La mayoría de estas descripciones fueron extraídas de las páginas del manual de sshd.
Especifica el número de puerto por el que atiende sshd. Por definición es 22.
Especifica a qué dirección local debería escuchar el programa sshd. Por definición se atenderá a todas las direcciones locales.
Especifica qué versiones de protocolos debería soportar el programa sshd. Los posibles valores son ``1'' y ``2''. Las versiones múltiples deben estar separadas por comas. Por defecto está a ``1''.
Especifica el archivo que contiene la calve privada RSA de la máquina. Nótese que sshd no empieza si este archivo es grupo/mundial-accesible.
Especifica el archivo que contiene la clave privada DSA de la máquina. Nótese que sshd deshabilita el protocolo 2.0 si este archivo es grupo/mundial-accesible.
Desfine el número de bits en la clave del servidor. El número mínimo es 512 y por definición son 768 bits.
La clave del servidor se regenera automáticamente después de dichos segundos (si ha sido usada). El propósito de la regeneración es el de prevenir que se descifren sesiones capturadas y que después asalten la máquina y roben las contraseñas. Por eso nunca se alamcena esta clave. Si el valor es 0, su nunca se regenera la clave. Por definición son 3600 (segundos).
El servidor desconecta después de este tiempo si el usuario no ha ingresado con éxito. Si el valor es 0, no existe un límite de tiempo. Por definición son 600 segundos.
Especifica el archivo que contiene el identificador de proceso del daemon sshd. El predefinido es ``/var/run/sshd.pid''.
Esta palabra clave puede seguirse de una serie de nombres de grupos, separados por espacios. Si está especificado, se permitirá el acceso sólo a usuarios cuyo grupo primario coincida con uno de los patrones. `*' y `?' pueden usarse como caracteres comodín en los patrones. Sólo son válidos los nombres de grupos y no se reconocerán identificadores numéricos de grupos. Por definición el acceso se permite sin tener en cuenta el grupo primario.
Esta palabra clave puede acompañarse de una serie de nombres de usuarios, separados por espacios. Si está especificado, sólo se permitirá el acceso a los nombres de usuarios que coincidan con alguno de los patrones. `*' y `?' pueden usarse como caracteres comodín en los patrones. Sólo son válidos los nombres de usuarios y no se reconocerán identificadores numéricos de usuarios. Por definición el acceso se permite sin tener en cuenta el grupo primario.
Esta palabra clave puede seguirse de una serie de nombres de grupos, separados por espacios. No se permitirá el acceso a usuarios cuyo grupo primario coincida con uno de los patrones.`*' y `?' pueden usarse como caracteres comodín en los patrones. Sólo son válidos los nombres de grupos y no se reconocerán identificadores numéricos de grupos. Por definición el acceso se permite sin tener en cuenta el grupo primario.
Esta palabra clave puede seguirse de una serie de nombres de grupos, separados por espacios. No se permitirá el acceso a usuarios cuyo nombre coincida con uno de los patrones. `*' y `?' pueden usarse como caracteres comodín en los patrones. Sólo son válidos los nombres de usuarios y no se reconocerán identificadores numéricos de usuarios. Por definición el acceso se permite sin tener en cuenta el nombre de usuario.
Determina si el superusuario puede ingresar usando ssh. El argumento deber ser `sí'', ``sin clave'' o ``no''. Por definición es ``sí''. Si se selecciona ``sin clave'', sólo se deshabilita la utenticación de la misma para el superusuario.
Determina si se permite autenticación de contraseña. Por definició es ``sí''.
Cuando se permite la autenticación de contraseñas, determina si el servidor permite el acceso a cuentas con cadenas de contraseña vacías. Por definición es ``sí''.
Determina si se permite autenticación RSA pura. Por definición es ``sí''.
Determina si se permite la autenticación DSA. Por definición es ``sí''.
Determina que los archivos rhosts y shosts no se usarán en la autenticación. /etc/hosts.equiv y /etc/ssh/shosts.equiv se usarán todavía. Por definición es ``no''.
