sshd_config(5) man page

sshd 하 /etc/ssh/sshd_config (혹은 명령행으로부터 -f 옵션으로 지정한 파일)로부터 설정을 읽어들입니다. 이 파일의 각 행은 ``키워드 인수''의 형식이 되어 있어, 공행 혹은 ‘#’ 그리고 시작되는 행은 코멘트로 간주해집니다.

사용할 수 있는 키워드와 그 설명은 이하와 같습니다 (키워드에서는 대문자 소문자는 구별됩니다만, 인수에서는 구별되는 것에 주의해 주세요):

AFSTokenPassing (AFS 토큰 패스)

이 옵션은 AFS 토큰이 서버에 전송 되는지 어떤지 지정합니다. 디폴트는 "no" 입니다.

AllowGroups (허가하는 그룹)

이 키워드에는 몇개의 그룹명 패턴을 스페이스에서 단락지어 지정합니다. 이것이 지정되면(자), 유저의 기본 그룹이 그 패턴의 어떤 것인가에 매치 하는 그룹인 것 같은 유저만이 로그인이 허가됩니다. 패턴중에서는 ‘*’ 및 ‘?’ 하지만 와일드 카드로서 사용할 수 있습니다. 유효한 것은 그룹의 「이름」만으로, 숫자로 나타내진 그룹 ID 는 인식되지 않습니다. 디폴트에서는, 로그인은 모든 그룹에 허가되고 있습니다.

AllowTcpForwarding (TCP 전송의 허가)

TCP 전송을 허가하는지 어떤지 지정합니다. 디폴트는 "yes" 입니다. TCP 전송을 금지해도, 유저에게 쉘의 액세스를 금지하지 않는다 한보안의 향상은 되지 않는 것에 주의해 주세요. 왜냐하면 유저는 언제라도 자기 부담의 전송 프로그램을 인스톨 해 사용할 수가 있기 때문입니다.

AllowUsers (허가하는 유저)

이 키워드에는 몇개의 유저명 패턴을 스페이스에서 단락지어 지정합니다. 이것이 지정되면(자), 그 패턴의 어떤 것인가에 매치 한다 유저만이 로그인이 허가됩니다. 패턴중에서는 ‘*’ 및 ‘?’ 하지만 와일드 카드로서 사용할 수 있습니다. 유효한 것은 유저의 「이름」만으로, 숫자로 나타내진 유저 ID 는 인식되지 않습니다. 디폴트에서는, 로그인은 모든 유저에게 허가되고 있습니다. 만약 이 패턴이 USER@HOST 라고 하는 형태를 취하고 있을 때는, 유저명 USER 와 호스트명 HOST 를 따로 따로 체크할 수 있어 특정의 호스트로부터의 특정의 유저의 로그인을 제한할 수가 있습니다.

AuthorizedKeysFile (authorized_keys 파일)

유저 인증의 차이에 사용되는 공개열쇠를 격납하고 있는 파일명을 지정합니다. AuthorizedKeysFile 의 파일명중에 %T 가 포함되어 있는 경우, 그 부분은 접속동안 다른 것에 치환됩니다. %% 는 「%」1 캐릭터에 치환됩니다. %h 는 인증하려고 하고 있는 유저의 홈 디렉토리에 치환되어 %u 는 그 유저의 유저명에 치환됩니다. 이 후, 그 절대 패스 혹은 유저의 홈 디렉토리로부터의 상대 패스가 AuthorizedKeysFile 에게 건네집니다. 디폴트에서의 값은 ".ssh/authorized_keys" 되고 있습니다.

Banner (배너)

사법 관할구역에 따라서는, 법적인 보호를 받기 위해서(때문에)는 인증 전에 경고 메세지를 보내는 편이 좋은 경우가 있습니다. 여기서 지정된 파일의 내용은, 인증이 허가되기 전에 리모트 유저에 제시됩니다. 이 옵션은 프로토콜 버젼 2 에서만 서포트되고 있습니다. 디폴트에서는, 배너는 표시되지 않습니다.

ChallengeResponseAuthentication (챌린지·리스폰스 인증)

챌린지·리스폰스 인증을 허가하는지 어떤지 지정합니다. login.conf(5) 에 적어져 모든 인증 형식을 사용할 수 있습니다. 디폴트는 "yes" 입니다.

Ciphers (SSH2의 암호화 알고리즘)

프로토콜 버젼 2 로 허가되는 암호화 알고리즘을 지정합니다. 복수의 알고리즘을 지정하는 경우는, 칸마로 단락지어 주세요. 디폴트는

``aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour, aes192-cbc, aes256-cbc''
입니다.

ClientAliveInterval (클라이언트의 생존 체크 간격)

sshd (은)는 일정시간 마다, 암호화된 통신로를 경유해 클라이언트에 응답을 요구하는 메세지 (client alive message)(을)를 보냅니다. 그 때, 아무것도 데이터가 보내져 오지 않았으면 타임 아웃 한다 시간을 초수로 지정합니다. 디폴트의 값은 0 으로, 이것은 메세지를 보내지 않는 것을 의미합니다. 이 옵션은 프로토콜 버젼 2 에서만 서포트되고 있습니다.

ClientAliveCountMax (클라이언트의 생존 체크 최대 카운트수)

sshd 하지만 무반응의 클라이언트에 대해서 client alive message (상기 참조)를 보내 보는 최대수를 지정합니다. client alive message 에 대한 응답이 연속해 이 회수만 없었던 경우, sshd (은)는 접속을 잘라, 세션을 종료합니다. client alive message 는, KeepAlive (아래와 같이)(와)과는 완전히 다른 것에 주의해 주세요. client alive message 는 암호화된 경로를 개입시켜 보내지므로, 위조될 것은 없습니다. KeepAlive 에 의해 설정되는 TCP 의 keepalive 옵션은 위조될 가능성이 있습니다. client alive 의 메카니즘은 클라이언트 혹은 서버가, 언제 접속이 끊어졌는지를 알고 싶을 때에 도움이 됩니다.
디폴트의 값은 3 입니다. 만약 ClientAliveInterval (상기)(이)가 15 로 설정되어 ClientAliveCountMax 하지만 디폴트인 채인 경우, 이것에 반응할 수 없는 ssh 클라이언트는 대략 45초 후에 접속이 잘립니다.

Compression

압축을 허가하는지 어떤지를 지정합니다. 이 인수가 취할 수 있는 값은 "yes" 또는 "no" 입니다. 디폴트에서는 "yes (압축을 허가한다)" (이)가 되어 있습니다.

DenyGroups (거부하는 그룹)

이 키워드에는 몇개의 그룹명 패턴을 스페이스에서 단락지어 지정합니다. 유저의 기본 그룹이 이 패턴의 어떤 것인가에 매치 하는 유저는 로그인을 금지됩니다. 패턴중에서는 ‘*’ 및 ‘?’ 하지만 와일드 카드로서 사용할 수 있습니다. 유효한 것은 그룹의 「이름」만으로, 숫자로 나타내진 그룹 ID 는 인식되지 않습니다. 디폴트에서는, 로그인은 모든 그룹에 허가되고 있습니다.

