplimentare corespunde unuia dintre modele. Numai numele
grupurilor sunt valide; un ID de grup numeric nu este recunoscut. În mod implicit, autentificarea
este permisă pentru toate grupurile. Directivele permite/refuză grupuri „allow/deny groups” sunt
procesate în următoarea ordine: DenyGroups, AllowGroups.
Consultați secțiunea «MODELE» din ssh_config(5) pentru mai multe informații despre modele. Acest
cuvânt cheie poate apărea de mai multe ori în sshd_config, fiecare instanță adăugându-se la
listă.
AllowStreamLocalForwarding
Specifică dacă este permisă redirecționarea StreamLocal (soclu de domeniu Unix). Opțiunile
disponibile sunt yes (implicit) sau all pentru a permite redirecționarea StreamLocal, no pentru a
preveni orice redirecționare StreamLocal, local pentru a permite doar redirecționarea locală (din
perspectiva ssh(1)) sau remote pentru a permite doar redirecționarea la distanță. Rețineți că
dezactivarea redirecționării StreamLocal nu îmbunătățește securitatea decât dacă utilizatorilor
li se refuză și accesul la shell, deoarece aceștia își pot instala oricând propriile instrumente
de redirecționare.
AllowTcpForwarding
Specifică dacă este permisă redirecționarea TCP. Opțiunile disponibile sunt yes (implicit) sau
all pentru a permite redirecționarea TCP, no pentru a împiedica orice redirecționare TCP, local
pentru a permite doar redirecționarea locală (din perspectiva ssh(1)) sau remote pentru a permite
doar redirecționarea la distanță. Rețineți că dezactivarea redirecționării TCP nu îmbunătățește
securitatea decât dacă utilizatorilor li se interzice și accesul la shell, deoarece aceștia își
pot instala întotdeauna propriile instrumente de redirecționare.
AllowUsers
Acest cuvânt cheie poate fi urmat de o listă de modele de nume de utilizator, separate prin
spații. Dacă este specificat, autentificarea este permisă numai pentru numele de utilizator care
corespund unuia dintre modele. Numai numele de utilizator sunt valide; un ID de utilizator
numeric nu este recunoscut. În mod implicit, autentificarea este permisă pentru toți
utilizatorii. Dacă modelul are forma UTILIZATOR@GAZDĂ, atunci UTILIZATOR și GAZDĂ sunt verificate
separat, restricționând autentificarea anumitor utilizatori de la anumite gazde. Criteriile GAZDĂ
pot conține, în plus, adrese care să corespundă în formatul CIDR „address/masklen”
(adresă/lungime-mască). Directivele permite/refuză utilizatori „allow/deny users” sunt procesate
în următoarea ordine: DenyUsers, AllowUsers.
Consultați secțiunea «MODELE» din ssh_config(5) pentru mai multe informații despre modele. Acest
cuvânt cheie poate apărea de mai multe ori în sshd_config, fiecare instanță adăugându-se la
listă.
AuthenticationMethods
Specifică metodele de autentificare care trebuie să fie finalizate cu succes pentru ca unui
utilizator să i se acorde accesul. Această opțiune trebuie să fie urmată de una sau mai multe
liste de nume de metode de autentificare separate prin virgule sau de un singur șir any pentru a
indica comportamentul implicit de acceptare a oricărei metode de autentificare. Dacă valoarea
implicită este anulată, atunci autentificarea reușită necesită îndeplinirea fiecărei metode din
cel puțin una dintre aceste liste.
De exemplu, "publickey,password publickey,keyboard-interactive" ar solicita utilizatorului să
finalizeze autentificarea prin cheie publică, urmată de autentificarea prin parolă sau prin
tastatură interactivă. Numai metodele care urmează în una sau mai multe liste sunt oferite în
fiecare etapă, astfel încât, pentru acest exemplu, nu ar fi posibil să se încerce autentificarea
prin parolă sau tastatură-interactivă înainte de cheia publică.
Pentru autentificarea interactivă la tastatură, este, de asemenea, posibil să se restricționeze
autentificarea la un anumit dispozitiv adăugând două puncte urmate de identificatorul
dispozitivului bsdauth sau pam. în funcție de configurația serverului. De exemplu,
"keyboard-interactive:bsdauth" va restricționa autentificarea interactivă la tastatură la
dispozitivul bsdauth.
Dacă metoda publickey (de cheie publică) este listată de mai multe ori, sshd(8) verifică dacă
cheile care au fost utilizate cu succes nu sunt reutilizate pentru autentificări ulterioare. De
exemplu, "publickey,publickey" necesită autentificarea cu succes folosind două chei publice
diferite.
Rețineți că fiecare metodă de autentificare enumerată trebuie, de asemenea, activată explicit în
configurare.
Metodele de autentificare disponibile sunt: "gssapi-with-mic", "hostbased",
"keyboard-interactive", "none" (utilizată pentru accesul la conturi fără parolă atunci când
PermitEmptyPasswords este activat), "password" și "publickey".
AuthorizedKeysCommand
Specifică un program care urmează să fie utilizat pentru a căuta cheile publice ale
utilizatorului. Programul trebuie să fie deținut de root, să nu poată fi scris de grup sau de
alte persoane și să fie specificat printr-o rută absolută. Argumentele pentru
AuthorizedKeysCommand acceptă simbolurile descrise în secțiunea “SIMBOLURI”. Dacă nu sunt
specificate argumente, se utilizează numele de utilizator al utilizatorului țintă.
Programul trebuie să producă la ieșirea standard zero sau mai multe linii de ieșire
authorized_keys (a se vedea AUTHORIZED_KEYS în sshd(8)). AuthorizedKeysCommand este încercată
după fișierele obișnuite AuthorizedKeysFile și nu va fi executată dacă o cheie care corespunde
este găsită acolo. În mod implicit, nu se execută nicio comandă AuthorizedKeysCommand.
AuthorizedKeysCommandUser
Specifică utilizatorul sub al cărui cont se execută comanda AuthorizedKeysCommand. Se recomandă
utilizarea unui utilizator dedicat care nu are alt rol pe gazdă decât executarea comenzilor
Authorized Keys. Dacă AuthorizedKeysCommand este specificat, dar AuthorizedKeysCommandUser nu
este, atunci sshd(8) va refuza să pornească.
AuthorizedKeysFile
Specifică fișierul care conține cheile publice utilizate pentru autentificarea utilizatorului.
Formatul este descris în secțiunea AUTHORIZED_KEYS FILE FORMAT din sshd(8). Argumentele pentru
AuthorizedKeysFile pot include caractere joker și pot accepta simbolurile descrise în secțiunea
“SIMBOLURI”. După expansiune, AuthorizedKeysFile este considerat a fi o rută absolută sau una
relativă la directorul personal al utilizatorului. Pot fi enumerate mai multe fișiere, separate
prin spații albe. Alternativ, această opțiune poate fi definită la none pentru a sări peste
verificarea cheilor utilizatorului în fișiere. Valoarea implicită este ".ssh/authorized_keys
.ssh/authorized_keys2".
AuthorizedPrincipalsCommand
Specifică un program care urmează să fie utilizat pentru a genera lista principalelor certificate
permise conform AuthorizedPrincipalsFile. Programul trebuie să fie deținut de root, să nu poată
fi scris de grup sau de alte persoane și să fie specificat printr-o rută absolută. Argumentele
pentru AuthorizedPrincipalsCommand acceptă simbolurile descrise în secțiunea “SIMBOLURI”. Dacă
nu sunt specificate argumente, se utilizează numele de utilizator al utilizatorului țintă.
Programul trebuie să producă la ieșirea standard zero sau mai multe linii de ieșire
AuthorizedPrincipalsFile. Dacă se specifică AuthorizedPrincipalsCommand sau
AuthorizedPrincipalsFile, atunci certificatele oferite de client pentru autentificare trebuie să
conțină un „principal” care este listat. În mod implicit, nu se execută
AuthorizedPrincipalsCommand.
AuthorizedPrincipalsCommandUser
Specifică utilizatorul în contul căruia se execută comanda AuthorizedPrincipalsCommand. Se
recomandă utilizarea unui utilizator dedicat care nu are alt rol pe gazdă decât executarea
comenzilor Authorized Principals. Dacă AuthorizedPrincipalsCommand este specificată, dar
AuthorizedPrincipalsCommandUser nu este, atunci sshd(8) va refuza să pornească.
