  Módulo Linuxconf Secure Shell Daemon
  Gustavo Niemeyer


  Este es el cuadro de diálogo de configuración de OpenSSH Secure Shell
  Daemon (sshd). Juntos, sshd y ssh, substituyen los programas de rlogin
  y rsh, proveyendo comunicaciones seguras encriptadas entre dos
  máquinas no fiables en una red insegura.

  11..  IInnttrroodduucccciióónn

  11..11..  OOppcciioonneess eenn bbllaannccoo

  Cada opción dejada en blanco se considerará la predefinida.


  11..22..  OOppcciioonneess ooppeennSSSSHH 22..XX

  Las opciones marcadas con (2) son específicas de versiones OpenSSH 2.X
  .


  22..  OOppcciioonneess

  La mayoría de estas descripciones fueron extraídas de las páginas del
  manual de sshd.


  22..11..  PPuueerrttoo

  Especifica el número de puerto por el que atiende sshd. Por definición
  es 22.


  22..22..  AAtteennddeerr llaa ddiirreecccciióónn

  Especifica a qué dirección local debería escuchar el programa sshd.
  Por definición se atenderá a todas las direcciones locales.


  22..33..  PPrroottooccoolloo ((22))

  Especifica qué versiones de protocolos debería soportar el programa
  sshd.  Los posibles valores son ``1'' y ``2''. Las versiones múltiples
  deben estar separadas por comas. Por defecto está a ``1''.


  22..44..  CCllaavvee RRSSAA ddee llaa mmááqquuiinnaa

  Especifica el archivo que contiene la calve privada RSA de la máquina.
  Nótese que sshd no empieza si este archivo es grupo/mundial-accesible.


  22..55..  CCllaavvee DDSSAA ddee llaa mmááqquuiinnaa ((22))

  Especifica el archivo que contiene la clave privada DSA de la máquina.
  Nótese que sshd deshabilita el protocolo 2.0 si este archivo es
  grupo/mundial-accesible.


  22..66..  BBiittss ddee llaa ccllaavveess ddeell sseerrvviiddoorr

  Desfine el número de bits en la clave del servidor. El número mínimo
  es 512 y por definición son 768 bits.


  22..77..  IInntteerrvvaalloo ddee rreeggeenneerraacciióónn ddee llaa ccllaavvee..

  La clave del servidor se regenera automáticamente después de dichos
  segundos (si ha sido usada). El propósito de la regeneración es el de
  prevenir que se descifren sesiones capturadas y que después asalten la
  máquina y roben las contraseñas. Por eso nunca se alamcena esta clave.
  Si el valor es 0, su nunca se regenera la clave. Por definición son
  3600 (segundos).


  22..88..  TTiieemmppoo ddee ggrraacciiaass ddeell nnoommbbrree ddee aacccceessoo ((llooggiinn))

  El servidor desconecta después de este tiempo si el usuario no ha
  ingresado con éxito. Si el valor es 0, no existe un límite de tiempo.
  Por definición son 600 segundos.


  22..99..  AArrcchhiivvoo PPiidd ((22))

  Especifica el archivo que contiene el identificador de proceso del
  daemon sshd. El predefinido es ``/var/run/sshd.pid''.


  22..1100..  PPeerrmmiittiirr aa llooss ggrruuppooss

  Esta palabra clave puede seguirse de una serie de nombres de grupos,
  separados por espacios. Si está especificado, se permitirá el acceso
  sólo a usuarios cuyo grupo primario coincida con uno de los patrones.
  `*' y `?' pueden usarse como caracteres comodín en los patrones. Sólo
  son válidos los nombres de grupos y no se reconocerán identificadores
  numéricos de grupos. Por definición el acceso se permite sin tener en
  cuenta el grupo primario.


  22..1111..  PPeerrmmiittiirr uussuuaarriiooss

  Esta palabra clave puede acompañarse de una serie de nombres de
  usuarios, separados por espacios. Si está especificado, sólo se
  permitirá el acceso a los nombres de usuarios que coincidan con alguno
  de los patrones. `*' y `?' pueden usarse como caracteres comodín en
  los patrones. Sólo son válidos los nombres de usuarios y no se
  reconocerán identificadores numéricos de usuarios. Por definición el
  acceso se permite sin tener en cuenta el grupo primario.