Determina si sshd debería ignorar el $HOME/.ssh/known_hosts de usuario durante la autenticación RSA de los Rhosts. Por definición es ``no''.
Determina si es suficiente la autenticación usando los archivos rhosts o /etc/hosts.equiv. Normalmente, este método no debería permitirse porque no es seguro. La autenticación RSA de Rhosts deberá usarse en su lugar, porque realiza autenticación basada en RSA además de la autenticación normal rhosts o /etc/hosts.equiv. Por definición es ``no''.
Determina si se premite la autenticación rhosts o /etc/hosts.equiv junto con la autenticación exitosa de RSA de Rhosts. Por definición es ``sí''.
Determina si sshd debería comprobar los modos y la propiedad de los archvios de los de los usuarios y del directorio home, antes de aceptar el acceso. Esto es deseable, generalmente, porque los usuarios novatos a veces dejan sus archivos y directorios para escritura, accidentalmente. Por definición es ``sí''.
Determina las cifras permitidas para el protocolo versión 2. Si se seleccionan cifras múltiples deben estar separadas por comas. Por definición es ``3des-cbc,blowfish-cbc,arcfour,cast128-cbc''.
Determina si sshd debería comprobar si tiene correo nuevo para accesos (logins) interactivos. Por definición es ``no''.
Determina si el sistema debería enviar mensajes de manterner con vida (keepalive) hacia el otro lado. Si se envían, se notificará en caso de pérdida de conexión o caída de una de las máquinas. De todas formas, esto significa que las conexiones perecerán si la ruta cae temporalmente y hay quién encuentra esto molesto. Por otro lado, si no se envían ``keepalives'', una sesión puede colgar indefinidamente un servidor, dejando usuarios ``fantasmas'' y consumiendo recursos del sistema.
Por definición es ``sí'' (enviar keepalives), y el servidor avisará si la red cae o la máquina del cliente se reinicia. Esto evita sesiones colgadas indefinidamente.
Para deshabilitar ésto, el valor debe ser ``no'' tanto en el cliente como en el servidor.
Determina si sshd debería imprimir /etc/motd cuando un usuario accede interactivamente (en algunos sistemas el shell /etc/profile, o equivalente lo imprime). Por definición es ``sí''.
Determina si se usa el ``login''. Por definición es ``no''.
Determina si se permite que máquinas remotas conecten con los puertos reenviados para el clinete. Por definición es ``no''.
Da el nivel literal que se usa al registrar mensajes desde sshd. Los posibles valores son: QUIET, FATAL, ERROR, INFO, VERBOSE y DEBUG. Por definición es INFO. Al ingresar con nivel DEBUG se viola la privacidad de los clientes, por lo que no se recomienda su uso.
Proporciona el código del servicio que se usa al registrar mensajes desde sshd. Los posibles valores son: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Por definición es AUTH.
Determina si se permite redireccionamiento X11. Por definición es ``sí''. Nótese que desactivar el redireccionamiento X11 no mejora en nada la seguridad, ya que los usuarios pueden instalar siempre sus propios redireccionadores.
Determina el primer número del display disponible para redireccionamiento X11 del sshd. Esto evita que sshd interfiera con servidores reales X11.
Determina si la autenticación ``skey'' se permite. Por definición es ``sí''. Nótese que ``skey'' está activo sólo si permite la Autenticación de contraseña también.
Determina si se permite la autenticación kerberos, ya sea en forma de tiquet kerberos o si la autenticación de la contraseña está a ``sí'', de manera que kerberos KDC validará la contraseña provista por el usuario. Por definición es ``sí''.
Si está seleccionado y la autenticación mediante Kerberos falla, entonces la contraseña se validará vía un mecanismo local añadido como /etc/passwd o SecurID. Por definición es `sí''.
Determina si un TGT de Kerberos puede redireccionarse al servidor. Por definición es ``no'', ya que esto sólo funciona cuando Kerberos KDC es en realidad un kaserver AFS.`
Determina si se debe destruir automáticamente el tiquet de usuario del archivo caché al salir del sistema. Por definición es ``sí''.
Determina si un token AFS debe ser redireccionado al servidor. Por definición es ``sí''.