sshd_config(5) manページ

sshd は /etc/ssh/sshd_config (あるいはコマンドラインから -f オプションで指定したファイル) から設定を読み込みます。このファイルの各行は ``キーワード引数'' の形式になっており、空行あるいは ‘#’ で始まる行はコメントとみなされます。

使用できるキーワードとその説明は以下の通りです (キーワードでは大文字小文字は区別されませんが、引数では区別されることに注意してください):

AFSTokenPassing (AFS トークンパス)

このオプションは AFS トークンがサーバに転送されるかどうか指定します。デフォルトは "no" です。

AllowGroups (許可するグループ)

このキーワードにはいくつかのグループ名パターンをスペースで区切って指定します。これが指定されると、ユーザの基本グループがそのパターンのどれかにマッチするグループであるようなユーザだけがログインを許可されます。パターン中では ‘amp;*’ および ‘amp;?’ がワイルドカードとして使えます。有効なのはグループの「名前」だけで、数字で表されたグループ ID は認識されません。デフォルトでは、ログインはすべてのグループに許可されています。

AllowTcpForwarding (TCP 転送の許可)

TCP 転送を許可するかどうか指定します。デフォルトは "yes" です。TCP 転送を禁止しても、ユーザにシェルのアクセスを禁止しないかぎりセキュリティの向上にはならないことに注意してください。なぜならユーザはいつでも自前の転送プログラムをインストールして使うことができるからです。

AllowUsers (許可するユーザ)

このキーワードにはいくつかのユーザ名パターンをスペースで区切って指定します。これが指定されると、そのパターンのどれかにマッチするユーザだけがログインを許可されます。パターン中では ‘amp;*’ および ‘amp;?’ がワイルドカードとして使えます。有効なのはユーザの「名前」だけで、数字で表されたユーザ ID は認識されません。デフォルトでは、ログインはすべてのユーザに許可されています。もしこのパターンが USER@HOST という形をとっている時は、ユーザ名 USER とホスト名 HOST を別々にチェックでき、特定のホストからの特定のユーザのログインを制限することができます。

AuthorizedKeysFile (authorized_keys ファイル)

ユーザ認証のさいに使われる公開鍵を格納しているファイル名を指定します。 AuthorizedKeysFile のファイル名中に %T が含まれている場合、その部分は接続の間別のものに置換されます。%% は '%' 1 文字に置換されます。 %h は認証しようとしているユーザのホームディレクトリに置換され、 %u はそのユーザのユーザ名に置換されます。この後、その絶対パスあるいはユーザのホームディレクトリからの相対パスが AuthorizedKeysFile に渡されます。デフォルトでの値は ".ssh/authorized_keys" となっています。

Banner (バナー)

司法管区によっては、法的な保護を受けるためには認証の前に警告メッセージを送ったほうがよい場合があります。ここで指定されたファイルの内容は、認証が許可される前にリモートユーザに提示されます。このオプションはプロトコルバージョン 2 でのみサポートされています。デフォルトでは、バナーは表示されません。

ChallengeResponseAuthentication (チャレンジ・レスポンス認証)

チャレンジ・レスポンス認証を許可するかどうか指定します。 login.conf(5) に記されているすべての認証形式が使えます。特に FreeBSD では、PAM ((pam) 3 参照) を認証に使用するかを制御します。これは、 PasswordAuthentication および PermitRootLogin 変数の効果に影響します。デフォルトは "yes" です。

Ciphers (SSH2の暗号化アルゴリズム)

プロトコルバージョン 2 で許可される暗号化アルゴリズムを指定します。複数のアルゴリズムを指定する場合は、コンマで区切ってください。デフォルトは

``aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour, aes192-cbc,aes256-cbc''
です。

ClientAliveInterval (クライアントの生存チェック間隔)

sshd は一定時間ごとに、暗号化された通信路を経由してクライアントに応答を要求するメッセージ (client alive message) を送ります。その際、何もデータが送られてこなかったらタイムアウトする時間を秒数で指定します。デフォルトの値は 0 で、これはメッセージを送らないことを意味します。このオプションはプロトコルバージョン 2 でのみサポートされています。

ClientAliveCountMax (クライアントの生存チェック最大カウント数)

sshd が無反応のクライアントに対して client alive message (上記参照) を送ってみる最大数を指定します。 client alive message に対する応答が連続してこの回数だけなかった場合、 sshd は接続を切り、セッションを終了します。 client alive message は、 KeepAlive (下記) とはまったく違うことに注意してください。 client alive message は暗号化された経路を介して送られるので、偽造されることはありません。 KeepAlive によって設定される TCP の keepalive オプションは偽造される可能性があります。client alive のメカニズムはクライアントあるいはサーバが、いつ接続が切れたのかを知りたいときに役立ちます。
デフォルトの値は 3 です。もし ClientAliveInterval (上記) が 15 に設定され、 ClientAliveCountMax がデフォルトのままである場合、これに反応できない ssh クライアントはおよそ 45 秒後に接続が切られます。

Compression

圧縮を許可するかどうかを指定します。この引数がとりうる値は "yes" または "no" です。デフォルトでは "yes (圧縮を許可する)" になっています。

DenyGroups (拒否するグループ)

このキーワードにはいくつかのグループ名パターンをスペースで区切って指定します。ユーザの基本グループがこのパターンのどれかにマッチするユーザはログインを禁止されます。パターン中では ‘amp;*’ および ‘amp;?’ がワイルドカードとして使えます。有効なのはグループの「名前」だけで、数字で表されたグループ ID は認識されません。デフォルトでは、ログインはすべてのグループに許可されています。

DenyUsers (拒否するユーザ)

