日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
SSHD_CONFIG(5) FreeBSD ファイルフォーマットマニュアル SSHD_CONFIG(5)
名称
sshd_config -- OpenSSH SSH デーモンの設定ファイル
書式
/etc/ssh/sshd_config
解説
sshd(8) は、/etc/ssh/sshd_config (または、コマンド行で -f で指定したファ
イル) から設定データを読み込みます。ファイルは、1 行ごとに ``キーワード-
引数'' のペアを含んでいます。`#' で始まる行と空行は、コメントとして解釈さ
れます。オプションで、引数は、空白を含む引数を表すために、二重引用符 (")
で囲まれます。
指定できるキーワードとその意味は、次の通りです (キーワードは、大文字小文
字を区別せず、引数は、大文字小文字を区別することに注意してください):
AcceptEnv (受け付ける環境変数)
クライアントによって送信されたどの環境変数がセッションの
environ(7) にコピーされるかを指定します。クライアントを設定する方
法については、ssh_config(5) の SendEnv を参照してください。TERM
環境変数は、クライアントがプロトコルによって必要とされるように疑
似端末を要求するときはいつでも、常に送信されます。変数は、ワイル
ドカード文字 `*' と `?' を含んでいる、名前によって指定されます。
複数の環境変数は、空白類よって区切られるか、または複数の
AcceptEnv 指示に散在されます。いくつかの環境変数は、制限された
ユーザ環境を迂回するために使用されることに注意してください。この
ため、この指示の使用には注意するべきです。デフォルトは、あらゆる
環境変数を受け付けることではありません。
AddressFamily (アドレスファミリ)
どのアドレスファミリが sshd(8) によって使用されるべきであるかを指
定します。有効な引数は、any (デフォルト)、inet (IPv4 のみ使用) ま
たは inet6 (IPv6 のみ使用) です。
AllowAgentForwarding (許可するエージェント転送)
ssh-agent(1) 転送が許可されているかどうか指定します。デフォルト
は、yes です。エージェントの転送を無効にすることは、常にそれら自
身の転送プログラムをインストールできるので、ユーザが、シェルへの
アクセスを拒否されないなら、セキュリティが向上しないことに注意し
てください。
AllowGroups (許可するグループ)
空白で区切られたグループ名パターンのリストを、このキーワードに続
けることができます。指定されるなら、パターンの 1 つに一致する主要
なグループと補助的なグループのリストのユーザだけがログインを許可
されます。グループの名前だけが有効で、数字のグループ ID は、認識
されません。デフォルトで、ログインは、すべてのグループに許可され
ています。HOST 基準は、CIDR address/masklen 形式で一致するアドレ
スをさらに含んでいるかもしれません。allow/deny 指示は、次の順序で
処理されます: DenyUsers, AllowUsers, DenyGroups, と最後に
AllowGroups です。
パターンに関する詳しい情報については、ssh_config(5) の「パター
ン」を参照してください。
AllowStreamLocalForwarding (許可するストリームのローカル転送)
StreamLocal (Unix ドメインソケット) 転送が許可されるかどうかを指
定します。利用可能なオプションは、yes (デフォルト) または Stream
Local 転送を許可する all、StreamLocal 転送をすべて防ぐ no、
(ssh(1) の観点から) ローカルな転送のみを許可する local、またはリ
モート転送のみ許可する remote です。
AllowTcpForwarding
TCP 転送が許されるかどうかを指定します。利用可能なオプションは、
yes (ディフォルト) または TCP 転送を許可する all、TCP 転送をすべ
て防ぐ no、(ssh(1) の観点から) ローカルな転送のみを許可する
local、またはリモート転送のみ許可する remote です。TCP 転送を無効
にすることは、また、ユーザが、それらが、常に、それら自体の転送者
をインストールできるように、シェルのアクセスを拒否されないなら、
セキュリティが改善されないことに注意してください。
AllowUsers (許可するユーザ)
空白で区切られたユーザ名パターンのリストを、このキーワードに続け
ることができます。指定されるなら、パターンの 1 つに一致するユーザ
名だけがログインを許可されます。ユーザの名前だけが有効で、数字の
ユーザ ID は、認識されません。デフォルトで、ログインは、すべての
ユーザに許可されています。パターンが形式 USER@HOST をとるなら、
USER と HOST は、特定のホストからの特定のユーザのログインを制限し
て、別々にチェックされます。allow/deny 指示は、次の順序で処理され
ます: DenyUsers, AllowUsers, DenyGroups と最後に AllowGroups で
す。
パターンに関する詳しい情報については、ssh_config(5) の「パター
ン」を参照してください。
AuthenticationMethods (認証メソッド)
ユーザがアクセスを許可されるように成功して完了しなければならな
い、認証メソッドを指定します。このオプションは、認証方法の名前の
1 つ以上のコンマで区切られたされたリスト、またはあらゆる単一の認
証方法を受け付けるデフォルトの振る舞いを示す、単一の文字列 any が
続いていなければなりません。デフォルトが上書きされるなら、成功し
た認証は、これらのリストの少なくとも 1 つのすべてのメソッドの完了
を必要とします。
例えば、``公開鍵、パスワード公開鍵、キーボード対話型'' は、パス
ワードまたはキーボード対話型認証のいずれかが続く、公開鍵認証を完
了することをユーザに要求します。次が 1 つ以上のリストであるメソッ
ドだけが、各ステージで提示されるので、この例については、公開鍵の
前にパスワードまたはキーボード対話型認証を試みることはできませ
ん。
キーボードの対話式の認証について、サーバの設定によって、デバイス
の識別子 bsdauth, pam, または skey が後続するコロンを追加すること
によって、特定のデバイスに認証を制限することもできます。例えば、
"keyboard-interactive:bsdauth" は、bsdauth デバイスをキーボードの
対話式の認証に制限します。
publickey メソッドが複数回リストされるなら、sshd(8) は、成功して
使用された鍵が、その後の認証のために再利用されないことを確認しま
す。例えば、"publickey,publickey" は、2 つの異なった公開鍵を使用
して成功した認証を必要とします。
また、リストされた各認証メソッドは、設定で明示的に有効にされるべ
きであることに注意してください。
AuthorizedKeysCommand (認証鍵のコマンド)
ユーザの公開鍵を検索するために使用されるプログラムを指定します。
プログラムは、root によって所有されていなければならず、グループま
たは他のもの (other) によって書き込み可能ではあってはならず、絶対
のパスによって指定されなければなりません。AuthorizedKeysCommand
への引数は、「トークン」セクションに説明されたトークンを受け付け
ます。引数が指定されないなら、ターゲットユーザのユーザ名が使用さ
れます。
プログラムは、authorized_keys 出力の 0 以上の行を標準出力に作成す