  22..1122..  RReecchhaazzaarr ggrruuppooss

  Esta palabra clave puede seguirse de una serie de nombres de grupos,
  separados por espacios.  No se permitirá el acceso a usuarios cuyo
  grupo primario coincida con uno de los patrones.`*' y `?' pueden
  usarse como caracteres comodín en los patrones. Sólo son válidos los
  nombres de grupos y no se reconocerán identificadores numéricos de
  grupos. Por definición el acceso se permite sin tener en cuenta el
  grupo primario.


  22..1133..  RReecchhaazzaarr UUssuuaarriiooss

  Esta palabra clave puede seguirse de una serie de nombres de grupos,
  separados por espacios. No se permitirá el acceso a usuarios cuyo
  nombre coincida con uno de los patrones. `*' y `?' pueden usarse como
  caracteres comodín en los patrones. Sólo son válidos los nombres de
  usuarios y no se reconocerán identificadores numéricos de usuarios.
  Por definición el acceso se permite sin tener en cuenta el nombre de
  usuario.

  22..1144..  PPeerrmmiittrr LLooggiinn ddee rroooott

  Determina si el superusuario puede ingresar usando ssh. El argumento
  deber ser `sí'', ``sin clave'' o ``no''. Por definición es ``sí''.  Si
  se selecciona ``sin clave'', sólo se deshabilita la utenticación de la
  misma para el superusuario.


  22..1155..  AAuutteennttiiccaacciióónn ddee ccoonnttrraasseeññaa

  Determina si se permite autenticación de contraseña. Por definició es
  ``sí''.


  22..1166..  PPeerrmmiittiirr CCoonnttrraasseeññaass VVaaccííaass

  Cuando se permite la autenticación de contraseñas, determina si el
  servidor permite el acceso a cuentas con cadenas de contraseña vacías.
  Por definición es ``sí''.


  22..1177..  AAuutteennttiiccaacciióónn RRSSAA

  Determina si se permite autenticación RSA pura. Por definición es
  ``sí''.


  22..1188..  AAuutteennttiiccaacciióónn DDSSAA ((22))

  Determina si se permite la autenticación DSA. Por definición es
  ``sí''.


  22..1199..  IIggnnoorraarr RRhhoossttss

  Determina que los archivos rhosts y shosts no se usarán en la
  autenticación.  /etc/hosts.equiv y /etc/ssh/shosts.equiv se usarán
  todavía. Por definición es ``no''.


  22..2200..  IIggnnoorraarr  MMááqquuiinnaass ddee UUssuuaarriiooss CCoonnoocciiddooss

  Determina si sshd debería ignorar el $HOME/.ssh/known_hosts de usuario
  durante la autenticación RSA de los Rhosts. Por definición es ``no''.


  22..2211..  AAuutteennttiiccaacciióónn RRhhoossttss

  Determina si es suficiente la autenticación usando los archivos rhosts
  o /etc/hosts.equiv. Normalmente, este método no debería permitirse
  porque no es seguro. La autenticación RSA de Rhosts deberá usarse en
  su lugar, porque realiza autenticación basada en RSA además de la
  autenticación normal rhosts o /etc/hosts.equiv. Por definición es
  ``no''.


  22..2222..  AAuutteennttiiccaacciióónn RRhhoossttss RRSSAA

  Determina si se premite la autenticación rhosts o /etc/hosts.equiv
  junto con la autenticación exitosa de RSA de Rhosts. Por definición es
  ``sí''.


  22..2233..  MMooddooss EEssttrriiccttooss

  Determina si sshd debería comprobar los modos y la propiedad de los
  archvios de los de los usuarios y del directorio home, antes de
  aceptar el acceso. Esto es deseable, generalmente, porque los usuarios
  novatos a veces dejan sus archivos y directorios para escritura,
  accidentalmente. Por definición es ``sí''.


  22..2244..  CCiiffrraass ((22))

  Determina las cifras permitidas para el protocolo versión 2. Si se
  seleccionan cifras múltiples deben estar separadas por comas. Por
  definición es ``3des-cbc,blowfish-cbc,arcfour,cast128-cbc''.


  22..2255..  CCoommpprroobbaarr ccoorrrreeoo

  Determina si sshd debería comprobar si tiene correo nuevo para accesos
  (logins) interactivos. Por definición es ``no''.