このキーワードにはいくつかのユーザ名パターンをスペースで区切って指定します。これが指定されると、このパターンのどれかにマッチするユーザはログインを禁止されます。 ‘amp;*’ および ‘amp;?’ がワイルドカードとして使えます。有効なのはグループの「名前」だけで、数字で表されたグループ ID は認識されません。デフォルトでは、ログインはすべてのユーザに許可されています。もしこのパターンが USER@HOST という形をとっている時は、ユーザ名 USER とホスト名 HOST を別々にチェックでき、特定のホストからの特定のユーザのログインを制限することができます。

GatewayPorts (ポート中継の許可)

リモートホストがクライアント側に転送されたポートに接続することを許可するかどうか指定します。デフォルトでは、 sshd はリモート転送ポートをループバックアドレスに bind します。これは他のリモートホストが、転送されたポートに接続してしまうのを防いでいます。 GatewayPorts は sshd にリモート転送ポートをワイルドカードアドレスに bind させるときに使います。これによってリモートホストが転送されたポートに接続できるようになります。この引数の値は "yes" あるいは "no" です。デフォルトは "no" になっています。

HostbasedAuthentication (ホストベース認証の許可)

公開鍵ホスト認証が成功したときに、 rhosts あるいは /etc/hosts.equiv 認証を許可するかどうか指定します (ホストベース認証)。このオプションは RhostsRSAAuthentication (RhostsRSA 認証の許可) に似ており、プロトコルバージョン 2 のみに作用します。デフォルトの値は "no" になっています。

HostKey (ホスト鍵)

SSH で使われる、ホスト秘密鍵が格納されているファイルを指定します。デフォルトでは、プロトコルバージョン 1 用の鍵が /etc/ssh/ssh_host_key であり、プロトコルバージョン 2 用の鍵が /etc/ssh/ssh_host_dsa_key です。このファイルがグループあるいは他人からアクセス可能になっていると、 sshd はその使用を拒絶するので注意してください。複数のホスト鍵を使うことも可能です。 "rsa1" 鍵はバージョン 1 に使われ、 "dsa" または "rsa" はバージョン 2 の SSH プロトコルに使われます。

IgnoreRhosts (rhosts の無視)

RhostsAuthentication, RhostsRSAAuthentication または HostbasedAuthentication の各認証で、 .rhosts および .shosts ファイルを使わないようにします。
この状態でも、 /etc/hosts.equiv および /etc/ssh/shosts.equiv は依然として有効です。デフォルトでは "yes" になっています。

IgnoreUserKnownHosts (ユーザ用 known_hosts の無視)

RhostsRSAAuthentication または HostbasedAuthentication の各認証で、ユーザの $HOME/.ssh/known_hosts ファイルを使わないようにします。デフォルトは "no" です。

KeepAlive (接続を生かしておく)

システムが相手のマシンに TCP keepalive メッセージを送るかどうか指定します。これが送られると、接続の異常終了や相手マシンのクラッシュが正しく通知されるようになります。しかしこれを使うと、たとえ経路が一時的にダウンしていても接続が死んでいるということになってしまい、これが邪魔になる場合もあります。その一方で、もし keepalive が送られないとすると、セッションはサーバ上で永久に残ってしまことがあり、 "幽霊" ユーザを居座らせてサーバ資源を消費することがあります。
デフォルトは "yes" (keepalive を送る) です。そのためクライアントはネットワークがダウンするか、リモートホストがクラッシュすると通知してきます。これは永久に残るセッションを防ぎます。
Keepalive を禁止するには、この値を "no" にする必要があります。

KerberosAuthentication (Kerberos 認証)

Kerberos 認証をおこなうかどうか指定します。この認証は Kerberos チケットか、あるいはもし PasswordAuthentication が yes になっている場合なら、ユーザが入力して Kerberos KDC 経由で批准されたパスワードが使われます。このオプションを使うには、サーバに KDC のアイデンティティを批准するための Kerberos servtab が必要です。デフォルトでは "no" になっています。

KerberosOrLocalPasswd (Kerberos あるいはローカルパスワード)

これが指定されている場合、Kerberos 経由のパスワード認証が失敗すると、そのパスワードは /etc/passwd などの別のローカルな機構によって確認されます。デフォルトは "yes" です。

KerberosTgtPassing (Kerberos TGT パス)

Kerberos TGT をサーバに転送してもよいかどうか指定します。デフォルトは "no" です。なぜなら、これがまともに動くのは Kerberos KDC が実際の AFS kaserver であるときだけだからです。

KerberosTicketCleanup (Kerberos チケット自動除去)

ユーザのチケット用キャッシュをログアウト時に自動的に消去するかどうか指定します。デフォルトは "yes" です。

KeyRegenerationInterval (鍵の再生成間隔)

プロトコルバージョン 1 では、サーバ鍵は (一度でも使われると) ここで指定された間隔ごとに自動的に再生成されます。このように鍵を再生成する目的は、あとでそのマシンに侵入して盗聴したセッションを解読されたり、鍵を盗まれたりするのを防ぐためです。この鍵はどこにも格納されません。値として 0 を指定すると、鍵はまったく再生成されなくなります。デフォルトでは 3600 (秒) になっています。

ListenAddress (接続受付アドレス)

sshd が接続を受けつける (listen する) ローカルアドレスを指定します。ここでは以下の形式が使えます:

ListenAddress host| IPv4_addr| IPv6_addr

ListenAddress host| IPv4_addr: port

ListenAddress [host| IPv6_addr ]: port

port が指定されていないときは、 sshd はそのアドレスで、それまでの Port オプションで指定されたすべてのポートで接続を受けつけます。デフォルトではすべてのローカルアドレスに対して接続を受けつけるようになっています。 ListenAddress 項目は複数指定してもかまいません。また Port オプションは、ポートつきでないアドレス指定に対してはこのオプションよりも前に指定しておく必要があります。

