From 7a82e197f4a0bcfe73f46cfd095f09d3203ce7aa Mon Sep 17 00:00:00 2001 From: Alexander Zhirov Date: Sun, 11 May 2025 16:00:34 +0300 Subject: [PATCH] =?UTF-8?q?=D0=94=D0=BE=D0=B1=D0=B0=D0=B2=D0=BB=D0=B5?= =?UTF-8?q?=D0=BD=20ssh?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- README.md | 1 + services/ssh/etc/ssh/sshd_config | 186 +++++++++++++++++++++++++++++++ 2 files changed, 187 insertions(+) create mode 100644 services/ssh/etc/ssh/sshd_config diff --git a/README.md b/README.md index f978378..9cb274e 100644 --- a/README.md +++ b/README.md @@ -3,3 +3,4 @@ - [open-iscsi](services/open-iscsi/) - [open-isns](services/open-isns/) - [openslp](services/openslp/) +- [ssh](services/ssh/) diff --git a/services/ssh/etc/ssh/sshd_config b/services/ssh/etc/ssh/sshd_config new file mode 100644 index 0000000..1737e64 --- /dev/null +++ b/services/ssh/etc/ssh/sshd_config @@ -0,0 +1,186 @@ +# Это системный файл конфигурации SSH-сервера sshd. Подробности см. в sshd_config(5). + +# Компиляция sshd была выполнена с указанием PATH=/usr/bin:/bin:/usr/sbin:/sbin + +# Стратегия для параметров в стандартной конфигурации OpenSSH: указывать параметры с их значениями по умолчанию, +# но оставлять их закомментированными. Раскомментированные параметры переопределяют значения по умолчанию. + +#Port 22 +# Указывает порт, на котором сервер SSH будет слушать входящие подключения (по умолчанию 22). + +#AddressFamily any +# Определяет, какие семейства адресов использовать: IPv4, IPv6 или оба (any). + +#ListenAddress 0.0.0.0 +# Указывает IP-адрес, на котором сервер будет принимать подключения (0.0.0.0 — все IPv4-адреса). + +#ListenAddress :: +# Указывает IPv6-адрес для прослушивания (:: — все IPv6-адреса). + +#HostKey /etc/ssh/ssh_host_rsa_key +# Путь к файлу с закрытым ключом RSA сервера. + +#HostKey /etc/ssh/ssh_host_ecdsa_key +# Путь к файлу с закрытым ключом ECDSA сервера. + +#HostKey /etc/ssh/ssh_host_ed25519_key +# Путь к файлу с закрытым ключом ED25519 сервера. + +# Ciphers and keying +#RekeyLimit default none +# Устанавливает лимит данных или времени для повторного обмена ключами (по умолчанию отключено). + +# Logging +#SyslogFacility AUTH +# Указывает подсистему syslog для журналирования (AUTH — для аутентификации). + +#LogLevel INFO +# Уровень детализации логов (INFO — стандартный уровень). + +# Authentication: + +#LoginGraceTime 2m +# Время (в секундах или минутах), в течение которого клиент должен завершить аутентификацию (2 минуты). + +#PermitRootLogin prohibit-password +# Разрешает или запрещает вход для root. Значение prohibit-password запрещает вход по паролю, но позволяет по ключам. + +#StrictModes yes +# Проверяет права доступа к файлам пользователя (например, ~/.ssh) перед аутентификацией. + +#MaxAuthTries 6 +# Максимальное количество попыток аутентификации за одно соединение. + +#MaxSessions 10 +# Максимальное количество одновременных сессий для одного пользователя. + +#PubkeyAuthentication yes +# Разрешает аутентификацию по публичным ключам. + +# AuthorizedKeysFile указывает файл, содержащий публичные ключи для аутентификации. +AuthorizedKeysFile .ssh/authorized_keys + +#AuthorizedPrincipalsFile none +# Файл с именами принципалов для аутентификации (по умолчанию отключено). + +#AuthorizedKeysCommand none +# Команда для получения списка ключей (по умолчанию не используется). + +#AuthorizedKeysCommandUser