  Linuxconf Módulo Daemon de Shell Seguro
  Gustavo Niemeyer


  Este é diálogo de configuração para o Daemon de Shell Seguro OpenSSH
  (sshd). Juntos os sshd e ssh, substituem os programas rlogin e rsh, e
  fornece configração segura criptografada entre duas máquinas não
  confiáveis em uma rede insegura.

  11..  IInnttrroodduuççããoo

  11..11..  OOppççõõeess eemm bbrraannccoo

  Cada opção em branco será comfigurada com o padrão.


  11..22..  OOppççõõeess ddoo OOppeennSSSSHH 22..XX

  As opções marcadas com (2) são específicas às versões 2.X do OpenSSH.


  22..  OOppttiioonnss

  A maioria destas descrições foram extraídas das man pages do sshd.


  22..11..  PPoorrtt

  Especifica o número da porta que o sshd escuta. O padrão é 22.


  22..22..  LLiisstteenn AAddddrreessss

  Especifica qual endereço local o sshd deve escutar. O padrão é que
  escute em todos os endereços locais.


  22..33..  PPrroottooccoolloo ((22))

  Especifica as versões de protocolo que o sshd deve suportar. Os
  valores possíveis são "1" e "2". Versões múltiplas devem ser separadas
  por vírgula.  O padrão é "1".


  22..44..  CChhaavvee ddaa MMááqquuiinnaa RRSSAA

  Especifica o arquivo contendo a chave privada da máquina RSA.  Note
  que o sshd não inicializa se este arquivo estiver acessível ao
  grupo/mundo.


  22..55..  CChhaavvee ddaa MMááqquuiinnaa DDSSAA ((22))

  Especifica o arquivo contendo a chave privada da máquina DSA.  Note
  que o sshd desativa o protocolo 2.0 caso este seja acessível ao
  grupo/mundo.


  22..66..  BBiittss CChhaavvee ddoo SSeerrvviiddoorr

  Define o número de bits da chave do servidor. O valor mínimo é 512, e
  o padrão é 768.


  22..77..  IInntteerrvvaallooddee RReeggeenneerraaççããoo ddaa CChhaavvee

  A have do servidor é automaticamente regenerada após esta quantidade
  de segundos (caso não tenha sido usada). O propósiot da regeneração é
  previnir que sessões capturadas sejam decodificadas e depois
  utilizadas para acessar máquinas e roubar suas chaves. A chave nunca é
  armazenada em lugar algum. Caso o valor seja 0, a chave nunca é
  regenerada. O padrão é 3600 (segundos).


  22..88..  PPeerrmmiittee GGrruuppooss

  Esta palavra chave pode ser seguida de um número ou de nomes de grupo,
  separados por espaços. Se especificado, o login é permitido apenas
  àqueles usuários aos quais seus grupos primários correspondem a um dos
  padrões. '*' e '?' podem ser usados como metacaracteres nos padrões.
  Apenas nomes de grupos são válidos, um grupo numérico não é
  reconhecido. Por padrão o login é permitido não importando o grupo
  primário.


  22..99..  PPeerrmmiittee  UUssuuáárriiooss

  Esta palavra chave pode ser seguida por um número de nomes de
  usuários, separados por espaços. Se especificado, o login é permitido
  apenas aos nomes dos  usuários que correspondam a um dos padrões. '*'
  e '?' podem ser usados como metacaracteres nestes padrões. Apenas
  nomes de usuário são válidos, um id de usuário numérico não é
  reconhecido. Por padrão o login é permitido não importando o nome do
  usuário.


  22..1100..  NNeeggaa GGrruuppooss

  Esta palavra chave pode ser seguida por um número de nomes de grupo,
  separados por espaços. Os usuários cujo grupo primário correspondem a
  um dos padrões não são podem entrar no sistema. Apenas nomes de grupos
  são válidos, um id de grupo numérico não é reconhecido. Por padrão o
  login é permitido não importando o grupo primário.


