Default: Yes, gibt an ob eine AFS Token zum Server geforwardet werden soll

Gruppen die sich einloggen dürfen. Wenn aktiviert, dürfen sich auch nur diese Gruppen einloggen Joker wie ? und * sind erlaubt, GID sind nicht gestattet.

Erlaubt TCP-Forwarding

Erlaube folgende Benutzernamen, Joker sind gestattet, wenn aktiviert, können sich andere Benutzer nicht einloggen. AuthorizedKeysFile spezifiziert die Datei, die den öffentlich Schlüssel eines Benutzers enthält. Standardeinstellung ist .ssh/authorized_keys. Joker der folgenden Form sind erlaubt

%% = %
%h = Home-Verzeichnis
%u = Username

Banner gibt den Text in der angegebenen Datei vor dem Login wider. Kann teilweise Notwendig sein um z. B. juristische Warnungen auszugeben Nur in Protokoll 2, Standardmäßig abgeschaltet

erlaubt challenge response Authentifizierung, Standard ist ja Alle Authentifizierungen aus login.conf(5) werden unterstützt

Spezifiziert die Cipher (Kryptoalgorithmen) für Protokoll 2 Standard ist: ``aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc''

Zeitintervall während dem keine Daten übertragen werden. Der Daemon überprüft dann ob der Client noch Lebt. 0 bedeutet keine überprüfung, nur in Protokoll 2

Anzahl der überprüfungen des Client (siehe ClientAliveInterval) bevor der Client gekappt und die Session beendet wird. Die ClientAlive Meldungen werden im verschlüsselten SSH Kanal übertragen und sind somit im Gegensatz zu KeepAlive nicht spoofable. Standard ist 3 Beispiel: ClientAliveInterval auf 15 und ClientAliveCountMax 3 bedeutet ein Ende der Session nach 45 Sekunden Idle-Time

Verbiete Gruppen, Joker erlaubt, GID nicht erlaubt, Standard ist "keine"

Verbiete Benutzer, Joker erlaubt, GID nicht erlaubt, Standard ist "keine" Die Form User@Host ist erlaubt und verbietet nur diesen User an jenem Host

Spezifiziert ob Public Key Authentifizierung erlaubt ist, Standard ist ja, nur Protokoll 2

Spezifiziert ob entfernte Hosts sich an geforwardete Ports des Client binden dürfen

Gibt die Datei an die die privaten Server-Schlüssel enthalten. Standard ist /etc/ssh_host_key) sshd verweigert Datein die Group/World Zugriffe erlauben. Mehrere Dateien sind möglich.

.rhosts und .shosts Dateine solen ignoriert werden, /etc/hosts.equiv und /etc/shosts.equiv werden trotzdem ausgewertet, Standard ist ja

Spezifiziert ob sshd $HOME/.ssh/known_hosts des Benutzers während der RhostsRSAAuthentication beachten soll. Standard ist Nein.

Gibt an ob KeepAlive Meldungen gesendet werden sollen. Dies ermöglicht die überprüfung der Verbindung und und tötet die Session wenn die Verbindung abbricht und verhindert somit Geisterprozesse Standard ist ja, zum abschalten müssen Client und Server auf nein stehen.

Spezifiziert ob Kerberos-Authentifizierung erlaubt ist. Standard ist ja, der Server benötigt eine Kerberos Servtab welche die Authentifizierung der KDC Identität erlaubt. Die Identifizierung erfolgt mittels Kerberos Ticket oder Passwort.

Standard ist ja, ermöglicht die Authentifizierung des Benutzers durch z.B. /etc/passwd wenn die Kerberosauthentifizierung fehlschlägt.

Gibt an ob ein Kerberos TGT an den Server geforwardet werden soll. Standard ist nein, es funktioniert nur wenn die Kerberos KDC ein AFS kaserver ist.

Gibt an ob das User Ticket beim Logout vernichtet werden soll. Standard ist ja.

Zeit in Sekunden, nach der der private Server Schlüssel regeneriert wird. Standard ist 3600 Dies soll verhindern das aufgezeichnete Sessions mit einem gestohlenen Serverkey entschlüsselt werden können. Der Schlüssel wird nicht gespeichert.

Definiert die Adresse an die sich der sshd binden soll. Standardmäßig bindet sich der sshd an alle Interfaces. Mehrere Angaben sind möglich.

Der Server beendet ein Login wenn innerhalb dieser Zeit keine Authentifizierung stattgefunden hat. Standard sind 600 Sekunden, 0 bedeutet keine Begrenzung.

Verbosemodus ("Auskunftsfreudigkeit") dess sshd wenn mitgeloggt wird. Optionen: QUIET, FATAL, ERROR, INFO, VERBOSE and DEBUG. Standard ist INFO. DEBUG verletzt die Privatsphäre der User und ist nicht empfohlen.

Gibt die MACs (Message Authentication Code) Algorithmen an. Dies wird in Protokoll 2 benutzt um die Integrität der übertragung zu schützen. Mehrere Algorithmen können per Komma-getrennter Liste angegeben werden. Standard ist: ``hmac-sha1,hmac-md5,hmac-ripemd160, hmac-ripemd160@openssh.com, hmac-sha1-96,hmac-md5-96''

Gibt die maximale Anzahl von konkurrierenden und unauthentifizierten Verbindungen zum sshd an. Zusätzliche Verbindungen werden gedropped. Standard ist 10

Gibt an ob die Authentifizierung via Passwort erlaubt ist. Standard ist ja, Gilt für beide Protokolle.

Erlaubt leere Passwörter. Standard ist nein.

