SSH - secure shell (general settings) START_SSH Soll der SSH-Server gestartet werden (yes) oder nicht (no)? Gueltige Werte: yes,no SSH_PORT Definiert den Port, auf dem der SSH-Server lauschen soll. Achtung: Diese Angabe wird bei SSHD_START_METHOD='xi' zur Zeit nicht ausgewertet. Default: 22 SSH - secure shell (protocol settings) SSH_USE_SSH1 Benutze ssh1-Protokoll. Gueltige Werte: yes,no SSH_USE_SSH2 Benutze ssh2-Protokoll. Gueltige Werte: yes,no SSH_SVR_KEYBITS Anzahl der Server Keybits. Gueltige Werte: 512, 768, 1536 SSH - secure shell (listen address settings) SSH_LISTEN_ADDR_N Anzahl der folgenden Angaben SSH_LISTEN_ADDR_x. Hat SSH_LISTEN_ADDR_N den Wert 0, so wir auf alle lokalen Adressen gelauscht. SSH_LISTEN_ADDR_x IP-Adresse auf die der SSH-Server lauschen soll. Hier ist die Nummer der IP-Adresse aus /etc/config.d/base anzugeben. Diese Angabe ist also eine Referenz auf eine Angaben in der Datei base. Beispiel: SSH_LISTEN_ADDR_1='2' zeigt auf IP_NET_2_IPADDR in /etc/config.d/base. Gueltige Werte: 1 bis IP_NET_N (siehe Datei base) SSH - secure shell (allow/deny settings) ACHTUNG Bitte diese Konfigurationsmoeglichkeiten mit Vorsicht einsetzen. Alle vier Listen werden beim Login geprueft. Es ist durch falsche Angaben durchaus moeglich wichtige User (z.B. root oder eis) vom Login auszuschliessen. SSH_ALLOW_USER_N Anzahl der folgenden Angaben SSH_ALLOW_USER_x. Ein Login ist erlaubt fuer alle User, deren Username mit einem der angegebenen Muster uebereistimmt. Dabei sind die Platzhalter '*' und '?' moeglich. Die Angabe 'r*' bei SSH_ALLOW_USER_x erlaubt beispielsweise ein Login fuer alle User, deren Username mit r beginnt. Ein Wert 0 bedeutet, dass alle User sich via sshd einloggen duerfen. SSH_ALLOW_USER_x Muster fuer Usernamen, die sich via sshd einloggen duerfen. SSH_DENY_USER_N Anzahl der folgenden Angaben SSH_DENY_USER_x. Ein Login ist nicht erlaubt fuer alle User, deren Username mit einem der angegebenen Muster uebereistimmt. Dabei sind die Platzhalter '*' und '?' moeglich. Die Angabe 'b*' bei SSH_DENY_USER_x verbietet beispielsweise ein Login fuer alle User, deren Username mit b beginnt. Ein Wert 0 bedeutet, dass alle User sich via sshd einloggen duerfen. SSH_DENY_USER_x Muster fuer Usernamen, die sich nicht via sshd einloggen duerfen. SSH_ALLOW_GROUP_N Anzahl der folgenden Angaben SSH_ALLOW_GROUP_x. Ein Login ist erlaubt fuer alle User, deren primaere oder zusaetzliche Gruppe mit einem der angegebenen Muster uebereistimmt. Dabei sind die Platzhalter '*' und '?' moeglich. Die Angabe 's*' bei SSH_ALLOW_GROUP_x erlaubt beispielsweise ein Login fuer alle User, deren primaere oder zusaetzliche Gruppe mit s beginnt. Ein Wert 0 bedeutet, dass alle User sich via sshd einloggen duerfen. SSH_ALLOW_GROUP_x Muster fuer Gruppennamen, deren User sich via sshd einloggen duerfen. SSH_DENY_GROUP_N Anzahl der folgenden Angaben SSH_DENY_GROUP_x. Ein Login ist nicht erlaubt fuer alle User, deren primaere oder zusaetzliche Gruppe mit einem der angegebenen Muster uebereistimmt. Dabei sind die Platzhalter '*' und '?' moeglich. Die Angabe 'v*' bei SSH_DENY_GROUP_x verbietet beispielsweise ein Login fuer alle User, deren primaere oder zusaetzliche Gruppe mit v beginnt. Ein Wert 0 bedeutet, dass alle User sich via sshd einloggen duerfen. SSH_DENY_GROUP_x Muster fuer Gruppennamen, deren User sich nicht via sshd einloggen duerfen. SSH_PERMITROOTLOGIN Ueber diese Angabe kann die Moeglichkeit des Logins fuer den User root feiner gesteuert werden. Es sind folgende Angaben moeglich: 'yes' der User root darf sich via ssh anmelden. 'no' der User root darf sich nicht via ssh anmelden. 'without-password' die Identifizierung ueber ein Passwort ist nicht erlaubt. Diese Option ermoeglicht allerdings trotzdem eine Anmeldung mit Passwort, wenn z.B. eine PAM-Authentifizierung eingeschaltet ist. 