Soll der SSH-Server gestartet werden oder nicht?
Gültige Werte: yes, no
Standardeinstellung: START_SSH='no'
Legt fest, wie der sshd-Server gestartet werden soll. Bei Angabe
von 'st' wird der sshd-Server als sogenannter 'Standalone Server'
gestartet. Bei Angabe von 'xi' erfolgt der Start über
socket activation.
ACHTUNG: Bei der Aktivierung von 'xi' ist nach einer erfolgreichen
Anmeldung unbedingt zu kontrollieren, ob noch Standardprozesse
vorhanden sind die beendet werden müssen.
Gültige Werte: st, xi
Standardeinstellung: SSH_DAEMON_MAN_CONFIG='st'
Definiert den TCP-Port, auf dem der SSH-Server Verbindungen entgegen
nehmen soll.
Gültige Werte: Port Nummer
Standardeinstellung: SSH_PORT='22'
Über diesen Parameter wird festgelegt, welche Ciphers für
SSH-Verbindungen zugelassen sind. Folgende Optionen stehen zur
Verfügung:
Gültige Werte: all, default, Cipher-Name
all - Alle in OpenSSH implementierten Ciphers werden zugelassen.
default - Es wird eine reduzierte Standardauswahl von Ciphers
zugelassen.
Cipher-Name - Ein oder mehrere, individuelle Cipher können
eingegeben werden. Mehrere Werte müssen durch ein
Komma voneinander getrennt werden. Beginnt der
eingegebene Wert mit dem Wort 'default', so wird
die Standardauswahl von Ciphers um den oder die
gewünschten Cipher ergänzt.
Standardeinstellung: SSH_SERVER_CIPHERS='default'
Über diesen Parameter wird festgelegt, welche KEX (Key Exchange)
Algorithmen für SSH-Verbindungen zugelassen sind. Folgende Optionen
stehen zur Verfügung:
Gültige Werte: all, default, KEX-Name
all - Alle in OpenSSH implementierten KEXs werden zugelassen.
default - Es wird eine reduzierte Standardauswahl von KEXs
zugelassen.
KEX-Name - Ein oder mehrere, individuelle KEX können eingegeben
werden. Mehrere Werte müssen durch ein Komma voneinander
getrennt werden. Beginnt der eingegebene Wert mit dem Wort
'default', so wird die Standardauswahl von KEXs um den
oder die gewünschten KEX ergänzt.
Standardeinstellung: SSH_SERVER_KEXS='default'
Über diesen Parameter wird festgelegt, welche MACs (Message
Authentication Code) für SSH-Verbindungen zugelassen sind. Folgende
Optionen stehen zur Verfügung:
Gültige Werte: all, default, MAC-Name
all - Alle in OpenSSH implementierten MACs werden zugelassen.
default - Es wird eine reduzierte Standardauswahl von MACs
zugelassen.
MAC-Name - Ein oder mehrere, individuelle MACs können eingegeben
werden. Mehrere Werte müssen durch ein Komma voneinander
getrennt werden. Beginnt der eingegebene Wert mit dem
Wort 'default', so wird die Standardauswahl von MACs
um den oder die gewünschten MACs ergänzt.
Standardeinstellung: SSH_SERVER_MACS='default'
Über diesen Parameter wird die Anzahl der individuell
konfigurierten IP-Adressen angegeben, auf welchen der SSH-Server
Verbindungen entgegen nehmen soll. Wird der Wert dieses
Parameters auf '0' gesetzt, so werden Verbindungen auf allen
lokalen IP-Adressen des Servers entgegen genommen.
Gültige Werte: Zahl
Standardeinstellung: SSH_LISTEN_IPADDR_N='0'
An dieser Stelle kann eine Beschreibung angegeben werden. Dieser
Parameter wird nicht ausgewertet.
Gültige Werte: alles
Standardeinstellung: SSH_LISTEN_IPADDR_%_NAME=''
Wird dieser Parameter auf den Wert 'yes' gesetzt, so wird der
zugehörige Datensatz aktiviert, 'no' deaktiviert ihn.
Gültige Werte: yes, no
Standardeinstellung: SSH_LISTEN_IPADDR_%_ACTIVE='no'
Über diesen Parameter wird die IP-Adresse festgelegt, über
welche der SSH-Server Verbindungen entgegen nehmen soll. Hier
wird keine echte IP Adresse angegeben sondern der Index der
Angabe IP_ETH_x_IP_x_IPADDR aus der Base Konfiguration in
/etc/config.d/base.
Beispiel: SSH_LISTEN_IPADDR_1='2:1' zeigt auf
IP_ETH_2_IP_1_IPADDR in /etc/config.d/base.
Der Wert vor dem '2:' ist der Index der Netzwerkkkarte
der Wert hinter dem ':1' ist der Index der IPADDR.
Gültige Werte: 1:1, 1:2, 2:1 etc..
Standardeinstellung: SSH_LISTEN_IPADDR_%='1:1'
Anzahl der folgenden Angaben SSH_ALLOW_USER_x.