AuthorizedPrincipalsFile
Specifică un fișier care enumeră numele principalilor care sunt acceptate pentru autentificarea
certificatelor. Atunci când se utilizează certificate semnate de o cheie enumerată în
TrustedUserCAKeys, acest fișier enumeră nume, dintre care unul trebuie să apară în certificat
pentru ca acesta să fie acceptat pentru autentificare. Numele sunt enumerate câte unul pe linie,
precedate de opțiuni de cheie (astfel cum sunt descrise în AUTHORIZED_KEYS FILE FORMAT în
sshd(8)). Liniile goale și comentariile care încep cu ‘#’ sunt ignorate.
Argumentele pentru AuthorizedPrincipalsFile pot include caractere joker și pot accepta
simbolurile descrise în secțiunea “SIMBOLURI”. După expansiune, AuthorizedPrincipalsFile este
considerată a fi o rută absolută sau una relativă la directorul personal al utilizatorului.
Valoarea implicită este none, adică neutilizarea unui fișier de principali -- în acest caz,
numele de utilizator al utilizatorului trebuie să apară în lista de principali a unui certificat
pentru ca acesta să fie acceptat.
Rețineți că AuthorizedPrincipalsFile este utilizată numai atunci când autentificarea se
realizează utilizând o autoritate de certificare listată în TrustedUserCAKeys și nu este
consultată pentru autoritățile de certificare de încredere prin ~/.ssh/authorized_keys, deși
opțiunea de cheie principals= oferă o facilitate similară (vezi sshd(8) pentru detalii).
Banner Conținutul fișierului specificat este trimis utilizatorului de la distanță înainte ca
autentificarea să fie permisă. Dacă argumentul este none, atunci nu se afișează niciun mesaj de
întâmpinare „banner.” În mod implicit, nu este afișat niciun „banner”.
CASignatureAlgorithms
Specifică ce algoritmi sunt permiși pentru semnarea certificatelor de către autoritățile de
certificare (CA). Valoarea implicită este:
ssh-ed25519,ecdsa-sha2-nistp256,
ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
Dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii specificați vor fi adăugați
la setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘-’,
atunci algoritmii specificați (inclusiv caracterele joker) vor fi eliminați din setul implicit în
loc să fie înlocuiți.
Certificatele semnate folosind alți algoritmi nu vor fi acceptate pentru autentificarea pe bază
de cheie publică sau gazdă.
ChannelTimeout
Specifică dacă și cât de repede sshd(8) trebuie să închidă canalele inactive. Timpii de așteptare
sunt specificați ca una sau mai multe perechi “type=interval” separate prin spații albe, unde
“type” trebuie să fie cuvântul-cheie special “global” sau un nume de tip de canal din lista de
mai jos, conținând opțional caractere joker.
Valoarea timpului de așteptare “interval” este specificată în secunde sau poate utiliza oricare
dintre unitățile documentate în secțiunea “FORMATE DE TIMP”. De exemplu, “session=5m” ar face ca
sesiunile interactive să se încheie după cinci minute de inactivitate. Specificarea unei valori
zero dezactivează limita de timp pentru inactivitate.
Timpul de așteptare special “global” se aplică tuturor canalelor active, luate împreună. Traficul
pe orice canal activ va reinițializa timpul de așteptare, dar atunci când timpul de așteptare
expiră, toate canalele deschise vor fi închise. Rețineți că acest timp limită global nu este
compatibil cu caracterele joker și trebuie să fie specificat explicit.
Numele tipurilor de canal disponibile includ:
agent-connection
Deschide conexiuni către ssh-agent(1).
direct-tcpip, direct-streamlocal@openssh.com
Deschide conexiuni TCP sau soclu Unix (respectiv) care au fost stabilite de la o
redirecționare locală ssh(1), adică LocalForward sau DynamicForward.
forwarded-tcpip, forwarded-streamlocal@openssh.com
Deschide conexiuni TCP sau soclu Unix (respectiv) care au fost stabilite la un sshd(8)
care ascultă în numele unui ssh(1) de redirecționare la distanță, și anume RemoteForward.
session
Sesiunea principală interactivă, inclusiv sesiunea shell, executarea comenzilor, scp(1),
sftp(1), etc.
tun-connection
Deschide conexiuni TunnelForward.
x11-connection
Deschide sesiuni de redirecționare X11.
Rețineți că, în toate cazurile de mai sus, terminarea unei sesiuni inactive nu garantează
eliminarea tuturor resurselor asociate sesiunii, de exemplu, procesele shell sau clienții X11
referitoare la sesiune pot continua să se execute.
În plus, terminarea unui canal sau a unei sesiuni inactive nu închide neapărat conexiunea SSH și
nici nu împiedică un client să solicite un alt canal de același tip. În special, încetarea unei
sesiuni de redirecționare inactive nu împiedică crearea ulterioară a unei alte redirecționări
identice.
Valoarea implicită este de a nu expira canalele de orice tip pentru inactivitate.
ChrootDirectory
Specifică numele de rută al unui director pentru chroot(2) după autentificare. La pornirea
sesiunii, sshd(8) verifică dacă toate componentele numelui de rută sunt directoare deținute de
root care nu pot fi scrise de grup sau de alții. După efectuarea chroot, sshd(8) schimbă
directorul de lucru la directorul personal al utilizatorului. Argumentele pentru ChrootDirectory
acceptă simbolurile descrise în secțiunea “SIMBOLURI”.
ChrootDirectory trebuie să conțină fișierele și directoarele necesare pentru a oferi suport
sesiunii utilizatorului. Pentru o sesiune interactivă, aceasta necesită cel puțin un shell, de
obicei sh(1), și noduri /dev de bază, cum ar fi dispozitivele null(4), zero(4), stdin(4),
stdout(4), stderr(4) și tty(4). Pentru sesiunile de transfer de fișiere care utilizează SFTP nu
este necesară nicio configurare suplimentară a mediului dacă se utilizează sftp-server în proces,
deși sesiunile care utilizează jurnalizarea pot necesita /dev/log în interiorul directorului
chroot pe unele sisteme de operare (consultați sftp-server(8) pentru detalii).
Pentru siguranță, este foarte important ca ierarhia directoarelor să nu poată fi modificată de
alte procese din sistem (în special cele din afara celulei). O configurație greșită poate duce la
medii nesigure pe care sshd(8) nu le poate detecta.
Valoarea implicită este none, ceea ce indică faptul că nu trebuie să se execute chroot(2).
Ciphers
Specifică cifrurile permise. Cifrurile multiple trebuie să fie separate prin virgule. Dacă lista
specificată începe cu un caracter ‘+’, atunci cifrurile specificate vor fi adăugate la setul
implicit în loc să le înlocuiască. Dacă lista specificată începe cu un caracter ‘-’, atunci
cifrurile specificate (inclusiv caracterele joker) vor fi eliminate din setul implicit în loc să
le înlocuiască. Dacă lista specificată începe cu un caracter ‘^’, atunci cifrurile specificate
vor fi plasate la începutul setului implicit.
Cifrurile acceptate sunt:
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
Valoarea implicită este:
chacha20-poly1305@openssh.com,
aes128-gcm@openssh.com,aes256-gcm@openssh.com,
aes128-ctr,aes192-ctr,aes256-ctr
Lista cifrurilor disponibile poate fi de asemenea obținută utilizând "ssh -Q cipher".
ClientAliveCountMax
Stabilește numărul de mesaje de menținere a conexiunii cu clientul „client alive” care pot fi
trimise fără ca sshd(8) să primească niciun mesaj înapoi de la client. Dacă acest prag este atins
în timp ce sunt trimise mesaje de menținere a conexiunii cu clientul, sshd va deconecta clientul,
încheind sesiunea. Este important de reținut că utilizarea mesajelor client alive este foarte
diferită de TCPKeepAlive. Mesajele client alive sunt trimise prin canalul criptat și, prin
urmare, nu vor putea fi falsificate. Opțiunea TCP keepalive activată de TCPKeepAlive poate fi
falsificată. Mecanismul client alive este util atunci când clientul sau serverul depind de
cunoașterea momentului în care o conexiune nu mai răspunde.
Valoarea implicită este 3. Dacă ClientAliveInterval este stabilit la 15, iar ClientAliveCountMax
este lăsat la valoarea implicită, clienții SSH care nu răspund vor fi deconectați după
aproximativ 45 de secunde. Stabilirea la zero a valorii ClientAliveCountMax dezactivează
terminarea conexiunii.
ClientAliveInterval
Stabilește un interval de timp în secunde după care, în cazul în care nu au fost primite date de
la client, sshd(8) va trimite un mesaj prin canalul criptat pentru a solicita un răspuns de la
client. Valoarea implicită este 0, indicând faptul că aceste mesaje nu vor fi trimise către
client.
Compression
Specifică dacă comprimarea este activată după ce utilizatorul s-a autentificat cu succes.