  22..2266..  MMaannttéénn ccoonn vviiddaa

  Determina si el sistema debería enviar mensajes de manterner con vida
  (keepalive) hacia el otro lado. Si se envían, se notificará en caso de
  pérdida de conexión o caída de una de las máquinas. De todas formas,
  esto significa que las conexiones perecerán si la ruta cae
  temporalmente y hay quién encuentra esto molesto. Por otro lado, si no
  se envían ``keepalives'', una sesión puede colgar indefinidamente un
  servidor, dejando usuarios ``fantasmas'' y consumiendo recursos del
  sistema.


  Por definición es ``sí'' (enviar keepalives), y el servidor avisará si
  la red cae o la máquina del cliente se reinicia. Esto evita sesiones
  colgadas indefinidamente.

  Para deshabilitar ésto, el valor debe ser ``no'' tanto en el cliente
  como en el servidor.


  22..2277..  IImmpprriimmiirr MMoottdd

  Determina si sshd debería imprimir /etc/motd cuando un usuario accede
  interactivamente (en algunos sistemas el shell /etc/profile, o
  equivalente lo imprime). Por definición es ``sí''.


  22..2288..  UUssaarr LLooggiinn

  Determina si se usa el ``login''. Por definición es ``no''.


  22..2299..  PPuueerrttooss ddee GGaatteewwaayy  ((22))

  Determina si se permite que máquinas remotas conecten con los puertos
  reenviados para el clinete. Por definición es ``no''.


  22..3300..  NNiivveell ddee LLoogg

  Da el nivel literal que se usa al registrar mensajes desde sshd. Los
  posibles valores son: QUIET, FATAL, ERROR, INFO, VERBOSE y DEBUG. Por
  definición es INFO. Al ingresar con nivel DEBUG se viola la privacidad
  de los clientes, por lo que no se recomienda su uso.
  22..3311..  SSeerrvviicciioo SSyysslloogg

  Proporciona el código del servicio que se usa al registrar mensajes
  desde sshd. Los posibles valores son:  DAEMON, USER, AUTH, LOCAL0,
  LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Por definición
  es AUTH.


  22..3322..  XX1111 FFoorrwwaarrddiinngg

  Determina si se permite redireccionamiento X11. Por definición es
  ``sí''.  Nótese que desactivar el redireccionamiento X11 no mejora en
  nada la seguridad, ya que los usuarios pueden instalar siempre sus
  propios redireccionadores.


  22..3333..  DDeessppllaazzaammiieennttoo ddeell ddiissppllaayy XX1111

  Determina el primer número del display disponible para
  redireccionamiento X11     del sshd. Esto evita que sshd interfiera
  con servidores reales X11.


  22..3344..  AAuutteennttiiccaacciióónn sskkeeyy

  Determina si la autenticación ``skey'' se permite. Por definición es
  ``sí''. Nótese que ``skey'' está activo sólo si permite la
  Autenticación de contraseña también.


  22..3355..  KKeerrbbeerrooss AAuutteennttiiccaacciióónn

  Determina si se permite la autenticación kerberos, ya sea en forma de
  tiquet kerberos o si la autenticación de la contraseña está a ``sí'',
  de manera que kerberos KDC validará la contraseña provista por el
  usuario. Por definición es ``sí''.


  22..3366..  KKeerrbbeerrooss OO CCoonnaattrrsseeññaa LLooccaall

  Si está seleccionado y la autenticación mediante Kerberos falla,
  entonces la contraseña se validará vía un mecanismo local añadido como
  /etc/passwd o SecurID. Por definición es `sí''.


  22..3377..  KKeerrbbeerrooss TTggtt PPaassssiinngg

  Determina si un TGT de Kerberos puede redireccionarse al servidor.
  Por definición es ``no'', ya que esto sólo funciona cuando Kerberos
  KDC es en realidad un kaserver AFS.`


  22..3388..  KKeerrbbeerrooss TTiicckkeett CClleeaannuupp

  Determina si se debe destruir automáticamente el tiquet de usuario del
  archivo caché al salir del sistema. Por definición es ``sí''.


  22..3399..  AAFFSS TTookkeenn PPaassssiinngg

  Determina si un token AFS debe ser redireccionado al servidor. Por
  definición es ``sí''.