  22..1111..  NNeeggaa UUssuuáárriiooss

  Esta palavra chave pode ser seguida por um número de nomes de usuário,
  separados por espaços. O login não é permitido para nomes de usuários
  que correspondam a um dos padrões. '*' e '?' podem ser usados como
  metacaracteres nestes padrões.  Apenas nomes de usuários são v;alidos,
  um id numérico de usuário não e reconhecido.  Por padrão o login é
  permitido não importando o nome do usuário.


  22..1122..  PPeerrmmiittee LLooggiinn ddee RRoooott

  Especifica se o root pode dar login utilizando ssh. O argumento deve
  ser "yes", "without-password" ou "não". Por padrão é "yes".  Caso esta
  opção esteja configurada para "without-password" apenas a autenticação
  de senha é desativada para root.


  22..1133..  AAuutteennttiiccaaççããoo ddee SSeennhhaa

  Especifica se a autenticação de senha é pemitida. O padrão é "yes".


  22..1144..  PPeerrmmiittee SSeennhhaass VVaazziiaass

  Quando a autenticação da senha é permitida, esta especifica se o
  servidor permite login a contas com strings vazias de senha. O padrão
  é "yes".


  22..1155..  AAuutteennttiiccaaççããoo RRSSAA

  Especifica se autenticação RSA pura é permitida. O padrão é "yes".


  22..1166..  AAuutteennttiiccaaççããoo DDSSAA ((22))

  Especifica se autenticação DSA é permitida. O padrão é "yes".


  22..1177..  IIggnnoorraa RRhhoossttss

  Especifica que arquivos rhosts e shosts não serão usados na
  autenticação.  O /etc/hosts.equiv e /etc/ssh/shosts.equiv serão ainda
  utilizados. O padrão é "no".


  22..1188..  IIggnnoorraa MMááqquuiinnaass CCoonnhheecciiddaass ppeelloo UUssuuáárriioo

  Especifica se sshd deve ignorar $HOME/.ssh/known_hosts durante
  RhostsRSAAuthentication. O padrão é "no".


  22..1199..  AAuutteennttiiccaaççããoo ddee RRhhoossttss

  Especifica se a autenticação utilizando os arquivos rhosts ou
  /etc/hosts.equiv é suficiente. Normalmente, este método não deve ser
  permitido porque é inseguro.  A Autenticação Rhosts RSA deve ser
  utilizada em seu lugar, porque esta realiza a autenticação da máquina
  baseada em RSA além dos rhosts normais ou da autenticação de
  /etc/hosts.equiv. O padrão é "no".


  22..2200..  AAuutteennttiiccaaççããoo RRhhoossttss RRSSAA

  Especifica se rhosts ou autenticação de /etc/hosts.equiv juntamente
  com uma autenticação de máquina RSA com sucesso é permitido. O padrão
  é "yes".
  22..2211..  MMooddooss RReessttrriittooss

  Especifica se o sshd deve checar modos de arquivos e propriedades de
  arquivos de usuários e o diretório home antes de aceitar login. Isto é
  normalmente desejável porque iniciantes algumas vezes acidentalmente
  seus diretórios ou arquivos com permissão de escrita para o mundo. O
  padrão é "yes".


  22..2222..  LLooggiinn ccoomm GGrraaccee TTiimmee

  O servidor desconecta após este tempo caso o usuário não tenha
  conseguido registrar-se. Se o valor for 0, não há limite de tempo.  O
  padrão é 600 (segundos).


  22..2233..  CCóóddiiggooss ((22))

  Especifica os códigos permitidos para o protocolo versão 2.  Códigos
  múltiplos devem ser separados por vírgulas.  O padrão é ``3des-
  cbc,blowfish-cbc,arcfour,cast128-cbc''.


  22..2244..  VVeerriiffiiccaa CCoorrrreeiioo

  Especifica se o sshd deve verificar novas mensagens para logins
  interativos. O padrão é "no".


  22..2255..  MMaannttéémm VViivvoo

  Especifica se o sistema deve enviar mensagens de keepalive para o
  outro lado. Se elas forem mandadas, a queda da conexão ou de uma das
  máquinas será percebida. Isto significa que conexões cairão se a rota
  estiver temporariamente caída, e algumas pessoas não gostarão disso.
  Por outro lado se keepalives não forem enviados, as sessões manter-
  se-ão idefinidamente no servidor, deixando usuários "fantasma" e
  cmonsuminod recursos do servidor.