LoginGraceTime (ログイン猶予時間) ユーザがここで指定された時間内にログインできないと、サーバは接続を切ります。この値を 0 にすると、時間制限はなくなります。デフォルトの値は 120 (秒) です。

LogLevel (ログレベル) sshd が出力するログメッセージの冗長性レベルを指定します。とりうる値は次のとおりです: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 および DEBUG3。デフォルトでは INFO です。DEBUG と DEBUG1 は等価です。 DEBUG2, DEBUG3 はそれぞれさらに冗長なログになります。 DEBUG レベル以上のログはユーザのプライバシを侵害するので、勧められるものではありません。

MACs (メッセージ認証コード) 使用する MAC (メッセージ認証コード) アルゴリズムの優先順位を指定します。 MAC アルゴリズムはプロトコルバージョン 2 で使われる、データの改竄を防ぐ機構 (data integrity protection) です。複数のアルゴリズムをコンマで区切って指定します。デフォルトは "hmac-md5,hmac-sha1,hmac-ripemd160,hmac-sha1-96,hmac-md5-96" の順になっています。

MaxStartups (最大起動数) 認証されていない段階の接続を sshd デーモンが最大でどれだけ受けつけるかを指定します。この値を超えた (認証されていない段階の) 接続は捨てられます。この状態は (すでに接続したクライアントの) 認証が成功するか、その LoginGraceTime (ログイン猶予時間) が切れるまで続きます。デフォルトではこの数は 10 です。
もうひとつの方法は、早いうちからランダムに接続を拒否するよう指定することです。これはこのオプションにコロンで区切った 3つの値を与えることによりおこないます。この値は "start:rate:full" (``開始時:確率:最大数'') の形をとります (例: "10:30:60" など)。 sshd は認証されていない段階の接続が "start" (この例では 10) 個を超えると、これ以後の接続要求を "rate/100" (この例では 30%) の確率で拒否しはじめます。この確率は "full" (この例では 60) 個の接続が来るまで線形に増えつづけ、最大数に達した時点でそれ以降すべての接続を拒否するようになります。 PasswordAuthentication (パスワード認証) が禁止されているかどうかにかかわらず、パスワード認証も許可されます。デフォルトでは "no" になっています。

PasswordAuthentication (パスワード認証) パスワード認証を許可するかどうか指定します。デフォルトでは "yes" になっています。 ChallengeResponseAuthentication が "yes" であり、 sshd の PAM 認証ポリシに pam_unix(8) [英語] が含まれる場合、 PasswordAuthentication の値に関係なく、チャレンジ・レスポンス機構によるパスワード認証が許可されます。

PermitEmptyPasswords (空のパスワードを許可) パスワード認証が許可されているとき、パスワード文字列が空のアカウントに対してサーバがログインを許可するかどうか指定します。デフォルトは "no" です。

PermitRootLogin (root ログイン許可) ssh(1) を使って、root がログインできるかどうか指定します。この引数の値は "yes", "without-password" (パスワード認証なし)、 "forced-commands-only" (強制コマンドのみ)、あるいは "no" のいずれかです。デフォルトは "no" です。 ChallengeResponseAuthentication が "yes" の場合、 PermitRootLogin が "without-password" に設定されていたとしても、root ユーザはそのパスワードで許可されます。このオプションを "without-password" にすると、root だけパスワード認証ではログインできなくなります。
このオプションを "forced-commands-only" にすると、root は公開鍵認証を使ってログインできますが、その鍵に command オプションが指定されている場合にかぎります (これは通常の root ログインを許可していなくても、リモートバックアップをとりたいときなどに有用です)。 root に対してはこれ以外の認証方法はすべて禁止になります。
このオプションを "no" にすると、root のログインは許可されません。

PermitUserEnvironment (ユーザの環境変数変更を許可する) sshd が ~/.ssh/environment ファイルおよび ~/.ssh/authorized_keys における environment= オプションを処理すべきかどうかを指定します。デフォルトでは "no" です。環境変数の変更は、ユーザに LD_PRELOAD などの設定を使ったある種のアクセス制限を回避させてしまう可能性があります。

PidFile (pid ファイル) sshd デーモンのプロセス ID を格納するファイルを指定します。デフォルトでは /var/run/sshd.pid になっています。

Port (ポート番号) sshd が接続を受けつける (listen する) ポート番号を指定します。デフォルトは 22 です。複数指定することも可能です。 ListenAddress の項も参照してください。

PrintLastLog (LastLog の表示) ユーザが対話的にログインしたとき、そのユーザが前回ログインした日付と時刻を表示するかどうか指定します。デフォルトでは "yes" になっています。

PrintMotd (motd の表示) ユーザが対話的にログインしたとき、 /etc/motd (今日のお知らせ) ファイルの内容を表示するかどうか指定します。 (システムによっては、これはシェルや /etc/profile に相当するものが表示します)。デフォルトは "yes" です。

Protocol (プロトコル) サポートするプロトコルのバージョンを指定します。とりうる値は "1" と "2" です。複数のバージョンをコンマで区切って指定することもできます。デフォルトは "2,1" です。ここでのプロトコルの順番は、優先度を指定するものではないことに注意してください。なぜなら複数のプロトコルがサーバで使用可能な場合、選択するのはクライアント側だからです。よって "2,1" という指定は、 "1,2" と同じです。

PubkeyAuthentication (公開鍵認証) 公開鍵認証を許可するかどうか指定します。デフォルトは "yes" です。このオプションはプロトコルバージョン 2 にのみ適用されることに注意してください。

RhostsAuthentication (rhosts 認証) rhosts や /etc/hosts.equiv だけを使った認証でログインを許可してしまってもよいかどうか指定します。これは安全でないため、ふつうは許可すべきではありません。かわりに RhostsRSAAuthentication (rhosts-RSA 認証) を使うべきです。こちらは通常の rhosts や /etc/hosts.equiv 認証に加えて、RSA ベースのホスト間認証をおこないます。デフォルトは "no" です。このオプションはプロトコルバージョン 1 にのみ適用されることに注意してください。

