{"id":963,"date":"2022-10-19T00:39:36","date_gmt":"2022-10-18T22:39:36","guid":{"rendered":"https:\/\/www.webodesign.net\/?p=963"},"modified":"2022-11-17T15:10:39","modified_gmt":"2022-11-17T14:10:39","slug":"commande-sshd_config","status":"publish","type":"post","link":"https:\/\/www.webodesign.net\/?p=963","title":{"rendered":"Commande SSHD_CONFIG"},"content":{"rendered":"\n
\n
\n
\n
\n

\/etc\/ssh\/sshd_config<\/strong> est lichier de configuration du d\u00e9mon SSH OpenSSH.<\/p>\n\n\n\n

sshd<\/strong> lit des donn\u00e9es de configuration dans le fichier \/etc\/ssh\/sshd_config (ou du fichier sp\u00e9cifi\u00e9 \u00e0 l’aide de l’option –f<\/strong> sur la ligne de commande). Ce fichier contient des paires mot-clef\/argument, une par ligne. Les lignes qui commencent par le caract\u00e8re \u00ab # \u00bb et les lignes vides sont interpr\u00e9t\u00e9es comme des commentaires. Les mots-clefs possibles et leur signification sont list\u00e9s ci-apr\u00e8s (Note : les mots-clefs ne sont pas sensibles \u00e0 la casse, mais les arguments le sont) :<\/p>\n\n\n\n

\n
\n
\n

AFSTokenPassing<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on peut rediriger un jeton AFS (AFS token) vers le serveur. Par d\u00e9faut \u00ab no \u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

AllowGroups<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Ce mot-clef peut \u00eatre suivi d’une liste de motifs de nom de groupe, s\u00e9par\u00e9s par des espaces. S’il est sp\u00e9cifi\u00e9, seuls les utilisateurs dont le groupe principal ou les groupes suppl\u00e9mentaires correspondent \u00e0 un des motifs sont autoris\u00e9s \u00e0 se connecter. On peut utiliser les caract\u00e8res \u00ab * \u00bb ou \u00ab ? \u00bb comme jokers. Seuls les noms de groupes sont valides ; les identifiants de groupes (GID) num\u00e9riques ne sont pas reconnus. Par d\u00e9faut, la connexion est autoris\u00e9e pour tous les groupes.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

AllowTcpForwarding<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si les redirections TCP sont autoris\u00e9es. Par d\u00e9faut \u00ab yes \u00bb. Note : la d\u00e9sactivation des redirections TCP n’am\u00e9liore pas la s\u00e9curit\u00e9 si les utilisateurs ont un acc\u00e8s \u00e0 un interpr\u00e9teur de commandes (shell), car ils peuvent toujours installer leurs propres outils de redirections.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

AllowUsers<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Ce mot-clef peut \u00eatre suivi d’une liste de motifs de noms d’utilisateurs, s\u00e9par\u00e9s par des espaces. S’il est sp\u00e9cifi\u00e9, seuls les noms d’utilisateurs correspondant \u00e0 un des motifs sont autoris\u00e9s \u00e0 se connecter. On peut utiliser les caract\u00e8res \u00ab * \u00bb ou \u00ab ? \u00bb comme des jokers. Seuls les noms d’utilisateurs sont valides ; les identifiants d’utilisateurs (UID) ne sont pas reconnus. Par d\u00e9faut, la connexion est autoris\u00e9e pour tous les utilisateurs. Si le motif est de la forme UTILISATEUR@MACHINE, alors UTILISATEUR et MACHINE sont v\u00e9rifi\u00e9s s\u00e9par\u00e9ment, en restreignant les connexions \u00e0 des utilisateurs en particulier sur des machines en particulier.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

AuthorizedKeysFile<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie le fichier contenant les clefs publiques \u00e0 utiliser pour l’authentification de l’utilisateur. AuthorizedKeysFile peut contenir des jetons de la forme %T qui sont substitu\u00e9s lors des r\u00e9glages de la connexion. Les jetons suivant sont d\u00e9finis : %% est remplac\u00e9 par le caract\u00e8re \u00ab % \u00bb, %h est remplac\u00e9 par le r\u00e9pertoire de base (home directory) de l’utilisateur qui s’authentifie et %u est remplac\u00e9 par le nom de cet utilisateur. Apr\u00e8s substitution, AuthorizedKeysFile peut \u00eatre un chemin absolu ou relatif au r\u00e9pertoire de base de l’utilisateur. Par d\u00e9faut \u00ab .ssh\/authorized_keys \u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

