Ssh usepam что это

PasswordAuthentication yes или UsePAM yes

Подскажите как работают эти две опции с параметром yes в одном конфиге. Я не понимаю как работает PasswordAuthentication.По умолчанию UsePAM yes, а PasswordAuthentication no. я по ssh работаю с паролем и ключами и все ок, но некий пользователей со своей программы не смог зайти по SFTP. зато когда я ему добавил PasswordAuthentication yes он смог зайти. По умолчанию у меня стоит так:

А зачем ты в код вставил vi? Типо выпендриться, что ты некрофил?

Да тут вообще вставлять не надо было ничего. Он привел две строки конфига, нафиг тут текстовый редактор? Вставлен только для выпендрежа какого-то, типо я юзаю ви, я батя олдскул некрофилия все дела. Вот я его и осадил, указал ему место.

не сравнивай нормальных людей с собой и сам почитай тот самый ман.

Сынок я бы тебя «осадил», но думается мне тебя уже природа осадила наградив таким мозгом и мышлением испорченного человека. Остается только посочувствовать идиоту, думающему, что он недообезьяна для которой vi в чате это преводсходство над этой обезьяной и надо срочно писать хрень в чат, а то вдруг кто-то незаметит, что для тебя недообезьяны есть кому дело с твоей реакцией на ви. Но да твой мозг уже не изменить, выросло то, что выросло.

Там нет ответа на мой вопрос.

Видишь ли в чем проблема. Обезьяна нашла в мане ответ на твой вопрос, причем четко и ясно. А ты нет. Делай выводы.

Да там даже и без мана в конфиге четко и ясно:

ну нет тут описания как работает PasswordAuthentication. Если PAM я когда-то разбирал и в нем понимаю, но совершенно не врубаюсь в PasswordAuthentication. Для меня это пока черная дыра. А в этих описаловках ровным счетом ноль ценной информации если я хочу понять как оно работает. Я не вижу из мана, ни плохих ни хороших сторон PasswordAuthentication по сравнению с PAM.

О вот кажется то, что надо спасибо.

Ты как будто первый раз на лоре и впервые увидел анонимуса.

Кстати про vi он прав: если твой «vi /etc/ssh/sshd_config» выдаёт только эти 2 строчки, то у тебя есть проблемы с sshd 🙂

О вот кажется то, что надо спасибо. lmgfy: https://en.wikipedia.org/wiki/S/KEY

Я просто вставил в форму ввода вывод с экрана и удалил в чате все лишнее из скопированного в него. И не посчитал что vi заденет чьи-то релегиозные чувства или какие там нынче у озлобленных меньшинств болезни. Конечно я бы спрятал vi если бы знал, что это фифифи и нунуну ататай в общем «не то что нынешнее племя».

Подскажи плиз еще если разбирал тему. Я прочитал про skey по той ссылке, но там описывают ситуацию когда пассвд всегда новый. Я не понимаю как это укладывается в рамках работы той ситуации где некий пользователь использует какой-то там софт которые коннектится по SFTP и у него всегда ОДИН пароль. То есть как я понимаю тут тогда секретность по skey ровняется нулю и перехватывается снифером как нефиг делать и спасет лишь шифрование ssh. так? и то от атаки по середине, а запущенный локально снифер выдаст и пароль и прочее если уж ключь фингер ssh получил?

Перезашел на основной аккаунт и оправдания лепишь? Забавно.

Я прочитал про skey по той ссылке, но там описывают ситуацию когда пассвд всегда новый

Нет, там описывают как получить одноразовый пароль из нормального пароля, чтобы сам пароль не передавался по сети.

Сейчас я тебе все расскажу.
Иногда, когда логинишься на сервер, приглашение к вводу пароля выглядит так:

Замечал такое различие? Не задумывался, почему оно так?

Дело в том, что в протоколе SSH предусмотрены 2 метода парольной аутентификации: password и keyboard-interactive (который в конфиге SSH упорно называют ChallengeResponse). Соответственно, если ты хочешь логиниться по паролю, то тебе нужно использовать какой-то из этих двух методов.

Когда ты используешь метод password, то пароль у тебя запрашивает твой локальный клиент ssh и отсылает его удаленному серверу. При использовании keyboard-interactive открывается сессия с удаленным сервером, и уже удаленный сервер ведет с тобой диалог, запрашивая пароль.

А «UsePAM yes» тут ни при чем.

Одинакова по сравнению с чем?
Надеюсь, ты не сравниваешь UsePAM с PasswordAuthentication/ChallengeResponseAuthentication? Это же совершенно разные вещи.