DenyUsers (거부하는 유저)

이 키워드에는 몇개의 유저명 패턴을 스페이스에서 단락지어 지정합니다. 이것이 지정되면(자), 이 패턴의 어떤 것인가에 매치 하는 유저는 로그인을 금지됩니다. ‘*’ 및 ‘?’ 하지만 와일드 카드로서 사용할 수 있습니다. 유효한 것은 그룹의 「이름」만으로, 숫자로 나타내진 그룹 ID 는 인식되지 않습니다. 디폴트에서는, 로그인은 모든 유저에게 허가되고 있습니다. 만약 이 패턴이 USER@HOST 라고 하는 형태를 취하고 있을 때는, 유저명 USER 와 호스트명 HOST 를 따로 따로 체크할 수 있어 특정의 호스트로부터의 특정의 유저의 로그인을 제한할 수가 있습니다.

GatewayPorts (포트 중계의 허가)

리모트 호스트가 클라이언트 측에 전송 된 포트에 접속하는 것을 허가하는지 어떤지 지정합니다. 디폴트에서는, sshd (은)는 리모트 전송 포트를 루프백 주소에 bind 합니다. 이것은 다른 리모트 호스트가, 전송 된 포트에 접속해 버리는 것을 막고 있습니다. GatewayPorts 하 sshd 에 리모트 전송 포트를 와일드 카드 주소에 bind 시킬 때 사용합니다. 이것에 의해 리모트 호스트가 전송 된 포트에 접속할 수 있게 됩니다. 이 인수의 값은 "yes" 혹은 "no" 입니다. 디폴트는 "no" (이)가 되어 있습니다.

HostbasedAuthentication (호스트 베이스 인증의 허가)

공개열쇠 호스트 인증이 성공했을 때에, rhosts 혹은 /etc/hosts.equiv 인증을 허가하는지 어떤지 지정합니다 (호스트 베이스 인증). 이 옵션은 RhostsRSAAuthentication (RhostsRSA 인증의 허가) (을)를 닮아 있어 프로토콜 버젼 2 에만 작용합니다. 디폴트의 값은 "no" (이)가 되어 있습니다.

HostKey (호스트열쇠)

SSH 로 사용되는, 호스트 비밀열쇠가 격납되고 있는 파일을 지정합니다. 디폴트에서는, 프로토콜 버젼 1 용의 열쇠가 /etc/ssh/ssh_host_key (이어)여, 프로토콜 버젼 2 용의 열쇠가 /etc/ssh/ssh_host_dsa_key 입니다. 이 파일이 그룹 혹은 타인으로부터 액세스 가능하게 되어 있으면(자), sshd (은)는 그 사용을 거절할테니 주의해 주세요. 복수의 호스트열쇠를 사용하는 일도 가능합니다. "rsa1" 열쇠는 버젼 1 에 사용되어 "dsa" 또는 "rsa" (은)는 버젼 2 의 SSH 프로토콜에 사용됩니다.

IgnoreRhosts (rhosts 의 무시)

RhostsAuthentication, RhostsRSAAuthentication 또는 HostbasedAuthentication 의 각 인증으로, .rhosts 및 .shosts 파일을 사용하지 않게 합니다.
이 상태에서도, /etc/hosts.equiv 및 /etc/ssh/shosts.equiv (은)는 여전히 유효합니다. 디폴트에서는 "yes" (이)가 되어 있습니다.

IgnoreUserKnownHosts (유저용 known_hosts 의 무시)

RhostsRSAAuthentication 또는 HostbasedAuthentication 의 각 인증으로, 유저의 $HOME/.ssh/known_hosts 파일을 사용하지 않게 합니다. 디폴트는 "no" 입니다.

KeepAlive (접속을 살려 둔다)

시스템이 상대의 머신에 TCP keepalive 메세지를 보내는지 어떤지 지정합니다. 이것이 보내지면(자), 접속의 이상종료(ABEND)나 상대 머신의 크래쉬가 올바르게 통지되게 됩니다. 그러나 이것을 사용하면(자), 비록 경로가 일시적으로 다운하고 있어도 접속이 죽어 있다고 하는 것이 되어 버려, 이것이 방해가 되는 경우도 있습니다. 그 한편, 만약 keepalive 가 보내지지 않는다고 하면(자), 세션은 서버상에서 영구히 남고 해 마코토가 있어, "유령" 유저를 눌러 앉게 해 서버 자원을 소비하는 일이 있습니다.
디폴트는 "yes" (keepalive 를 보낸다)입니다. 그 때문에 클라이언트는 네트워크가 다운하는지, 리모트 호스트가 크래쉬 한다고 통지해 옵니다. 이것은 영구히 남는 세션을 막습니다.
Keepalive 를 금지하려면 , 이 값을 "no" (으)로 할 필요가 있습니다.

KerberosAuthentication (Kerberos 인증)

Kerberos 인증을 행하는지 어떤지 지정합니다. 이 인증은 Kerberos 티켓인가, 혹은 만약 PasswordAuthentication 하지만 yes 가 되어 있는 경우라면, 유저가 입력해 Kerberos KDC 경유로 비준된 패스워드가 사용됩니다. 이 옵션을 사용하려면 , 서버에 KDC 의 아이덴티티를 비준하기 위한 Kerberos servtab 가 필요합니다. 디폴트에서는 "no" (이)가 되어 있습니다.

KerberosOrLocalPasswd (Kerberos 혹은 로컬 패스워드)

이것이 지정되어 있는 경우, Kerberos 경유의 패스워드 인증이 실패하면(자), 그 패스워드는 /etc/passwd 등의 다른 로컬인 기구에 의해 확인됩니다. 디폴트는 "yes" 입니다.

KerberosTgtPassing (Kerberos TGT 패스)

Kerberos TGT 를 서버에 전송 해도 괜찮은지 어떤지 지정합니다. 디폴트는 "no" 입니다. 왜냐하면, 이것이 온전히 움직이는 것은 Kerberos KDC 가 실제의 AFS kaserver 일 때만이기 때문입니다.

KerberosTicketCleanup (Kerberos 티켓 자동 제거)

유저의 티켓용 캐쉬를 로그아웃시에 자동적으로 소거하는지 어떤지 지정합니다. 디폴트는 "yes" 입니다.

KeyRegenerationInterval (열쇠의 재생성 간격)

프로토콜 버젼 1 에서는, 서버열쇠는 (한 번이라도 사용되면(자)) 여기서 지정된 간격 마다 자동적으로 재생성됩니다. 이와 같이 열쇠를 재생성한다 목적은, 나중에 그 머신에 침입해 도청한 세션이 해독되거나 열쇠를 도둑맞거나 하는 것을 막기 (위해)때문입니다. 이 열쇠는 어디에도 격납되지 않습니다. 값으로 해서 제로를 지정하면(자), 열쇠는 전혀 재생성되지 않게 됩니다. 디폴트에서는 3600 (초)이 되어 있습니다.

