El servidor SSH se configura modificando el fichero de configuración (ojo con la
d):
/etc/ssh/sshd_config
Dicho fichero está codificado en ASCII y suficientemente autocomentado. A
continuación comentaremos las diferentes opciones (más información en man
sshd_config):
-
Port:
- Puerto de escucha del servicio. 22 por defecto.
-
ListenAddress:
- Direcciones que serán atendidas. Todas por defecto.
-
Protocol:
- Versión del protocolo. 2 por defecto.
-
HostKey:
- Especifica los ficheros con las host keys. /etc/ssh/ssh_host_rsa_key
y /etc/ssh/ssh_host_dsa_key, por defecto.
-
UsePrivilegeSeparation:
- Especifica si el fichero /.ssh/environment y las
opciones environment= en el fichero /.ssh/authorized_keys son
procesadas por sshd. Por defecto, no.
-
KeyRegenerationInterval:
- Periodo de regeneración del server key para la versión
1 del protocolo. Por defecto, 1 hora.
-
ServerKeyBits:
- Número de bits de la server key para la versión 1 del protocolo.
Por defecto 768 bits.
-
SyslogFacility:
- Tipo de registro de actividades. Por defecto AUTH.
-
LogLevel:
- Nivel de registro de actividades. Por defecto, INFO.
-
LoginGraceTime:
- Tiempo de espera para la autentificación. 120 segundos, por
defecto.
-
PermitRootLogin:
- ¿Se permite acceder al root? Por defecto, sí.
-
StrictModes:
- Enviar ficheros con todos los permisos a todos los usuarios. Sí, por
defecto.
-
RSAAuthentication:
- ¿Queremos usar RSA (versión 1)? Sí, por defecto.
-
PubkeyAuthentication:
- ¿Queremos usar clave pública (versión 2)?. Sí, por
defecto.
-
AuthorizedKeysFile:
- Fichero con las claves para la autentificación.
/.ssh/authorized_keys, por defecto.
-
IgnoreRhosts:
- ¿Se ignoran los ficheros /.rhostsyt /.shosts? Sí, por defecto.
-
RhostsRSAAuthentication:
- Permitir la autentificación por /etc/rhosts
(versión 1). Por defecto, no.
-
HostbasedAuthentication:
- Permitir la autentificación por /etc/rhosts
(versión 2). Por defecto, no.
-
IgnoreUserKnownHosts:
- Poner a yes si no confiamos en el fichero
/.ssh/known_hosts para la RhostsRSAAuthentication.
-
PermitEmptyPasswords:
- No, por defecto (y no se recomienda poner yes”.
-
ChallengeResponseAuthentication:
- Habilita los passwords
“challenge-response”. Por defecto, no.
-
PasswordAuthentication:
- Permite deshabilitar los passwords en texto plano
cuando se está utilizando tunneling. No, por defecto (los passwords están
cifrados, por defecto).
-
KerberosAuthentication:
- Usar Kerberos para autentificar los usuarios. Por
defecto, no.
-
KerberosOrLocalPasswd:
- Opción “OrLocalPasswd” cuando utilizamos Kerberos.
Por defecto, sí.
-
KerberosTicketCleanup:
- Opción “TicketCleanup” cuando utilizamos Kerberos.
Por defecto, sí.
-
KerberosGetAFSToken:
- Opción “GetAFSToken” cuando utilizamos Kerberos. Por
defecto, no.
-
GSSAPIAuthentication:
- Usar GSSAPI para autentificar los usuarios. Por defecto,
no.
-
GSSAPICleanupCredentials:
- Opción “CleanupCredentials” cuando utilizamos
Kerberos. Por defecto, sí.
-
X11Forwarding:
- Redirigir la conexión TCP usada por el servidor X-Window. Sí,
por defecto. Así, cuando accedamos al host remoto desde una consola gráfica
(un xterm, por ejemplo) y ejecutemos una aplicación gráfica, ésta aparecerá
en nuestro sistema de ventanas.
-
X11DisplayOffset:
- Offset por defecto para la variable de entorno DISPLAY que
controla el display gráfico utilizado por las aplicaciones gráficas.
Por defecto, 10.
-
PrintMotd:
- El fichero /etc/motd es un mensaje de bienvenida codificado en ASCII
y que es mostrado cuando accedemos a través del terminal remoto. Por
defecto, no usar.
-
PrintLastLog:
- Imprimir la salida más reciente del comando de lastlog que se
utiliza para saber desde dónde nos conectamos al servidor la última vez que
utilizamos SSH. Por defecto está a yes.
-
TCPKeepAlive:
- Enviar periódicamente mensajes “TCP keepalive”. De esta manera
si la conexión falla los extremos son notificados y el terminal no se “cuelga”.
Por defecto, sí.
-
UseLogin:
- ¿Usar la utilidad login para la autentificación?. Por defecto, no.
-
MaxStartups:
- Espefifica el número máximo de conexxiones concurrentes sin
autentificar que serán permitidas. Por defecto, 10.
-
Banner:
- El banner es un mensaje que puede enviarse antes de iniciarse la conexión
con el servidor (para avisar, por ejemplo, que se está accediendo a un sitio muy
chungo :-). Esta opción indica la localización del fichero ASCII que contiene
dicho mensaje.
-
AcceptEnv:
- Espeficica qué variables para la configuración local del lenguaje van a
ser aceptadas. Por defecto, todas.
-
Subsystem:
- Permite especificar la localización en el sistema de ficheros de una
determinada utilidad a usar con SSH. Normalmente se utiliza para indicar el
fichero que contiene ejecuta la utilidad sftp.
-
UsePAM:
- Autentificar al usuario utilizando el Pluggable Authentication Module. Por
defecto, sí.
Tras modificar el fichero de configuración del servidor SSH es necesario relanzar el
servicio (véase el Apéndice C).