Argumentul trebuie să fie yes, delayed (un sinonim vechi pentru yes) sau no. Valoarea implicită
este yes.
DebianBanner
Specifică dacă sufixul versiunii suplimentare specificat de distribuție este inclus în timpul
negocierii inițiale ale protocolului. Valoarea implicită este yes.
DenyGroups
Acest cuvânt cheie poate fi urmat de o listă de modele de nume de grup, separate prin spații.
Conectarea este interzisă utilizatorilor al căror grup principal sau listă suplimentară de
grupuri corespunde unuia dintre modele. Numai numele grupurilor sunt valide; un ID de grup
numeric nu este recunoscut. În mod implicit, autentificarea este permisă pentru toate grupurile.
Directivele permite/refuză grupuri „allow/deny groups” sunt procesate în următoarea ordine:
DenyGroups, AllowGroups.
Consultați secțiunea «MODELE» din ssh_config(5) pentru mai multe informații despre modele. Acest
cuvânt cheie poate apărea de mai multe ori în sshd_config, fiecare instanță adăugându-se la
listă.
DenyUsers
Acest cuvânt cheie poate fi urmat de o listă de modele de nume de utilizator, separate prin
spații. Conectarea nu este permisă pentru numele de utilizator care corespund unuia dintre
modele. Numai numele de utilizator sunt valide; un ID de utilizator numeric nu este recunoscut.
În mod implicit, conectarea este permisă pentru toți utilizatorii. Dacă modelul are forma
UTILIZATOR@GAZDĂ, atunci UTILIZATOR și GAZDĂ sunt verificate separat, restricționând
autentificarea anumitor utilizatori de la anumite gazde. Criteriile GAZDĂ pot conține, în plus,
adrese care să corespundă în formatul CIDR adresă.lungime-mască „address/masklen”. Directivele
pemite/refuză utilizatori „allow/deny users” sunt procesate în următoarea ordine: DenyUsers,
AllowUsers.
Consultați secțiunea «MODELE» din ssh_config(5) pentru mai multe informații despre modele. Acest
cuvânt cheie poate apărea de mai multe ori în sshd_config, fiecare instanță adăugându-se la
listă.
DisableForwarding
Dezactivează toate caracteristicile de redirecționare, inclusiv X11, ssh-agent(1), TCP și
StreamLocal. Această opțiune prevalează asupra tuturor celorlalte opțiuni legate de
redirecționare și poate simplifica configurațiile restricționate.
ExposeAuthInfo
Scrie un fișier temporar care conține o listă de metode de autentificare și acreditări publice
(de exemplu, chei) utilizate pentru autentificarea utilizatorului. Locația fișierului este expusă
sesiunii utilizatorului prin intermediul variabilei de mediu SSH_USER_AUTH. Valoarea implicită
este no.
FingerprintHash
Specifică algoritmul de calculare a sumelor de control utilizat la înregistrarea amprentelor
digitale ale cheilor. Opțiunile valide sunt: md5 și sha256. Valoarea implicită este sha256.
ForceCommand
Forțează executarea comenzii specificate de ForceCommand, ignorând orice comandă furnizată de
client și ~/.ssh/rc dacă este prezentă. Comanda este invocată prin utilizarea shell-ului de
conectare al utilizatorului cu opțiunea -c. Aceasta se aplică la execuția shell-ului, comenzii
sau subsistemului. Este cel mai util în interiorul unui bloc Match. Comanda furnizată inițial de
client este disponibilă în variabila de mediu SSH_ORIGINAL_COMMAND. Specificarea unei comenzi
internal-sftp va forța utilizarea unui server SFTP în proces care nu necesită fișiere de suport
atunci când este utilizată cu ChrootDirectory. Valoarea implicită este none.
GatewayPorts
Specifică dacă gazdele de la distanță sunt autorizate să se conecteze la porturile redirecționate
pentru client. În mod implicit, sshd(8) leagă redirecționările porturilor la distanță la adresa
loopback. Acest lucru împiedică alte gazde de la distanță să se conecteze la porturile
redirecționate GatewayPorts poate fi utilizată pentru a specifica faptul că sshd ar trebui să
permită redirecționările porturilor la distanță să se lege la adrese non-loopback, permițând
astfel altor gazde să se conecteze. Argumentul poate fi no pentru a forța redirecționările de
porturi la distanță să fie disponibile numai pentru gazda locală, yes pentru a forța
redirecționările de porturi la distanță să se lege la adresa substituentă sau clientspecified
pentru a permite clientului să selecteze adresa la care este legată redirecționarea. Valoarea
implicită este no.
GSSAPIAuthentication
Specifică dacă este permisă autentificarea utilizatorului bazată pe GSSAPI. Valoarea implicită
este no.
GSSAPICleanupCredentials
Specifică dacă să distrugă automat memoria cache a acreditărilor utilizatorului la deconectare.
Valoarea implicită este yes.
GSSAPIKeyExchange
Specifică dacă este permis schimbul de chei bazat pe GSSAPI. Schimbul de chei GSSAPI nu se
bazează pe cheile ssh pentru a verifica identitatea gazdei. Valoarea implicită este no.
GSSAPIStrictAcceptorCheck
Determină dacă trebuie să fie strict cu privire la identitatea acceptorului GSSAPI față de care
se autentifică un client. Dacă este definită la yes, atunci clientul trebuie să se autentifice în
raport cu serviciul gazdă de pe numele de gazdă curent. Dacă este definită la no, atunci clientul
se poate autentifica cu orice cheie de serviciu stocată în memoria implicită a mașinii. Această
facilitate este oferită pentru a ajuta la operarea pe mașini cu mai multe gazde. Valoarea
implicită este yes.
GSSAPIStoreCredentialsOnRekey
Controlează dacă credențialele GSSAPI ale utilizatorului ar trebui actualizate după o reînnoire
cu succes a cheilor conexiunii. Această opțiune poate fi utilizată pentru a accepta acreditările
reînnoite sau actualizate de la un client compatibil. Valoarea implicită este “no”.
Pentru ca acest lucru să funcționeze, GSSAPIKeyExchange trebuie să fie activată pe server și
utilizată și de client.
GSSAPIKexAlgorithms
Lista algoritmilor de schimb de chei care sunt acceptați de schimbul de chei GSSAPI. Valorile
posibile sunt
gss-gex-sha1-,
gss-group1-sha1-,
gss-group14-sha1-,
gss-group14-sha256-,
gss-group16-sha512-,
gss-nistp256-sha256-,
gss-curve25519-sha256-
:ista implicită este
“gss-group14-sha256-,gss-group16-sha512-,gss-nistp256-sha256-,gss-curve25519-sha256-,gss-gex-sha1-,gss-group14-sha1-”.
Această opțiune se aplică numai conexiunilor care utilizează GSSAPI.
HostbasedAcceptedAlgorithms
Specifică algoritmii de semnătură care vor fi acceptați pentru autentificarea bazată pe gazdă ca
o listă de modele separate prin virgule. Alternativ, dacă lista specificată începe cu un caracter
‘+’, atunci algoritmii de semnătură specificați vor fi adăugați la setul implicit în loc să fie
înlocuiți. Dacă lista specificată începe cu un caracter ‘-’, atunci algoritmii de semnătură
specificați (inclusiv cei specificați cu caractere joker) vor fi eliminați din setul implicit în
loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘^’, atunci algoritmii de
semnătură specificați vor fi plasați la începutul setului implicit. Valoarea implicită pentru
această opțiune este:
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
Lista algoritmilor de semnătură disponibili poate fi obținută și utilizând "ssh -Q
HostbasedAcceptedAlgorithms". Aceasta a fost denumită anterior HostbasedAcceptedKeyTypes.
HostbasedAuthentication
Specifică dacă este permisă autentificarea rhosts sau „/etc/hosts.equiv” împreună cu
autentificarea de succes a gazdei clientului cu cheie publică (autentificare bazată pe gazdă).
Valoarea implicită este no.
HostbasedUsesNameFromPacketOnly
Specifică dacă serverul va încerca sau nu să efectueze o căutare inversă a numelui atunci când se
potrivește numele din fișierele ~/.shosts, ~/.rhosts și /etc/hosts.equiv în timpul
HostbasedAuthentication. O definiție de yes înseamnă că sshd(8) utilizează numele furnizat de
client în loc să încerce să rezolve numele din conexiunea TCP în sine. Valoarea implicită este
no.
HostCertificate
Specifică un fișier care conține un certificat de gazdă publică. Cheia publică a certificatului
trebuie să corespundă unei chei private a gazdei deja specificate prin HostKey. Comportamentul
implicit al sshd(8) este de a nu încărca niciun certificat.