ListenAddress (접속 접수 주소)

sshd 하지만 접속을 받아들이는 (listen 한다) 로컬 주소를 지정합니다. 여기에서는 이하의 형식을 사용할 수 있습니다:

ListenAddress host| IPv4_addr| IPv6_addr

ListenAddress host| IPv4_addr: port

ListenAddress [host| IPv6_addr ]: port

port 하지만 지정되어 있지 않을 때는, sshd (은)는 그 주소로, 지금까지의 Port 옵션으로 지정된 모든 포트로 접속을 받아들입니다. 디폴트에서는 모든 로컬 주소에 대해서 접속을 받아들이게 되어 있습니다. ListenAddress 항목은 복수 지정해도 괜찮습니다. 또 Port 옵션은, 포트 돌출하지 않는 주소 지정에 대해서는 이 옵션보다 전으로 지정해 둘 필요가 있습니다.

LoginGraceTime (로그인 유예 시간) 유저가 여기서 지정된 시간내에 로그인할 수 없으면 서버는 접속을 자릅니다. 이 값을 제로로 하면(자), 시간제한은 없어집니다. 디폴트의 값은 120 (초)입니다.

LogLevel (로그 레벨) sshd 하지만 출력하는 로그 메세지의 장황성 레벨을 지정합니다. 취할 수 있는 값은 다음과 같습니다: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 및 DEBUG3. 디폴트에서는 INFO 입니다. DEBUG 와 DEBUG1 는 등가입니다. DEBUG2, DEBUG3 는 각각 한층 더 장황한 로그가 됩니다. DEBUG 레벨 이상의 로그는 유저의 프라이버시를 침해하므로, 권유받는 것이 아닙니다.

MACs (메세지 인증 코드) 사용하는 MAC (메세지 인증 코드) 알고리즘의 우선 순위를 지정합니다. MAC 알고리즘은 프로토콜 버젼 2 로 사용되는, 데이터의 개찬을 막는 기구 (data integrity protection)입니다. 복수의 알고리즘을 칸마로 단락지어 지정합니다. 디폴트는 "hmac-md5, hmac-sha1, hmac-ripemd160, hmac-sha1-96, hmac-md5-96" 의 순서가 되어 있습니다.

MaxStartups (최대 기동수) 인증되어 있지 않을 단계의 접속을 sshd demon가 최대로 얼마나 받아들이는지를 지정합니다. 이 값을 넘은 (인증되어 있지 않을 단계의) 접속은 버려집니다. 이 상태는 (벌써 접속한 클라이언트의) 인증이 성공하는지, 그 LoginGraceTime (로그인 유예 시간)(이)가 끊어질 때까지 계속됩니다. 디폴트에서는 이 수는 10 입니다.
또 하나의 방법은, 빠른 동안으로부터 랜덤에 접속을 거부하는 듯 지정하는 것입니다. 이것은 이 옵션에 코론으로 단락지은 3개의 값을 주는 것으로 행합니다. 이 값은 "start:rate:full" (``개시시:확률:최대수'')의 형태를 취합니다 (예: "10:30:60" 등). sshd (은)는 인증되어 있지 않을 단계의 접속이 "start" (이 예에서는 10) 개를 넘으면(자), 이것 이후의 접속 요구를 "rate/100" (이 예에서는 30%)의 확률로 거부하기 시작합니다. 이 확률은 "full" (이 예에서는 60) 개의 접속이 올 때까지 선형에 계속 증가해 최대수에 이른 시점에서 그 이후 모든 접속을 거부하게 됩니다.

PAMAuthenticationViaKbdInt (키보드 대화를 사용한 PAM 인증) PAM 의 챌린지·리스폰스 인증을 허가하는지 어떤지 지정합니다. 이 옵션으로 대부분의 PAM 챌린지·리스폰스 인증이 사용할 수 있습니다만, 이 경우 PasswordAuthentication (패스워드 인증)(이)가 금지되고 있는지 어떤지에 관계없이, 패스워드 인증도 허가됩니다. 디폴트에서는 "no" (이)가 되어 있습니다.

PasswordAuthentication (패스워드 인증) 패스워드 인증을 허가하는지 어떤지 지정합니다. 디폴트에서는 "yes" (이)가 되어 있습니다.

PermitEmptyPasswords (하늘의 패스워드를 허가) 패스워드 인증이 허가되고 있을 때, 패스워드 캐릭터 라인이 하늘의 어카운트에 대해서 서버가 로그인을 허가하는지 어떤지 지정합니다. 디폴트는 "no" 입니다.

PermitRootLogin (root 로그인 허가) ssh(1) (을)를 사용해, root 를 로그인할 수 있는지 어떤지 지정합니다. 이 인수의 값은 "yes" , "without-password" (패스워드 인증 없음), "forced-commands-only" (강제 명령만), 혹은 "no" 의 머지않아인가입니다. 의 어느 쪽인가에 됩니다. 디폴트는 "no" 입니다. 이 옵션을 "without-password" (으)로 하면(자), root 만 패스워드 인증에서는 로그인할 수 없게 됩니다.
이 옵션을 "forced-commands-only" (으)로 하면(자), root 는 공개열쇠 인증을 사용해 로그인할 수 있습니다만, 그 열쇠에 command 옵션이 지정되어 있는 경우에 한합니다 (이것은 통상의 root 로그인을 허가하고 있지 않아도, 리모트 백업을 취하고 싶을 때 등에 유용합니다). root 에 대해서는 이외의 인증 방법은 모두 금지가 됩니다.
이 옵션을 "no" (으)로 하면(자), root 의 로그인은 허가되지 않습니다.

PidFile (pid 파일) sshd demon의 프로세스 ID 를 격납하는 파일을 지정합니다. 디폴트에서는 /var/run/sshd.pid (이)가 되어 있습니다.

Port (포트 번호) sshd 하지만 접속을 받아들이는 (listen 한다) 포트 번호를 지정합니다. 디폴트는 22 입니다. 복수 지정하는 일도 가능합니다. ListenAddress 의 항도 참조해 주세요.

PrintLastLog (LastLog 의 표시) 유저가 대화적으로 로그인했을 때, 그 유저가 전회 로그인한 일자와 시각을 표시하는지 어떤지 지정합니다. 디폴트에서는 "yes" (이)가 되어 있습니다.

PrintMotd (motd 의 표시) 유저가 대화적으로 로그인했을 때, /etc/motd (오늘의 소식) 파일의 내용을 표시하는지 어떤지 지정합니다. (시스템에 따라서는, 이것은 쉘나 /etc/profile 에 상당하는 것이 표시합니다). 디폴트는 "yes" 입니다.

Protocol (프로토콜) 서포트하는 프로토콜의 버젼을 지정합니다. 취할 수 있는 값은 "1" (와)과 "2" 입니다. 복수의 버젼을 칸마로 단락지어 지정할 수도 있습니다. 디폴트는 "2,1" 입니다.

PubkeyAuthentication (공개열쇠 인증) 공개열쇠 인증을 허가하는지 어떤지 지정합니다. 디폴트는 "yes" 입니다. 이 옵션은 프로토콜 버젼 2 에게만 적용되는 것에 주의해 주세요.