るべきです (sshd(8) の「AUTHORIZED_KEYS ファイルの形式」を参照)。
AuthorizedKeysCommand によって供給された鍵が成功してユーザを認証
して認定されないなら、公開鍵の認証は、通常の AuthorizedKeysFile
ファイルを使用し続けます。デフォルトで、AuthorizedKeysCommand
は、実行されません。
AuthorizedKeysCommandUser (認証鍵コマンドユーザ)
AuthorizedKeysCommand が実行されるアカウントに基づいているユーザ
を指定します。実行している認可された鍵コマンドよりホストで他の役
割がない専用のユーザを使用することが推奨されます。
AuthorizedKeysCommand が指定されるが、AuthorizedKeysCommandUser
が指定されないなら、sshd(8) は、開始することを拒否します。
AuthorizedKeysFile (authorized_keys ファイル)
ユーザ認証のために使用される公開鍵を含んでいるファイルを指定しま
す。形式は、sshd(8) の「AUTHORIZED_KEYS ファイル形式」セクション
に説明されています。AuthorizedKeysFile への引数は、「トークン」セ
クションに説明されたトークンを受け付けます。展開の後に、
AuthorizedKeysFile は、絶対パスまたはユーザのホームディレクトリへ
の相対パスとなるように得られます。空白類で区切って、複数のファイ
ルをリストすることができます。代わりに、このオプションは、ファイ
ルのユーザ鍵をチェックすることをスキップするために、none に設定さ
れます。デフォルトは、".ssh/authorized_keys
.ssh/authorized_keys2" です。
AuthorizedPrincipalsCommand (認証プリンシパルコマンド)
AuthorizedPrincipalsFile のように、許可された証明書のプリンシパル
のリストを生成するために使用されるプログラムを指定します。プログ
ラムは、グループまたは他のもの (other) によって書き込み可能でな
く、絶対パスによって指定され、root よって所有されていなければなり
ません。AuthorizedPrincipalsCommand への引数は、「トークン」セク
ションに説明されたトークンを受け付けます。引数が指定されないな
ら、ターゲットユーザのユーザ名が使用されます。
プログラムは、AuthorizedPrincipalsFile 出力の 0 以上の行を標準出
力に作成するべきです AuthorizedPrincipalsCommand または
AuthorizedPrincipalsFile のいずれかが指定されるなら、認証のための
クライアントによって提供された証明書は、リストされるプリンシパル
を含んでいなければなりません。デフォルトで、
AuthorizedPrincipalsCommand は、実行されません。
AuthorizedPrincipalsCommandUser (認証プリンシパルコマンドユーザ)
AuthorizedPrincipalsCommand が実行されるアカウントの下のユーザを
指定します。それは、認証されたプリンシパルのコマンドを実行してい
るより、ホストで他の役割がない専門のユーザを使用するように推奨さ
れます。AuthorizedPrincipalsCommand が指定されるが、
AuthorizedPrincipalsCommandUser sshd(8) は、開始することを拒否し
ます。
AuthorizedPrincipalsFile (認証プリンシパルファイル)
証明書の認証のために受け付けられるプリンシパル名をリストするファ
イルを指定します。TrustedUserCAKeys にリストされた鍵によって署名
される証明書を使用するとき、このファイルは、名前をリストし、その
1 つは、それが認証のために受け付けられる証明書に現れなければなり
ません。名前は、(sshd(8) の「AUTHORIZED_KEYS ファイルの形式」で説
明されるような) 鍵のオプションによって先行される 1 行ごとに 1 つ
リストされます。空行と `#' で始まるコメントは、無視されます。
AuthorizedPrincipalsFile への引数は、「トークン」セクションに説明
されたトークンを受け付けます。展開の後に、
AuthorizedPrincipalsFile は、ユーザのホームディレクトリへのた絶対
パスまたは 1 つの相対になるように取られます。デフォルトは、none
です、すなわち、プリンシパルファイルを使用しません - この場合、
ユーザのユーザ名は、受け付けられる証明書のプリンシパルリストに現
れなければなりません。
AuthorizedPrincipalsFile は、認証が TrustedUserCAKeys にリストさ
れた CA を使用して続けるときだけ使用され、~/.ssh/authorized_keys
を通して信頼されている認証機関で調べられませんが、principals= 鍵
オプションは、同様の機能 (詳細については、sshd(8) を参照) を提供
することに注意してください。
Banner (バナー)
指定されたファイルの内容は、認証が許可される前にリモートユーザに
送信されます。引数が none であるなら、バナーは、表示されません。
デフォルトで、バナーは、表示されません。
ChallengeResponseAuthentication (チャレンジレスポンス認証)
チャレンジレスポンス認証が許可されるかどうか指定します (例えば、
PAM を通してか、または login.conf(5) でサポートされる認証スタイル
を通して)。デフォルトは、yes です。
ChrootDirectory (chroot ディレクトリ)
認証の後に chroot(2) へのディレクトリのパス名を指定します。セッ
ションのスタートアップで、sshd(8) は、パス名のすべての構成要素
が、あらゆる他のユーザまたはグループによって書き込み可能ではない
root で所有されているディレクトリであることをチェックします。
chroot の後に、sshd(8) は、ワーキングディレクトリをユーザのホーム
ディレクトリに変更します。ChrootDirectory への引数は、「トーク
ン」セクションに説明されたトークンを受け付けます。
ChrootDirectory は、必要なファイルとユーザのセッションをサポート
するディレクトリを含まなければなりません。対話的なセッションのた
めに、これは、少なくともシェル、通常 sh(1) と null(4), zero(4),
stdin(4), stdout(4), stderr(4), と tty(4) デバイスのような基本的
な /dev ノードを必要とします。SFTP を使用しているファイル転送セッ
ションについて、環境の追加設定は、プロセス内の sftp サーバが使用
されているなら、必要ではありませんが、ログ記録を使用するセッショ
ンは、いくつかのオペレーティングシステムで chroot ディレクトリの
内側で /dev/log を必要とします (詳細については、sftp-server(8) を
参照)。
安全のために、ディレクトリの階層構造がシステムの他のプロセスに
よって修正することから防止されることは、非常に重要です (特に、そ
れらの jail の外側)。誤った設定は、sshd(8) が検出することができな
い安全でない環境を導くかもしれません。
デフォルトは、chroot(2) しないことを示す、none です。
Ciphers (SSH2 の暗号化アルゴリズム)
許可される暗号化アルゴリズムを指定します。複数の暗号方式は、コン
マで区切られなければなりません。指定された値が `+' 文字で始まるな