Banner<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Pour certaines juridictions, l’envoi d’un message avant l’authentification est n\u00e9cessaire pour disposer d’une protection l\u00e9gale. Le contenu du fichier sp\u00e9cifi\u00e9 est envoy\u00e9 \u00e0 l’utilisateur distant avant d’autoriser la connexion. Cette option n’est disponible qu’avec la version 2 du protocole. Par d\u00e9faut, on n’affiche pas de message.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

ChallengeResponseAuthentication<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on autorise l’authentification par stimulation-r\u00e9ponse (challenge response). Toutes les formes d’authentification de login.conf5 sont g\u00e9r\u00e9es. Par d\u00e9faut \u00ab yes \u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

Ciphers<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie le cryptage autoris\u00e9 pour le version 2 du protocole.
On peut en sp\u00e9cifier plusieurs en les s\u00e9parant par des virgules. Par d\u00e9faut :
\u00ab\u00a0aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc\u00a0\u00bb<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

ClientAliveInterval<\/h2><\/div>\n<\/div>\n\n\n\n
\n

R\u00e8gle un intervalle de temporisation en secondes apr\u00e8s lequel, si aucune donn\u00e9e n’est re\u00e7ue de la part du client, sshd envoie un message dans le canal crypt\u00e9 pour demander une r\u00e9ponse du client. Par d\u00e9faut 0, ce qui signifie que ces messages ne sont pas envoy\u00e9s au client. Cette option ne s’applique qu’\u00e0 la version 2 du protocole.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

ClientAliveCountMax<\/h2><\/div>\n<\/div>\n\n\n\n
\n

R\u00e8gle le nombre de messages de maintien de la connexion (voir ci-dessus) \u00e0 envoyer sans r\u00e9ponse de la part du client pour sshd Si ce seuil est atteint tandis que les messages de maintien de la connexion ont \u00e9t\u00e9 envoy\u00e9s, sshd d\u00e9connecte le client et termine la session. Il est important de noter que ces messages de maintien de la connexion sont tr\u00e8s diff\u00e9rents de l’option KeepAlive (ci-dessous). Les messages de maintien de la connexion sont envoy\u00e9s par le tunnel crypt\u00e9, et par cons\u00e9quent ne sont pas falsifiables. Le maintien de la connexion au niveau TCP activ\u00e9 par l’option KeepAlive est falsifiable. Le m\u00e9canisme de maintien de la connexion est int\u00e9ressant quand le client ou le serveur ont besoin de savoir si la connexion est inactive.
Par d\u00e9faut 3. Si l’option ClientAliveInterval (ci-dessus) est r\u00e9gl\u00e9e \u00e0 15, et ClientAliveCountMax est r\u00e9gl\u00e9e \u00e0 sa valeur par d\u00e9faut, les clients ssh qui ne r\u00e9pondent pas sont d\u00e9connect\u00e9s apr\u00e8s environ 45 secondes.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

Compression<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on autorise la compression. L’argument doit \u00eatre \u00ab\u00a0yes\u00a0\u00bb ou \u00ab\u00a0no\u00a0\u00bb. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

DenyGroups<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Ce mot-clef est suivi d’une liste de motifs de noms de groupes, s\u00e9par\u00e9s par des espaces. Les utilisateurs dont le groupe principal ou les groupes secondaires correspondent \u00e0 un des motifs ne sont pas autoris\u00e9s \u00e0 se connecter. Dans les motifs, on peut utiliser les caract\u00e8res \u00ab * \u00bb et \u00ab ? \u00bb comme des jokers. On ne sp\u00e9cifie que des noms de groupes ; les identifiants num\u00e9riques de groupes ne sont pas autoris\u00e9s. Par d\u00e9faut, tous les groupes sont autoris\u00e9s \u00e0 se connecter.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