'forced-commands-only' der User root darf sich nur dann ueber Key Authentifizierung anmelden, wenn ein Kommando direkt ueber den ssh Befehl angegeben wurde. Gueltige Werte: yes,no,without-password,forced-commands-only SSH - secure shell (public key settings for user root) Die fuer Public Key Authentication des Users root benoetigte Datei /root/.ssh/authorized_keys wird aus den Informationen der Konfiguration generiert. Dazu muessen die oeffentlichen Teile der mittels ssh-keygen generierten Schluesselpaare (identity.pub) in der Konfiguration angegeben werden. Das kann auf zwei Arten geschehen: * Direkt in der Konfiguration Der Inhalt von identity.pub wird direkt in der Konfigurationsvariable angegeben (nicht empfohlen) * Referenz auf Datei Der Schluessel bleibt in einer Datei, in der Konfiguration wird eine Referenz auf die Datei in Form eines absoluten Pfadnamens (beginnend mit '/') angegeben. Bei Uebernahme einer Konfigurationsaenderung extrahiert das Konfigurationsscript die Schluessel aus der Konfiguration bzw. den dort referenzierten Dateien und erstellt die Datei authorized_keys neu. ACHTUNG Hat SSH_PUBLIC_KEY_N den Wert '0', so wird die Datei /root/.ssh/authorized_keys geloescht. Wurde diese Datei unter Umgehung der eisfair Konfigurationsprozesse geaendert, so gehen diese Aenderungen verloren. SSH_PUBLIC_KEY_N Anzahl der folgenden Angaben SSH_PUBLIC_KEY_x SSH_PUBLIC_KEY_x Public Key (identity.pub), entweder direkt oder als absoluter Dateiname SSH - secure shell (additional settings) SSH_MAX_STARTUPS Maximale Anzahl gleichzeitig zulaessiger noch nicht authentifizierter Verbindungen. Dies ist nicht die maximale Anzahl gleichzeitiger Verbindungen, sondern betrifft nur die Anzahl der Verbindungen, fuer die noch keine Authentifizierung (z.B. gueltiges Passwort) durchgefuehrt wurde. SSH_ENABLE_PRIV_SEPARATION Legt fest, ob der sshd jeweils nicht privilegierte Kind-Prozess erzeugen soll. Wird SSH_ENABLE_PRIV_SEPARATION auf 'yes' gesetzt, so ist ggf. SSH_COMPRESSION auf 'no' zu setzen. Siehe dazu [8]http://www.afp548.com/Articles/security/ssh34p1.html Gueltige Werte: yes,no SSH_COMPRESSION Erlaube Datenkompression. Gueltige Werte: yes,no SSH_STRICTMODES Legt fest, ob der sshd die Zugriffsrechte und den Besitzer des Home-Verzeichnisses beim Login pruefen soll Gueltige Werte: yes,no SSH_PASSWDAUTH Erlaube Passwort-Authentifizierung 'yes' oder nicht 'no'. Ist die Passwort-Authentifizierung ausgeschaltet 'no', so muss zwingend Key-Authentifizierung genutzt werden. ACHTUNG Bitte zunaechst ueberpruefen, ab die Key-Authentifizierung auch funktioniert, erst dann SSH_PASSWDAUTH auf 'no' setzen. Gueltige Werte: yes,no SSH_USEPAM Schalte die Authentifizierung ueber das sog. Pluggable Authentication Module interface (PAM) ein oder aus. Dies ist eine Vorbereitung, um zukuenftig eine zentrale Ablage von Rechten in LDAP zu ermoeglichen. Gueltige Werte: yes,no ACHTUNG SSH_PASSWDAUTH='no' erfordert ebenfalls SSH_USEPAM='no' SSH_CH_RESPONSEAUTH Erlaube sog. response authentication, ja oder nein. Diese Variable wird spaeter, im Zusammenhang mit PAM Authentifizierung benoetigt. Gueltige Werte: yes,no SSH_CLIENTALIVEINTERVAL Timeout Interval in Sekunden fuer sog. Client Alive Messages. SSH_CLIENTALIVECOUNTMAX Anzahl der Client Alive Messages bis die Verbindung unterbrochen wird. SSH - secure shell (subsystem settings) SSH_ENABLE_SFTP Legt fest, ob die Benutzung des sftp-Dienstes erlaubt wird. Gueltige Werte: yes,no SSH - secure shell (log level settings) SSH_LOGLEVEL Stufe der Ausfuehrlichkeit, mit der der sshd Meldungen in die zentrale Logdatei schreibt. Es sind folgende Werte möglich: QUIET FATAL ERROR INFO VERBOSE DEBUG DEBUG1 DEBUG2 DEBUG3. Default: INFO Bitte beachten: Wird hier eine DEBUG-Stufe eingestellt, so werden ggf. Informationen mitgeschrieben, die in den Privatbereich eines User fallen koennen. Eine solche Ausfuehrlichkeit sollte nur wenn unbedingt notwendig eingeschaltet werden. Die Menge der Informationen, die mitgeschrieben werden, steigt ggf. in gewaltige Groessenordnungen. Gueltige Werte: QUIET,FATAL,ERROR,INFO,VERBOSE,DEBUG,DEBUG1,DEBUG2,DEBUG3 Ansgar Puester 2007-06-23