ら、指定された暗号方式は、それらを置き換える代わりに設定されたデ
フォルトに付け加えられます。指定された値が `-' 文字で始まるなら、
指定された暗号文 (ワイルドカードを含む) は、それらを置き換える代
わりにデフォルトの設定から削除されます。
サポートされている暗号方式は、次の通りです:
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
arcfour
arcfour128
arcfour256
blowfish-cbc
cast128-cbc
chacha20-poly1305@openssh.com
デフォルトは、次の通りです:
chacha20-poly1305@openssh.com,
aes128-ctr,aes192-ctr,aes256-ctr,
aes128-gcm@openssh.com,aes256-gcm@openssh.com,
aes128-cbc,aes192-cbc,aes256-cbc
また、利用可能な暗号のリストは、"ssh -Q cipher" を使用して取得さ
れます。
ClientAliveCountMax (クライアントの生存チェック最大カウント数)
クライアントからあらゆるメッセージの応答を受信している sshd(8) な
しに送信される、クライアント動作確認メッセージの数を設定します。
クライアント動作確認メッセージが送信されている間に、このしきい値
に到達するなら、sshd は、クライアントの接続を切断して、セッション
を終了します。クライアント動作確認メッセージの使用が、
TCPKeepAlive と非常に異なることに注意することは重要です。クライア
ント動作確認メッセージは、暗号化されたチャネルを通して送信され、
したがって、なりすまし可能ではありません。TCPKeepAlive によって有
効にされた TCP keepalive (動作し続ける) オプションは、なりすまし
可能です。クライアント動作確認メカニズムは、クライアントまたは
サーバが接続がいつ動作しなくなったか知ることに依存するとき、価値
があります。
デフォルトの値は、3 です。ClientAliveInterval が 15 に設定され、
ClientAliveCountMax がデフォルトのままであるなら、応答しない SSH
クライアントは、およそ 45秒後に、接続を切断されます。
ClientAliveInterval (クライアントの生存チェック間隔)
sshd(8) がクライアントから応答を要求する暗号化されたチャネルを通
してメッセージを送信する、クライアントからデータが受信されなく
なった後のタイムアウトの間隔を秒単位で設定します。デフォルトは、0
で、これらのメッセージがクライアントに送信されないことを示しま
す。
Compression (圧縮)
ユーザが成功して認証された後に、圧縮が有効であるかどうかを指定し
ます。引数は、yes, delayed (yes のための古い同義語) または no で
なければなりません。デフォルトは、yes です。
DenyGroups (拒否するグループ)
空白で区切られたグループ名パターンのリストを、このキーワードに続
けることができます。ログインは、パターンの 1 つに一致する主要なグ
ループまたは補助的なグループのリストのユーザに対して拒否されま
す。グループの名前だけが有効で、数字のグループ ID は、認識されま
せん。デフォルトで、ログインは、すべてのグループに許可されていま
す。allow/deny 指示は、次の順序で処理されます: DenyUsers,
AllowUsers, DenyGroups と最後に AllowGroups です。
パターンに関する詳しい情報については、ssh_config(5) の「パター
ン」を参照してください。
DenyUsers (拒否するユーザ)
空白で区切られたユーザ名パターンのリストを、このキーワードに続け
ることができます。パターンの 1 つに一致するユーザに対して拒否され
ます。ユーザの名前だけが有効で、数字のユーザ ID は、認識されませ
ん。デフォルトで、ログインは、すべてのユーザに許可されています。
パターンが形式 USER@HOST をとるなら、USER と HOST は、特定のホス
トからの特定のユーザのログインを制限して、別々にチェックされま
す。HOST 基準は、CIDR address/masklen 形式で一致するアドレスをさ
らに含んでいるかもしれません。allow/deny 指示は、次の順序で処理さ
れます: DenyUsers, AllowUsers, DenyGroups と最後に AllowGroups で
す。
パターンに関する詳しい情報については、ssh_config(5) の「パター
ン」を参照してください。
DisableForwarding
X11、ssh-agent(1)、TCP と StreamLocal を含んで、すべての転送機能
を無効にします。このオプションは、すべての他の転送に関連する
(forwarding-related) オプションを上書きし、制限された設定を簡素化
します。
FingerprintHash (指紋ハッシュ)
鍵の指紋をログ記録するとき、使用されたハッシュアルゴリズムを指定
します。有効なオプションは、次の通りです: md5 と sha256。デフォル
トは、sha256 です。
ForceCommand (強制コマンド実行)
クライアント、と存在するなら、~/.ssh/rc によって供給された任意の
コマンドを無視して、ForceCommand によって指定されたコマンドを強制
的に実行します。コマンドは、-c オプションをつけてユーザのログイン
シェルを使用して呼び出されます。これは、シェル、コマンド、または
サブシステムの実行に適用されます。それは、Match ブロックの中で最
も役に立ちます。元々クライアントによって供給されたコマンドは、
SSH_ORIGINAL_COMMAND 環境変数で利用可能です。internal-sftp のコマ
ンドを指定することは、ChrootDirectory と共に使用されるとき、サ
ポートファイルを必要としないプロセス内 SFTP サーバの使用が強制さ
れます。デフォルトは、none です。
GatewayPorts (ポート中継の許可)
リモートホストがクライアントへの転送されたポートに接続することを
許可されるかかどうかを指定します。デフォルトで、sshd(8) は、リ
モートポートの転送をループバックアドレスにバインド (bind) しま
す。これは、他のリモートホストが転送されたポートに接続されること
を防ぎます。sshd がリモートポートの転送をループバックでないアドレ
スにバインドし、したがって、他のホストが接続することを可能にする
べきであることを、指定するために GatewayPorts を使用することがで
きます。引数は、ローカルホストのみに利用可能とするためにリモート
のポート転送を強制する no、ワイルドカードのアドレスにバインドする
リモートのポート転送を強制する yes、転送がバインドされるアドレス
を選択するクライアントを許可する clientspecified です。デフォルト
は、no です。
GSSAPIAuthentication (GSSAPI 認証)
GSSAPI に基づいたユーザ認証が許可されるかどうかを指定します。デ
フォルトは、no です。
GSSAPICleanupCredentials (GSSAPI 証明書の消去)
ログアウトでユーザの証明書のキャッシュを自動的に破壊するかどうか
を指定します。デフォルトは、yes です。
GSSAPIStrictAcceptorCheck (GSSAPI 厳密なアクセプタチェック)
クライアントの認証に対して GSSAPI アクセプタ (acceptor) の秘密鍵
(identity) に関して厳密であるかどうかを決定します。yes に設定され