  O padrão é "yes" (para enviar keepalives), e o servidor não perceberá
  se a rede cair ou se a máquinas clientes derem reboot. Isto evita
  sessões infinitamente penduradas.

  Para desativar keepalives, o valor deve ser configurado para "no" em
  tanto no servidor como no cliente.


  22..2266..  IImmpprriimmee MMoottdd

  Especifica se o sshd deve imprimir /etc/motd quanod um usuário entra
  interativamente (em alguns sistemas é também impresso pelo shell,
  /etc/profile, ou equivalente). O padrão é "yes".


  22..2277..  UUttiilliizzaa LLooggiinn

  Especifica se "login" é utilizado. O padrão é "no".


  22..2288..  PPoorrttaass GGaatteewwaayy ((22))

  Especifica se máquinas remotas podem se conectar a portas enviadas
  para o cliente. O padrão é "no".


  22..2299..  AArrqquuiivvoo PPiidd ((22))

  Especifica o arquivo que contém o identificador do peocesso do daemon
  sshd.  O padrão é "/var/run/sshd.pid.".


  22..3300..  NNíívveell ddee RReeggiissttrroo

  Dá o nível de verbosidade que é usado quanod registra mensagens para
  sshd.  Os valore possíveis são: QUIET, FATAL, ERROR, INFO, VERBOSE e
  DEBUG.  O padrão é INFO. Registrar com o nével DEBUG viola a
  privacidade de usuários e não é recomendada.


  22..3311..  FFaacciilliiddaaddee ddee SSyysslloogg

  Dá o código de facilidade que é utilizado qundo registrar mensagens do
  sshd.  Os valores possíveis são: DAEMON, USER, AUTH, LOCAL0, LOCAL1,
  LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7.  O padrão é AUTH.


  22..3322..  EEnnvviiaannddoo oo XX1111

  Especifica se o envio do X11 é permitido. O padrão é "yes".  Note que
  se desativando o envio de X11 não se melhora a segurança de forma
  alguma, tendo em vista que usuários podem sempre instalar seus
  próprios sistemas de envio.


  22..3333..  OOffffsseett ddoo MMoonniittoorr ddoo XX1111

  Especifica o primeiro número disponível para envio do X11 do sshd.
  Isto previne o sshd de interferir com servidores reis de X11.


  22..3344..  AAuutteennttiiccaaççããoo SSkkeeyy

  Especifica se a autenticação "skey" é permitida. O padrão é "yes".
  Note que a autenticação "skey" é ativada apenas se a Autenticação de
  Senha for também permitida.


  22..3355..  AAuutteennttiiccaaççããoo KKeerrbbeerrooss

  Especifica se a autenticação Kerberos é permitida. Isto pode ser na
  forma de um ticket Kerberos, ou ainda se a Autenticação de Senha for
  "yes", a senha fornecida pela usuário será validada através do
  Kerberos KDC. O padrão é "yes".


  22..3366..  KKeerrbbeerrooss OOuu SSeennhhaa LLooccaall

  Se configurada, então a autenticação de senha através de Kerberos
  falha, fazendo com que a senha seja validada via qualquer mecanismo
  adicional como /etc/passwd ou SecurID. O padrão é "yes".


  22..3377..  KKeerrbbeerrooss PPaassssaaggeemm ddee TTggtt

  Especifica se um Kerberos TGT pode ser enviado ao servidor.  O padrão
  é "no", e isto só funciona quando o Kerberos KDC for realmente um
  kaserver AFS.


  22..3388..  KKeerrbbeerrooss LLiimmppeezzaa ddoo TTiicckkeett

  Especifica se é para automaticamente destruir o arquivo de cache de
  tickets do usuário quando der um logout. O padrão é "yes".


  22..3399..  AAFFSS PPaassssaaggeemm ddee TTookkeenn

  Especifica se um token AFS pode ser enviado ao servisor. O padrão é
  "yes".