A maioria destas descrições foram extraídas das man pages do sshd.
Especifica o número da porta que o sshd escuta. O padrão é 22.
Especifica qual endereço local o sshd deve escutar. O padrão é que escute em todos os endereços locais.
Especifica as versões de protocolo que o sshd deve suportar. Os valores possíveis são "1" e "2". Versões múltiplas devem ser separadas por vírgula. O padrão é "1".
Especifica o arquivo contendo a chave privada da máquina RSA. Note que o sshd não inicializa se este arquivo estiver acessível ao grupo/mundo.
Especifica o arquivo contendo a chave privada da máquina DSA. Note que o sshd desativa o protocolo 2.0 caso este seja acessível ao grupo/mundo.
Define o número de bits da chave do servidor. O valor mínimo é 512, e o padrão é 768.
A have do servidor é automaticamente regenerada após esta quantidade de segundos (caso não tenha sido usada). O propósiot da regeneração é previnir que sessões capturadas sejam decodificadas e depois utilizadas para acessar máquinas e roubar suas chaves. A chave nunca é armazenada em lugar algum. Caso o valor seja 0, a chave nunca é regenerada. O padrão é 3600 (segundos).
Esta palavra chave pode ser seguida de um número ou de nomes de grupo, separados por espaços. Se especificado, o login é permitido apenas àqueles usuários aos quais seus grupos primários correspondem a um dos padrões. '*' e '?' podem ser usados como metacaracteres nos padrões. Apenas nomes de grupos são válidos, um grupo numérico não é reconhecido. Por padrão o login é permitido não importando o grupo primário.
Esta palavra chave pode ser seguida por um número de nomes de usuários, separados por espaços. Se especificado, o login é permitido apenas aos nomes dos usuários que correspondam a um dos padrões. '*' e '?' podem ser usados como metacaracteres nestes padrões. Apenas nomes de usuário são válidos, um id de usuário numérico não é reconhecido. Por padrão o login é permitido não importando o nome do usuário.
Esta palavra chave pode ser seguida por um número de nomes de grupo, separados por espaços. Os usuários cujo grupo primário correspondem a um dos padrões não são podem entrar no sistema. Apenas nomes de grupos são válidos, um id de grupo numérico não é reconhecido. Por padrão o login é permitido não importando o grupo primário.
Esta palavra chave pode ser seguida por um número de nomes de usuário, separados por espaços. O login não é permitido para nomes de usuários que correspondam a um dos padrões. '*' e '?' podem ser usados como metacaracteres nestes padrões. Apenas nomes de usuários são v;alidos, um id numérico de usuário não e reconhecido. Por padrão o login é permitido não importando o nome do usuário.
Especifica se o root pode dar login utilizando ssh. O argumento deve ser "yes", "without-password" ou "não". Por padrão é "yes". Caso esta opção esteja configurada para "without-password" apenas a autenticação de senha é desativada para root.
Especifica se a autenticação de senha é pemitida. O padrão é "yes".
Quando a autenticação da senha é permitida, esta especifica se o servidor permite login a contas com strings vazias de senha. O padrão é "yes".
Especifica se autenticação RSA pura é permitida. O padrão é "yes".
Especifica se autenticação DSA é permitida. O padrão é "yes".
Especifica que arquivos rhosts e shosts não serão usados na autenticação. O /etc/hosts.equiv e /etc/ssh/shosts.equiv serão ainda utilizados. O padrão é "no".
Especifica se sshd deve ignorar $HOME/.ssh/known_hosts durante RhostsRSAAuthentication. O padrão é "no".
Especifica se a autenticação utilizando os arquivos rhosts ou /etc/hosts.equiv é suficiente. Normalmente, este método não deve ser permitido porque é inseguro. A Autenticação Rhosts RSA deve ser utilizada em seu lugar, porque esta realiza a autenticação da máquina baseada em RSA além dos rhosts normais ou da autenticação de /etc/hosts.equiv. O padrão é "no".