るなら、クライアントは、現在のホスト名で host サービスに対して認
証しなければなりません。no に設定されるなら、クライアントは、マシ
ンのデフォルトの格納で格納されたあらゆるサービス鍵に対して認証し
ます。この機能は、マルチホームの操作を補助するために提供されま
す。デフォルトは、yes です。
HostbasedAcceptedKeyTypes (ホストベースの受け付け鍵タイプ)
コンマで区切られたされたパターンリストとして、ホストベースの認証
のために受け付けられる鍵のタイプを指定します。代わりに、指定され
た値が `+' 文字で始まるなら、指定された鍵のタイプは、それらを置き
換える代わりに設定されたデフォルトに付け加えられます。指定された
値が `-' 文字で始まるなら、指定された鍵のタイプ (ワイルドカードを
含む) は、それらを置き換える代わりにデフォルトの設定から削除され
ます。このオプションのためのデフォルトは、次の通りです:
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
ssh-ed25519-cert-v01@openssh.com,
ssh-rsa-cert-v01@openssh.com,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
ssh-ed25519,ssh-rsa
また、利用可能な鍵のタイプのリストは、"ssh -Q key" を使用して取得
されます。
HostbasedAuthentication (ホストベースの認証)
成功した公開鍵クライアントホスト認証とともに rhosts または
/etc/hosts.equiv 認証が許可されるかどうかを指定します (ホストに基
づいた認証)。デフォルトは、no です。
HostbasedUsesNameFromPacketOnly (ホストベースド認証におけるホスト名の使用
方法)
ホストベースの認証 (HostbasedAuthentication) の間に ~/.shosts,
~/.rhosts と /etc/hosts.equiv ファイルの中の名前を適合を行うと
き、サーバが、名前の逆引きを実行を試みるかどうかを指定します。yes
に設定することは、sshd(8) がそれ自体の TCP 接続から名前を解決する
ことを試みるよりクライアントによって供給された名前を使用すること
を意味します。デフォルトは、no です。
HostCertificate (ホスト証明書)
公開されているホスト証明書を含むファイルを指定します。証明書の公
開鍵は、HostKey によって既に指定された秘密のホスト鍵に一致しなけ
ればなりません。sshd(8) のデフォルトの振る舞いは、何も証明書を
ロードしないことです。
HostKey (ホスト鍵)
SSH によって使用される、ホスト秘密鍵を含んでいるファイルを指定し
ます。デフォルトは、/etc/ssh/ssh_host_dsa_key,
/etc/ssh/ssh_host_ecdsa_key, /etc/ssh/ssh_host_ed25519_key と
/etc/ssh/ssh_host_rsa_key です。
sshd(8) は、それが、グループ/すべてのユーザ (world) にアクセス可
能であるなら、ファイルを使用することを拒否し、HostKeyAlgorithms
オプションは、鍵のいずれかが、sshd(8) によって実際に使用されるこ
とを制限することに注意してください。
複数のホスト鍵ファイルがあることは可能です。また、公開ホスト鍵
ファイルを代わりに指定することが可能です。この場合、秘密鍵の操作
は、ssh-agent(1) に委託されます。
HostKeyAgent
秘密ホスト鍵にアクセスするエージェントと通信するために使用される
UNIX ドメインソケットを識別します。文字列 "SSH_AUTH_SOCK" が指定
されるなら、ソケットの位置は、SSH_AUTH_SOCK 環境変数から読み込ま
れます。
HostKeyAlgorithms
サーバが提供するホスト鍵アルゴリズムを指定します。このオプション
のためのデフォルトは、次の通りです:
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
ssh-ed25519-cert-v01@openssh.com,
ssh-rsa-cert-v01@openssh.com,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
ssh-ed25519,ssh-rsa
また、利用可能な鍵のタイプのリストは、"ssh -Q key" を使用して取得
されます。
IgnoreRhosts (rhosts の無視)
.rhosts と .shosts ファイルが、HostbasedAuthentication で使用され
ないことを指定します。
/etc/hosts.equiv と /etc/ssh/shosts.equiv は、これでもまだ使用さ
れます。デフォルトは、yes です。
IgnoreUserKnownHosts (ユーザの known_hosts の無視)
sshd(8) が HostbasedAuthentication の間にユーザの
~/.ssh/known_hosts を無視するかどうか指定します。デフォルトは、no
です。
IPQoS 接続のための IPv4 のサービスのタイプ (type-of-service) または
DSCP のクラスを指定します。受け付けられる値は、af11, af12, af13,
af21, af22, af23, af31, af32, af33, af41, af42, af43, cs0, cs1,
cs2, cs3, cs4, cs5, cs6, cs7, ef, lowdelay, throughput,
reliability または数値です。このオプションは、空白によって区切ら
れた、1 つまたは 2 つの引数を取ります。1 つの引数が指定されるな
ら、無条件にパケットのクラスとして使用されます。2 つの値が指定さ
れるなら、最初は、対話的なセッションに対して、2 番目は、対話的で
ないセッションに対して自動的に選択されます。デフォルトは、対話的
なセッションに対しては、lowdelay で、対話的でないセッションに対し
ては、throughput です。
KbdInteractiveAuthentication
キーボード双方向の認証を許可するかどうかを指定します。このキー
ワードへの引数は、yes または no でなければなりません。デフォルト
は、値 ChallengeResponseAuthentication が (デフォルトは、yes) 設
定されるものは何でも使用することです。
KerberosAuthentication (Kerberos 認証)
PasswordAuthentication のためのユーザによって提供されるパスワード
が Kerberos KDC を通して有効にされるかどうかを指定します。このオ
プションを使用するために、サーバは、KDC のアイデンティティの確認
を許可する Kerberos servtab を必要とします。デフォルトは、no で
す。
KerberosGetAFSToken (Kerberos で AFS トークンを取得する)
AFS がアクティブで、そのユーザが Kerberos 5 TGT を持っている場
合、そのユーザのホームディレクトリにアクセスする前に AFS トークン
を取得しようとします。デフォルトは、no です。
KerberosOrLocalPasswd (Kerberos またはローカルパスワード)
Kerberos によるパスワード認証が失敗するなら、パスワードは、
/etc/passwd のような追加のローカルメカニズムによって認証されま
す。デフォルトは、yes です。