RhostsAuthentication (rhosts 인증) rhosts 나 /etc/hosts.equiv 만을 사용한 인증으로 로그인을 허가해 끝내도 괜찮은지 어떤지 지정합니다. 이것은 안전하지 않기 때문에, 보통은 허가해야 하지는 않습니다. 대신에 RhostsRSAAuthentication (rhosts-RSA 인증) (을)를 사용해야 합니다. 이쪽은 통상의 rhosts 나 /etc/hosts.equiv 인증에 가세해, RSA 베이스의 호스트간 인증을 행합니다. 디폴트는 "no" 입니다. 이 옵션은 프로토콜 버젼 1 에게만 적용되는 것에 주의해 주세요.

RhostsRSAAuthentication (rhosts-RSA 인증) RSA 호스트간 인증이 성공하고 있을 때, rhosts 나 /etc/hosts.equiv (을)를 사용한 인증을 행해도 좋은지 어떤지 지정합니다. 디폴트는 "no" 입니다. 이 옵션은 프로토콜 버젼 1 에게만 적용되는 것에 주의해 주세요.

RSAAuthentication (RSA 인증) 순수한 RSA 인증을 허가하는지 어떤지를 지정합니다. 디폴트는 "yes" (이)가 되어 있습니다. 이 옵션은 프로토콜 버젼 1 에게만 적용되는 것에 주의해 주세요.

ServerKeyBits (서버열쇠의 비트수) 프로토콜 버젼 1 으로 단기적으로 사용되는 서버열쇠의 비트수를 지정합니다. 최소치는 512 로, 디폴트는 768 입니다.

StrictModes (엄격한 모드) Specifies whether sshd 하지만 로그인을 허가하기 전에, 유저의 파일 및 홈 디렉토리의 소유권과 퍼미션을 체크해야할 것인가 제발을 지정합니다. 이것은 보통 초보자가, 자주 자신의 디렉토리를 누구라도 기입할 수 있도록(듯이) 해 버리는 사고를 막기 위해서(때문에) 유효합니다. 디폴트에서는 "yes" (이)가 되어 있습니다.

Subsystem (하부조직) 외부 하부조직 (파일 전송 demon등)을 설정합니다. 이 옵션에의 인수에는 하부조직명과 그 하부조직에 요구가 있었을 때 실행되는 명령을 줍니다. sftp-server(8) (은)는 파일 전송 하부조직 "sftp" (을)를 실장한 것입니다. 디폴트에서는 하부조직은 아무것도 정의되고 있지 않습니다. 이 옵션은 프로토콜 버젼 2 에게만 적용되는 것에 주의해 주세요.

SyslogFacility (syslog 분류 코드) sshd 하지만 출력하는 로그 메세지로 사용되는 로그의 분류 코드 (facility)(을)를 지정합니다. 취할 수 있는 값은 다음과 같습니다: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. 디폴트는 AUTH 입니다.

UseLogin (login 의 사용) 대화적 로그인 세션의 차이, login(1) 프로그램을 사용하는지 어떤지를 지정합니다. 디폴트에서는 "no" (이)가 되어 있습니다. 대화적이지 않은 리모트 명령 실행 때에 login(1) 하지만 사용되는 것은 결코 없습니다. 또, 이것이 허가되고 있으면(자) X11Forwarding (X11 전송) (은)는 허가되지 않게 되기로 주의해 주세요. 왜냐하면, login(1) 하 xauth(1) 쿠키의 취급을 모르기 때문입니다. UsePrivilegeSeparation 하지만 지정되어 있는 경우는, 인증의 나중에 금지됩니다.

UsePrivilegeSeparation (root 권한을 분리) sshd 하지만, 받아들이는 네트워크 트래픽을 처리하기 위해서 root 권한을 분리하는지 어떤지를 지정합니다. 이것은 root 권한을 갖지 않는 child process를 만드는 것에 의해 행해집니다. 인증이 성공하면(자), 그 유저의 권한을 가진다 다른 프로세스가 새롭게 만들어집니다. 이것의 목적은, 우선 그런 부분을 root 권한을 갖지 않는 프로세스에만 한정하는 것에 의해, root 권한에 의한 피해의 확대를 막기 (위해)때문입니다. 디폴트에서는 "no (root 권한을 분리하지 않는다)" (이)가 되어 있습니다.

VerifyReverseMapping (역당겨 체크) 이 옵션을 "yes" (으)로 하면(자), sshd_config (은)는 리모트 호스트명을 역당겨 한 뒤에 그 호스트명을 해결 (resolve) 다시 해, 정말로 같은 IP 주소가 되어 있는지 어떤지를 검증합니다. 디폴트는 "no" 입니다.

VersionAddendum (버젼에 부가하는 것) OS 혹은 사이트에 특화한 수정을 나타내기 위해서(때문에), 통상의 버젼 캐릭터 라인에 덧붙이는 캐릭터 라인을 지정합니다.

X11DisplayOffset (X11 디스플레이 번호의 오프셋(offset)치) sshd 하지만 X11 전송을 할 경우에 최초로 사용되는 디스플레이 번호를 지정합니다. 이것은 sshd 하지만 X11 전송으로 사용하는 디스플레이 번호가, 진짜의 X 서버의 디스플레이 번호와 충돌해 버리는 것을 막기 (위해)때문입니다. 디폴트의 값은 10 입니다.

X11Forwarding (X11 전송) X11 전송을 허가하는지 어떤지를 지정합니다. 디폴트는 "no" 입니다. X11 전송을 금지해도 보안를 올리는 것은 전혀 없는 것에 주의해 주세요. 왜냐하면 유저는 언제라도 자기 부담의 전송 프로그램을 인스톨 해 사용할 수가 있기 때문입니다. UseLogin 하지만 허가되고 있으면(자), X11 전송은 자동적으로 금지됩니다.

X11UseLocalhost (X11 로 localhost 만을 허가) sshd 하지만 전송 된 X11 서버를 루프백 주소 (localhost)에 bind 하는지 어떤지를 지정합니다. 디폴트에서는, sshd (은)는 전송 된 X11 를 루프백 주소에 bind 해, 환경 변수 DISPLAY 의 호스트명의 부분을 "localhost" (으)로 설정합니다. 이렇게 하면(자), (역주: SSH 서버 이외의) 리모트 호스트로부터 전송 된 X서버에 접속할 수 없게 됩니다. 그러나, 낡은 X11 클라이언트라고, 이 설정에서는 동작하지 않는 것이 있습니다. 그러한 때는 X11UseLocalhost (을)를 "no" (으)로 설정해, 전송 된 X 서버가 와일드 카드 주소에 bind 되도록 할 수 있습니다. 이 옵션의 인수는 "yes" 혹은 "no" 입니다. 디폴트에서는, 이것은 "yes (localhost 밖에 bind 하지 않는다)" (이)가 되어 있습니다.

XAuthLocation (xauth 의 위치) xauth(1) 프로그램의 위치를 지정합니다. 디폴트에서는 /usr/X11R6/bin/xauth (이)가 되어 있습니다.