Especifica se rhosts ou autenticação de /etc/hosts.equiv juntamente com uma autenticação de máquina RSA com sucesso é permitido. O padrão é "yes".
Especifica se o sshd deve checar modos de arquivos e propriedades de arquivos de usuários e o diretório home antes de aceitar login. Isto é normalmente desejável porque iniciantes algumas vezes acidentalmente seus diretórios ou arquivos com permissão de escrita para o mundo. O padrão é "yes".
O servidor desconecta após este tempo caso o usuário não tenha conseguido registrar-se. Se o valor for 0, não há limite de tempo. O padrão é 600 (segundos).
Especifica os códigos permitidos para o protocolo versão 2. Códigos múltiplos devem ser separados por vírgulas. O padrão é ``3des-cbc,blowfish-cbc,arcfour,cast128-cbc''.
Especifica se o sshd deve verificar novas mensagens para logins interativos. O padrão é "no".
Especifica se o sistema deve enviar mensagens de keepalive para o outro lado. Se elas forem mandadas, a queda da conexão ou de uma das máquinas será percebida. Isto significa que conexões cairão se a rota estiver temporariamente caída, e algumas pessoas não gostarão disso. Por outro lado se keepalives não forem enviados, as sessões manter-se-ão idefinidamente no servidor, deixando usuários "fantasma" e cmonsuminod recursos do servidor.
O padrão é "yes" (para enviar keepalives), e o servidor não perceberá se a rede cair ou se a máquinas clientes derem reboot. Isto evita sessões infinitamente penduradas.
Para desativar keepalives, o valor deve ser configurado para "no" em tanto no servidor como no cliente.
Especifica se o sshd deve imprimir /etc/motd quanod um usuário entra interativamente (em alguns sistemas é também impresso pelo shell, /etc/profile, ou equivalente). O padrão é "yes".
Especifica se "login" é utilizado. O padrão é "no".
Especifica se máquinas remotas podem se conectar a portas enviadas para o cliente. O padrão é "no".
Especifica o arquivo que contém o identificador do peocesso do daemon sshd. O padrão é "/var/run/sshd.pid.".
Dá o nível de verbosidade que é usado quanod registra mensagens para sshd. Os valore possíveis são: QUIET, FATAL, ERROR, INFO, VERBOSE e DEBUG. O padrão é INFO. Registrar com o nével DEBUG viola a privacidade de usuários e não é recomendada.
Dá o código de facilidade que é utilizado qundo registrar mensagens do sshd. Os valores possíveis são: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. O padrão é AUTH.
Especifica se o envio do X11 é permitido. O padrão é "yes". Note que se desativando o envio de X11 não se melhora a segurança de forma alguma, tendo em vista que usuários podem sempre instalar seus próprios sistemas de envio.
Especifica o primeiro número disponível para envio do X11 do sshd. Isto previne o sshd de interferir com servidores reis de X11.
Especifica se a autenticação "skey" é permitida. O padrão é "yes". Note que a autenticação "skey" é ativada apenas se a Autenticação de Senha for também permitida.
Especifica se a autenticação Kerberos é permitida. Isto pode ser na forma de um ticket Kerberos, ou ainda se a Autenticação de Senha for "yes", a senha fornecida pela usuário será validada através do Kerberos KDC. O padrão é "yes".
Se configurada, então a autenticação de senha através de Kerberos falha, fazendo com que a senha seja validada via qualquer mecanismo adicional como /etc/passwd ou SecurID. O padrão é "yes".
Especifica se um Kerberos TGT pode ser enviado ao servidor. O padrão é "no", e isto só funciona quando o Kerberos KDC for realmente um kaserver AFS.
Especifica se é para automaticamente destruir o arquivo de cache de tickets do usuário quando der um logout. O padrão é "yes".
Especifica se um token AFS pode ser enviado ao servisor. O padrão é "yes".