DenyUsers<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Ce mot-clef est suivi d’une liste de motifs de noms d’utilisateurs, s\u00e9par\u00e9s par des espaces. Les utilisateurs dont le nom correspond \u00e0 un des motifs ne sont pas autoris\u00e9s \u00e0 se connecter. Dans les motifs, on peut utiliser les caract\u00e8res \u00ab * \u00bb et \u00ab ? \u00bb comme des jokers. On ne sp\u00e9cifie que des noms d’utilisateurs ; les identifiants num\u00e9riques d’utilisateurs ne sont pas autoris\u00e9s. Par d\u00e9faut, tous les utilisateurs sont autoris\u00e9s \u00e0 se connecter. Si le motif est de la forme UTILISATEUR@MACHINE, UTILISATEUR et MACHINE sont v\u00e9rifi\u00e9s s\u00e9par\u00e9ment, et la connexion est restreinte \u00e0 certains utilisateurs de certaines machines.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

GatewayPorts<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si les machines distantes sont autoris\u00e9es \u00e0 se connecter \u00e0 des ports redirig\u00e9s par le client. Par d\u00e9faut, sshd branche les redirections de ports \u00e0 l’adresse de bouclage (loopback address). Ceci \u00e9vite que les autres machines distantes ne se connectent aux ports redirig\u00e9s. On peut utiliser l’option GatewayPorts pour sp\u00e9cifier que sshd doit brancher les redirections de ports distantes \u00e0 l’adresse joker, et par cons\u00e9quent autoriser les machines distantes \u00e0 se connecter \u00e0 des ports redirig\u00e9s. L’argument doit \u00eatre \u00ab\u00a0yes\u00a0\u00bb et \u00ab\u00a0no\u00a0\u00bb. Par d\u00e9faut \u00ab\u00a0no\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

HostbasedAuthentication<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on autorise une authentification par rhosts ou \/etc\/hosts.equiv conjointement avec une authentification de machine cliente r\u00e9ussie par clef publique (authentification par machines). Cette option est similaire \u00e0 l’option RhostsRSAAuthentication et ne s’applique qu’\u00e0 la version 2 du protocole. Par d\u00e9faut \u00ab\u00a0no\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

HostKey<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie un fichier contenant une clef priv\u00e9e de machine utilis\u00e9e par SSH. Par d\u00e9faut \/etc\/ssh\/ssh_host_key pour la version 1 du protocole, et \/etc\/ssh\/ssh_host_rsa_key et \/etc\/ssh\/ssh_host_dsa_key pour la version 2 du protocole. Note : sshd refuse d’utiliser un fichier accessible au groupe ou aux autres. On peut avoir plusieurs fichiers de clef de machine. Les clefs \u00ab rsa1 \u00bb sont utilis\u00e9es pour la version 1 du protocole, et les clefs \u00ab dsa \u00bb ou \u00ab rsa \u00bb sont utilis\u00e9es pour la version 1 du protocole SSH.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

IgnoreRhosts<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie que l’on utilise pas les fichiers .rhosts et .shosts pour les authentification activ\u00e9es par les options RhostsAuthentication<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

RhostsRSAAuthentication ou HostbasedAuthentication<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Les fichiers \/etc\/hosts.equiv et \/etc\/ssh\/shosts.equiv sont n\u00e9anmoins utilis\u00e9s.
Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

IgnoreUserKnownHosts<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si sshd doit ignorer le fichier $HOME\/.ssh\/known_hosts de l’utilisateur lors des authentifications des options RhostsRSAAuthentication ou HostbasedAuthentication Par d\u00e9faut \u00ab\u00a0no\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

KeepAlive<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si le syst\u00e8me doit envoyer des messages TCP de maintien de la connexion. Si ces messages sont envoy\u00e9s, la rupture d’une connexion ou le plantage d’une des machines seront correctement signal\u00e9s. Toutefois, cela signifie que la connexion sera interrompue si la route entre le serveur et le client est temporairement coup\u00e9e, et quelques personnes trouvent ceci g\u00eanant. D’un autre c\u00f4t\u00e9, si on n’envoie pas de messages de maintien de la connexion, il est possible que des sessions restent en suspens ind\u00e9finiment sur le serveur, en laissant des utilisateurs fant\u00f4mes, et en consommant les ressources du serveur.
Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb (pour envoyer les messages de maintien de la connexion), et le serveur signale les coupures r\u00e9seau ou les plantages des machines. Ceci \u00e9vite les sessions ind\u00e9finiment en suspens. Pour d\u00e9sactiver ces messages de maintien de la connexion, il faut r\u00e9gler cette valeur \u00e0 \u00ab\u00a0no\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