HostKey
Specifică un fișier care conține o cheie privată de gazdă utilizată de SSH. Valorile implicite
sunt /etc/ssh/ssh_host_ecdsa_key, /etc/ssh/ssh_host_ed25519_key și /etc/ssh/ssh_host_rsa_key.
Rețineți că sshd(8) va refuza să utilizeze un fișier dacă acesta este accesibil grupului/tuturor
celorlalți și că opțiunea HostKeyAlgorithms restricționează care dintre chei sunt utilizate
efectiv de sshd(8).
Este posibil să aveți mai multe fișiere de chei gazdă. De asemenea, este posibil să se specifice
în schimb fișiere de chei gazdă publice. În acest caz, operațiile asupra cheii private vor fi
delegate unui ssh-agent(1).
HostKeyAgent
Identifică soclul din domeniul UNIX utilizat pentru a comunica cu un agent care are acces la
cheile private ale gazdei. Dacă este specificat șirul "SSH_AUTH_SOCK", locația soclului va fi
citită din variabila de mediu SSH_AUTH_SOCK.
HostKeyAlgorithms
Specifică algoritmii de semnătură a cheii gazdă pe care îi oferă serverul. Valoarea implicită
pentru această opțiune este:
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
Lista algoritmilor de semnătură disponibili poate fi de asemenea obținută utilizând "ssh -Q
HostKeyAlgorithms".
IgnoreRhosts
Specifică dacă se ignoră fișierele .rhosts și .shosts per utilizator în timpul
HostbasedAuthentication. /etc/hosts.equiv și /etc/ssh/shosts.equiv la nivel de sistem sunt
utilizate în continuare indiferent de valoarea acestei opțiuni.
Valorile acceptate sunt yes (implicit) pentru a ignora toate fișierele per-user, shosts-only
pentru a permite utilizarea .shosts dar pentru a ignora .rhosts sau no pentru a permite atât
.shosts cât și rhosts.
IgnoreUserKnownHosts
Specifică dacă sshd(8) ar trebui să ignore fișierul ~/.ssh/known_hosts al utilizatorului în
timpul HostbasedAuthentication și să utilizeze doar fișierul de gazde cunoscute la nivel de
sistem /etc/ssh/ssh_known_hosts. Valoarea implicită este “no”.
Include
Include fișierul (fișierele) de configurare specificat(e). Se pot specifica mai multe nume de
rute și fiecare nume de rută poate conține glob(7) caractere joker care vor fi expandate și
procesate în ordine lexicală. Fișierele fără rute absolute sunt considerate a fi în /etc/ssh. O
directivă Include poate apărea în interiorul unui bloc Match pentru a efectua includerea
condiționată.
IPQoS Specifică tipul de serviciu IPv4 sau clasa DSCP pentru conexiune. Valorile acceptate sunt af11,
af12, af13, af21, af22, af23, af31, af32, af33, af41, af42, af43, cs0, cs1, cs2, cs3, cs4, cs5,
cs6, cs7, ef, le, lowdelay, throughput, reliability, o valoare numerică sau none pentru a utiliza
valoarea implicită a sistemului de operare. Această opțiune poate primi unul sau două argumente,
separate printr-un spațiu alb. Dacă este specificat un argument, acesta este utilizat
necondiționat ca clasă de pachete. Dacă sunt specificate două valori, prima este selectată
automat pentru sesiunile interactive și a doua pentru sesiunile non-interactive. Valoarea
implicită este lowdelay pentru sesiunile interactive și throughput pentru sesiunile non-
interactive.
KbdInteractiveAuthentication
Specifică dacă se permite autentificarea interactivă la tastatură. Valoarea implicită este yes.
Argumentul pentru acest cuvânt cheie trebuie să fie yes sau no. ChallengeResponseAuthentication
este un alias depreciat pentru aceasta.
KerberosAuthentication
Specifică dacă parola furnizată de utilizator pentru PasswordAuthentication va fi validată prin
intermediul KDC (centrul de distribuire de chei) Kerberos. Pentru a utiliza această opțiune,
serverul are nevoie de un servtab Kerberos care să permită verificarea identității KDC-ului.
Valoarea implicită este no.
KerberosGetAFSToken
Dacă AFS este activ și utilizatorul are un TGT Kerberos 5, încearcă să obțină un jeton AFS
înainte de a accesa directorul personal al utilizatorului. Valoarea implicită este no.
KerberosOrLocalPasswd
Dacă autentificarea parolei prin Kerberos eșuează, atunci parola va fi validată prin orice
mecanism local suplimentar, cum ar fi /etc/passwd. Valoarea implicită este yes.
KerberosTicketCleanup
Specifică dacă să se distrugă automat fișierul cache al biletelor utilizatorului la deconectare.
Valoarea implicită este yes.
KexAlgorithms
Specifică algoritmii KEX (Key Exchange) permiși pe care serverul îi va oferi clienților. Ordinea
acestei liste nu este importantă, deoarece clientul specifică ordinea preferințelor. Algoritmii
multipli trebuie să fie separați prin virgule.
Dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii specificați vor fi adăugați
la setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘-’,
atunci algoritmii specificați (inclusiv cei secificați cu caractere joker) vor fi eliminați din
setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘^’, atunci
algoritmii specificați vor fi plasați la începutul setului implicit.
Algoritmii acceptați sunt:
curve25519-sha256
curve25519-sha256@libssh.org
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
mlkem768x25519-sha256
sntrup761x25519-sha512
sntrup761x25519-sha512@openssh.com
Valoarea implicită este:
mlkem768x25519-sha256,
sntrup761x25519-sha512,sntrup761x25519-sha512@openssh.com,
curve25519-sha256,curve25519-sha256@libssh.org,
ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
Lista algoritmilor de schimb de chei acceptați poate fi obținută și utilizând "ssh -Q
KexAlgorithms".
ListenAddress
Specifică adresele locale pe care sshd(8) ar trebui să asculte. Pot fi utilizate următoarele
formate:
ListenAddress nume-gazdă|adresă [rdomain domeniu]
ListenAddress nume-gazdă:port [rdomain domeniu]
ListenAddress adresă-IPv4:port [rdomain domeniu]
ListenAddress [nume-gazdă|adresă]:port [rdomain domeniu]
Calificatorul opțional rdomain solicită ca sshd(8) să asculte într-un domeniu de direcționare
explicit. Dacă port nu este specificat, sshd va asculta pe adresa și toate opțiunile Port
specificate. Valoarea implicită este de a asculta pe toate adresele locale din domeniul de
direcționare implicit curent. Sunt permise mai multe opțiuni ListenAddress.
În Linux, domeniile de direcționare sunt implementate utilizând domenii virtuale de direcționare
și redirecționare (VRF); pentru mai multe informații, consultați ip-vrf(8).
LoginGraceTime
Serverul se deconectează după acest timp dacă utilizatorul nu s-a autentificat cu succes. Dacă
valoarea este 0, nu există nicio limită de timp. Valoarea implicită este de 120 de secunde.
LogLevel
Definește nivelul de detaliere a mesajelor informative care este utilizat la înregistrarea
mesajelor din sshd(8). Valorile posibile sunt: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG,
DEBUG1, DEBUG2 și DEBUG3. Valoarea implicită este INFO. DEBUG și DEBUG1 sunt echivalente. DEBUG2
și DEBUG3 specifică fiecare niveluri superioare de ieșire de depanare. Jurnalizarea cu un nivel
DEBUG încalcă confidențialitatea utilizatorilor și nu este recomandată.
LogVerbose
Specifică una sau mai multe valori de suprascriere pentru LogLevel. O suprascriere constă din
una sau mai multe liste de modele care corespund fișierului sursă, funcției și numărului liniei
pentru care se forțează înregistrarea detaliată. De exemplu, un model de suprascriere de:
kex.c:*:1000,*:kex_exchange_identification():*,packet.c:*
ar activa înregistrarea detaliată pentru linia 1000 din kex.c, tot ce se află în funcția
kex_exchange_identification() și tot codul din fișierul packet.c. Această opțiune este destinată
depanării și nicio modificare (suprascriere) nu este activată implicit.
MACs Specifică algoritmii MAC (cod de autentificare a mesajelor) disponibili. Algoritmul MAC este
utilizat pentru protecția integrității datelor. Algoritmii multipli trebuie să fie separați prin
virgule. Dacă lista specificată începe cu un caracter ‘+’, atunci algoritmii specificați vor fi
adăugați la setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter
‘-’, atunci algoritmii specificați (inclusiv cei specificați cu caractere joker) vor fi eliminați
din setul implicit în loc să fie înlocuiți. Dacă lista specificată începe cu un caracter ‘^’,
atunci algoritmii specificați vor fi plasați la începutul setului implicit.