<none>
	seconds (초)
s \| S	seconds (초)
m \| M	minutes (분 )
h \| H	hours (시간)
d \| D	days (일)
w \| W	weeks (주)

600	600 초 (10 분 )
10m	10 분
1h30m	1 시간 30 분 (90 분 )

Man page — SSHD_CONFIG

명칭

내용

서식

해설

시간의 표현

관련 파일

저자

일본어 번역

관련 항목

AFSTokenPassing (AFS 토큰 패스)
	이 옵션은 AFS 토큰이 서버에 전송 되는지 어떤지 지정합니다. 디폴트는 "no" 입니다.
AllowGroups (허가하는 그룹)
	이 키워드에는 몇개의 그룹명 패턴을 스페이스에서 단락지어 지정합니다. 이것이 지정되면(자), 유저의 기본 그룹이 그 패턴의 어떤 것인가에 매치 하는 그룹인 것 같은 유저만이 로그인이 허가됩니다. 패턴중에서는 ‘`*`’ 및 ‘`?`’ 하지만 와일드 카드로서 사용할 수 있습니다. 유효한 것은 그룹의 「이름」만으로, 숫자로 나타내진 그룹 ID 는 인식되지 않습니다. 디폴트에서는, 로그인은 모든 그룹에 허가되고 있습니다.
AllowTcpForwarding (TCP 전송의 허가)
	TCP 전송을 허가하는지 어떤지 지정합니다. 디폴트는 "yes" 입니다. TCP 전송을 금지해도, 유저에게 쉘의 액세스를 금지하지 않는다 한보안의 향상은 되지 않는 것에 주의해 주세요. 왜냐하면 유저는 언제라도 자기 부담의 전송 프로그램을 인스톨 해 사용할 수가 있기 때문입니다.
AllowUsers (허가하는 유저)
	이 키워드에는 몇개의 유저명 패턴을 스페이스에서 단락지어 지정합니다. 이것이 지정되면(자), 그 패턴의 어떤 것인가에 매치 한다 유저만이 로그인이 허가됩니다. 패턴중에서는 ‘`*`’ 및 ‘`?`’ 하지만 와일드 카드로서 사용할 수 있습니다. 유효한 것은 유저의 「이름」만으로, 숫자로 나타내진 유저 ID 는 인식되지 않습니다. 디폴트에서는, 로그인은 모든 유저에게 허가되고 있습니다. 만약 이 패턴이 USER@HOST 라고 하는 형태를 취하고 있을 때는, 유저명 USER 와 호스트명 HOST 를 따로 따로 체크할 수 있어 특정의 호스트로부터의 특정의 유저의 로그인을 제한할 수가 있습니다.
AuthorizedKeysFile (authorized_keys 파일)
	유저 인증의 차이에 사용되는 공개열쇠를 격납하고 있는 파일명을 지정합니다. AuthorizedKeysFile 의 파일명중에 %T 가 포함되어 있는 경우, 그 부분은 접속동안 다른 것에 치환됩니다. %% 는 「%」1 캐릭터에 치환됩니다. %h 는 인증하려고 하고 있는 유저의 홈 디렉토리에 치환되어 %u 는 그 유저의 유저명에 치환됩니다. 이 후, 그 절대 패스 혹은 유저의 홈 디렉토리로부터의 상대 패스가 AuthorizedKeysFile 에게 건네집니다. 디폴트에서의 값은 ".ssh/authorized_keys" 되고 있습니다.
Banner (배너)
	사법 관할구역에 따라서는, 법적인 보호를 받기 위해서(때문에)는 인증 전에 경고 메세지를 보내는 편이 좋은 경우가 있습니다. 여기서 지정된 파일의 내용은, 인증이 허가되기 전에 리모트 유저에 제시됩니다. 이 옵션은 프로토콜 버젼 2 에서만 서포트되고 있습니다. 디폴트에서는, 배너는 표시되지 않습니다.
ChallengeResponseAuthentication (챌린지·리스폰스 인증)
	챌린지·리스폰스 인증을 허가하는지 어떤지 지정합니다. login.conf(5) 에 적어져 모든 인증 형식을 사용할 수 있습니다. 디폴트는 "yes" 입니다.
Ciphers (SSH2의 암호화 알고리즘)
	프로토콜 버젼 2 로 허가되는 암호화 알고리즘을 지정합니다. 복수의 알고리즘을 지정하는 경우는, 칸마로 단락지어 주세요. 디폴트는 ``aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour, aes192-cbc, aes256-cbc'' 입니다.
ClientAliveInterval (클라이언트의 생존 체크 간격)
	sshd (은)는 일정시간 마다, 암호화된 통신로를 경유해 클라이언트에 응답을 요구하는 메세지 (client alive message)(을)를 보냅니다. 그 때, 아무것도 데이터가 보내져 오지 않았으면 타임 아웃 한다 시간을 초수로 지정합니다. 디폴트의 값은 0 으로, 이것은 메세지를 보내지 않는 것을 의미합니다. 이 옵션은 프로토콜 버젼 2 에서만 서포트되고 있습니다.
ClientAliveCountMax (클라이언트의 생존 체크 최대 카운트수)
	sshd 하지만 무반응의 클라이언트에 대해서 client alive message (상기 참조)를 보내 보는 최대수를 지정합니다. client alive message 에 대한 응답이 연속해 이 회수만 없었던 경우, sshd (은)는 접속을 잘라, 세션을 종료합니다. client alive message 는, KeepAlive (아래와 같이)(와)과는 완전히 다른 것에 주의해 주세요. client alive message 는 암호화된 경로를 개입시켜 보내지므로, 위조될 것은 없습니다. KeepAlive 에 의해 설정되는 TCP 의 keepalive 옵션은 위조될 가능성이 있습니다. client alive 의 메카니즘은 클라이언트 혹은 서버가, 언제 접속이 끊어졌는지를 알고 싶을 때에 도움이 됩니다. 디폴트의 값은 3 입니다. 만약 ClientAliveInterval (상기)(이)가 15 로 설정되어 ClientAliveCountMax 하지만 디폴트인 채인 경우, 이것에 반응할 수 없는 ssh 클라이언트는 대략 45초 후에 접속이 잘립니다.
Compression
	압축을 허가하는지 어떤지를 지정합니다. 이 인수가 취할 수 있는 값은 "yes" 또는 "no" 입니다. 디폴트에서는 "yes (압축을 허가한다)" (이)가 되어 있습니다.
DenyGroups (거부하는 그룹)
	이 키워드에는 몇개의 그룹명 패턴을 스페이스에서 단락지어 지정합니다. 유저의 기본 그룹이 이 패턴의 어떤 것인가에 매치 하는 유저는 로그인을 금지됩니다. 패턴중에서는 ‘`*`’ 및 ‘`?`’ 하지만 와일드 카드로서 사용할 수 있습니다. 유효한 것은 그룹의 「이름」만으로, 숫자로 나타내진 그룹 ID 는 인식되지 않습니다. 디폴트에서는, 로그인은 모든 그룹에 허가되고 있습니다.
DenyUsers (거부하는 유저)