KerberosAuthentication<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on autorise l’authentification Kerberos. Elle peut \u00eatre de la forme d’un ticket Kerberos, ou si l’option PasswordAuthentication est r\u00e9gl\u00e9e \u00e0 \u00ab yes \u00bb, le mot de passe fourni par l’utilisateur est valid\u00e9 par le KDC Kerberos. Pour utiliser cette option, le serveur a besoin d’un servtab Kerberos qui autorise la v\u00e9rification de l’identit\u00e9 du KDC. Par d\u00e9faut \u00ab\u00a0no\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

KerberosOrLocalPasswd<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Si cette option est r\u00e9gl\u00e9e, alors si l’authentification par mot de passe par Kerberos \u00e9choue, le mot de passe est valid\u00e9 via n’importe quel m\u00e9canisme local tel que \/etc\/passwd Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

KerberosTgtPassing<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on redirige un TGT Kerberos vers le serveur. Par d\u00e9faut \u00ab no \u00bb, car ceci ne fonctionne que si le KDC Kerberos est vraiment un kaserver AFS.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

KerberosTicketCleanup<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on d\u00e9truit automatiquement le fichier cache du ticket de l’utilisateur \u00e0 la d\u00e9connexion. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

KerberosTicketCleanup<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on d\u00e9truit automatiquement le fichier cache du ticket de l’utilisateur \u00e0 la d\u00e9connexion. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

KeyRegenerationInterval<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Dans la version 1 du protocole, la clef \u00e9ph\u00e9m\u00e8re du serveur est reg\u00e9n\u00e9r\u00e9e automatiquement apr\u00e8s ce nombre de secondes (si elle a \u00e9t\u00e9 utilis\u00e9e). Le but de la reg\u00e9n\u00e9ration est d’\u00e9viter le d\u00e9cryptage de sessions captur\u00e9es en s’introduisant plus tard sur la machine et en volant la clef. La clef n’est jamais stock\u00e9e nulle part. Si la valeur est 0, la clef n’est jamais reg\u00e9n\u00e9r\u00e9e. Par d\u00e9faut 3600 (secondes).<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

ListenAddress<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie l’adresse locale d’\u00e9coute sur laquelle le d\u00e9mon sshd doit attendre les connexions. On peut utiliser les formes suivantes :
ListenAddress
host | IPv4_addr | IPv6_addr
ListenAddress
[host | IPv6_addr : port ]
ListenAddress

Si port n’est pas sp\u00e9cifi\u00e9, le d\u00e9mon sshd \u00e9coute sur l’adresse et toutes les options Port sp\u00e9cifi\u00e9es au pr\u00e9alable. Par d\u00e9faut, on \u00e9coute sur toutes les adresses locales. On peut sp\u00e9cifier de multiples options ListenAddress En outre, toute option Port doit pr\u00e9c\u00e9der cette option pour les adresses sans port sp\u00e9cifi\u00e9.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

LoginGraceTime<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Le serveur se d\u00e9connecte apr\u00e8s ce d\u00e9lai si l’utilisateur ne s’est pas connect\u00e9. Si la valeur est 0, il n’y a aucune limite de temps. Par d\u00e9faut 600 (secondes).<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

LogLevel<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Donne le niveau de verbosit\u00e9 utilis\u00e9 lors de l’enregistrement des messages du d\u00e9mon sshd Les valeurs possibles sont : QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 and DEBUG3. Par d\u00e9faut INFO. DEBUG et DEBUG1 sont \u00e9quivalents. DEBUG2 et DEBUG3 sp\u00e9cifient des niveaux plus \u00e9lev\u00e9s de sortie de d\u00e9bogage. L’enregistrement \u00e0 l’aide d’un niveau DEBUG a tendance \u00e0 empi\u00e9ter sur la vie priv\u00e9e des utilisateurs et n’est pas recommand\u00e9.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

MACs<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie les algorithmes MAC (code d’authentification de message) disponibles.
L’algorithme MAC est utilis\u00e9 dans la version 2 du protocole pour la protection de l’int\u00e9grit\u00e9 des donn\u00e9es. On peut sp\u00e9cifier plusieurs algorithmes en les s\u00e9parant par des virgules.
Par d\u00e9faut \u00ab\u00a0hmac-md5,hmac-sha1,hmac-ripemd160,hmac-sha1-96,hmac-md5-96\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