Algoritmii care conțin "-etm" calculează MAC după criptare (encrypt-then-mac). Acestea sunt
considerate mai sigure și se recomandă utilizarea lor. MAC-urile acceptate sunt:
hmac-md5
hmac-md5-96
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
umac-64@openssh.com
umac-128@openssh.com
hmac-md5-etm@openssh.com
hmac-md5-96-etm@openssh.com
hmac-sha1-etm@openssh.com
hmac-sha1-96-etm@openssh.com
hmac-sha2-256-etm@openssh.com
hmac-sha2-512-etm@openssh.com
umac-64-etm@openssh.com
umac-128-etm@openssh.com
Valoarea implicită este:
umac-64-etm@openssh.com,umac-128-etm@openssh.com,
hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,
hmac-sha1-etm@openssh.com,
umac-64@openssh.com,umac-128@openssh.com,
hmac-sha2-256,hmac-sha2-512,hmac-sha1
Lista algoritmilor MAC disponibili poate fi de asemenea obținută utilizând "ssh -Q mac".
Match Introduce un bloc condițional. Dacă toate criteriile de pe linia Match sunt îndeplinite,
cuvintele-cheie de pe următoarele linii prevalează asupra celor stabilite în secțiunea globală a
fișierului de configurare, până la o altă linie Match sau până la sfârșitul fișierului. Dacă un
cuvânt-cheie apare în mai multe blocuri Match care sunt îndeplinite, se aplică numai prima
instanță a cuvântului-cheie.
Argumentele pentru Match sunt una sau mai multe perechi criteriu-model sau unul dintre criteriile
cu un singur simbol: All, care corespunde tuturor criteriilor, sau Invalid-User, care corespunde
atunci când numele de utilizator solicitat nu corespunde niciunui cont cunoscut. Criteriile
disponibile sunt User, Group, Host, LocalAddress, LocalPort, Version, RDomain și Address (cu
RDomain reprezentând domeniul de direcționare pe care a fost primită conexiunea; vezi ip-vrf(8)).
Modelele de potrivire pot consta în intrări simple sau liste separate prin virgule și pot utiliza
operatorii joker și de negare descriși în secțiunea “MODELE” din ssh_config(5).
Modelele dintr-un criteriu Address pot conține, în plus, adrese care trebuie să corespundă în
formatul de adresă/lungime-mască CIDR, cum ar fi 192.0.2.0/24 sau 2001:db8::/32. Rețineți că
lungimea măștii furnizate trebuie să fie în concordanță cu adresa - este o eroare să specificați
o lungime a măștii care este prea lungă pentru adresă sau una cu biți activați în această
porțiune de gazdă a adresei. De exemplu, 192.0.2.0/33 și, respectiv, 192.0.2.0/8.
Cuvântul cheie Version se potrivește cu șirul de versiuni al sshd(8), de exemplu “OpenSSH_10.0”.
Numai un subset de cuvinte cheie poate fi utilizat pe liniile care urmează unui cuvânt cheie
Match. Cuvintele cheie disponibile sunt AcceptEnv, AllowAgentForwarding, AllowGroups,
AllowStreamLocalForwarding, AllowTcpForwarding, AllowUsers, AuthenticationMethods,
AuthorizedKeysCommand, AuthorizedKeysCommandUser, AuthorizedKeysFile,
AuthorizedPrincipalsCommand, AuthorizedPrincipalsCommandUser, AuthorizedPrincipalsFile, Banner,
CASignatureAlgorithms, ChannelTimeout, ChrootDirectory, ClientAliveCountMax, ClientAliveInterval,
DenyGroups, DenyUsers, DisableForwarding, ExposeAuthInfo, ForceCommand, GatewayPorts,
GSSAPIAuthentication, HostbasedAcceptedAlgorithms, HostbasedAuthentication,
HostbasedUsesNameFromPacketOnly, IgnoreRhosts, Include, IPQoS, KbdInteractiveAuthentication,
KerberosAuthentication, LogLevel, MaxAuthTries, MaxSessions, PAMServiceName,
PasswordAuthentication, PermitEmptyPasswords, PermitListen, PermitOpen, PermitRootLogin,
PermitTTY, PermitTunnel, PermitUserRC, PubkeyAcceptedAlgorithms, PubkeyAuthentication,
PubkeyAuthOptions, RefuseConnection, RekeyLimit, RevokedKeys, SetEnv, StreamLocalBindMask,
StreamLocalBindUnlink, TrustedUserCAKeys, UnusedConnectionTimeout, X11DisplayOffset,
X11Forwarding și X11UseLocalhost.
MaxAuthTries
Specifică numărul maxim de încercări de autentificare permise per conexiune. Odată ce numărul de
eșecuri atinge jumătate din această valoare, eșecurile ulterioare sunt înregistrate. Valoarea
implicită este 6.
MaxSessions
Specifică numărul maxim de sesiuni deschise de tip shell, autentificare sau subsistem (de
exemplu, sftp) permise per conexiune de rețea. Mai multe sesiuni pot fi stabilite de clienții
care acceptă multiplexarea conexiunii. Stabilirea MaxSessions la 1 va dezactiva efectiv
multiplexarea sesiunilor, în timp ce stabilirea la 0 va împiedica toate sesiunile shell, de
autentificare și subsistem, permițând în același timp redirecționarea. Valoarea implicită este
10.
MaxStartups
Specifică numărul maxim de conexiuni simultane neautentificate la demonul SSH. Conexiunile
suplimentare vor fi abandonate până când autentificarea reușește sau până când LoginGraceTime
expiră pentru o conexiune. Valoarea implicită este 10:30:100.
Alternativ, se poate activa abandonarea prematură aleatorie prin specificarea celor trei valori
separate prin două puncte inițiate:rata:total (de exemplu, „10:30:60”). sshd(8) va refuza
încercările de conectare cu o probabilitate de rata/100 (30%) dacă există în prezent inițiate
(10) conexiuni neautentificate. Probabilitatea crește liniar și toate încercările de conectare
sunt refuzate dacă numărul de conexiuni neautentificate ajunge la numărul „total” (60).
ModuliFile
Specifică fișierul moduli(5) care conține grupurile Diffie-Hellman utilizate pentru metodele de
schimb de chei “diffie-hellman-group-exchange-sha1” și “diffie-hellman-group-exchange-sha256”.
Valoarea implicită este /etc/ssh/moduli.
PAMServiceName
Specifică numele serviciului utilizat pentru autentificarea, autorizarea și controlul sesiunii
PAM (Pluggable Authentication Modules) atunci când UsePAM este activată. Valoarea implicită este
sshd.
PasswordAuthentication
Specifică dacă este permisă autentificarea prin parolă. Valoarea implicită este yes.
PermitEmptyPasswords
Atunci când este permisă autentificarea prin parolă, aceasta specifică dacă serverul permite
conectarea la conturi cu șiruri de parole goale. Valoarea implicită este no.
PermitListen
Specifică adresele/porturile pe care o redirecționare de port TCP la distanță poate asculta.
Specificația de ascultare trebuie să fie una dintre următoarele forme:
PermitListen port
PermitListen gazdă:port
Mai multe permisiuni pot fi specificate prin separarea lor cu un spațiu alb. Un argument de tipul
any poate fi utilizat pentru a elimina toate restricțiile și a permite orice cerere de ascultare.
Un argument de tipul none poate fi utilizat pentru a interzice toate cererile de ascultare.
Numele gazdei poate conține caractere joker, așa cum este descris în secțiunea PATTERNS din
ssh_config(5). Caracterul joker ‘*’ poate fi de asemenea utilizat în locul unui număr de port
pentru a permite toate porturile. În mod implicit, sunt permise toate solicitările de ascultare
pentru redirecționarea porturilor. Rețineți că opțiunea GatewayPorts poate restricționa și mai
mult adresele care pot fi ascultate. Rețineți, de asemenea, că ssh(1) va solicita o gazdă de
ascultare “localhost” dacă nu a fost solicitată în mod specific o gazdă de ascultare, iar acest
nume este tratat diferit față de adresele explicite de gazdă locală “127.0.0.1” și “::1”.