RhostsRSAAuthentication (rhosts-RSA 認証) RSA ホスト間認証が成功しているとき、rhosts や /etc/hosts.equiv を使った認証をおこなってよいかどうか指定します。デフォルトは "no" です。このオプションはプロトコルバージョン 1 にのみ適用されることに注意してください。

RSAAuthentication (RSA 認証) 純粋な RSA 認証を許可するかどうかを指定します。デフォルトは "yes" になっています。このオプションはプロトコルバージョン 1 にのみ適用されることに注意してください。

ServerKeyBits (サーバ鍵のビット数) プロトコルバージョン 1 で短期的に使われるサーバ鍵のビット数を指定します。最小値は 512 で、デフォルトは 768 です。

StrictModes (厳格なモード) sshd がログインを許可する前に、ユーザのファイルおよびホームディレクトリの所有権とパーミッションをチェックすべきかどうかを指定します。これはふつう初心者が、しばしば自分のディレクトリを誰でも書き込めるようにしてしまう事故を防ぐために有効です。デフォルトでは "yes" になっています。

Subsystem (サブシステム) 外部サブシステム (ファイル転送デーモンなど) を設定します。このオプションへの引数にはサブシステム名と、そのサブシステムに要求があったとき実行されるコマンドを与えます。 sftp-server(8) はファイル転送サブシステム "sftp" を実装したものです。デフォルトではサブシステムは何も定義されていません。このオプションはプロトコルバージョン 2 にのみ適用されることに注意してください。

SyslogFacility (syslog 分類コード) sshd が出力するログメッセージで使われるログの分類コード (facility) を指定します。とりうる値は次のとおりです: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7。デフォルトは AUTH です。

UseLogin (login の使用) 対話的ログインセッションのさい、 login(1) プログラムを使うかどうかを指定します。デフォルトでは "no" になっています。対話的でないリモートコマンド実行のときに login(1) が使われることは決してありません。また、これが許可されていると X11Forwarding (X11 転送) は許可されなくなるということに注意してください。なぜなら、 login(1) は xauth(1) クッキーの扱いを知らないからです。 UsePrivilegeSeparation が指定されている場合は、認証のあとで禁止されます。

UsePrivilegeSeparation (root 権限を分離) sshd が、受けつけるネットワークトラフィックを処理するために root 権限を分離するかどうかを指定します。これは root 権限をもたない子プロセスをつくることによっておこなわれます。認証が成功すると、そのユーザの権限をもつ別のプロセスが新たに作られます。これの目的は、まずそうな部分を root 権限をもたないプロセスのみに限定することによって、 root 権限による被害の拡大を防ぐためです。デフォルトでは "yes (root権限を分離する)" になっています。

VerifyReverseMapping (逆引きチェック) このオプションを "yes" にすると、 sshd_config はリモートホスト名を逆引きしたあとにそのホスト名を解決 (resolve) しなおして、本当に同じ IP アドレスになっているかどうかを検証します。デフォルトは "no" です。

VersionAddendum (バージョンに付加するもの) OS もしくはサイトに特化した修正を示すために、通常のバージョン文字列に付け加える文字列を指定します。デフォルトは "FreeBSD-20030924" です。

X11DisplayOffset (X11 ディスプレイ番号のオフセット値) sshd が X11 転送をするときに最初に使われるディスプレイ番号を指定します。これは sshd が X11 転送で使うディスプレイ番号が、本物の X サーバのディスプレイ番号と衝突してしまうのを防ぐためです。デフォルトの値は 10 です。

X11Forwarding (X11 転送) X11 転送を許可するかどうかを指定します。この引数の値は "yes" あるいは "no" で、デフォルトは "yes" です。
X11 転送が許可されており、転送された sshd のディスプレイが任意のアドレス (下の X11UseLocalhost 参照) からの接続を受けつけるように設定されていると、サーバやクライアントのディスプレイは余計な危険にさらされることになります。なので、デフォルトではそうなっていません。また、認証におけるなりすまし、認証データの確認や差し替えなどがクライアント側で起こります。X11 転送を使うセキュリティ上のリスクは、 ssh クライアントが転送を要求したときに、クライアント上の X11 サーバが攻撃にさらされるかもしれないということです ( ssh_config(5) の ForwardX11 注意書きを参照)。システム管理者はクライアントがうっかり X11 を転送して、余計な危険性を増すことのないように、これをかならず "no" に設定させるような立場をとることもできます。
注意: X11 転送機能を禁止しても、ユーザが X11 の通信を転送できなくなるというわけではありません。なぜならユーザはいつでも自前の転送プログラムをインストールして使うことができるからです。 UseLogin が許可されていると、X11 転送は自動的に禁止されます。

X11UseLocalhost (X11 で localhost のみを許可) sshd が転送された X11 サーバをループバックアドレス (localhost) に bind するかどうかを指定します。デフォルトでは、 sshd は転送された X11 をループバックアドレスに bind し、環境変数 DISPLAY のホスト名の部分を "localhost" に設定します。こうすると、(訳注: SSHサーバ以外の) リモートホストから転送された Xサーバに接続することはできなくなります。しかし、ふるい X11 クライアントだと、この設定では動作しないことがあります。そのようなときは X11UseLocalhost を "no" に設定して、転送された X サーバがワイルドカードアドレスに bind されるようにできます。このオプションの引数は "yes" あるいは "no" です。デフォルトでは、これは "yes (localhost にしか bind しない)" になっています。

XAuthLocation (xauth の位置) xauth(1) プログラムのフルパス名を指定します。デフォルトでは /usr/X11R6/bin/xauth になっています。