MaxStartups<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie un nombre maximal de connexions concurrentes au d\u00e9mon sshd non authentifi\u00e9es. Les connexions suppl\u00e9mentaires sont purg\u00e9es si elles ne peuvent pas s’authentifier ou si le d\u00e9lai de gr\u00e2ce d\u00e9fini \u00e0 l’aide de l’option LoginGraceTime expire pour une connexion. Par d\u00e9faut 10.
ar ailleurs, on peut activer une purge h\u00e2tive al\u00e9atoire en sp\u00e9cifiant un triplet \u00ab\u00a0d\u00e9but:taux:total\u00a0\u00bb (par exemple, \u00ab\u00a010:30:60\u00a0\u00bb). sshd refuse les tentatives de connexion avec une probabilit\u00e9 de \u00ab taux\/100 \u00bb (30 %) s’il y a \u00ab d\u00e9but \u00bb (10) connexions non authentifi\u00e9es en cours. La probabilit\u00e9 augmente lin\u00e9airement et toutes les tentatives de connexion sont refus\u00e9es si le nombre de connexions non authentifi\u00e9es atteint \u00ab\u00a0total\u00a0\u00bb (60).<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

PAMAuthenticationViaKbdInt<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si l’authentification PAM par stimulation\/r\u00e9ponse est autoris\u00e9e. Ceci permet d’utiliser la plupart des modules d’authentification PAM par stimulation\/r\u00e9ponse, mais peut autoriser l’authentification par mot de passe sans se soucier de l’option PasswordAuthentication<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

PasswordAuthentication<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si l’authentification par mot de passe est autoris\u00e9e. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

PermitEmptyPasswords<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Si l’authentification par mot de passe est autoris\u00e9e, sp\u00e9cifie si le serveur autorise les connexions \u00e0 des comptes dont les mots de passe sont des cha\u00eenes de caract\u00e8res vides. Par d\u00e9faut \u00ab\u00a0no\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

PermitRootLogin<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si root peut se connecter par ssh(1). L’argument est \u00ab\u00a0yes\u00a0\u00bb, \u00ab\u00a0without-password\u00a0\u00bb, \u00ab\u00a0forced-commands-only\u00a0\u00bb ou \u00ab\u00a0no\u00a0\u00bb. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.
Si cette option est r\u00e9gl\u00e9e \u00e0 \u00ab\u00a0without-password\u00a0\u00bb, l’authentification par mot de passe est d\u00e9sactiv\u00e9e pour root.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

PidFile<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie l’emplacement du fichier contenant l’identifiant du processus du d\u00e9mon sshd Par d\u00e9faut \/var\/run\/sshd.pid<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

Port<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie le port d’\u00e9coute du d\u00e9mon sshd Par d\u00e9faut 22. On peut sp\u00e9cifier plusieurs de ces options. Voir aussi ListenAddress<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

PrintLastLog<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si sshd doit afficher la date et l’heure de la derni\u00e8re connexion de l’utilisateur. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

PrintMotd<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si sshd doit afficher le contenu du fichier \/etc\/motd quand un utilisateur se connecte en mode interactif. Sur certains syst\u00e8mes, il est aussi affich\u00e9 par l’interpr\u00e9teur de commandes (shell), par le fichier \/etc\/profile ou \u00e9quivalent. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

Protocol<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie les versions du protocole que le d\u00e9mon sshd g\u00e8re. Les valeurs possibles sont \u00ab\u00a01\u00a0\u00bb et \u00ab\u00a02\u00a0\u00bb. Pour sp\u00e9cifier plusieurs versions, il suffit de les s\u00e9parer par des virgules. Par d\u00e9faut \u00ab\u00a02,1\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

PubkeyAuthentication<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on autorise l’authentification par clef publique. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb. Note : Cette option ne s’applique qu’\u00e0 la version 2 du protocole.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

RhostsAuthentication<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si l’authentification par les fichiers rhosts ou \/etc\/hosts.equiv est suffisante. Normalement, cette m\u00e9thode ne devrait pas \u00eatre autoris\u00e9e parce qu’elle n’est pas s\u00e9curis\u00e9e. Il est pr\u00e9f\u00e9rable d’utiliser RhostsRSAAuthentication \u00e0 la place, parce qu’elle effectue une authentification de machine bas\u00e9e sur RSA en plus de l’authentification normale par rhosts ou \/etc\/hosts.equiv. Par d\u00e9faut \u00ab\u00a0no\u00a0\u00bb. Cette option ne s’applique qu’\u00e0 la version 1 du protocole.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