Ein Login ist erlaubt für alle User, deren Username mit einem
der angegebenen Muster übereinstimmt. Dabei sind die
Platzhalter '*' (für eine unbegrenzte Anzahl beliebiger
Zeichen) und '?' (für ein beliebiges Zeichen) möglich.
Wird der Wert '0' angegeben, so dürfen sich alle Anwender
über SSH in den Server einloggen.
Gültige Werte: Zahl
Standardeinstellung: SSH_ALLOW_USER_N='0'
An dieser Stelle kann eine Beschreibung hinterlegt werden.
Dieser Parameter wird nicht ausgewertet.
Gültige Werte: alles
Standardeinstellung: SSH_ALLOW_USER_%_NAME=''
Wird dieser Parameter auf den Wert 'yes' gesetzt, so wird der
zugehörige Datensatz aktiviert, 'no' deaktiviert ihn.
Gültige Werte: yes, no
Standardeinstellung: SSH_ALLOW_USER_%_ACTIVE='no'
Muster für Usernamen, die sich via sshd einloggen dürfen. Die
Angabe 'r*' bei SSH_ALLOW_USER_x erlaubt beispielsweise ein
Login für alle User, deren Username mit dem Buchstaben 'r'
beginnt.
Gültige Werte: Muster oder Name
Standardeinstellung: SSH_ALLOW_USER_%='root'
Anzahl der folgenden Angaben SSH_DENY_USER_x.
Ein Login ist nicht erlaubt für alle User, deren Username mit
einem der angegebenen Muster übereinstimmt. Dabei sind die
Platzhalter '*' (für eine unbegrenzte Anzahl beliebiger
Zeichen) und '?' (für ein beliebiges Zeichen) möglich.
Wird der Wert '0' angegeben, so dürfen sich alle Anwender
über SSH in den Server einloggen.
Gültige Werte: Zahl
Standardeinstellung: SSH_DENY_USER_N='0'
An dieser Stelle kann eine Beschreibung hinterlegt werden.
Dieser Parameter wird nicht ausgewertet.
Gültige Werte: alles
Standardeinstellung: SSH_DENY_USER_%_NAME=''
Wird dieser Parameter auf den Wert 'yes' gesetzt, so wird der
zugehörige Datensatz aktiviert, 'no' deaktiviert ihn.
Gültige Werte: yes, no
Standardeinstellung: SSH_DENY_USER_%_ACTIVE='no'
Muster für Usernamen, die sich nicht via sshd einloggen
dürfen. Die Angabe 'b*' bei SSH_DENY_USER_x verbietet
beispielsweise ein Login für alle User, deren Username mit b
beginnt.
Gültige Werte: Muster oder Name
Standardeinstellung: SSH_DENY_USER_%='batch'
Anzahl der folgenden Angaben SSH_ALLOW_GROUP_x.
Ein Login ist erlaubt für alle User, deren primäre oder
zusätzliche Gruppe mit einem der angegebenen Muster
übereinstimmt. Dabei sind die Platzhalter '*' (für eine
unbegrenzte Anzahl beliebiger Zeichen) und '?' (für ein
beliebiges Zeichen) möglich.
Wird der Wert '0' angegeben, so dürfen sich alle Anwender
über SSH in den Server einloggen.
Gültige Werte: Zahl
Standardeinstellung: SSH_ALLOW_GROUP_N='0'
An dieser Stelle kann eine Beschreibung hinterlegt werden.
Dieser Parameter wird nicht ausgewertet.
Gültige Werte: alles
Standardeinstellung: SSH_ALLOW_GROUP_%_NAME=''
Wird dieser Parameter auf den Wert 'yes' gesetzt, so wird der
zugehörige Datensatz aktiviert, 'no' deaktiviert ihn.
Gültige Werte: yes, no
Standardeinstellung: SSH_ALLOW_GROUP_%_ACTIVE='no'
Muster für Gruppennamen, deren User sich via sshd einloggen
dürfen. Die Angabe 's*' bei SSH_ALLOW_GROUP_x erlaubt
beispielsweise ein Login für alle User, deren primäre oder
zusätzliche Gruppe mit s beginnt.
Gültige Werte: Muster oder Name
Standardeinstellung: SSH_ALLOW_GROUP_%='root'
Anzahl der folgenden Angaben SSH_DENY_GROUP_x. Ein Login ist
nicht erlaubt für alle User, deren primäre oder zusätzliche
Gruppe mit einem der angegebenen Muster übereinstimmt. Dabei
sind die Platzhalter '*' (für eine unbegrenzte Anzahl
beliebiger Zeichen) und '?' (für ein beliebiges Zeichen)
möglich.
Wird der Wert '0' angegeben, so dürfen sich alle Anwender
über SSH in den Server einloggen.
Gültige Werte: Zahl
Standardeinstellung: SSH_DENY_GROUP_N='0'
An dieser Stelle kann eine Beschreibung hinterlegt werden.
Dieser Parameter wird nicht ausgewertet.
Gültige Werte: alles
Standardeinstellung: SSH_DENY_GROUP_%_NAME=''
Wird dieser Parameter auf den Wert 'yes' gesetzt, so wird der
zugehörige Datensatz aktiviert, 'no' deaktiviert ihn.