Gibt an ob sich root per ssh einloggen kann. Standard ist ja, Mögliche Argumente sind: yes - login erlaubt without-password - Password Authentifizierung abgeschaltet für root. forced-commands-only - root Login mit Public Key Authentifizieruung ist erlaubt. aber nur wenn der Command Modus übergeben wurde (nützlich um z.B. remote-Backups zu erlauben)

Gibt die Datei an, die die Prozess ID (pid) des sshd enthält. Standard ist /var/run/sshd.pid

Gibt den Port an, an den sich der sshd binden soll. Standard ist 22, mehrere Ports können übergeben werden.

Gibt an ob sshd beim Login /etc/motd ausgeben soll. Wird auf manchen System bereits von der Shell übernommen Standard ist ja.

Gibt die Protokollversionen an, Standard ist 1, 1,2 erlaubt 1 und 2

Erlaubt das Login per Schlüssel. RandomSeed Veraltet, Zufallsgeneratoren benutzen andere Techniken.

sshd überprüft ob der Clienthostname auf die übertragene IP passt. Standard ist nein.

Erlaubt rhosts-Authentifizierung mittels .rhosts oder /etc/hosts.equiv Standard ist nein.

Erlaubt rhosts-Authentifizierung mittels .rhosts oder /etc/hosts.equiv und RSA Host-Authentifizierung Standard ist nein.

Gibt an das reine RSA Authentifizierung erlaubt ist. Standard ist ja, betrifft nur Protokoll 1.

Gibt die Größe der Serverschlüssels in Bit an. Minimum ist 512, Standard ist 768

Gibt an ob sshd Owner und Modes der Dateien checken soll. Anfänger lassen ihre Dateien manchmal World-writable, Standard ist ja.

Speizifiziert ein externes Subsystem (z.B. Secure FTP). Optionen sind ein Subsystem Name und der Befehl der bei einem Request ausgeführt werden soll. Beispiel sftp: Subsystem sftp /usr/libexec/sftp-server

übergibt den facility code an sylogd, Optionen sind DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7 Standard ist AUTH.

Login(1) soll für interaktive Logins benutzt werden. Login wird nicht für remote Befehle verwendet. Standard ist Nein

Spezifiziert die erste Displaynummer für X11 forwarding, um Probleme mit echten X11 Servern zu vermeiden. Standard ist 10.

Gibt an ob X11 Forwarding erlaubt werden soll. Standard ist nein. Das Verbieten erhöht die Sicherheit nicht da die User eigene Forwarder installieren können.

Gibt den Ort des xauth(1) Programm. Standard ist /usr/X11R6/bin/xauth.

Diese Variable gibt (X11-üblich) den X11 Server in "host:n" an.

Pfad zum Home-Verzeichnis des Users.

Synonym für USER; aus Kompatibilitätgründen verwendet.

Pfad zur Mailbox.

Definiert den Pfad eines Unix-Domain Socket der genutzt wird um mit dem Agent zu kommunizieren.

Definiert den Client der Verbindung. Die Variable hat folgende Form: Client IP, Client Port, Server Port

Diese Variable enthält die originale Kommandozeile wenn ein übergebener Befehl ausgeführt wird.

Der Pfad zum TTY welches mit der aktuellen Shell (oder Befehl) assoziert ist. Wenn die Sitzung kein TTY hat ist die Variable nicht gesetzt.

Timezone-Variable, wird gesetzt wenn der Daemon gestartet wird und an eröffnete Verbindungen weitergereicht.

Loginname des User. Zusätzlich liest ssh $HOME/.ssh/environment, und übergibt angebenene Zeile im Format "VARNAME=value" als Variablen.

Zeichnet die Host Schlüssel für alle Maschinen auf, in die sich der User einloggt und die nicht /etc/ssh_known_hosts stehen.

Beinhaltet die RSA und DSA Identitäten des Users. Enthält sensible Daten und sollte r-------- gesetzt sein. (chmod 400) Andernfalls wird er von ssh ignoriert. Beim generieren kann eine Passphrase übergeben werden die den Schlüssel per 3DES schützt.

Enthält den öffentlichen Schlüssel zur Authentifizierung in lesbarer Form. Der Inhalt sollte auf allen Servern die per RSA erreicht werden sollen in $HOME/.ssh/authorized_keys eingefügt werden. Für DSA analog in $HOME/.ssh/authorized_keys2, Diese Dateien enthalten keine sensiblen Daten.

Konfugrationsdatei für den Benutzer.

RSA Schlüssel die dieser Benutzer für Logins verwenden kann.

Systemweite Liste der bekannten Hostschlüssel fürProtokoll 1

Systemweite Liste der bekannten Hostschlüssel fürProtokoll 2.

Systemweite Konfiguration für nicht gesetzte Werte oder (nicht vorhandene) Konfigurationen der Benutzer.

Wird in der .rhosts Authentifikation benutzt und enthält die Host/Benutzer Paare die sich einloggen dürfen.

hat die selbe Bedeutung wie .rhosts. Wird benötigt um .rhost Authentifikation mit ssh durchzuführen, ohne rlogin oder rsh einsetzbar zu halten.

Genutzt zur .rhosts Authentifikation, enthält die kanonischen Hostnamen welche sich automatisch einloggen dürfen.

Äquivalent zu hosts.equiv, wieder mit der Möglichkeit kein rlogin oder rsh einsetzbar halten zu müssen.

Befehle in dieser Datei werden ausgeführt wenn sich ein User einloggt, bevor die Shell (oder ein übergebener Befehl) ausgeführt werden.

Befehle in dieser Datei werden ausgeführt wenn sich dieser User einloggt, bevor die Shell (oder ein übergebener Befehl) ausgeführt werden.

Zusätzliche Environmentvariablen können hierübergeben werden.