	이 키워드에는 몇개의 유저명 패턴을 스페이스에서 단락지어 지정합니다. 이것이 지정되면(자), 이 패턴의 어떤 것인가에 매치 하는 유저는 로그인을 금지됩니다. ‘`*`’ 및 ‘`?`’ 하지만 와일드 카드로서 사용할 수 있습니다. 유효한 것은 그룹의 「이름」만으로, 숫자로 나타내진 그룹 ID 는 인식되지 않습니다. 디폴트에서는, 로그인은 모든 유저에게 허가되고 있습니다. 만약 이 패턴이 USER@HOST 라고 하는 형태를 취하고 있을 때는, 유저명 USER 와 호스트명 HOST 를 따로 따로 체크할 수 있어 특정의 호스트로부터의 특정의 유저의 로그인을 제한할 수가 있습니다.
GatewayPorts (포트 중계의 허가)
	리모트 호스트가 클라이언트 측에 전송 된 포트에 접속하는 것을 허가하는지 어떤지 지정합니다. 디폴트에서는, sshd (은)는 리모트 전송 포트를 루프백 주소에 bind 합니다. 이것은 다른 리모트 호스트가, 전송 된 포트에 접속해 버리는 것을 막고 있습니다. GatewayPorts 하 sshd 에 리모트 전송 포트를 와일드 카드 주소에 bind 시킬 때 사용합니다. 이것에 의해 리모트 호스트가 전송 된 포트에 접속할 수 있게 됩니다. 이 인수의 값은 "yes" 혹은 "no" 입니다. 디폴트는 "no" (이)가 되어 있습니다.
HostbasedAuthentication (호스트 베이스 인증의 허가)
	공개열쇠 호스트 인증이 성공했을 때에, rhosts 혹은 /etc/hosts.equiv 인증을 허가하는지 어떤지 지정합니다 (호스트 베이스 인증). 이 옵션은 RhostsRSAAuthentication (RhostsRSA 인증의 허가) (을)를 닮아 있어 프로토콜 버젼 2 에만 작용합니다. 디폴트의 값은 "no" (이)가 되어 있습니다.
HostKey (호스트열쇠)
	SSH 로 사용되는, 호스트 비밀열쇠가 격납되고 있는 파일을 지정합니다. 디폴트에서는, 프로토콜 버젼 1 용의 열쇠가 `/etc/ssh/ssh_host_key` (이어)여, 프로토콜 버젼 2 용의 열쇠가 `/etc/ssh/ssh_host_dsa_key` 입니다. 이 파일이 그룹 혹은 타인으로부터 액세스 가능하게 되어 있으면(자), sshd (은)는 그 사용을 거절할테니 주의해 주세요. 복수의 호스트열쇠를 사용하는 일도 가능합니다. "rsa1" 열쇠는 버젼 1 에 사용되어 "dsa" 또는 "rsa" (은)는 버젼 2 의 SSH 프로토콜에 사용됩니다.
IgnoreRhosts (rhosts 의 무시)
	RhostsAuthentication, RhostsRSAAuthentication 또는 HostbasedAuthentication 의 각 인증으로, `.rhosts` 및 `.shosts` 파일을 사용하지 않게 합니다. 이 상태에서도, `/etc/hosts.equiv` 및 `/etc/ssh/shosts.equiv` (은)는 여전히 유효합니다. 디폴트에서는 "yes" (이)가 되어 있습니다.
IgnoreUserKnownHosts (유저용 known_hosts 의 무시)
	RhostsRSAAuthentication 또는 HostbasedAuthentication 의 각 인증으로, 유저의 `$HOME/.ssh/known_hosts` 파일을 사용하지 않게 합니다. 디폴트는 "no" 입니다.
KeepAlive (접속을 살려 둔다)
	시스템이 상대의 머신에 TCP keepalive 메세지를 보내는지 어떤지 지정합니다. 이것이 보내지면(자), 접속의 이상종료(ABEND)나 상대 머신의 크래쉬가 올바르게 통지되게 됩니다. 그러나 이것을 사용하면(자), 비록 경로가 일시적으로 다운하고 있어도 접속이 죽어 있다고 하는 것이 되어 버려, 이것이 방해가 되는 경우도 있습니다. 그 한편, 만약 keepalive 가 보내지지 않는다고 하면(자), 세션은 서버상에서 영구히 남고 해 마코토가 있어, "유령" 유저를 눌러 앉게 해 서버 자원을 소비하는 일이 있습니다. 디폴트는 "yes" (keepalive 를 보낸다)입니다. 그 때문에 클라이언트는 네트워크가 다운하는지, 리모트 호스트가 크래쉬 한다고 통지해 옵니다. 이것은 영구히 남는 세션을 막습니다. Keepalive 를 금지하려면 , 이 값을 "no" (으)로 할 필요가 있습니다.
KerberosAuthentication (Kerberos 인증)
	Kerberos 인증을 행하는지 어떤지 지정합니다. 이 인증은 Kerberos 티켓인가, 혹은 만약 PasswordAuthentication 하지만 yes 가 되어 있는 경우라면, 유저가 입력해 Kerberos KDC 경유로 비준된 패스워드가 사용됩니다. 이 옵션을 사용하려면 , 서버에 KDC 의 아이덴티티를 비준하기 위한 Kerberos servtab 가 필요합니다. 디폴트에서는 "no" (이)가 되어 있습니다.
KerberosOrLocalPasswd (Kerberos 혹은 로컬 패스워드)
	이것이 지정되어 있는 경우, Kerberos 경유의 패스워드 인증이 실패하면(자), 그 패스워드는 `/etc/passwd` 등의 다른 로컬인 기구에 의해 확인됩니다. 디폴트는 "yes" 입니다.
KerberosTgtPassing (Kerberos TGT 패스)
	Kerberos TGT 를 서버에 전송 해도 괜찮은지 어떤지 지정합니다. 디폴트는 "no" 입니다. 왜냐하면, 이것이 온전히 움직이는 것은 Kerberos KDC 가 실제의 AFS kaserver 일 때만이기 때문입니다.
KerberosTicketCleanup (Kerberos 티켓 자동 제거)
	유저의 티켓용 캐쉬를 로그아웃시에 자동적으로 소거하는지 어떤지 지정합니다. 디폴트는 "yes" 입니다.
KeyRegenerationInterval (열쇠의 재생성 간격)
	프로토콜 버젼 1 에서는, 서버열쇠는 (한 번이라도 사용되면(자)) 여기서 지정된 간격 마다 자동적으로 재생성됩니다. 이와 같이 열쇠를 재생성한다 목적은, 나중에 그 머신에 침입해 도청한 세션이 해독되거나 열쇠를 도둑맞거나 하는 것을 막기 (위해)때문입니다. 이 열쇠는 어디에도 격납되지 않습니다. 값으로 해서 제로를 지정하면(자), 열쇠는 전혀 재생성되지 않게 됩니다. 디폴트에서는 3600 (초)이 되어 있습니다.
ListenAddress (접속 접수 주소)
	sshd 하지만 접속을 받아들이는 (listen 한다) 로컬 주소를 지정합니다. 여기에서는 이하의 형식을 사용할 수 있습니다:
	ListenAddress host\| IPv4_addr\| IPv6_addr
	ListenAddress host\| IPv4_addr: port
	ListenAddress [host\| IPv6_addr ]: port