PermitOpen
Specifică destinațiile către care este permisă redirecționarea porturilor TCP. Specificația de
redirecționare trebuie să fie una dintre următoarele forme:
PermitOpen gazdă:port
PermitOpen adresă-IPv4:port
PermitOpen [adresă-IPv6]:port
Se pot specifica mai multe redirecționări prin separarea lor cu un spațiu alb. Un argument de
tipul any poate fi utilizat pentru a elimina toate restricțiile și a permite orice cerere de
redirecționare. Un argument de tipul none poate fi utilizat pentru a interzice toate cererile de
redirecționare. Caracterul joker ‘*’ poate fi utilizat pentru gazdă sau port pentru a permite
toate gazdele, respectiv porturile. În caz contrar, nu se efectuează nicio potrivire de model sau
căutare de adrese pentru numele furnizate. În mod implicit, toate cererile de redirecționare a
porturilor sunt permise.
PermitRootLogin
Specifică dacă root se poate conecta folosind ssh(1). Argumentul trebuie să fie yes,
prohibit-password, forced-commands-only sau no. Valoarea implicită este prohibit-password.
Dacă această opțiune este stabilită la prohibit-password (sau aliasul său depreciat,
without-password), autentificarea prin parolă și tastatura-interactivă sunt dezactivate pentru
root.
Dacă această opțiune este definită la forced-commands-only, autentificarea root cu autentificare
prin cheie publică va fi permisă, dar numai dacă a fost specificată opțiunea command (care poate
fi utilă pentru realizarea de copii de rezervă de la distanță chiar dacă autentificarea root nu
este permisă în mod normal). Toate celelalte metode de autentificare sunt dezactivate pentru
root.
Dacă această opțiune este stabilită la no, root nu are voie să se conecteze.
PermitTTY
Specifică dacă este permisă alocarea pty(4). Valoarea implicită este yes.
PermitTunnel
Specifică dacă este permisă redirecționarea dispozitivelor tun(4). Argumentul trebuie să fie
yes, point-to-point (strat 3), ethernet (strat 2) sau no. Specificarea yes permite atât
point-to-point, cât și ethernet. Valoarea implicită este no.
Independent de această valoare a opțiunii, permisiunile dispozitivului tun(4) selectat trebuie să
permită accesul utilizatorului.
PermitUserEnvironment
Specifică dacă opțiunile ~/.ssh/environment și environment= din ~/.ssh/authorized_keys sunt
procesate de sshd(8). Opțiunile valide sunt yes, no sau o listă de modele care specifică ce nume
de variabile de mediu trebuie acceptate (de exemplu "LANG,LC_*"). Valoarea implicită este no.
Activarea procesării mediului poate permite utilizatorilor să ocolească restricțiile de acces în
anumite configurații utilizând mecanisme precum LD_PRELOAD.
PermitUserRC
Specifică dacă orice fișier ~/.ssh/rc este executat. Valoarea implicită este yes.
PerSourceMaxStartups
Specifică numărul de conexiuni neautentificate permise de la o anumită adresă sursă sau “none”
dacă nu există nicio limită. Această limită este aplicată în plus față de MaxStartups, oricare
dintre acestea este mai mică. Valoarea implicită este none.
PerSourceNetBlockSize
Specifică numărul de biți ai adresei sursă care sunt grupați în scopul aplicării limitelor
PerSourceMaxStartups. Se pot specifica valori pentru IPv4 și, opțional, IPv6, separate prin două
puncte. Valoarea implicită este 32:128, ceea ce înseamnă că fiecare adresă este luată în
considerare individual.
PerSourcePenalties
Controlează penalitățile pentru diferite condiții care pot reprezenta atacuri asupra sshd(8).
Dacă se aplică o sancțiune împotriva unui client, atunci adresa sa sursă și orice alta din
aceeași rețea, astfel cum este definită de PerSourceNetBlockSize, va fi refuzată pentru o
perioadă.
O penalizare nu afectează conexiunile simultane în curs de desfășurare, dar mai multe penalizări
din aceeași sursă de la conexiuni simultane se vor acumula până la un maxim. Dimpotrivă,
penalitățile nu sunt aplicate până când nu se acumulează un prag minim de timp.
Penalitățile sunt activate în mod implicit cu valorile implicite enumerate mai jos, dar pot fi
dezactivate folosind cuvântul-cheie no. Valorile implicite pot fi anulate prin specificarea
unuia sau mai multora dintre cuvintele cheie de mai jos, separate prin spații albe. Toate
cuvintele cheie acceptă argumente, de exemplu: "crash:2m".
crash:duration
Specifică cât timp să se refuze clienții care cauzează o cădere a sshd(8) (implicit:
90s).
authfail:duration
Specifică cât timp trebuie să se refuze clienții care se deconectează după una sau mai
multe încercări nereușite de autentificare (implicit: 5s).
refuseconnection:duration
Specifică perioada de timp în care se refuză conectarea clienților cărora li s-a interzis
administrativ conectarea prin opțiunea RefuseConnection (implicit: 10s).
noauth:duration
Specifică cât timp trebuie să se refuze clienții care se deconectează fără a încerca
autentificarea (implicit: 1s). Acest timp limită trebuie utilizat cu prudență, altfel
poate penaliza instrumentele de scanare legitime precum ssh-keyscan(1).
grace-exceeded:duration
Specifică cât timp trebuie să se refuze clienții care nu reușesc să se autentifice după
LoginGraceTime (implicit: 10s).
max:duration
Specifică durata maximă pentru care accesul la o anumită gamă de adrese sursă va fi
refuzat (implicit: 10m). Penalitățile repetate se vor acumula până la acest maxim.
min:duration
Specifică penalizarea minimă care trebuie să se acumuleze înainte de începerea aplicării
(implicit: 15s).
max-sources4:number, max-sources6:number
Specifică numărul maxim de intervale de adrese IPv4 și IPv6 ale clienților care trebuie
urmărite pentru penalizări (implicit: 65536 pentru ambele).
overflow:mode
Controlează modul în care serverul se comportă atunci când numărul max-sources4 sau
max-sources6 este depășit. Există două moduri de operare: deny-all, care refuză toate
conexiunile primite, altele decât cele exceptate prin PerSourcePenaltyExemptList până la
expirarea unei penalizări, și permissive, care permite conexiuni noi prin eliminarea
anticipată a penalizărilor existente (implicit: permissive). Rețineți că penalizările
clienților sub pragul min sunt luate în considerare la numărul total de penalizări
urmărite. Adresele IPv4 și IPv6 sunt urmărite separat, astfel încât o depășire în una
dintre ele nu o va afecta pe cealaltă.
overflow6:mode
Permite specificarea unui mod de depășire diferit pentru adresele IPv6. Modalitatea
implicită este de a utiliza același mod de depășire specificat pentru IPv4.
PerSourcePenaltyExemptList
Specifică o listă de adrese, separate prin virgule, care urmează să fie exceptate de la
sancțiuni. Această listă poate conține caractere joker și intervale de adrese/lungime-mască CIDR.
Rețineți că lungimea măștii furnizate trebuie să fie în concordanță cu adresa - este o eroare să
specificați o lungime a măștii care este prea mare pentru adresă sau una cu biți definiți în
această porțiune de gazdă a adresei. De exemplu, 192.0.2.0/33 și, respectiv, 192.0.2.0/8.
Valoarea implicită este de a nu excepta nicio adresă.
PidFile
Specifică fișierul care conține ID-ul de proces al demonului SSH sau none pentru a nu scrie unul.
Valoarea implicită este /run/sshd.pid.
Port Specifică numărul portului pe care sshd(8) ascultă. Valoarea implicită este 22. Sunt permise
opțiuni multiple de acest tip. Consultați și ListenAddress.
PrintLastLog
Specifică dacă sshd(8) ar trebui să imprime data și ora ultimei conectări a utilizatorului atunci
când un utilizator se conectează interactiv. Valoarea implicită este yes.
PrintMotd
Specifică dacă sshd(8) trebuie să imprime /etc/motd atunci când un utilizator se conectează
interactiv. (Pe unele sisteme este imprimat de asemenea de shell, /etc/profile, sau echivalent).
Valoarea implicită este yes.
PubkeyAcceptedAlgorithms
Specifică algoritmii de semnătură care vor fi acceptați pentru autentificarea cu cheie publică ca
o listă de modele separate prin virgule. Alternativ, dacă lista specificată începe cu un caracter
‘+’, atunci algoritmii specificați vor fi adăugați la setul implicit în loc să fie înlocuiți.
Dacă lista specificată începe cu un caracter ‘-’, atunci algoritmii specificați (inclusiv cu
caracterele joker) vor fi eliminați din setul implicit în loc să fie înlocuiți. Dacă lista
specificată începe cu un caracter ‘^’, atunci algoritmii specificați vor fi plasați la începutul
setului implicit. Valoarea implicită pentru această opțiune este:
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
Lista algoritmilor de semnătură disponibili poate fi de asemenea obținută utilizând "ssh -Q
PubkeyAcceptedAlgorithms".