nobody +# Пользователь, от имени которого выполняется AuthorizedKeysCommand. + +#HostbasedAuthentication no +# Разрешает или запрещает аутентификацию на основе хоста (по умолчанию отключено). + +#IgnoreUserKnownHosts no +# Игнорировать пользовательский файл ~/.ssh/known_hosts для HostbasedAuthentication. + +#IgnoreRhosts yes +# Игнорировать файлы ~/.rhosts и ~/.shosts для аутентификации. + +#PasswordAuthentication yes +# Разрешает аутентификацию по паролю. + +#PermitEmptyPasswords no +# Запрещает использование пустых паролей. + +#KbdInteractiveAuthentication yes +# Разрешает интерактивную аутентификацию (например, двухфакторную). + +# Kerberos options +#KerberosAuthentication no +# Разрешает или запрещает аутентификацию через Kerberos. + +#KerberosOrLocalPasswd yes +# Если Kerberos не сработал, использовать локальный пароль. + +#KerberosTicketCleanup yes +# Очищать Kerberos-тикет после использования. + +#KerberosGetAFSToken no +# Получать AFS-токен при использовании Kerberos. + +# GSSAPI options +#GSSAPIAuthentication no +# Разрешает аутентификацию через GSSAPI. + +#GSSAPICleanupCredentials yes +# Очищать учетные данные GSSAPI после использования. + +#UsePAM yes +# Включает использование PAM (Pluggable Authentication Modules) для аутентификации и управления сессиями. + +#AllowAgentForwarding yes +# Разрешает перенаправление SSH-агента. + +#AllowTcpForwarding yes +# Разрешает перенаправление TCP-портов. + +#GatewayPorts no +# Разрешает клиентам привязывать перенаправленные порты к внешним интерфейсам. + +#X11Forwarding no +# Разрешает перенаправление X11 (графического интерфейса). + +#X11DisplayOffset 10 +# Смещение для номеров дисплеев X11. + +#X11UseLocalhost yes +# Привязывает X11 только к localhost. + +#PermitTTY yes +# Разрешает выделение терминала (TTY) для сессий. + +#PrintMotd yes +# Показывает содержимое /etc/motd при входе. + +#PrintLastLog yes +# Показывает информацию о последнем входе пользователя. + +#TCPKeepAlive yes +# Отправляет keep-alive пакеты для поддержания соединения. + +#PermitUserEnvironment no +# Разрешает клиентам задавать переменные окружения. + +#Compression delayed +# Включает сжатие данных после аутентификации. + +#ClientAliveInterval 0 +# Интервал (в секундах) между проверками активности клиента (0 — отключено). + +#ClientAliveCountMax 3 +# Максимальное количество неотвеченных проверок активности клиента. + +#UseDNS no +# Использовать DNS для разрешения имен хостов. + +#PidFile /run/sshd.pid +# Путь к файлу с PID процесса sshd. + +#MaxStartups 10:30:100 +# Ограничение на одновременные неподтвержденные подключения (10:30:100 — мягкий и жесткий лимиты). + +#PermitTunnel no +# Разрешает туннелирование (например, VPN). + +#ChrootDirectory none +# Указывает директорию для chroot после аутентификации. + +#VersionAddendum none +# Дополнительная строка, добавляемая к версии SSH-сервера. + +#Banner none +# Путь к файлу с баннером, отображаемым перед аутентификацией. + +# Подсистема SFTP +Subsystem sftp /usr/lib64/openssh/sftp-server +# Включает подсистему SFTP для передачи файлов. + +# Пример настройки для конкретного пользователя +#Match User anoncvs +# X11Forwarding no +# AllowTcpForwarding no +# PermitTTY no +# ForceCommand cvs server +# Ограничивает пользователя anoncvs: запрещает X11, TCP-перенаправление, TTY и принудительно выполняет команду cvs.