LoginGraceTime (로그인 유예 시간)	유저가 여기서 지정된 시간내에 로그인할 수 없으면 서버는 접속을 자릅니다. 이 값을 제로로 하면(자), 시간제한은 없어집니다. 디폴트의 값은 120 (초)입니다.
LogLevel (로그 레벨)	sshd 하지만 출력하는 로그 메세지의 장황성 레벨을 지정합니다. 취할 수 있는 값은 다음과 같습니다: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 및 DEBUG3. 디폴트에서는 INFO 입니다. DEBUG 와 DEBUG1 는 등가입니다. DEBUG2, DEBUG3 는 각각 한층 더 장황한 로그가 됩니다. DEBUG 레벨 이상의 로그는 유저의 프라이버시를 침해하므로, 권유받는 것이 아닙니다.
MACs (메세지 인증 코드)	사용하는 MAC (메세지 인증 코드) 알고리즘의 우선 순위를 지정합니다. MAC 알고리즘은 프로토콜 버젼 2 로 사용되는, 데이터의 개찬을 막는 기구 (data integrity protection)입니다. 복수의 알고리즘을 칸마로 단락지어 지정합니다. 디폴트는 "hmac-md5, hmac-sha1, hmac-ripemd160, hmac-sha1-96, hmac-md5-96" 의 순서가 되어 있습니다.
MaxStartups (최대 기동수)	인증되어 있지 않을 단계의 접속을 sshd demon가 최대로 얼마나 받아들이는지를 지정합니다. 이 값을 넘은 (인증되어 있지 않을 단계의) 접속은 버려집니다. 이 상태는 (벌써 접속한 클라이언트의) 인증이 성공하는지, 그 LoginGraceTime (로그인 유예 시간)(이)가 끊어질 때까지 계속됩니다. 디폴트에서는 이 수는 10 입니다. 또 하나의 방법은, 빠른 동안으로부터 랜덤에 접속을 거부하는 듯 지정하는 것입니다. 이것은 이 옵션에 코론으로 단락지은 3개의 값을 주는 것으로 행합니다. 이 값은 "start:rate:full" (``개시시:확률:최대수'')의 형태를 취합니다 (예: "10:30:60" 등). sshd (은)는 인증되어 있지 않을 단계의 접속이 "start" (이 예에서는 10) 개를 넘으면(자), 이것 이후의 접속 요구를 "rate/100" (이 예에서는 30%)의 확률로 거부하기 시작합니다. 이 확률은 "full" (이 예에서는 60) 개의 접속이 올 때까지 선형에 계속 증가해 최대수에 이른 시점에서 그 이후 모든 접속을 거부하게 됩니다.
PAMAuthenticationViaKbdInt (키보드 대화를 사용한 PAM 인증)	PAM 의 챌린지·리스폰스 인증을 허가하는지 어떤지 지정합니다. 이 옵션으로 대부분의 PAM 챌린지·리스폰스 인증이 사용할 수 있습니다만, 이 경우 PasswordAuthentication (패스워드 인증)(이)가 금지되고 있는지 어떤지에 관계없이, 패스워드 인증도 허가됩니다. 디폴트에서는 "no" (이)가 되어 있습니다.
PasswordAuthentication (패스워드 인증)	패스워드 인증을 허가하는지 어떤지 지정합니다. 디폴트에서는 "yes" (이)가 되어 있습니다.
PermitEmptyPasswords (하늘의 패스워드를 허가)	패스워드 인증이 허가되고 있을 때, 패스워드 캐릭터 라인이 하늘의 어카운트에 대해서 서버가 로그인을 허가하는지 어떤지 지정합니다. 디폴트는 "no" 입니다.
PermitRootLogin (root 로그인 허가)	ssh(1) (을)를 사용해, root 를 로그인할 수 있는지 어떤지 지정합니다. 이 인수의 값은 "yes" , "without-password" (패스워드 인증 없음), "forced-commands-only" (강제 명령만), 혹은 "no" 의 머지않아인가입니다. 의 어느 쪽인가에 됩니다. 디폴트는 "no" 입니다. 이 옵션을 "without-password" (으)로 하면(자), root 만 패스워드 인증에서는 로그인할 수 없게 됩니다. 이 옵션을 "forced-commands-only" (으)로 하면(자), root 는 공개열쇠 인증을 사용해 로그인할 수 있습니다만, 그 열쇠에 command 옵션이 지정되어 있는 경우에 한합니다 (이것은 통상의 root 로그인을 허가하고 있지 않아도, 리모트 백업을 취하고 싶을 때 등에 유용합니다). root 에 대해서는 이외의 인증 방법은 모두 금지가 됩니다. 이 옵션을 "no" (으)로 하면(자), root 의 로그인은 허가되지 않습니다.
PidFile (pid 파일)	sshd demon의 프로세스 ID 를 격납하는 파일을 지정합니다. 디폴트에서는 `/var/run/sshd.pid` (이)가 되어 있습니다.
Port (포트 번호)	sshd 하지만 접속을 받아들이는 (listen 한다) 포트 번호를 지정합니다. 디폴트는 22 입니다. 복수 지정하는 일도 가능합니다. ListenAddress 의 항도 참조해 주세요.
PrintLastLog (LastLog 의 표시)	유저가 대화적으로 로그인했을 때, 그 유저가 전회 로그인한 일자와 시각을 표시하는지 어떤지 지정합니다. 디폴트에서는 "yes" (이)가 되어 있습니다.
PrintMotd (motd 의 표시)	유저가 대화적으로 로그인했을 때, `/etc/motd` (오늘의 소식) 파일의 내용을 표시하는지 어떤지 지정합니다. (시스템에 따라서는, 이것은 쉘나 `/etc/profile` 에 상당하는 것이 표시합니다). 디폴트는 "yes" 입니다.
Protocol (프로토콜)	서포트하는 프로토콜의 버젼을 지정합니다. 취할 수 있는 값은 "1" (와)과 "2" 입니다. 복수의 버젼을 칸마로 단락지어 지정할 수도 있습니다. 디폴트는 "2,1" 입니다.
PubkeyAuthentication (공개열쇠 인증)	공개열쇠 인증을 허가하는지 어떤지 지정합니다. 디폴트는 "yes" 입니다. 이 옵션은 프로토콜 버젼 2 에게만 적용되는 것에 주의해 주세요.
RhostsAuthentication (rhosts 인증)	rhosts 나 `/etc/hosts.equiv` 만을 사용한 인증으로 로그인을 허가해 끝내도 괜찮은지 어떤지 지정합니다. 이것은 안전하지 않기 때문에, 보통은 허가해야 하지는 않습니다. 대신에 RhostsRSAAuthentication (rhosts-RSA 인증) (을)를 사용해야 합니다. 이쪽은 통상의 rhosts 나 `/etc/hosts.equiv` 인증에 가세해, RSA 베이스의 호스트간 인증을 행합니다. 디폴트는 "no" 입니다. 이 옵션은 프로토콜 버젼 1 에게만 적용되는 것에 주의해 주세요.