KerberosTicketCleanup (Kerberos チケットのクリーンアップ)
ログアウト時にユーザのチケットのキャッシュを自動的に破壊するかど
うかを指定します。デフォルトは、yes です。
KexAlgorithms (鍵交換アリコリズム)
利用可能な KEX (Key Exchange) アルゴリズムを指定します。複数のア
ルゴリズムは、コンマで区切られていなければなりません。代わりに、
指定された値が `+' 文字で始まるなら、指定された方式は、それらを置
き換える代わりに設定されたデフォルトに付け加えられます。指定され
た値が `-' 文字で始まるなら、指定されたメソッド (ワイルドカードを
含む) は、それらを置き換える代わりにデフォルトの設定から削除され
ます。サポートされるアルゴリズムは、次の通りです:
curve25519-sha256
curve25519-sha256@libssh.org
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
デフォルトは、次の通りです:
curve25519-sha256,curve25519-sha256@libssh.org,
ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
diffie-hellman-group-exchange-sha256,
diffie-hellman-group14-sha1
また、利用可能な鍵交換アルゴリズムのリストは、"ssh -Q kex" を使用
して取得されます。
ListenAddress (接続受け付けアドレス)
sshd(8) が listen する (接続を受け付ける) べきローカルアドレスを
指定します。次の形式を使用することができます:
ListenAddress host|IPv4_addr|IPv6_addr
ListenAddress host|IPv4_addr:port
ListenAddress [host|IPv6_addr]:port
port が指定されてないなら、sshd は、アドレスと、すべての指定され
た Port オプションで listen します (接続を受け付けます)。デフォル
トは、すべてのローカルアドレスで listen します (接続を受け付けま
す)。複数の ListenAddress オプションは、許可されます。
LoginGraceTime (ログイン猶予時間)
ユーザがログインに成功しなかったなら、この時間の後に、サーバは、
接続を断ちます。値が 0 であるなら、時間の制限はありません。デフォ
ルトは、120 秒です。
LogLevel (ログレベル)
sshd(8) からのメッセージをログ記録するとき、使用される冗長性のレ
ベルを与えます。指定できる値は、次の通りです: QUIET, FATAL,
ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 と DEBUG3。デフォルト
は、INFO です。DEBUG と DEBUG1 は、同等です。DEBUG2 と DEBUG3
は、それぞれ、デバッグの出力のより高いレベルを指定します。DEBUG
レベルがあるログ記録は、ユーザのプライバシを侵害し、推奨されませ
ん。
MACs (メッセージ認証コード)
利用可能な MAC (メッセージ認証コード) アルゴリズムを指定します。
MAC アルゴリズムは、データ整合性保護 (data integrity protection)
のために使用されます。複数のアルゴリズムは、コンマで区切らなけれ
ばなりません。指定された値が `+' 文字で始まるなら、指定されたアル
ゴリズムは、それらを置き換える代わりに設定されたデフォルトに付け
加えられます。指定された値が `-' 文字で始まるなら、指定されたアル
ゴリズム (ワイルドカードを含む) は、それらを置き換える代わりにデ
フォルトの設定から削除されます。
"-etm" を含んでいるアルゴリズムは、暗号化 (encrypt-then-mac) の後
に MAC を計算します。これらは、より安全であると考えられ、それらの
使用は、推薦されます。サポートされる MAC は、次の通りです:
hmac-md5
hmac-md5-96
hmac-ripemd160
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
umac-64@openssh.com
umac-128@openssh.com
hmac-md5-etm@openssh.com
hmac-md5-96-etm@openssh.com
hmac-ripemd160-etm@openssh.com
hmac-sha1-etm@openssh.com
hmac-sha1-96-etm@openssh.com
hmac-sha2-256-etm@openssh.com
hmac-sha2-512-etm@openssh.com
umac-64-etm@openssh.com
umac-128-etm@openssh.com
デフォルトは、次の通りです:
umac-64-etm@openssh.com,umac-128-etm@openssh.com,
hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,
hmac-sha1-etm@openssh.com,
umac-64@openssh.com,umac-128@openssh.com,
hmac-sha2-256,hmac-sha2-512,hmac-sha1
また、利用可能な MAC アルゴリズムのリストは、"ssh -Q mac" を使用
して取得されます。
Match (条件分岐)
条件付きブロックを導入します。Match 行の判断基準のすべてが満たさ
れたなら、続く行のキーワードは、別の Match 行またはファイルの終り
になるまで、設定ファイルのグローバルセクションに設定されたものよ
りも優先します。キーワードが満足される複数の Match ブロックに現わ
れるなら、キーワードの最初のインスタンスだけが適用されます。
Match への引数は、1 つ以上の判断基準のパターンの組またはすべての
判断基準に一致する単一のトークン All です。利用可能な判断基準は、
User, Group, Host, LocalAddress, LocalPort と Address です。一致
したパターンは、単一のエントリまたはコンマで区切られたリストから
成り、ssh_config(5) の「パターン」セクションに記述されている、ワ
イルドカード (wildcard) と否定 (negation) オペレータを使用しま
す。
address 基準のパターンは、さらに、CIDR address/masklen 形式、例え
ば、192.0.2.0/24 または 3ffe:ffff::/32 に一致するアドレスを含んで
います。提供されたマスクの長さは、アドレスと一致していなければな
りません - アドレスのために長過ぎるマスクの長さを指定すること、ま
たはアドレスのこのホスト部分に設定されたビットが 1 なら、エラーで
あることに注意してください。例えば、それぞれ、192.0.2.0/33 と
192.0.2.0/8 です。
キーワードの部分集合のみ Match キーワードに続く行で使用できます。
利用可能なキーワードは、AcceptEnv, AllowAgentForwarding,
AllowGroups, AllowStreamLocalForwarding, AllowTcpForwarding,
AllowUsers, AuthenticationMethods, AuthorizedKeysCommand,
AuthorizedKeysCommandUser, AuthorizedKeysFile,
