-
Notifications
You must be signed in to change notification settings - Fork 0
/
sshd_config
179 lines (130 loc) · 5.2 KB
/
sshd_config
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
# $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override the
# default value.
Include /etc/ssh/sshd_config.d/*.conf
# SSH-Port auf 62253
Port 62253
# aktiviert das sicherer SSH Protocol 2
Protocol 2
# lässt nur IPv4 zu. !Kann angepasst werden - "any" (IPv4 & IPv6), "inet" (nur IPv4) oder "inet6" (nur IPv6).
AddressFamily inet
# Beschränkt den Zugang auf folgende Benutzer – !ACHTUNG bitte Namen anpassen.
AllowUsers erik
#ListenAddress 0.0.0.0
#ListenAddress ::
HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
# Gibt die verfügbaren MAC-Algorithmen (Message Authentication Code) an.
KexAlgorithms curve25519-sha256@libssh.org
# Gibt die zulässigen Verschlüsselungen an.
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-512
# Gibt die verfügbaren KEX (Key Exchange)-Algorithmen an.
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
# Gibt die vom Server angebotenen Algorithmen für die Schlüsselsignatur des Hosts an.
HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-ed25519
#RekeyLimit default none
# stellt das LogLevel auf "INFO" und das SyslogFacility auf "AUTHPRIV".
SyslogFacility AUTHPRIV
LogLevel INFO
# Anmeldezeitraum zur Authentifizierung !Kann angepasst werden.
LoginGraceTime 30
# Verhindert Konfigurationsfehler.
StrictModes yes
# Begrenzt die Authentifizierungsversuche !der Wert hier ist 3, kann angepasst werden.
MaxAuthTries 3
#MaxSessions 10
# Erlaubt das anmelden mittels SSH-Schlüsselpaare.
PubkeyAuthentication yes
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# Deaktiviert die hostbasierte Authentifizierung.
HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
# Gibt an, dass .rhosts- und .shosts-Dateien nicht verwendet werden.
IgnoreRhosts yes
# Verhindert das anmelden mittels Passwort.
PasswordAuthentication no
# Deaktiviert das einloggen mit leeren Passwörtern.
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Deaktiviert die Kerberos-Authentifizierung.
KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
# GSSAPI options
GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
# Deaktiviert die Agentenweiterleitung/-tunnelung.
AllowAgentForwarding no
# Deaktiviert die TCP-Weiterleitung/Tunneling.
# Für Visual Studio Code Remote muss dieses AKTIVIERT sein ..
AllowTcpForwarding no
# Deaktiviert das Remote-Port-Forwarding.
GatewayPorts no
# Deaktiviert die X11-Weiterleitung/Tunneling (GUI)
X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
# Deaktiviert das Motd-Banner "Message of the Day".
PrintMotd no
# Zeigt das Datum und Uhrzeit der letzten Benutzeranmeldung an.
PrintLastLog yes
# Verhindert, dass die Verbindung zum Server unterbrochen wird.
TCPKeepAlive yes
# Deaktiviert die User Environment Files.
PermitUserEnvironment no
# Deaktiviert die Komprimierung und sorgt für mehr Sicherheit.
Compression no
# Beendet die Verbindung nach 30 Minuten Inaktivität - !Kann angepasst werden
ClientAliveInterval 1800
# Sendet 2 Mal eine ClientAlive-Nachricht bevor die Verbindung abbricht - !Kann angepasst werden.
ClientAliveCountMax 2
# Deaktiviert DSN-Lookup, dadurch wird die Verbindung schneller hergestellt.
UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
# Deaktiviert die Weiterleitung von tun-Geräten bei SSH-Verbindugen.
PermitTunnel no
#ChrootDirectory none
# Deaktiviert das SSH-Protokollbanner.
VersionAddendum none
# no default banner path
Banner none
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
# override default of no subsystems
Subsystem sftp /usr/lib/openssh/sftp-server
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server