Источник

Сервер SSH, файл sshd_config

Как говорилось ранее ( Безопасный сетевой протокол SSH, особенности, основные функциональные возможности» ), SSH является полноценным сетевым протоколом для безопасной передачи данных и просто таки неотъемлемым и обязательным инструментом любого администратора Unix серверов ( и не только unix кстати ).
Настроек SSH по умолчанию, вполне достаточно для решения большинства задач. Перенастройка SSH сервера вам может понадобится в случае необходимости воспользоваться каким-то дополнительным функционалом, не включенным по-умолчанию, или вы привыкли к другим настройкам, или просто желаете настроить все «под себя».

Настройка сервера SSH, то есть программы-демона sshd, производится через файл конфигурации, расположенный по адресу: /etc/ssh/sshd_config.
Синтаксис и содержимое по-умолчанию у него следующие:

Как видите, почти все опции в файле конфигурации sshd, закомментированы, то есть в принципе вы можете вообще ничего не менять и работать с настройками, принимаемыми программой по-умолчанию, но все таки рекомендую всегда проверять данный файл и подправлять его.

Приведу краткое описание опций конфигурации, кроме того, никогда не будет лишним воспользоваться командой man sshd_config и почитать оригинальную документацию.

По-умолчанию:
aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour128, arcfour256, arcfour,
aes192-cbc, aes256-cbc, aes128-ctr, aes192-ctr, aes256-ctr
ClientAliveCountMax Количество проверок доступности клиента, которые могут оставаться без ответа. Если предел достигнут, sshd завершит сеанс. Данные запросы, отличаются от TCPKeepAlive, так как отправляются через защищённый канал и не могут быть подменены, в то время как TCPKeepAlive такую возможность допускает.
СlientAlive полезен, если поведение клиента или сервера зависит от активности соединения. Если ClientAliveInterval (см. ниже) равно 15 секундам, а значение ClientAliveCountMax оставлено по-умолчанию, не отвечающие клиенты SSH, будут отключаться приблизительно через 45 секунд.
Параметр работает только для протокола версии 2.
По-умолчанию установлено значение 3. ClientAliveInterval Время простоя клиента в секундах, после которого демон sshd отправляет через защищённый канал запрос клиенту. Директива работает только для протокола 2.
По-умолчанию стоит 0, то есть клиенту вообще не будут направляться такие запросы. Compression Данная директива позволяет разрешить сжатие сразу, разрешить после успешной аутентификации или отключить.
Возможные значения: «yes«, «delayed» или «no«.
По-умолчанию «delayed«. ForceCommand В данной директиве можно указать команду, которая будет выполнена при входе пользователя в систему, игнорируя команды пользователя. Команда запускается оболочкой пользователя с ключом -c. Это относится к выполнению самой оболочки, команды или подсистемы. Используется обычно в блоке Match. Команда первоначально запрошенная пользователем, доступна в переменной среды SSH_ORIGINAL_COMMAND. Например, если прописать в данную директиву, файл-менеджер mc ( Midnight Commander ), ForceCommand mc, то при подключении пользователя по протоколу SSH, в его оболочке будет запущен mc, как только пользователь закроет mc, сессия связи будет разорвана.
По-умолчанию: не определена.
GatewayPorts Данная директива определяет, могут-ли ли удалённые хосты подключение к портам, выделенным для туннелирования трафика клиентов. По-умолчанию, сервер sshd разрешает доступ к портам, используемым для туннелирования инициируемого сервером, только для петли (loopback), т.е. удалённые машины подключаться к перенаправляемым портам не могут. Данный параметр позволяет это исправить. Значение «no» разрешает туннелирование только в рамках данной системы, «yes» разрешает туннелирование для хостов соответствующих шаблону, а «clientspecified» позволяет клиенту самостоятельно выбирать адрес для туннелирования.
По-умолчанию «no». GSSAPIAuthentication Включить GSSAPI аутентификацию. Только для протокола версии 2.
По-умолчанию «no». GSSAPICleanupCredentials Очищать ли кэш данных аутентификации клиента, при завершении сеанса связи. Только для протокола версии 2.
По-умолчанию «yes». HostbasedAuthentication Использовать HostBased аутентификацию, т.е. аутентификацию по rhosts или /etc/hosts.equiv, в сочетании с открытым ключом клиента. Эта директива похожа на RhostsRSAAuthentication.
Только для протокола версии 2.
По-умолчанию «no». HostbasedUsesNameFromPacketOnly Выполнять запрос имени хоста при проверке файлов