RSAAuthentication<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on autorise la pure authentification RSA. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb. Cette option ne s’applique qu’\u00e0 la version 1 du protocole.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

ServerKeyBits<\/h2><\/div>\n<\/div>\n\n\n\n
\n

D\u00e9finit le nombre de bits de la clef \u00e9ph\u00e9m\u00e8re pour la version 1 du protocole. La valeur minimale est 512 et la valeur par d\u00e9faut est 768.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

StrictModes<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si sshd doit v\u00e9rifier les modes et le propri\u00e9taire des fichiers de l’utilisateur et du r\u00e9pertoire de base (home directory) de l’utilisateur avant d’accepter une connexion. C’est normalement souhaitable, parce que quelquefois, les novices laissent accidentellement leur r\u00e9pertoire ou leurs fichiers en acc\u00e8s complet \u00e0 tout les monde. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

Subsystem<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Configure un sous-syst\u00e8me externe (par exemple un d\u00e9mon de transfert de fichiers). Les arguments doivent \u00eatre un nom de sous-syst\u00e8me et une commande \u00e0 ex\u00e9cuter lors d’une requ\u00eate \u00e0 ce sous-syst\u00e8me. La commande sftp-server8 impl\u00e9mente le sous-syst\u00e8me de transfert de fichiers \u00ab\u00a0sftp\u00a0\u00bb. Par d\u00e9faut, aucun sous-syst\u00e8me n’est d\u00e9fini. Note : Cette option ne s’applique qu’\u00e0 la version 2 du protocole.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

SyslogFacility<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Donne le code de facilit\u00e9 utilis\u00e9 lors de l’enregistrement des messages du d\u00e9mon sshd Les valeurs possibles sont : DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Par d\u00e9faut AUTH.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

UseLogin<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on utilise login(1) pour les connexions \u00e0 des sessions interactives. Par d\u00e9faut \u00ab\u00a0no\u00a0\u00bb. Note 1 : On n’utilise jamais login(1) pour l’ex\u00e9cution de commandes \u00e0 distance. Note 2 : Si cette option est activ\u00e9e, on d\u00e9sactive X11Forwarding parce que login(1) ne sait pas traiter les cookies xauth(1). Si on sp\u00e9cifie l’option UsePrivilegeSeparation elle sera d\u00e9sactiv\u00e9e apr\u00e8s l’authentification.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

UsePrivilegeSeparation<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si sshd s\u00e9pare les privil\u00e8ges en cr\u00e9ant un processus fils non privil\u00e9gi\u00e9 pour prendre en charge le trafic r\u00e9seau entrant. Apr\u00e8s une authentification r\u00e9ussie, un autre processus est cr\u00e9\u00e9 avec les privil\u00e8ges de l’utilisateur authentifi\u00e9. Le but de la s\u00e9paration de privil\u00e8ges est d’\u00e9viter l’escalade de privil\u00e8ges si le processus non privil\u00e9gi\u00e9 est corrompu. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

VerifyReverseMapping<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si sshd essaie de v\u00e9rifier que le nom de la machine distante et le nom obtenu par r\u00e9solution de l’adresse IP distante correspondent \u00e0 la m\u00eame adresse IP. Par d\u00e9faut \u00ab\u00a0no\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

X11DisplayOffset<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie le premier num\u00e9ro d’affichage disponible pour les redirections X11 de sshd Ceci \u00e9vite \u00e0 sshd d’interf\u00e9rer avec les vrais serveurs X11. Par d\u00e9faut 10.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

X11Forwarding<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si on autorise les redirections X11. Par d\u00e9faut \u00ab\u00a0no\u00a0\u00bb. Note : La d\u00e9sactivation des redirections X11 n’am\u00e9liore en aucun cas la s\u00e9curit\u00e9, puisque les utilisateurs peuvent installer leurs propres redirecteurs. La redirection X11 est automatiquement d\u00e9sactiv\u00e9e si l’option UseLogin est activ\u00e9e.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