<なし>
	seconds (秒)
s \| S	seconds (秒)
m \| M	minutes (分)
h \| H	hours (時間)
d \| D	days (日)
w \| W	weeks (週)

600	600 秒 (10 分)
10m	10 分
1h30m	1 時間 30 分 (90 分)

manページ — SSHD_CONFIG

名称

内容

書式

解説

時間の表現

関連ファイル

作者

日本語訳

関連項目

AFSTokenPassing (AFS トークンパス)
	このオプションは AFS トークンがサーバに転送されるかどうか指定します。デフォルトは "no" です。
AllowGroups (許可するグループ)
	このキーワードにはいくつかのグループ名パターンをスペースで区切って指定します。これが指定されると、ユーザの基本グループがそのパターンのどれかにマッチするグループであるようなユーザだけがログインを許可されます。パターン中では ‘`amp;*`’ および ‘`amp;?`’ がワイルドカードとして使えます。有効なのはグループの「名前」だけで、数字で表されたグループ ID は認識されません。デフォルトでは、ログインはすべてのグループに許可されています。
AllowTcpForwarding (TCP 転送の許可)
	TCP 転送を許可するかどうか指定します。デフォルトは "yes" です。TCP 転送を禁止しても、ユーザにシェルのアクセスを禁止しないかぎりセキュリティの向上にはならないことに注意してください。なぜならユーザはいつでも自前の転送プログラムをインストールして使うことができるからです。
AllowUsers (許可するユーザ)
	このキーワードにはいくつかのユーザ名パターンをスペースで区切って指定します。これが指定されると、そのパターンのどれかにマッチするユーザだけがログインを許可されます。パターン中では ‘`amp;*`’ および ‘`amp;?`’ がワイルドカードとして使えます。有効なのはユーザの「名前」だけで、数字で表されたユーザ ID は認識されません。デフォルトでは、ログインはすべてのユーザに許可されています。もしこのパターンが USER@HOST という形をとっている時は、ユーザ名 USER とホスト名 HOST を別々にチェックでき、特定のホストからの特定のユーザのログインを制限することができます。
AuthorizedKeysFile (authorized_keys ファイル)
	ユーザ認証のさいに使われる公開鍵を格納しているファイル名を指定します。 AuthorizedKeysFile のファイル名中に %T が含まれている場合、その部分は接続の間別のものに置換されます。%% は '%' 1 文字に置換されます。 %h は認証しようとしているユーザのホームディレクトリに置換され、 %u はそのユーザのユーザ名に置換されます。この後、その絶対パスあるいはユーザのホームディレクトリからの相対パスが AuthorizedKeysFile に渡されます。デフォルトでの値は ".ssh/authorized_keys" となっています。
Banner (バナー)
	司法管区によっては、法的な保護を受けるためには認証の前に警告メッセージを送ったほうがよい場合があります。ここで指定されたファイルの内容は、認証が許可される前にリモートユーザに提示されます。このオプションはプロトコルバージョン 2 でのみサポートされています。デフォルトでは、バナーは表示されません。
ChallengeResponseAuthentication (チャレンジ・レスポンス認証)
	チャレンジ・レスポンス認証を許可するかどうか指定します。 login.conf(5) に記されているすべての認証形式が使えます。特に FreeBSD では、PAM ((pam) 3 参照) を認証に使用するかを制御します。これは、 PasswordAuthentication および PermitRootLogin 変数の効果に影響します。デフォルトは "yes" です。
Ciphers (SSH2の暗号化アルゴリズム)
	プロトコルバージョン 2 で許可される暗号化アルゴリズムを指定します。複数のアルゴリズムを指定する場合は、コンマで区切ってください。デフォルトは ``aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour, aes192-cbc,aes256-cbc'' です。
ClientAliveInterval (クライアントの生存チェック間隔)
	sshd は一定時間ごとに、暗号化された通信路を経由してクライアントに応答を要求するメッセージ (client alive message) を送ります。その際、何もデータが送られてこなかったらタイムアウトする時間を秒数で指定します。デフォルトの値は 0 で、これはメッセージを送らないことを意味します。このオプションはプロトコルバージョン 2 でのみサポートされています。
ClientAliveCountMax (クライアントの生存チェック最大カウント数)
	sshd が無反応のクライアントに対して client alive message (上記参照) を送ってみる最大数を指定します。 client alive message に対する応答が連続してこの回数だけなかった場合、 sshd は接続を切り、セッションを終了します。 client alive message は、 KeepAlive (下記) とはまったく違うことに注意してください。 client alive message は暗号化された経路を介して送られるので、偽造されることはありません。 KeepAlive によって設定される TCP の keepalive オプションは偽造される可能性があります。client alive のメカニズムはクライアントあるいはサーバが、いつ接続が切れたのかを知りたいときに役立ちます。デフォルトの値は 3 です。もし ClientAliveInterval (上記) が 15 に設定され、 ClientAliveCountMax がデフォルトのままである場合、これに反応できない ssh クライアントはおよそ 45 秒後に接続が切られます。
Compression
	圧縮を許可するかどうかを指定します。この引数がとりうる値は "yes" または "no" です。デフォルトでは "yes (圧縮を許可する)" になっています。
DenyGroups (拒否するグループ)
	このキーワードにはいくつかのグループ名パターンをスペースで区切って指定します。ユーザの基本グループがこのパターンのどれかにマッチするユーザはログインを禁止されます。パターン中では ‘`amp;*`’ および ‘`amp;?`’ がワイルドカードとして使えます。有効なのはグループの「名前」だけで、数字で表されたグループ ID は認識されません。デフォルトでは、ログインはすべてのグループに許可されています。