AuthorizedPrincipalsCommand, AuthorizedPrincipalsCommandUser,
AuthorizedPrincipalsFile, Banner, ChrootDirectory,
ClientAliveCountMax, ClientAliveInterval, DenyGroups, DenyUsers,
ForceCommand, GatewayPorts, GSSAPIAuthentication,
HostbasedAcceptedKeyTypes, HostbasedAuthentication,
HostbasedUsesNameFromPacketOnly, IPQoS,
KbdInteractiveAuthentication, KerberosAuthentication,
MaxAuthTries, MaxSessions, PasswordAuthentication,
PermitEmptyPasswords, PermitOpen, PermitRootLogin, PermitTTY,
PermitTunnel, PermitUserRC, PubkeyAcceptedKeyTypes,
PubkeyAuthentication, RekeyLimit, RevokedKeys,
StreamLocalBindMask, StreamLocalBindUnlink, TrustedUserCAKeys,
X11DisplayOffset, X11Forwarding と X11UseLocalHost です。
MaxAuthTries (最大認証試行回数)
接続ごとに許可された認証の試みの最大の何回を指定します。ここで指
定された半数以上の認証が失敗すると、それ以降の失敗は、ログに記録
されます。デフォルトの値は、6 です。
MaxSessions (最大セッション)
ネットワーク接続ごとに許可されたオープンされたシェル、ログイン、
またはサブシステム (例えば、sftp) のセッションの最大の数を指定し
ます。複数のセッションは、接続の多重化をサポートするクライアント
によって確立されます。MaxSessions を 1 に設定することは、セッショ
ンの多重化を効果的に無効にしますが、一方それを 0 に設定すること
は、まだ、転送することを許可している間に、すべてのシェル、ログイ
ン、とサブシステムのセッションを防止します。デフォルトは、10 で
す。
MaxStartups (最大起動数)
SSH デーモンへの同時に確証されていない接続の最大数を指定します。
成功した認証または LoginGraceTime の接続の期限が切れるまで、追加
の接続は、落されます。デフォルトは、10:30:100 です。
そのほかに、3 つのコロンで区切られた値 start:rate:full (例えば、
"10:30:60") を指定することによって初期のランダムなドロップ (drop)
を有効にすることができます。sshd(8) は、認証されていない接続、現
在の start (10) があるなら、rate/100 (30%) の確立がある接続の試み
を拒否します。確立は、直線的に増加し、すべての接続の試みは、認証
されていない接続の数が full (60) に到達するなら、拒否されます。
PasswordAuthentication (パスワード認証)
パスワード認証が許可されるかどうかを指定します。また UsePAM を参
照してください。デフォルトは、no です。
PermitEmptyPasswords (空のパスワードを許可)
パスワード認証が許可されるとき、サーバが空のパスワードの文字列の
アカウントへのログインを許可するかどうかを指定します。デフォルト
は、no です。
PermitOpen (許可するポート転送)
TCP ポート転送が許された宛先を指定します。転送指定は、次の形式の
1 つでなければなりません:
PermitOpen host:port
PermitOpen IPv4_addr:port
PermitOpen [IPv6_addr]:port
複数の転送は、空白類でそれらを区切ることによって指定できます。す
べての制限を取り除いて、すべての転送要求を可能にするために any の
引数を使用することができます。すべての転送要求を禁止するために
none の引数を使用することができます。それぞれ、すべてのホストまた
はポートを許可するホストまたはポートのためにワイルドカード `*' を
使用することができます。デフォルトで、すべてのポート転送要求が許
可されます。
PermitRootLogin (root ログイン許可)
root が ssh(1) を使用してログインすることができるかどうかを指定し
ます。引数は、yes, prohibit-password (パスワード禁止)、without-
password (パスワードなし)、forced-commands-only (強制されたコマン
ドのみ)、または no でなければなりません。デフォルトは、no です。
ChallengeResponseAuthentication と UsePAM の両方が、yes であるな
らば、この設定は、PAM ポリシによって上書きされることに注意してく
ださい。
このオプションが prohibit-password または without-password に設定
されるなら、パスワードとキーボード対話型の認証は、root に対して無
効にされます。
このオプションが forced-commands-only に設定されるなら、公開鍵認
証がある root のログインは、許可されますが、(たとえ、root のログ
インが通常許可されなくても、リモートのバックアップを取ることに役
に立つかもしれない) command オプションが指定されている場合のみで
す。他のすべての認証方法は、root に対して無効にされます。
このオプションが no に設定されるなら、root は、ログインすることを
許可されません。
PermitTTY
pty(4) 割り付けが許可されているかどうかを指定します。デフォルト
は、yes です。
PermitTunnel (トンネリングを許可する)
tun(4) デバイスの転送が許可されるかどうかを指定します。引数は、
yes, point-to-point (レイヤ 3)、ethernet (レイヤ 2) または no で
なければなりません。yes と指定することは、point-to-point と
ethernet の両方を許可します。デフォルトは、no です。
この設定から独立して、選択された tun(4) デバイスのパーミッション
は、ユーザへのアクセスを許可しなければなりません。
PermitUserEnvironment (ユーザの環境変数変更を許可する)
~/.ssh/environment と ~/.ssh/authorized_keys の environment= オプ
ションは、sshd(8) によって処理されるかどうかを指定します。デフォ
ルトは、no です。環境変数の処理を有効にすることは、LD_PRELOAD の
ようなメカニズムを使用して、いくつかの設定のアクセス制限を迂回す
るユーザを有効にします。
PermitUserRC
あらゆる ~/.ssh/rc ファイルが実行されるかどうかを指定します。デ
フォルトは、yes です。
PidFile (pid ファイル)
SSH デーモンのプロセス ID を含むファイルか、または書き込まない
none を指定します。デフォルトは、/var/run/sshd.pid です。
Port (ポート番号)
sshd(8) がlisten (接続を受け付け) するポート番号を指定します。デ
フォルトは、22 です。このタイプの複数のオプションは、許可されま
す。また、ListenAddress を参照してください。
PrintLastLog (LastLog の表示)
ユーザが対話型でログインするとき、sshd(8) が最後のユーザのログイ