X11UseLocalhost<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie si sshd branche le serveur X11 de redirection sur l’adresse de bouclage (loopback address) ou sur l’adresse joker (wildcard address). Par d\u00e9faut sshd branche le serveur de redirection sur l’adresse de bouclage et r\u00e8gle la partie du nom de machine de la variable d’environnement DISPLAY \u00e0 \u00ab\u00a0localhost\u00a0\u00bb. Ceci \u00e9vite \u00e0 des machines distantes de se connecter \u00e0 de faux affichages. N\u00e9anmoins, quelques vieux clients X11 peuvent ne pas fonctionner avec cette configuration. On peut r\u00e9gler X11UseLocalhost \u00e0 \u00ab\u00a0no\u00a0\u00bb pour sp\u00e9cifier que le serveur de redirection est branch\u00e9 sur l’adresse joker. L’argument doit \u00eatre \u00ab\u00a0yes\u00a0\u00bb ou \u00ab\u00a0no\u00a0\u00bb. Par d\u00e9faut \u00ab\u00a0yes\u00a0\u00bb.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n

XAuthLocation<\/h2><\/div>\n<\/div>\n\n\n\n
\n

Sp\u00e9cifie l’emplacement du programme xauth(1). Par d\u00e9faut \/usr\/X11R6\/bin\/xauth<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n

\n

<\/p>\n<\/div>\n<\/div>\n\n\n\n

<\/div>\n<\/div>\n<\/div><\/div>\n","protected":false},"excerpt":{"rendered":"

\/etc\/ssh\/sshd_config est lichier de configuration du d\u00e9mon SSH OpenSSH. sshd lit des donn\u00e9es de configuration dans le fichier \/etc\/ssh\/sshd_config (ou du fichier sp\u00e9cifi\u00e9 \u00e0 l’aide de l’option –f sur la ligne de commande). Ce fichier contient des paires mot-clef\/argument, une par ligne. Les lignes qui commencent par le caract\u00e8re \u00ab # \u00bb et les lignes vides sont […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"qubely_global_settings":"","qubely_interactions":"","_uag_custom_page_level_css":""},"categories":[17],"tags":[],"qubely_featured_image_url":null,"qubely_author":{"display_name":"R\u00e9mi","author_link":"https:\/\/www.webodesign.net\/?author=3"},"qubely_comment":0,"qubely_category":"Commandes Linux<\/a>","qubely_excerpt":"\/etc\/ssh\/sshd_config est lichier de configuration du d\u00e9mon SSH OpenSSH. sshd lit des donn\u00e9es de configuration dans le fichier \/etc\/ssh\/sshd_config (ou du fichier sp\u00e9cifi\u00e9 \u00e0 l’aide de l’option –f sur la ligne de commande). Ce fichier contient des paires mot-clef\/argument, une par ligne. Les lignes qui commencent par le caract\u00e8re \u00ab # \u00bb et les lignes vides sont\u2026","uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"qubely_landscape":false,"qubely_portrait":false,"qubely_thumbnail":false},"uagb_author_info":{"display_name":"R\u00e9mi","author_link":"https:\/\/www.webodesign.net\/?author=3"},"uagb_comment_info":0,"uagb_excerpt":"\/etc\/ssh\/sshd_config est lichier de configuration du d\u00e9mon SSH OpenSSH. sshd lit des donn\u00e9es de configuration dans le fichier \/etc\/ssh\/sshd_config (ou du fichier sp\u00e9cifi\u00e9 \u00e0 l’aide de l’option –f sur la ligne de commande). Ce fichier contient des paires mot-clef\/argument, une par ligne. Les lignes qui commencent par le caract\u00e8re \u00ab # \u00bb et les lignes vides sont\u2026","_links":{"self":[{"href":"https:\/\/www.webodesign.net\/index.php?rest_route=\/wp\/v2\/posts\/963"}],"collection":[{"href":"https:\/\/www.webodesign.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.webodesign.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.webodesign.net\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.webodesign.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=963"}],"version-history":[{"count":25,"href":"https:\/\/www.webodesign.net\/index.php?rest_route=\/wp\/v2\/posts\/963\/revisions"}],"predecessor-version":[{"id":2386,"href":"https:\/\/www.webodesign.net\/index.php?rest_route=\/wp\/v2\/posts\/963\/revisions\/2386"}],"wp:attachment":[{"href":"https:\/\/www.webodesign.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.webodesign.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.webodesign.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}