DenyUsers (拒否するユーザ)
	このキーワードにはいくつかのユーザ名パターンをスペースで区切って指定します。これが指定されると、このパターンのどれかにマッチするユーザはログインを禁止されます。 ‘`amp;*`’ および ‘`amp;?`’ がワイルドカードとして使えます。有効なのはグループの「名前」だけで、数字で表されたグループ ID は認識されません。デフォルトでは、ログインはすべてのユーザに許可されています。もしこのパターンが USER@HOST という形をとっている時は、ユーザ名 USER とホスト名 HOST を別々にチェックでき、特定のホストからの特定のユーザのログインを制限することができます。
GatewayPorts (ポート中継の許可)
	リモートホストがクライアント側に転送されたポートに接続することを許可するかどうか指定します。デフォルトでは、 sshd はリモート転送ポートをループバックアドレスに bind します。これは他のリモートホストが、転送されたポートに接続してしまうのを防いでいます。 GatewayPorts は sshd にリモート転送ポートをワイルドカードアドレスに bind させるときに使います。これによってリモートホストが転送されたポートに接続できるようになります。この引数の値は "yes" あるいは "no" です。デフォルトは "no" になっています。
HostbasedAuthentication (ホストベース認証の許可)
	公開鍵ホスト認証が成功したときに、 rhosts あるいは /etc/hosts.equiv 認証を許可するかどうか指定します (ホストベース認証)。このオプションは RhostsRSAAuthentication (RhostsRSA 認証の許可) に似ており、プロトコルバージョン 2 のみに作用します。デフォルトの値は "no" になっています。
HostKey (ホスト鍵)
	SSH で使われる、ホスト秘密鍵が格納されているファイルを指定します。デフォルトでは、プロトコルバージョン 1 用の鍵が `/etc/ssh/ssh_host_key` であり、プロトコルバージョン 2 用の鍵が `/etc/ssh/ssh_host_dsa_key` です。このファイルがグループあるいは他人からアクセス可能になっていると、 sshd はその使用を拒絶するので注意してください。複数のホスト鍵を使うことも可能です。 "rsa1" 鍵はバージョン 1 に使われ、 "dsa" または "rsa" はバージョン 2 の SSH プロトコルに使われます。
IgnoreRhosts (rhosts の無視)
	RhostsAuthentication, RhostsRSAAuthentication または HostbasedAuthentication の各認証で、 `.rhosts` および `.shosts` ファイルを使わないようにします。この状態でも、 `/etc/hosts.equiv` および `/etc/ssh/shosts.equiv` は依然として有効です。デフォルトでは "yes" になっています。
IgnoreUserKnownHosts (ユーザ用 known_hosts の無視)
	RhostsRSAAuthentication または HostbasedAuthentication の各認証で、ユーザの `$HOME/.ssh/known_hosts` ファイルを使わないようにします。デフォルトは "no" です。
KeepAlive (接続を生かしておく)
	システムが相手のマシンに TCP keepalive メッセージを送るかどうか指定します。これが送られると、接続の異常終了や相手マシンのクラッシュが正しく通知されるようになります。しかしこれを使うと、たとえ経路が一時的にダウンしていても接続が死んでいるということになってしまい、これが邪魔になる場合もあります。その一方で、もし keepalive が送られないとすると、セッションはサーバ上で永久に残ってしまことがあり、 "幽霊" ユーザを居座らせてサーバ資源を消費することがあります。デフォルトは "yes" (keepalive を送る) です。そのためクライアントはネットワークがダウンするか、リモートホストがクラッシュすると通知してきます。これは永久に残るセッションを防ぎます。 Keepalive を禁止するには、この値を "no" にする必要があります。
KerberosAuthentication (Kerberos 認証)
	Kerberos 認証をおこなうかどうか指定します。この認証は Kerberos チケットか、あるいはもし PasswordAuthentication が yes になっている場合なら、ユーザが入力して Kerberos KDC 経由で批准されたパスワードが使われます。このオプションを使うには、サーバに KDC のアイデンティティを批准するための Kerberos servtab が必要です。デフォルトでは "no" になっています。
KerberosOrLocalPasswd (Kerberos あるいはローカルパスワード)
	これが指定されている場合、Kerberos 経由のパスワード認証が失敗すると、そのパスワードは `/etc/passwd` などの別のローカルな機構によって確認されます。デフォルトは "yes" です。
KerberosTgtPassing (Kerberos TGT パス)
	Kerberos TGT をサーバに転送してもよいかどうか指定します。デフォルトは "no" です。なぜなら、これがまともに動くのは Kerberos KDC が実際の AFS kaserver であるときだけだからです。
KerberosTicketCleanup (Kerberos チケット自動除去)
	ユーザのチケット用キャッシュをログアウト時に自動的に消去するかどうか指定します。デフォルトは "yes" です。
KeyRegenerationInterval (鍵の再生成間隔)
	プロトコルバージョン 1 では、サーバ鍵は (一度でも使われると) ここで指定された間隔ごとに自動的に再生成されます。このように鍵を再生成する目的は、あとでそのマシンに侵入して盗聴したセッションを解読されたり、鍵を盗まれたりするのを防ぐためです。この鍵はどこにも格納されません。値として 0 を指定すると、鍵はまったく再生成されなくなります。デフォルトでは 3600 (秒) になっています。
ListenAddress (接続受付アドレス)
	sshd が接続を受けつける (listen する) ローカルアドレスを指定します。ここでは以下の形式が使えます:
	ListenAddress host\| IPv4_addr\| IPv6_addr
	ListenAddress host\| IPv4_addr: port
	ListenAddress [host\| IPv6_addr ]: port