/.rhosts и /etc/hosts.equiv, в рамках HostBased аутентификации. Если «yes«, для проверки будет использоваться имя указанное клиентом, а не имя полученное средствами TCP соединения.
По-умолчанию «no».
HostKey Файл хранения приватных ключей хоста. Имейте в виду, что файлы с приватными ключами, не должны быть доступны для чтения всей группе или другим пользователям, в таком случае sshd их не примет. Возможно указание нескольких файлов ключей. Ключи rsa1, используются протоколом версии 1, ключи dsa и rsa, для версии 2, протокола SSH.
По-умолчанию /etc/ssh/ssh_host_key для протокола 1, /etc/ssh/ssh_host_rsa_key и /etc/ssh/ssh_host_dsa_key для протокола 2.
IgnoreRhosts Игнорировать содержимое файлов .rhosts и .shosts, при аутентификации RhostsRSAAuthentication и HostbasedAuthentication. Учитываться будут только /etc/hosts.equiv и /etc/shosts.equiv.
По-умолчанию «yes». IgnoreUserKnownHosts Игнорировать содержимое файла

Разрешено указывать нескольких конечных точек, разделяя их пробелом.
Значение «any» снимает ограничение и установлено по-умолчанию.
PermitRootLogin Разрешить пользователю root вход через протокол SSH. Возможные значения: «yes«, «without-password«, «forced-commands-only«, «no«. Если директива установлена в «without-password» вход для пользователя root по паролю, будет запрещен. Значение «forced-commands-only» разрешает регистрацию пользователя root по открытому ключу, но только если установлен параметр command ( может пригодиться для удалённого создания резервных копий, даже если вход пользователя root по протоколу SSH, в обычном режиме запрещен ). Остальные способы аутентификации для пользователя root будут запрещены.
Значение по умолчанию «no», удаленный вход в систему пользователем root, полностью запрещён. PermitTunnel Разрешать-ли использовать форвардинг для устройств tun. Возможные значения: «yes«, «point-to-point» (уровень 3), «ethernet» (уровень 2), «no«. Значение «yes«, одновременно эквивалентно значениям, «point-to-point» и «ethernet«.
По-умолчанию «no». PermitUserEnvironment Директива определяет, принимать-ли во внимание содержимое

/.ssh/environment и параметры environment= в файле

Думаю на этом пока можно закончить с серверной частью протокола SSH. Вопросы связанные с клиентской часть пакета SSH, программой ssh, рассмотрены в статье, Безопасный сетевой протокол SSH, настройка клиента SSH, использование.

Источник

ЗАПИСКИ АДМИНИСТРАТОРА FREEBSD

Описание файла конфигурации sshd_config

Настройка сервера SSHd, производится через файл конфигурации, расположенный в директории:/etc/ssh/ и называющийся sshd_config.Содержимое по умолчанию у sshd_config следующее:

Subsystem sftp /usr/libexec/sftp-server

# ForceCommand cvs server

Краткое описание переменных конфигурации (по алфавиту):

Переменные среды, принимаемые от клиента, если были установлены, и копируемые в environ текущего сеанса. На стороне клиента данную настройку устанавливает параметр SendEnv подробное описание можно посмотреть в man ssh_config. Указывать нужно имена переменных,разрешается использовать символы подстановки «*» и «?». Если вам нужно передать больше одной переменной, указывайте их через пробел, или в нескольких директивах AcceptEnv. Данная директива введена с целью повышения безопасности, что-бы нельзя было обойти ограничения среды пользователя, путем изменения переменных среды.

По умолчанию, переменные не принимаются.

Семейство сетевых адресов, разрешенных для использования демоном sshd.

Возможные значения: «any», «inet», (только для IPv4) и «inet6» (только для IPv6).

По умолчанию «any», то есть любые.

Разрешает TCP форвардинг ( перенаправление ). Отключения данного параметра не увеличивает безопасность системы, пока пользователям разрешен удаленный доступ, при желании, они всегда могут установить свои перенаправления.

По умолчанию вход разрешен для всех пользователей.

Путь к файлу с открытыми ключами для аутентификации. В директиве можно использовать шаблоны, они преобразуются при настройке соединения: %% заменяется на символ %, %h на домашний каталог пользователя, %u, на имя пользователя. После преобразования AuthorizedKeysFile рассматривается как абсолютный путь, или как путь относительно домашнего каталога пользователя.

