# $OpenBSD: sshd_config,v 1.56 2002/06/20 23:37:12 markus Exp $ ################################################################# # Nr portu na ktorym nasluchuje Twoj serwer (demon sshd) Port 22 # Dostepne protokoly: ssh2 i ssh1 Protocol 2,1 # Na jakim IP Twojego serwera bedzie nasluchiwac sshd # (wazne w przypadku kilku kart sieciowych na serwerze) # TU nasluchuje na wszystkich dostêpnych adresach serwera # czyli wszystkich kartach sieciowych i ew. modemie. ListenAddress 0.0.0.0 #ListenAddress :: # Klucz HostKey dla protokolu version 1 HostKey /etc/ssh/ssh_host_key # Klucz HostKeys dla protokolu version 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key # Dlugosc zycia (w sekundach) klucza "version 1 server key" KeyRegenerationInterval 3600 # Dlugosc klucza (w bitach) klucza "version 1 serwer key" ServerKeyBits 768 # Logging (NIE WIEM CO OZNACZAJA TE 4 WIERSZE) #obsoletes (przestarzaly) QuietMode (cichy tryb) and FascistLogging (faszystowski-logging) ### Syslogudogodnienie - spotkalem sie z wersja odhaszowana #SyslogFacility AUTH #LogLevel INFO ############################################################## # Parametry autentykacji. (Authentication) ############################################################## # # Czas oczekiwania (w sekundach) LoginGraceTime 600 # Czy mozna logowac sie zdalnie na konto roota. Wpisz "no" i loguj sie poprzez konto zwyklego uzytkownika i komendy su lub su -l PermitRootLogin no StrictModes yes RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys # Autentykacja rhosts (czyli dopuszczanie do logowania wg listy tzw. "zaufanych" # maszyn zamiast zmuszania do podawania hasel) nie powinna byc uzywana # ze wzgledow bezpieczenstwa. # Wystarczy bowiem, ze ktos sie wlamie i dobierze do plikow ~/.rhosts .shorts... # JEZELI WYBRALES "no" (a to polecam) TO MOZESZ ZAHASZOWAC KILKA KOLEJNYCH OPCJI # gdyz nie maja one w takim razie znaczenia. Wszak zrezygnowales z tego rodzaju autentykacji. RhostsAuthentication no # Ignorowanie plikow ~/.rhosts i ~/.shosts, ktore maja wykaz "zaufanych" # stacji, z ktorych odlegly uzytkownik moze sie zalogowac bez podania hasla. # Oczywiscie wpisz "yes" i nie pozwol (ze wzgledu bezpieczenstwa) # na czytanie plikow ~/.rhosts i ~/.shosts w zastepstwie autoryzowania haslem. IgnoreRhosts yes # Jezeli w autentykacji rhosts wybrales opcje "RhostsAuthentication yes" # to mozesz zmusic klientow zapisanych w w/w plikach ~/.rhosts i ~/.shosts by # dodatkowo legitymowaly sie kluczem "host keys" znajdujacym # sie w /etc/ssh/ssh_known_hosts (pamietasz jak opisalem koniecznosc skonfigurowania ssh u odleglego klienta poprzez wygenerowanie kluczy komenda: [ $ ssh-keygenktory ]) ? #RhostsRSAAuthentication no #HostbasedAuthentication no # Zmien ponizsze na NIE (!!!) jezeli nie masz zaufania do klienckich kluczy zapisanych w ~/.ssh/known_hosts # dla autentykacji RhostsRSAAuthentication i HostbasedAuthentication # Inaczej mowiac - czy serwer ma zadowolic sie (i ignorowac nadzor nad odleglymi klientami) tescia kluczy od klientow zapisanych w ~/.ssh/known_hosts ? IgnoreUserKnownHosts no # Aby wylaczyc tunelowanie (co jest fatalnym pomyslem) - wyczysc wpisy hasel i zmien na "no" tutaj! PasswordAuthentication yes # Zezwolenie na puste hasla PermitEmptyPasswords no # # Wyhaszuj po to, aby wylaczyc s/key passwords # NIE WIEM O CO TUTAJ CHODZI. # Uncomment to disable s/key passwords #ChallengeResponseAuthentication no # Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #AFSTokenPassing no # Kerberos TGT Passing only works with the AFS kaserver #KerberosTgtPassing no # Set this to 'yes' to enable PAM keyboard-interactive authentication # Warning: enabling this may bypass the setting of 'PasswordAuthentication' #PAMAuthenticationViaKbdInt yes # Szyfrowanie przez ssh2 polaczenia graficznego za pomoca X-Window X11Forwarding yes X11DisplayOffset 10 X11UseLocalhost yes # Pojawi sie komunikat powitalny. Dodatkowo - wpisz cos sensownego do pliku /etc/motd PrintMotd yes Banner /etc/issue #PrintLastLog no KeepAlive yes #UseLogin no UsePrivilegeSeparation yes Compression yes MaxStartups 10 #ReverseMappingCheck yes #VerifyReverseMapping no #CheckMail yes #UseLogin no Subsystem sftp /usr/lib/ssh/sftp-server PermitRootLogin no