RhostsRSAAuthentication (rhosts-RSA 인증)	RSA 호스트간 인증이 성공하고 있을 때, rhosts 나 `/etc/hosts.equiv` (을)를 사용한 인증을 행해도 좋은지 어떤지 지정합니다. 디폴트는 "no" 입니다. 이 옵션은 프로토콜 버젼 1 에게만 적용되는 것에 주의해 주세요.
RSAAuthentication (RSA 인증)	순수한 RSA 인증을 허가하는지 어떤지를 지정합니다. 디폴트는 "yes" (이)가 되어 있습니다. 이 옵션은 프로토콜 버젼 1 에게만 적용되는 것에 주의해 주세요.
ServerKeyBits (서버열쇠의 비트수)	프로토콜 버젼 1 으로 단기적으로 사용되는 서버열쇠의 비트수를 지정합니다. 최소치는 512 로, 디폴트는 768 입니다.
StrictModes (엄격한 모드)	Specifies whether sshd 하지만 로그인을 허가하기 전에, 유저의 파일 및 홈 디렉토리의 소유권과 퍼미션을 체크해야할 것인가 제발을 지정합니다. 이것은 보통 초보자가, 자주 자신의 디렉토리를 누구라도 기입할 수 있도록(듯이) 해 버리는 사고를 막기 위해서(때문에) 유효합니다. 디폴트에서는 "yes" (이)가 되어 있습니다.
Subsystem (하부조직)	외부 하부조직 (파일 전송 demon등)을 설정합니다. 이 옵션에의 인수에는 하부조직명과 그 하부조직에 요구가 있었을 때 실행되는 명령을 줍니다. sftp-server(8) (은)는 파일 전송 하부조직 "sftp" (을)를 실장한 것입니다. 디폴트에서는 하부조직은 아무것도 정의되고 있지 않습니다. 이 옵션은 프로토콜 버젼 2 에게만 적용되는 것에 주의해 주세요.
SyslogFacility (syslog 분류 코드)	sshd 하지만 출력하는 로그 메세지로 사용되는 로그의 분류 코드 (facility)(을)를 지정합니다. 취할 수 있는 값은 다음과 같습니다: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. 디폴트는 AUTH 입니다.
UseLogin (login 의 사용)	대화적 로그인 세션의 차이, login(1) 프로그램을 사용하는지 어떤지를 지정합니다. 디폴트에서는 "no" (이)가 되어 있습니다. 대화적이지 않은 리모트 명령 실행 때에 login(1) 하지만 사용되는 것은 결코 없습니다. 또, 이것이 허가되고 있으면(자) X11Forwarding (X11 전송) (은)는 허가되지 않게 되기로 주의해 주세요. 왜냐하면, login(1) 하 xauth(1) 쿠키의 취급을 모르기 때문입니다. UsePrivilegeSeparation 하지만 지정되어 있는 경우는, 인증의 나중에 금지됩니다.
UsePrivilegeSeparation (root 권한을 분리)	sshd 하지만, 받아들이는 네트워크 트래픽을 처리하기 위해서 root 권한을 분리하는지 어떤지를 지정합니다. 이것은 root 권한을 갖지 않는 child process를 만드는 것에 의해 행해집니다. 인증이 성공하면(자), 그 유저의 권한을 가진다 다른 프로세스가 새롭게 만들어집니다. 이것의 목적은, 우선 그런 부분을 root 권한을 갖지 않는 프로세스에만 한정하는 것에 의해, root 권한에 의한 피해의 확대를 막기 (위해)때문입니다. 디폴트에서는 "no (root 권한을 분리하지 않는다)" (이)가 되어 있습니다.
VerifyReverseMapping (역당겨 체크)	이 옵션을 "yes" (으)로 하면(자), sshd_config (은)는 리모트 호스트명을 역당겨 한 뒤에 그 호스트명을 해결 (resolve) 다시 해, 정말로 같은 IP 주소가 되어 있는지 어떤지를 검증합니다. 디폴트는 "no" 입니다.
VersionAddendum (버젼에 부가하는 것)	OS 혹은 사이트에 특화한 수정을 나타내기 위해서(때문에), 통상의 버젼 캐릭터 라인에 덧붙이는 캐릭터 라인을 지정합니다.
X11DisplayOffset (X11 디스플레이 번호의 오프셋(offset)치)	sshd 하지만 X11 전송을 할 경우에 최초로 사용되는 디스플레이 번호를 지정합니다. 이것은 sshd 하지만 X11 전송으로 사용하는 디스플레이 번호가, 진짜의 X 서버의 디스플레이 번호와 충돌해 버리는 것을 막기 (위해)때문입니다. 디폴트의 값은 10 입니다.
X11Forwarding (X11 전송)	X11 전송을 허가하는지 어떤지를 지정합니다. 디폴트는 "no" 입니다. X11 전송을 금지해도 보안를 올리는 것은 전혀 없는 것에 주의해 주세요. 왜냐하면 유저는 언제라도 자기 부담의 전송 프로그램을 인스톨 해 사용할 수가 있기 때문입니다. UseLogin 하지만 허가되고 있으면(자), X11 전송은 자동적으로 금지됩니다.
X11UseLocalhost (X11 로 localhost 만을 허가)	sshd 하지만 전송 된 X11 서버를 루프백 주소 (localhost)에 bind 하는지 어떤지를 지정합니다. 디폴트에서는, sshd (은)는 전송 된 X11 를 루프백 주소에 bind 해, 환경 변수 DISPLAY 의 호스트명의 부분을 "localhost" (으)로 설정합니다. 이렇게 하면(자), (역주: SSH 서버 이외의) 리모트 호스트로부터 전송 된 X서버에 접속할 수 없게 됩니다. 그러나, 낡은 X11 클라이언트라고, 이 설정에서는 동작하지 않는 것이 있습니다. 그러한 때는 X11UseLocalhost (을)를 "no" (으)로 설정해, 전송 된 X 서버가 와일드 카드 주소에 bind 되도록 할 수 있습니다. 이 옵션의 인수는 "yes" 혹은 "no" 입니다. 디폴트에서는, 이것은 "yes (localhost 밖에 bind 하지 않는다)" (이)가 되어 있습니다.
XAuthLocation (xauth 의 위치)	xauth(1) 프로그램의 위치를 지정합니다. 디폴트에서는 `/usr/X11R6/bin/xauth` (이)가 되어 있습니다.

`/etc/ssh/sshd_config`
	sshd 의 설정 파일입니다. 이 파일에 기입할 수 있는 것은 root 뿐 아니라는 안됩니다만, 읽는 것은 누구라도 할 수 있도록(듯이) 해 두는 편이 좋을 것입니다 (필수가 아닙니다만).