По умолчанию: «.ssh/authorized_keys».

Файл с сообщением, которое будет показано пользователю перед входом в систему.

Работает только с протоколом 2.

Разрешена ли беcпарольная аутентификация «запрос-ответ». Поддерживаются все механизмы аутентификации login.conf.

Разрешенные алгоритмы шифрования для протокола 2, указываются через запятую.

Возможны следующие варианты:

«3des-cbc», «aes128-cbc», «aes192-cbc»,’»aes256-cbc», «aes128-ctr»,

«aes192-ctr», «aes256-ctr», «arcfour128», «arcfour256», «arcfour»,

«blowfish-cbc» и «cast128-cbc».

aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour128, arcfour256, arcfour,

aes192-cbc, aes256-cbc, aes128-ctr, aes192-ctr, aes256-ctr

Количество проверок доступности клиента, которые могут оставаться без ответа. Если предел достигнут, sshd завершит сеанс. Данные запросы, отличаются от TCPKeepAlive, так как отправляются через защищённый канал и не могут быть подменены, в то время как TCPKeepAlive такую возможность допускает.

СlientAlive полезен, если поведение клиента или сервера зависит от активности соединения. Если ClientAliveInterval (см. ниже) равно 15 секундам, а значение ClientAliveCountMax оставлено По умолчанию, не отвечающие клиенты SSH, будут отключаться приблизительно через 45 секунд. Параметр работает только для протокола версии 2.

По умолчанию установлено значение 3.

Время простоя клиента в секундах, после которого демон sshd отправляет через защищённый канал запрос клиенту. Директива работает только для протокола 2.

По умолчанию стоит 0, то есть клиенту вообще не будут направляться такие запросы.

Данная директива позволяет разрешить сжатие сразу, разрешить после успешной аутентификации или отключить.

Возможные значения: «yes», «delayed» или «no».

По умолчанию «delayed».

По умолчанию: не определена.

Данная директива определяет, могут ли ли удалённые хосты подключение к портам, выделенным для туннелирования трафика клиентов. По умолчанию, сервер sshd разрешает доступ к портам,используемым для туннелирования инициируемого сервером, только для петли (loopback), т.е. удалённые машины подключаться к перенаправляемым портам не могут. Данный параметр позволяет это исправить. Значение «no» разрешает туннелирование только в рамках данной системы, «yes» разрешает туннелирование для хостов соответствующих шаблону, а «clientspecified» позволяет клиенту самостоятельно выбирать адрес для туннелирования.

Включить GSSAPI аутентификацию. Только для протокола версии 2.

Очищать ли кэш данных аутентификации клиента, при завершении сеанса связи. Только для протокола версии 2.

Использовать HostBased аутентификацию, т.е. аутентификацию по rhosts или /etc/hosts.equiv,в сочетании с открытым ключом клиента. Эта директива похожа на RhostsRSAAuthentication.

Только для протокола версии 2.

Выполнять запрос имени хоста при проверке файлов

/.rhosts и /etc/hosts.equiv, в рамках HostBased аутентификации. Если «yes», для проверки будет использоваться имя указанное клиентом, а не имя полученное средствами TCP соединения.

Файл хранения приватных ключей хоста. Имейте в виду, что файлы с приватными ключами, не должны быть доступны для чтения всей группе или другим пользователям, в таком случае sshd их не примет. Возможно указание нескольких файлов ключей. Ключи rsa1, используются протоколом версии 1, ключи dsa и rsa, для версии 2, протокола SSH.

По умолчанию /etc/ssh/ssh_host_key для протокола 1, /etc/ssh/ssh_host_rsa_key и /etc/ssh/ssh_host_dsa_key для протокола 2.

Игнорировать содержимое файла

Если AFS включена и у пользователя имеется Kerberos 5 TGT, получать талон AFS перед обращением к домашнему каталогу пользователя.

Если аутентификация по Kerberos не проходит, проверять пароль другими средствами, например /etc/passwd.

Очистка кэша «билетов» пользователя при завершении сеанса.

Для протокола версии 1, ключ сервера будет регенерироваться по истечении количества секунд, указанных данным параметром, (в случае его использования). Целью регенерации, является, защита уже установленных, шифрованных сессий от перехвата ключей. Ключ нигде не сохраняется. Значение 0, запрещает регенерацию.

По умолчанию 3600 секунд.

Локальный адрес ( или адреса ), на которых сервер sshd будет принимать соединения.