PubkeyAuthOptions
Definește una sau mai multe opțiuni de autentificare cu cheie publică. Cuvintele cheie acceptate
sunt: none (implicit; indică faptul că nu sunt activate opțiuni suplimentare), touch-required și
verify-required.
Opțiunea touch-required face ca autentificarea cu cheie publică utilizând un algoritm de
autentificare FIDO (de exemplu, ecdsa-sk sau ed25519-sk) să necesite întotdeauna semnătura pentru
a atesta că un utilizator prezent fizic a confirmat în mod explicit autentificarea (de obicei
prin atingerea autentificatorului). În mod implicit, sshd(8) necesită prezența utilizatorului, cu
excepția cazului în care este suprascrisă cu o opțiune authorized_keys. Fanionul touch-required
dezactivează această înlocuire.
Opțiunea verify-required necesită o semnătură a cheii FIDO care să ateste că utilizatorul a fost
verificat, de exemplu, prin intermediul unui cod PIN.
Nici opțiunea touch-required și nici opțiunea verify-required nu au vreun efect pentru alte
tipuri de chei publice, non-FIDO.
PubkeyAuthentication
Specifică dacă este permisă autentificarea cu cheie publică. Valoarea implicită este yes.
RefuseConnection
Indică faptul că sshd(8) ar trebui să încheie necondiționat conexiunea. În plus, o penalizare
refuseconnection poate fi înregistrată asupra sursei conexiunii dacă PerSourcePenalties este
activată. Această opțiune este cu adevărat utilă numai într-un bloc Match.
RekeyLimit
Specifică cantitatea maximă de date care pot fi transmise sau primite înainte ca cheia de sesiune
să fie renegociată, urmată opțional de o cantitate maximă de timp care poate trece înainte ca
cheia de sesiune să fie renegociată. Primul argument este specificat în octeți și poate avea un
sufix ‘K’, ‘M’ sau ‘G’ pentru a indica kiloocteți, megaocteți sau, respectiv, gigaocteți.
Valoarea implicită este între ‘1G’ și ‘4G’, în funcție de cifru. A doua valoare opțională este
specificată în secunde și poate utiliza oricare dintre unitățile documentate în secțiunea
“FORMATE DE TIMP”. Valoarea implicită pentru RekeyLimit este default none, ceea ce înseamnă că
rescrierea este efectuată după ce a fost trimisă sau primită cantitatea de date implicită a
cifrului și nu se efectuează rescrierea în funcție de timp.
RequiredRSASize
Specifică dimensiunea minimă a cheii RSA (în biți) pe care sshd(8) o va accepta. Cheile de
autentificare bazate pe utilizator și gazdă mai mici decât această limită vor fi refuzate.
Valoarea implicită este de 1024 biți. Rețineți că această limită poate fi ridicată numai față de
valoarea implicită.
RevokedKeys
Specifică fișierul de chei publice revocate sau none pentru a nu utiliza unul. Cheile listate în
acest fișier vor fi refuzate pentru autentificarea cu cheie publică. Rețineți că, dacă acest
fișier nu poate fi citit, atunci autentificarea prin cheie publică va fi refuzată pentru toți
utilizatorii. Cheile pot fi specificate sub forma unui fișier text, care enumeră o cheie publică
pe linie, sau sub forma unei liste de revocare a cheilor OpenSSH (KRL) generată de ssh-keygen(1).
Pentru mai multe informații despre KRL-uri, consultați secțiunea LISTE DE REVOCARE A CHEILOR din
ssh-keygen(1).
SecurityKeyProvider
Specifică o rută către o bibliotecă care va fi utilizată la încărcarea oricăror chei găzduite de
autentificatorul FIDO, înlocuind opțiunea implicită de utilizare a suportului USB HID încorporat.
SetEnv Specifică una sau mai multe variabile de mediu care trebuie definite în sesiunile copil pornite
de sshd(8) ca “NUME=VALOARE”. Valoarea variabilei de mediu poate fi pusă între ghilimele (de
exemplu, dacă conține caractere de spațiu alb). Variabilele de mediu definite de SetEnv
prevalează asupra mediului implicit și asupra oricăror variabile specificate de utilizator prin
AcceptEnv sau PermitUserEnvironment.
SshdAuthPath
Suprascrie ruta implicită către binarul sshd-auth care este invocat pentru a finaliza
autentificarea utilizatorului. Valoarea implicită este /usr/lib/openssh/sshd-auth. Această
opțiune este destinată utilizării de către teste.
SshdSessionPath
Suprascrie ruta implicită către binarul sshd-session care este invocat pentru a gestiona fiecare
conexiune. Valoarea implicită este /usr/lib/openssh/sshd-session. Această opțiune este
destinată utilizării de către teste.
StreamLocalBindMask
Stabilește masca octală a modului de creare a fișierului (umask) utilizată la crearea unui fișier
soclu de domeniu Unix pentru redirecționarea porturilor locale sau la distanță. Această opțiune
este utilizată numai pentru redirecționarea porturilor către un fișier soclu de domeniu Unix.
Valoarea implicită este 0177, care creează un fișier soclu de domeniu Unix care poate fi citit și
scris numai de către proprietar. Rețineți că nu toate sistemele de operare respectă modul de
fișier al fișierelor soclu de domeniu Unix.
StreamLocalBindUnlink
Specifică dacă să se elimine un fișier soclu de domeniu Unix existent pentru redirecționarea
portului local sau la distanță înainte de a crea unul nou. Dacă fișierul soclu există deja și
StreamLocalBindUnlink nu este activată, sshd nu va putea transmite portul către fișierul soclu de
domeniu Unix. Această opțiune este utilizată numai pentru redirecționarea portului către un
fișier soclu de domeniu Unix.
Argumentul trebuie să fie yes sau no. Valoarea implicită este no.
StrictModes
Specifică dacă sshd(8) ar trebui să verifice modurile (permisiunile) fișierelor și proprietarul
fișierelor utilizatorului și al directorului personal înainte de a accepta autentificarea. În
mod normal, acest lucru este de dorit, deoarece începătorii își lasă uneori din greșeală
directorul sau fișierele cu posibilitatea de a le scrie toată lumea. Valoarea implicită este yes.
Rețineți că acest lucru nu se aplică la ChrootDirectory, ale cărui permisiuni și proprietar sunt
verificate necondiționat.
Subsystem
Configurează un subsistem extern (de exemplu, un demon de transfer de fișiere). Argumentele
trebuie să fie un nume de subsistem și o comandă (cu argumente opționale) de executat la
solicitarea subsistemului.
Comanda sftp-server implementează subsistemul de transfer de fișiere SFTP.
Alternativ, numele internal-sftp implementează un server SFTP în proces. Acest lucru poate
simplifica configurațiile care utilizează ChrootDirectory pentru a forța o rădăcină diferită a
sistemului de fișiere pentru clienți. Acesta acceptă aceleași argumente de linie de comandă ca și
sftp-server și chiar dacă este în proces, opțiuni precum LogLevel sau SyslogFacility nu i se
aplică și trebuie să fie stabilite explicit prin intermediul argumentelor de linie de comandă.
În mod implicit, nu sunt definite subsisteme.
SyslogFacility
Oferă codul facilității care este utilizat la înregistrarea mesajelor de la sshd(8). Valorile
posibile sunt: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6,
LOCAL7. Valoarea implicită este AUTH.
TCPKeepAlive
Specifică dacă sistemul trebuie să trimită mesaje TCP „keepalive” celeilalte părți. Dacă acestea
sunt trimise, moartea conexiunii sau prăbușirea uneia dintre mașini va fi observată în mod
corespunzător. Cu toate acestea, acest lucru înseamnă că conexiunile vor muri dacă ruta este
căzută temporar, iar unele persoane consideră acest lucru enervant. Pe de altă parte, dacă
mesajele TCP „keepalives” nu sunt trimise, sesiunile se pot bloca indefinit pe server, lăsând
"ghost" utilizatorilor și consumând resursele serverului.
Valoarea implicită este yes (pentru a trimite mesaje TCP keepalive), iar serverul va observa dacă
rețeaua nu funcționează sau dacă gazda clientului se blochează. Acest lucru evită suspendarea
infinită a sesiunilor.
Pentru a dezactiva mesajele TCP keepalive, valoarea trebuie să fie stabilită la no.
Această opțiune era denumită anterior KeepAlive.