ンの日付と時刻を印刷 (表示) するべきかどうかを指定します。デフォ
ルトは、yes です。
PrintMotd (motd の表示)
ユーザが対話型でログインするとき、sshd(8) が /etc/motd を印刷 (表
示) するべきかどうかを指定します。(いくつかのシステムにおいて、そ
れは、シェル、/etc/profile または同等なものによっても印刷 (表示)
されます。) デフォルトは、yes です。
PubkeyAcceptedKeyTypes
コンマで区切られたされたパターンリストとして公開鍵の認証のため受
け付けられる鍵のタイプを指定します。代わりに、指定された値が `+'
文字で始まるなら、指定された鍵のタイプは、それらを置き換える代わ
りに設定されたデフォルトに付け加えられます。指定された値が `-' 文
字で始まるなら、指定された鍵のタイプ (ワイルドカードを含む) は、
それらを置き換える代わりにデフォルトの設定から削除されます。この
オプションのためのデフォルトは、次の通りです:
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
ssh-ed25519-cert-v01@openssh.com,
ssh-rsa-cert-v01@openssh.com,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
ssh-ed25519,ssh-rsa
また、利用可能な鍵のタイプのリストは、"ssh -Q key" を使用して取得
されます。
PubkeyAuthentication (公開鍵認証)
公開鍵認証が許可されるかどうかを指定します。デフォルトは、yes で
す。
RekeyLimit (rekey の制限)
セッション鍵が再交渉される前に転送される最大のデータ量を指定し、
オプションでセッション鍵が再交渉される前に渡される最大の時間の量
が続きます。最初の引数は、バイト単位で指定され、それぞれ、キロバ
イト、メガバイトまたはギガバイトを示すために `K', `M' または `G'
の接尾辞を付けることができます。デフォルトは、暗号によりますが、
`1G' と `4G' の間です。オプションの 2 番目の値は、秒単位で指定さ
れ、「時間の形式」セクションで文書化されたユニットのうちのいずれ
かを使用します。RekeyLimit のためのデフォルト値は、rekey が、暗号
のデータのデフォルトの量が送信されるか、または受信された後に、実
行され、時間ベースの rekey が行なわれないことを意味する、default
none です。
RevokedKeys (取り消し鍵)
無効にされる公開鍵ファイルまたは使用しない none を指定します。こ
のファイルにリストされた鍵は、公開鍵認証に対して拒絶されます。こ
のファイルが読み込み可能でないなら、公開鍵認証は、すべてのユーザ
に対して拒絶されることに注意してください。鍵は、1 行ごとに 1 つの
公開鍵をリストしているテキストファイルとして、または ssh-
keygen(1) によって生成される OpenSSH 鍵取り消しリスト (OpenSSH
Key Revocation List, KRL) として、指定されます。KRL に関する詳細
については、ssh-keygen(1) の「鍵取り消しリスト」セクションを参照
してください。
StreamLocalBindMask
ローカルまたはリモートのポート転送のための Unix ドメインソケット
ファイルを作成するとき、使用する、8 進数のファイル作成モードマス
ク (umask) を設定します。このオプションは、Unix ドメインソケット
ファイルに転送するポートのためだけに使用されます。
デフォルト値は、所有者によってのみ読み込み可能で、書き込み可能な
Unix ドメインソケットファイルを作成する、0177 です。すべてのオペ
レーティングシステムは、Unix ドメインソケットファイルのファイル
モードを尊重しているわけではないことに注意してください。
StreamLocalBindUnlink
新しいものを作成する前に、ローカルまたはリモートのポート転送のた
めの既存の Unix ドメインソケットファイルを削除するかどうかを指定
します。すでにソケットファイルが存在し、StreamLocalBindUnlink が
有効ではないなら、sshd は、ポートを Unix ドメインソケットファイル
に転送することはできません。このオプションは、Unix ドメインソケッ
トファイルへのポート転送のためでけに使用されます。
引数は、yes または no でなければなりません。デフォルトは、no で
す。
StrictModes (厳格なモード)
sshd(8) が、ログインを受け付ける前に、ユーザのファイルとホーム
ディレクトリのファイルモードと所有権をチェックするべきかどうかを
指定します。これは、通常、初心者が、時々ディレクトリまたはファイ
ルを誰もが書き込み可能な状態のままにするので、望ましいことです。
デフォルトは、yes です。これは、パーミッションと所有権が無条件に
チェックされる、ChrootDirectory に適用されないことに注意してくだ
さい。
Subsystem (サブシステム)
外部サブシステム (例えば、ファイル転送デーモンなど) を設定しま
す。引数は、サブシステム要求のときに実行するサブシステム名と (オ
プションの引数をつけた) コマンドであるべきです。
コマンド sftp-server は、SFTP ファイル転送サブシステムを実装して
います。
代わりに、名前 internal-sftp は、プロセス内の SFTP サーバを実装し
ています。これは、異なったファイルシステムのルートをクライアント
に強制するために ChrootDirectory を使用して設定を簡素化します。
デフォルトでは、サブシステムは、何も定義されていません。
SyslogFacility (syslog 機能コード)
sshd(8) からのメッセージをログ記録するとき、使用される機能
(facility) コードを与えます。指定できる値は、次の通りです: DAE
MON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5,
LOCAL6, LOCAL7。デフォルトは、AUTH です。
TCPKeepAlive (TCP 接続を生かしておく)
システムが相手側に TCP keepalive メッセージを送信するべきかどうか
を指定します。それらが送信されるなら、相手のマシンの接続の消滅ま
たはクラッシュは、適切に通知されます。しかしながら、これは、経路
が一時的にダウンされるなら、接続が無くなることを意味し、ある人々
は、迷惑だと思われます。他方では、TCP keepalives が送信されないな
ら、セッションは、"ghost" (幽霊) ユーザを残し、サーバのリソースを
消費して、サーバで無期限にハングするかもしれません。
デフォルトは、(TCP keepalive メッセージを送信する) yes で、サーバ
は、ネットワークがダウンするか、クライアントホストがクラッシュす
るなら、通知します。これは、無限にセッションをハングアップしない
ようにします。
TCP keepalive メッセージを無効にするために、値は、no に設定される
べきです。
TrustedUserCAKeys (信頼されたユーザ鍵)
認証のための署名ユーザ証明書を信頼する認証局の公開鍵を含むファイ
ルまたは使用しない none を指定します。鍵は、1 行毎に 1 つリストさ
れます。空行と `#' で始まるコメントは、許可されています。証明書が
認証のために提示され、このファイルにリストされた署名 CA 鍵がある
なら、証明書の主要な (principal) リストにリストされた任意のユーザ
のための認証のために使用されます。主要 (principal) のリストを欠い