Gültige Werte: yes, no
Standardeinstellung: SSH_DENY_GROUP_%_ACTIVE='batch'
Muster für Gruppennamen, deren User sich nicht via sshd
einloggen dürfen. Die Angabe 'v*' bei SSH_DENY_GROUP_x
verbietet beispielsweise ein Login für alle User, deren
primäre oder zusätzliche Gruppe mit v beginnt.
Gültige Werte: Muster oder Name
Standardeinstellung: SSH_DENY_GROUP_%=''
Über diese Angabe kann die Möglichkeit des Logins für den
User root feiner gesteürt werden. Es sind folgende Angaben
möglich:
'yes' der User root darf sich via ssh anmelden.
'no' der User root darf sich nicht via ssh anmelden.
'without-password' die Identifizierung über ein Passwort ist
nicht erlaubt. Diese Option ermöglicht allerdings trotzdem eine
Anmeldung mit Passwort, wenn z.B. eine PAM-Authentifizierung
eingeschaltet ist.
'forced-commands-only' der User root darf sich nur dann über
Key Authentifizierung anmelden, wenn ein Kommando direkt über
den ssh Befehl angegeben wurde.
Gültige Werte: yes, no, without-password, forced-commands-only
Standardeinstellung: SSH_PERMITROOTLOGIN='yes'
Anzahl der folgenden Angaben SSH_PUBLIC_KEY_x
Gültige Werte: Zahl
Standardeinstellung: SSH_PUBLIC_KEY_N='0'
An dieser Stelle kann eine Beschreibung hinterlegt werden.
Dieser Parameter wird nicht ausgewertet.
Gültige Werte: alles
Standardeinstellung: SSH_PUBLIC_KEY_%_NAME=''
Public key aktivieren 'yes' oder 'no'
Gültige Werte: yes, no
Standardeinstellung: SSH_PUBLIC_KEY_%_ACTIVE='no'
Public Key (identity.pub), entweder direkt oder als absoluter
Dateiname
Gültige Werte: Pfad oder Wert
Standardeinstellung: SSH_PUBLIC_KEY_%=''
Dieser Parameter gibt die maximale Anzahl gleichzeitig
zulässiger noch nicht authentifizierter Verbindungen. Dies ist
nicht die maximale Anzahl gleichzeitiger Verbindungen, sondern
betrifft nur die Anzahl der Verbindungen, für die noch keine
Authentifizierung (z.B. gültiges Passwort) durchgeführt wurde.
Gültige Werte:
Standardeinstellung: SSH_MAX_STARTUPS='10'
Erlaube Datenkompression.
Gültige Werte: yes, no
Standardeinstellung: SSH_COMPRESSION='yes'
Legt fest, ob der sshd die Zugriffsrechte und den Besitzer des
Home-Verzeichnisses beim Login prüfen soll
Gültige Werte: yes, no
Standardeinstellung: SSH_STRICTMODES='yes'
Erlaube Passwort-Authentifizierung 'yes' oder nicht 'no'. Ist
die Passwort-Authentifizierung ausgeschaltet 'no', so muss
zwingend Key-Authentifizierung genutzt werden.
ACHTUNG
Bitte zunächst überprüfen, ab die Key-Authentifizierung auch
funktioniert, erst dann SSH_PASSWDAUTH auf 'no' setzen.
Gültige Werte: yes, no
Standardeinstellung: SSH_PASSWDAUTH='yes'
Erlaube sogenannte Response Authentication, ja oder nein. Diese
Variable wird, im Zusammenhang mit PAM Authentifizierung
benötigt.
Gültige Werte: yes, no
Standardeinstellung: SSH_CH_RESPONSEAUTH='yes'
Timeout-Intervall in Sekunden für sogenannte Client Alive
Messages.
Gültige Werte: Zahl
Standardeinstellung: SSH_CLIENTALIVEINTERVAL='0'
Anzahl der Client Alive Messages bis die Verbindung unterbrochen
wird.
Gültige Werte: Zahl
Standardeinstellung: SSH_CLIENTALIVECOUNTMAX='3'
Legt fest, ob die Benutzung des sftp-Dienstes erlaubt wird.
Gültige Werte: yes, no
Standardeinstellung: SSH_ENABLE_SFTP='yes'
Stufe der Ausführlichkeit, mit der der sshd Meldungen in die
Datei /var/log/messages schreibt.
Bitte beachten: Wird hier eine DEBUG-Stufe eingestellt, so
werden ggf. Informationen mitgeschrieben, die in den
Privatbereich eines User fallen können. Eine solche
Ausführlichkeit sollte nur wenn unbedingt notwendig
eingeschaltet werden.
Die Menge der Informationen, die mitgeschrieben werden, steigt
ggf. in gewaltige Grössenordnungen.
Gültige Werte:
QUIET,FATAL,ERROR,INFO,VERBOSE,DEBUG,DEBUG1,DEBUG2,DEBUG3
Standardeinstellung: SSH_LOGLEVEL='INFO'