LoginGraceTime (ログイン猶予時間)	ユーザがここで指定された時間内にログインできないと、サーバは接続を切ります。この値を 0 にすると、時間制限はなくなります。デフォルトの値は 120 (秒) です。
LogLevel (ログレベル)	sshd が出力するログメッセージの冗長性レベルを指定します。とりうる値は次のとおりです: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 および DEBUG3。デフォルトでは INFO です。DEBUG と DEBUG1 は等価です。 DEBUG2, DEBUG3 はそれぞれさらに冗長なログになります。 DEBUG レベル以上のログはユーザのプライバシを侵害するので、勧められるものではありません。
MACs (メッセージ認証コード)	使用する MAC (メッセージ認証コード) アルゴリズムの優先順位を指定します。 MAC アルゴリズムはプロトコルバージョン 2 で使われる、データの改竄を防ぐ機構 (data integrity protection) です。複数のアルゴリズムをコンマで区切って指定します。デフォルトは "hmac-md5,hmac-sha1,hmac-ripemd160,hmac-sha1-96,hmac-md5-96" の順になっています。
MaxStartups (最大起動数)	認証されていない段階の接続を sshd デーモンが最大でどれだけ受けつけるかを指定します。この値を超えた (認証されていない段階の) 接続は捨てられます。この状態は (すでに接続したクライアントの) 認証が成功するか、その LoginGraceTime (ログイン猶予時間) が切れるまで続きます。デフォルトではこの数は 10 です。もうひとつの方法は、早いうちからランダムに接続を拒否するよう指定することです。これはこのオプションにコロンで区切った 3つの値を与えることによりおこないます。この値は "start:rate:full" (``開始時:確率:最大数'') の形をとります (例: "10:30:60" など)。 sshd は認証されていない段階の接続が "start" (この例では 10) 個を超えると、これ以後の接続要求を "rate/100" (この例では 30%) の確率で拒否しはじめます。この確率は "full" (この例では 60) 個の接続が来るまで線形に増えつづけ、最大数に達した時点でそれ以降すべての接続を拒否するようになります。 PasswordAuthentication (パスワード認証) が禁止されているかどうかにかかわらず、パスワード認証も許可されます。デフォルトでは "no" になっています。
PasswordAuthentication (パスワード認証)	パスワード認証を許可するかどうか指定します。デフォルトでは "yes" になっています。 ChallengeResponseAuthentication が "yes" であり、 sshd の PAM 認証ポリシに pam_unix(8) [英語] が含まれる場合、 PasswordAuthentication の値に関係なく、チャレンジ・レスポンス機構によるパスワード認証が許可されます。
PermitEmptyPasswords (空のパスワードを許可)	パスワード認証が許可されているとき、パスワード文字列が空のアカウントに対してサーバがログインを許可するかどうか指定します。デフォルトは "no" です。
PermitRootLogin (root ログイン許可)	ssh(1) を使って、root がログインできるかどうか指定します。この引数の値は "yes", "without-password" (パスワード認証なし)、 "forced-commands-only" (強制コマンドのみ)、あるいは "no" のいずれかです。デフォルトは "no" です。 ChallengeResponseAuthentication が "yes" の場合、 PermitRootLogin が "without-password" に設定されていたとしても、root ユーザはそのパスワードで許可されます。このオプションを "without-password" にすると、root だけパスワード認証ではログインできなくなります。このオプションを "forced-commands-only" にすると、root は公開鍵認証を使ってログインできますが、その鍵に command オプションが指定されている場合にかぎります (これは通常の root ログインを許可していなくても、リモートバックアップをとりたいときなどに有用です)。 root に対してはこれ以外の認証方法はすべて禁止になります。このオプションを "no" にすると、root のログインは許可されません。
PermitUserEnvironment (ユーザの環境変数変更を許可する)	sshd が `~/.ssh/environment` ファイルおよび `~/.ssh/authorized_keys` における environment= オプションを処理すべきかどうかを指定します。デフォルトでは "no" です。環境変数の変更は、ユーザに LD_PRELOAD などの設定を使ったある種のアクセス制限を回避させてしまう可能性があります。
PidFile (pid ファイル)	sshd デーモンのプロセス ID を格納するファイルを指定します。デフォルトでは `/var/run/sshd.pid` になっています。
Port (ポート番号)	sshd が接続を受けつける (listen する) ポート番号を指定します。デフォルトは 22 です。複数指定することも可能です。 ListenAddress の項も参照してください。
PrintLastLog (LastLog の表示)	ユーザが対話的にログインしたとき、そのユーザが前回ログインした日付と時刻を表示するかどうか指定します。デフォルトでは "yes" になっています。
PrintMotd (motd の表示)	ユーザが対話的にログインしたとき、 `/etc/motd` (今日のお知らせ) ファイルの内容を表示するかどうか指定します。 (システムによっては、これはシェルや `/etc/profile` に相当するものが表示します)。デフォルトは "yes" です。
Protocol (プロトコル)	サポートするプロトコルのバージョンを指定します。とりうる値は "1" と "2" です。複数のバージョンをコンマで区切って指定することもできます。デフォルトは "2,1" です。ここでのプロトコルの順番は、優先度を指定するものではないことに注意してください。なぜなら複数のプロトコルがサーバで使用可能な場合、選択するのはクライアント側だからです。よって "2,1" という指定は、 "1,2" と同じです。
PubkeyAuthentication (公開鍵認証)	公開鍵認証を許可するかどうか指定します。デフォルトは "yes" です。このオプションはプロトコルバージョン 2 にのみ適用されることに注意してください。
RhostsAuthentication (rhosts 認証)	rhosts や `/etc/hosts.equiv` だけを使った認証でログインを許可してしまってもよいかどうか指定します。これは安全でないため、ふつうは許可すべきではありません。かわりに RhostsRSAAuthentication (rhosts-RSA 認証) を使うべきです。こちらは通常の rhosts や `/etc/hosts.equiv` 認証に加えて、RSA ベースのホスト間認証をおこないます。デフォルトは "no" です。このオプションはプロトコルバージョン 1 にのみ適用されることに注意してください。