Формат записей может быть следующим:

ListenAddress имя хоста или адрес-IPv4 / IPv6

ListenAddress имя хоста или адрес-IPv4 : порт

ListenAddress имя хоста или адрес-IPv6 : порт

Без указания порта, сервер sshd, будет ожидать соединений на данном адресе и на портах, указанных ранее в директиве Port, если директива Port не была назначена, соединения принимаются на 22 порту. По умолчанию сервер sshd, ожидает соединений на всех локальных адресах. Допускается многократное использование директивы, для указания более чем одного адреса.

Время ожидания регистрации пользователю в системе. Если пользователь, не успел войти в систему в течении отведенного данной директивой времени, сеанс обрывается. Если установлено 0, время на вход не ограничено.

По умолчанию 120 секунд.

Устанавливает так называемый, уровень логгирования событий. сервера sshd.

Допустимые значения: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2, DEBUG3.

Значения DEBUG и DEBUG1 являются эквивалентами. Значения DEBUG*, использовать не рекомендуется, так нарушается конфиденциальность пользователей.

Разрешенные MAC (Message Authentication Code ), алгоритмы. Используются протоколом версии 2 для гарантирования целостности передаваемых данных. Алгоритмы указываются через запятую.

По умолчанию: «hmac-md5,hmac-sha1,hmac-ripemd160,hmac-sha1-96,hmac-md5-96».

Директива условие, образует блок. Если условия в самой директиве удовлетворены, входящие в блок директивы имеют приоритет над указанными в глобальном разделе файла конфигурации. Окончанием блока может быть, либо следующая директива Match, либо конец файла. Аргументами директивы Match, являются пары, критерий-шаблон, возможные критерии: User, Group, Host, и Address.

Количество попыток входа в систему в рамках сеанса связи. Неудачные попытки входа регистрируются в системном журнале регистрации событий. При достижении максимально разрешенного числа попыток, сеанс обрывается.

Число одновременных соединений, в которых еще не пройдена аутентификация. При достижении данного значения, последующие соединения будут сбрасываться, пока не будет пройдена аутентификация, на уже установленных соединениях или пока не истечет время, установленное директивой LoginGraceTime. В качестве альтернативы может быть использован механизм раннего, случайного отказа в подключении, путем установки разделённых двоеточием значений «старт:норма:предел» (например, «10:30:60»). Соединение будет сбрасываться с вероятностью «норма/100» (30%) если имеется «старт» (10) соединений с не пройденной аутентификацией. Вероятность возрастает линейно, и всем соединениям будет отказано, если количество не прошедших аутентификацию соединений достигнет числа «предел» (60).

Разрешить аутентификацию по паролю.

Разрешить использование пустых паролей при аутентификации по паролю.

Директива ограничивает возможные конечные точки для TCP туннелей. Формат записи следующий:

PermitOpen хост : порт

PermitOpen адрес-IPv4 : порт

PermitOpen [ адрес-IPv6 ] : порт

Разрешено указывать нескольких конечных точек, разделяя их пробелом.

Значение «any» снимает ограничение и установлено. По умолчанию.

Разрешить пользователю root вход через протокол SSH. Возможные значения: «yes», «without-password», «forced-commands-only», «no». Если директива установлена в «without-password» вход для пользователя root по паролю, будет запрещен. Значение «forced-commands-only» разрешает регистрацию пользователя root по открытому ключу, но только если установлен параметр command ( может пригодиться для удалённого создания резервных копий, даже если вход пользователя root по протоколу SSH, в обычном режиме запрещен ). Остальные способы аутентификации для пользователя root будут запрещены.

Значение по умолчанию «no», удаленный вход в систему пользователем root, полностью запрещён.

Разрешать ли использовать форвардинг для устройств tun. Возможные значения: «yes»,»point-to-point» (уровень 3), «ethernet» (уровень 2), «no». Значение «yes», одновременно эквивалентно значениям, «point-to-point» и «ethernet».

Директива определяет, принимать ли во внимание содержимое

/.ssh/environment и параметры environment= в файле

/.ssh/authorized_keys. Изменяя переменные окружения, пользователь может обойти ограничения своих полномочий, например, с помощью механизма LD_PRELOAD.

PID-файл в который записывается идентификатор процесса, сервера sshd.

По умолчанию /var/run/sshd.pid.

Порт, на котором сервер sshd, принимает и обслуживает соединения. Директиву можно указывать несколько раз для разных портов. Кроме того, если есть возможность, в целях безопасности, рекомендуется сразу изменить значение По умолчанию. В некоторой степени, это оградит систему от постоянных попыток перебора пароля, на стандартном порту.