ている証明書は、TrustedUserCAKeys を使用しる認証のために許可され
ていないことに注意してください。証明書に関するその他の詳細につい
ては、ssh-keygen(1) の「証明書」セクションを参照してください。
UseBlacklist
sshd(8) が、成功した認証を送信し、失敗メッセージを blacklistd(8)
デーモンに送信することを試みるかどうかを指定します。デフォルト
は、no です。
UseDNS (リモートホスト名の確認)
sshd(8) がリモートホスト名を検索し、リモートの IP アドレスのため
の解決されたホスト名がまったく同じ IP アドレスに逆にマップするこ
とをチェックするべきかどうかを指定します。
このオプションが no に設定されるなら、アドレスのみとホストの名前
は、~/.ssh/authorized_keys from と sshd_config Match Host ディレ
クティブで使用されます。デフォルトは、``yes'' です。
UsePAM (PAM の使用)
Pluggable 認証モジュールインタフェースを有効にします。yes に設定
されるなら、これは、すべての認証タイプのための PAM アカウントと
セッションモジュール処理に加えて ChallengeResponseAuthentication
と PasswordAuthentication を使用して、PAM 認証を有効にします。
PAM チャレンジレスポンス認証は、通常パスワード認証と等価な役割を
供給するので、利用者は、PasswordAuthentication または
ChallengeResponseAuthentication. のいずれかを無効にするべきです。
UsePAM が有効にされるなら、root でないユーザとして sshd(8) を実行
することができません。デフォルトは、yes です。
VersionAddendum (バージョンに付加するもの)
オプションで、接続されたサーバによって送信される SSH プロトコルの
バナーに追加するテキストを指定します。デフォルトは、
"FreeBSD-20170903" です。値 none は、これを無効にするために使用さ
れます。
X11DisplayOffset (X11 ディスプレイ番号のオフセット値)
sshd(8) の X11 転送のために利用可能な最初のディスプレイ番号を指定
します。これは、sshd が実際の X11 サーバに干渉することを防ぎま
す。デフォルトの値は、10 です。
X11Forwarding (X11 転送)
X11 転送が許可されるかどうかを指定します。引数は、yes または no
でなければなりません。デフォルトは、yes です。
X11 転送が有効にされるとき、これは、デフォルトではありませんが、
sshd(8) プロキシのディスプレイがワイルドカードアドレス
(X11UseLocalhost を参照) で listen (接続を受け付け) するように設
定されるなら、サーバとクライアントのディスプレイへのさらなる脅威
があるかもしれません。さらに、認証のなりすまし、認証データ検証と
置換が、クライアント側で起こります。X11 転送を使用するセキュリ
ティ上のリスクは、SSH クライアントが転送 (ssh_config(5) の
ForwardX11 のための警告を参照) を要求するとき、クライアントの X11
ディスプレイサーバが攻撃にさらされることです。システム管理者は、
no の設定を正当化できる、うっかり X11 転送を要求することによって
それら自体が攻撃にさらされる、クライアントを保護したい立場があり
ます。
X11 転送を無効にすることは、ユーザがユーザ自体の転送プログラムを
常にインストールすることができるので、ユーザが X11 トラフィックを
転送することを妨げないことに注意してください。
X11UseLocalhost (X11 で localhost のみを許可)
sshd(8) が X11 転送サーバをループバックアドレスまたはワイルドカー
ドアドレスにバインドするべきかどうかを指定します。デフォルトで、
sshd は、転送サーバをループバックアドレスにバインドし、DISPLAY 環
境変数のホスト名の部分を localhost に設定します。これは、リモート
ホストがプロキシディスプレイに接続するのを防ぎます。しかしなが
ら、いくつかの古い X11 クライアントは、この設定で機能しないかもし
れません。X11UseLocalhost は、転送サーバがワイルドカードアドレス
にバインドさられるべきであることを指定するために no に設定されま
す。引数は、yes または no でなければなりません。デフォルトは、yes
です。
XAuthLocation (xauth の位置)
xauth(1) プログラムのフルパス名または使用しない none を指定しま
す。デフォルトでは、/usr/local/bin/xauth です。
時間の形式
時間を指定する sshd(8) のコマンドライン引数と設定ファイルのオプションは、
次の形式のシーケンスを使用して表現されます: time[qualifier] ここで time
は、正の整数値で、qualifier は、次の 1 つです:
<なし> 秒
s | S 秒
m | M 分
h | H 時間
d | D 日
w | W 週
シーケンスの各メンバは、合計の時間の値を計算するためにともに追加されま
す。
時間の形式の例:
600 600 秒 (10 分)
10m 10 分
1h30m 1 時間 30 分 (90 分)
トークン
いくつかのキーワードへの引数は、実行時に拡張される、トークンを使用するこ
とができます:
%% リテラル `%'。
%F CA 鍵の指紋。
%f 鍵または証明書の指紋。
%h ユーザのホームディレクトリ。
%i 証明書の鍵 ID。
%K base64 エンコードされた CA 鍵。
%k 認証のための base64 エンコードされた鍵または証明書。
%s 証明書のシリアル番号。
%T CA 鍵のタイプ。
%t 鍵または証明書のタイプ。
%u ユーザ名。
AuthorizedKeysCommand は、トークン %%, %f, %h, %k, %t と %u を受け付けま
す。
AuthorizedKeysFile は、トークン %%, %h と %u を受け付けます。
AuthorizedPrincipalsCommand は、トークン %%, %F, %f, %h, %i, %K, %k, %s,
%T, %t と %u を受け付けます。
AuthorizedPrincipalsFile は、トークン %%, %h と %u を受け付けます。
ChrootDirectory は、トークン %%, %h と %u を受け付けます。
関連ファイル
/etc/ssh/sshd_config
sshd(8) のための設定データを含んでします。このファイルは、root だ
けによって書き込み可能であるべきですが、(必須ではありませんが) 全
ユーザに読み込み可能であることは推奨されます。
関連項目
sftp-server(8), sshd(8)
作者
OpenSSH は、Tatu Ylonen によってリリースされたオリジナルのフリーな ssh
1.2.12 の派生物です。Aaron Campbell, Bob Beck, Markus Friedl, Niels
Provos, Theo de Raadt と Dug Song は、多くのバグを取り除き、新しい機能を
再追加し、OpenSSH を作成しました。Markus Friedl は、SSH プロトコルバー
ジョン 1.5 と 2.0 のためのサポートを寄贈しました。Niels Provos と Markus
Friedl は、特権分離のためのサポートを寄贈しました。
FreeBSD 11.2 June 30, 2018 FreeBSD 11.2