TrustedUserCAKeys
Specifică un fișier care conține cheile publice ale autorităților de certificare (CA) care sunt
de încredere pentru a semna certificatele de utilizator pentru autentificare sau none pentru a nu
utiliza unul. Cheile sunt listate una pe linie; sunt permise liniile goale și comentariile care
încep cu ‘#’. Dacă un certificat este prezentat pentru autentificare și are cheia CA de semnare
listată în acest fișier, atunci acesta poate fi utilizat pentru autentificarea oricărui
utilizator listat în lista „principals” a certificatului. Rețineți că certificatele care nu au o
listă de principali nu vor fi permise pentru autentificare utilizând TrustedUserCAKeys. Pentru
mai multe detalii privind certificatele, consultați secțiunea CERTIFICATE din ssh-keygen(1).
UnusedConnectionTimeout
Specifică dacă și cât de repede sshd(8) trebuie să închidă conexiunile clienților fără canale
deschise. Canalele deschise includ shell-ul activ, execuția de comenzi sau sesiuni de subsistem,
rețeaua conectată, soclu, agent sau redirecționările X11. Ascultătorii de redirecționare, cum ar
fi cei din fanionul ssh(1) -R, nu sunt considerați canale deschise și nu împiedică timpul limită.
Valoarea timpului de așteptare este specificată în secunde sau poate utiliza oricare dintre
unitățile documentate în secțiunea “FORMATE DE TIMP”.
Rețineți că acest timp de așteptare începe atunci când conexiunea clientului finalizează
autentificarea utilizatorului, dar înainte ca clientul să aibă posibilitatea de a deschide orice
canal. Trebuie folosită prudența atunci când se utilizează valori scurte ale timpului de
așteptare, deoarece este posibil ca acestea să nu ofere suficient timp pentru ca clientul să
solicite și să își deschidă canalele înainte de terminarea conexiunii.
Valoarea implicită none este de a nu expira niciodată conexiunile pentru că nu au canale
deschise. Această opțiune poate fi utilă în combinație cu ChannelTimeout.
UseDNS Specifică dacă sshd(8) ar trebui să caute numele gazdei la distanță și să verifice dacă numele
gazdei rezolvat pentru adresa IP la distanță corespunde aceleiași adrese IP.
Dacă această opțiune este stabilită la no (valoarea implicită), atunci în directivele
~/.ssh/authorized_keys from și sshd_config Match Host pot fi utilizate doar adrese și nu nume de
gazdă.
UsePAM Activează interfața Pluggable Authentication Module. Dacă este definită la yes, aceasta va
permite autentificarea PAM utilizând KbdInteractiveAuthentication și PasswordAuthentication în
plus față de procesarea contului PAM și a modulului de sesiune pentru toate tipurile de
autentificare.
Deoarece autentificarea interactivă la tastatură PAM are de obicei un rol echivalent cu
autentificarea prin parolă, trebuie să dezactivați fie PasswordAuthentication, fie
KbdInteractiveAuthentication.
Dacă UsePAM este activată, nu veți putea executa sshd(8) ca utilizator non-root. Valoarea
implicită este no.
VersionAddendum
Specifică opțional textul suplimentar care se adaugă la mesajul de întâmpinare al protocolului
SSH trimis de server la conectare. Valoarea implicită este none.
X11DisplayOffset
Specifică primul număr de afișaj disponibil pentru redirecționarea sshd(8)'s X11. Acest lucru
împiedică sshd să interfereze cu serverele X11 reale. Valoarea implicită este 10.
X11Forwarding
Specifică dacă este permisă redirecționarea X11. Argumentul trebuie să fie yes sau no. Valoarea
implicită este no.
Atunci când redirecționarea X11 este activată, poate exista o expunere suplimentară la server și
la afișajele clienților dacă afișajul proxy sshd(8) este configurat să asculte la adresa
substituentă (a se vedea X11UseLocalhost), deși acest lucru nu este implicit. În plus,
falsificarea autentificării și verificarea și substituirea datelor de autentificare au loc pe
partea clientului. Riscul de securitate al utilizării redirecționării X11 este că serverul de
afișare X11 al clientului poate fi expus atacurilor atunci când clientul SSH solicită
redirecționarea (a se vedea avertismentele pentru ForwardX11 în ssh_config(5)). Un administrator
de sistem poate avea o poziție în care dorește să protejeze clienții care se pot expune la
atacuri prin solicitarea involuntară a redirecționării X11, ceea ce poate justifica o valoare no.
Rețineți că dezactivarea redirecționării X11 nu împiedică utilizatorii să redirecționeze traficul
X11, deoarece utilizatorii își pot instala întotdeauna propriile redirecționări.
X11UseLocalhost
Specifică dacă sshd(8) trebuie să lege serverul de redirecționare X11 la adresa loopback sau la
adresa substituentă. În mod implicit, sshd leagă serverul de redirecționare la adresa loopback și
definește partea de nume de gazdă a variabilei de mediu DISPLAY la localhost. Acest lucru
împiedică gazdele de la distanță să se conecteze la afișajul proxy. Cu toate acestea, este
posibil ca unii clienți X11 mai vechi să nu funcționeze cu această configurație. X11UseLocalhost
poate fi stabilită la no pentru a specifica faptul că serverul de redirecționare trebuie să fie
legat la adresa substituentă. Argumentul trebuie să fie yes sau no. Valoarea implicită este yes.
XAuthLocation
Specifică numele complet al programului xauth(1), sau none pentru a nu utiliza unul. Valoarea
implicită este /usr/bin/xauth.
FORMATE DE TIMP
Argumentele din linia de comandă sshd(8) și opțiunile din fișierele de configurare care specifică timpul
pot fi exprimate folosind o secvență de forma: timp[simbol], unde timp este o valoare întreagă pozitivă
și simbol este una dintre următoarele:
⟨niciunul⟩
secunde
s | S secunde
m | M minute
h | H ore
d | D zile
w | W săptămâni
Fiecare membru al secvenței este adunat pentru a calcula valoarea totală a timpului.
Exemple de format de timp:
600 600 secunde (10 minute)
10m 10 minute
1h30m 1 oră 30 minute (90 minute)
SIMBOLURI
Argumentele la unele cuvinte cheie pot utiliza simboluri, care sunt expandate în timpul execuției:
%% Un literal ‘%’.
%C Identifică punctele finale ale conexiunii, conținând patru valori separate prin spațiu:
adresa clientului, numărul portului clientului, adresa serverului și numărul portului
serverului.
%D Domeniul de direcționare în care a fost primită conexiunea de intrare.
%F Amprenta digitală a cheii CA (autorității de certificare).
%f Amprenta digitală a cheii sau a certificatului.
%h Directorul personal al utilizatorului.
%i ID-ul cheii din certificat.
%K Cheia CA codificată în base64.
%k Cheia sau certificatul codificate în base64 pentru autentificare.
%s Numărul de serie al certificatului.
%T Tipul cheii CA.
%t Tipul cheii sau al certificatului.
%U ID-ul numeric de utilizator al utilizatorului țintă.
%u Numele utilizatorului.
AuthorizedKeysCommand acceptă simbolurile %%, %C, %D, %f, %h, %k, %t, %U și %u.
AuthorizedKeysFile acceptă simbolurile %%, %h, %U, și %u.
AuthorizedPrincipalsCommand acceptă simbolurile %%, %C, %D, %F, %f, %h, %i, %K, %k, %s, %T, %t, %U, și
%u.
AuthorizedPrincipalsFile acceptă simbolurile %%, %h, %U, și %u.
ChrootDirectory acceptă simbolurile %%, %h, %U, și %u.
FIȘIERE
/etc/ssh/sshd_config
Conține date de configurare pentru sshd(8). Acest fișier ar trebui să poată fi scris numai de
către root, dar se recomandă (deși nu este necesar) ca el să poată fi citit de toată lumea.
CONSULTAȚI ȘI
sftp-server(8), sshd(8)
AUTORI
OpenSSH este un derivat al versiunii originale și libere ssh 1.2.12 de Tatu Ylonen. Aaron Campbell, Bob
Beck, Markus Friedl, Niels Provos, Theo de Raadt și Dug Song au eliminat multe erori, au readăugat
caracteristici mai noi și au creat OpenSSH. Markus Friedl a contribuit la suportul pentru versiunile 1.5
și 2.0 ale protocolului SSH. Niels Provos și Markus Friedl au contribuit la suportul pentru separarea
privilegiilor.
TRADUCERE
Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu
<remusgabriel.chelu@disroot.org>
Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3:
https://www.gnu.org/licenses/gpl-3.0.html sau o versiune ulterioară cu privire la condiții privind
drepturile de autor. NU se asumă NICIO RESPONSABILITATE.
Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la
translation-team-ro@lists.sourceforge.net .
Debian 15 februarie, 2025 SSHD_CONFIG(5)