Показывать ли ли время и дату последнего входа в систему, при интерактивной регистрации пользователя в ней.

Показывать ли содержимое файла /etc/motd при интерактивном входе пользователя ( в некоторых системах это выполняется сценарием /etc/profile или аналогом ).

Какую версию протокола использовать. Возможные значения 1 и 2. можно указать через запятую. В данный момент протокол версии 1, использовать не рекомендуется из соображений безопасности.

Разрешить аутентификацию по открытому ключу. Только для протокола версии 2.

Разрешить аутентификацию только по ключу RSA. Только для протокола версии 1.

Длина ключа сервера для протокола версии 1. Минимальное значение — 512,

Директива определяет, проверять ли права доступа и владельца конфигурационных файлов и домашнего каталога, перед разрешение входа пользователя в систему. Рекомендуется выполнять данную проверку, новички частенько оставляют свои каталоги или файлы доступными на запись другим пользователям.

Включает внешнюю подсистему (например FTP). В качестве параметров понимает, имя подсистемы и команду, которая будет выполнена при запросе подсистемы. Команда sftp-server, реализует протокол передачи файлов через SSH, «sftp».

Только для протокола версии 2.

По умолчанию: не установлена.

Код сообщений для протокола syslog.

Возможные значения: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7.

Поддерживать ли соединение в активном состоянии, для этого используются специальные контрольные сообщения, посылаемые с определенным интервалом времени. Если директива установлена, обрыв соединения будет вовремя замечен, а соответствующий процесс будет убит. Возможные значения «yes», «no».

Использовать DNS запросы, для определения имени удалённого хоста, с целью проверки, что обратное преобразование возвращает правильный IP-адрес.

Использовать login для интерактивного входа в систему. Имейте в виду, login, не используется для удалённого выполнения команд. Если директива включена, функция X11Forwarding будет отключена, поскольку login, не умеет обрабатывать cookie xauth. Если используется разделение полномочий, UsePrivilegeSeparation, директива будет отключена, после прохождения аутентификации.

Включить дополнительные, подключаемые модули аутентификации ( Pluggable Authentication Module ). Возможные значения «yes», «no». Если данная директива включена, PAM аутентификация, будет доступна через ChallengeResponseAuthentication и PasswordAuthentication, в дополнение к учётной записи PAM и обработке модулей для всех видов аутентификации. Так как беспарольная аутентификация PAM «вызов-ответ», является заменой аутентификации по паролю, нужно отключить, либо PasswordAuthentication, либо ChallengeResponseAuthentication. Если директива UsePAM включена, сервер sshd, можно выполнять только с правами пользователя root.

Разделять полномочия путем создания дочернего процесса с меньшими привилегиями, для обработки входящего трафика. После успешной аутентификации пользователя, будет запущен отдельный процесс, с правами данного пользователя. Данная директива используется в целях повышения безопасности, что-бы предотвратить повышение своих полномочий, недобросовестному пользователю.

Номер первого дисплея доступного для туннелирования трафика X11, сервером sshd. Позволяет избежать вмешательства сервера sshd в работу настоящих серверов X11.

Разрешить туннелирование X11. Возможные значения «yes», «no». Если дисплей-посредник ожидает соединений на любых адресах ( подстановка «*»), включение туннелирования X11,подвергает сервер и виртуальные дисплеи пользователей, дополнительной опасности. По этой причине, такое поведение не является поведением По умолчанию. Проверка и подмена данных аутентификации при атаке выполняются на стороне клиента. При туннелировании X11 графический сервер клиента, может подвергаться атаке, при запросе клиентом SSH туннелирования. Для большей безопасности администратор может запретить туннелирование, установив значение «no». Имейте в виду, даже если туннелирование X11 запрещено данной директивой, пользователи по-прежнему смогут туннелировать трафик X11, настроек туннели общего назначения. Туннелирование X11 отключается автоматически при включении параметра UseLogin.

Директива определяет, на какой адрес, sshd повесит сервер для форвардинга X11, на так называемую петлю ( 127.0.0.1 ) или на подстановку «*» ( любой ). По умолчанию sshd привязывает сервер туннелирования к петле, а в качестве хоста, в переменную среды DISPLAY заносит «localhost».

Это не позволяет удалённым хостам подключаться к дисплею-посреднику. Однако, в случае старых клиентов X11, такая конфигурация может не сработать, в этом случае можно установить значение «no». Возможные значения: «yes», «no».

Источник