RhostsRSAAuthentication (rhosts-RSA 認証)	RSA ホスト間認証が成功しているとき、rhosts や `/etc/hosts.equiv` を使った認証をおこなってよいかどうか指定します。デフォルトは "no" です。このオプションはプロトコルバージョン 1 にのみ適用されることに注意してください。
RSAAuthentication (RSA 認証)	純粋な RSA 認証を許可するかどうかを指定します。デフォルトは "yes" になっています。このオプションはプロトコルバージョン 1 にのみ適用されることに注意してください。
ServerKeyBits (サーバ鍵のビット数)	プロトコルバージョン 1 で短期的に使われるサーバ鍵のビット数を指定します。最小値は 512 で、デフォルトは 768 です。
StrictModes (厳格なモード)	sshd がログインを許可する前に、ユーザのファイルおよびホームディレクトリの所有権とパーミッションをチェックすべきかどうかを指定します。これはふつう初心者が、しばしば自分のディレクトリを誰でも書き込めるようにしてしまう事故を防ぐために有効です。デフォルトでは "yes" になっています。
Subsystem (サブシステム)	外部サブシステム (ファイル転送デーモンなど) を設定します。このオプションへの引数にはサブシステム名と、そのサブシステムに要求があったとき実行されるコマンドを与えます。 sftp-server(8) はファイル転送サブシステム "sftp" を実装したものです。デフォルトではサブシステムは何も定義されていません。このオプションはプロトコルバージョン 2 にのみ適用されることに注意してください。
SyslogFacility (syslog 分類コード)	sshd が出力するログメッセージで使われるログの分類コード (facility) を指定します。とりうる値は次のとおりです: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7。デフォルトは AUTH です。
UseLogin (login の使用)	対話的ログインセッションのさい、 login(1) プログラムを使うかどうかを指定します。デフォルトでは "no" になっています。対話的でないリモートコマンド実行のときに login(1) が使われることは決してありません。また、これが許可されていると X11Forwarding (X11 転送) は許可されなくなるということに注意してください。なぜなら、 login(1) は xauth(1) クッキーの扱いを知らないからです。 UsePrivilegeSeparation が指定されている場合は、認証のあとで禁止されます。
UsePrivilegeSeparation (root 権限を分離)	sshd が、受けつけるネットワークトラフィックを処理するために root 権限を分離するかどうかを指定します。これは root 権限をもたない子プロセスをつくることによっておこなわれます。認証が成功すると、そのユーザの権限をもつ別のプロセスが新たに作られます。これの目的は、まずそうな部分を root 権限をもたないプロセスのみに限定することによって、 root 権限による被害の拡大を防ぐためです。デフォルトでは "yes (root権限を分離する)" になっています。
VerifyReverseMapping (逆引きチェック)	このオプションを "yes" にすると、 sshd_config はリモートホスト名を逆引きしたあとにそのホスト名を解決 (resolve) しなおして、本当に同じ IP アドレスになっているかどうかを検証します。デフォルトは "no" です。
VersionAddendum (バージョンに付加するもの)	OS もしくはサイトに特化した修正を示すために、通常のバージョン文字列に付け加える文字列を指定します。デフォルトは "FreeBSD-20030924" です。
X11DisplayOffset (X11 ディスプレイ番号のオフセット値)	sshd が X11 転送をするときに最初に使われるディスプレイ番号を指定します。これは sshd が X11 転送で使うディスプレイ番号が、本物の X サーバのディスプレイ番号と衝突してしまうのを防ぐためです。デフォルトの値は 10 です。
X11Forwarding (X11 転送)	X11 転送を許可するかどうかを指定します。この引数の値は "yes" あるいは "no" で、デフォルトは "yes" です。 X11 転送が許可されており、転送された sshd のディスプレイが任意のアドレス (下の X11UseLocalhost 参照) からの接続を受けつけるように設定されていると、サーバやクライアントのディスプレイは余計な危険にさらされることになります。なので、デフォルトではそうなっていません。また、認証におけるなりすまし、認証データの確認や差し替えなどがクライアント側で起こります。X11 転送を使うセキュリティ上のリスクは、 ssh クライアントが転送を要求したときに、クライアント上の X11 サーバが攻撃にさらされるかもしれないということです ( ssh_config(5) の ForwardX11 注意書きを参照)。システム管理者はクライアントがうっかり X11 を転送して、余計な危険性を増すことのないように、これをかならず "no" に設定させるような立場をとることもできます。注意: X11 転送機能を禁止しても、ユーザが X11 の通信を転送できなくなるというわけではありません。なぜならユーザはいつでも自前の転送プログラムをインストールして使うことができるからです。 UseLogin が許可されていると、X11 転送は自動的に禁止されます。
X11UseLocalhost (X11 で localhost のみを許可)	sshd が転送された X11 サーバをループバックアドレス (localhost) に bind するかどうかを指定します。デフォルトでは、 sshd は転送された X11 をループバックアドレスに bind し、環境変数 DISPLAY のホスト名の部分を "localhost" に設定します。こうすると、(訳注: SSHサーバ以外の) リモートホストから転送された Xサーバに接続することはできなくなります。しかし、ふるい X11 クライアントだと、この設定では動作しないことがあります。そのようなときは X11UseLocalhost を "no" に設定して、転送された X サーバがワイルドカードアドレスに bind されるようにできます。このオプションの引数は "yes" あるいは "no" です。デフォルトでは、これは "yes (localhost にしか bind しない)" になっています。
XAuthLocation (xauth の位置)	xauth(1) プログラムのフルパス名を指定します。デフォルトでは `/usr/X11R6/bin/xauth` になっています。

`/etc/ssh/sshd_config`
	sshd の設定ファイルです。このファイルに書き込めるのは root だけでなくてはいけませんが、読むのは誰でもできるようにしておいたほうがよいでしょう (必須ではありませんが)。