http://wiki.cabal.mx/index.php?action=history&feed=atom&title=Comandos_de_la_terminal%2FsshdComandos de la terminal/sshd - Historial de revisiones2026-05-08T02:43:26ZHistorial de revisiones para esta página en el wikiMediaWiki 1.32.1http://wiki.cabal.mx/index.php?title=Comandos_de_la_terminal/sshd&diff=6695&oldid=prevRrc en 22:47 7 nov 20142014-11-07T22:47:48Z<p></p>
<p><b>Página nueva</b></p><div>__NOTOC__<br />
* [[:#sshd | sshd]]<br />
<br />
== sshd ==<br />
<br />
<syntaxhighlight lang="bash"><br />
<br />
### TCP Wrapers<br />
[root@Llawyr ssh]# cat /etc/hosts.deny<br />
#<br />
# hosts.deny This file describes the names of the hosts which are<br />
# *not* allowed to use the local INET services, as decided<br />
# by the '/usr/sbin/tcpd' server.<br />
#<br />
# The portmap line is redundant, but it is left to remind you that<br />
# the new secure portmap uses hosts.deny and hosts.allow. In particular<br />
# you should know that NFS uses portmap!<br />
<br />
ALL:ALL EXCEPT 127.0.0.1:DENY<br />
<br />
[root@Llawyr ssh]# cat /etc/hosts.allow<br />
#<br />
# hosts.allow This file describes the names of the hosts which are<br />
# allowed to use the local INET services, as decided<br />
# by the '/usr/sbin/tcpd' server.<br />
#<br />
<br />
sshd:all:allow<br />
<br />
[root@Llawyr ssh]# cat /etc/ssh/sshd_config <br />
# $OpenBSD: sshd_config,v 1.89 2013/02/06 00:20:42 dtucker Exp $<br />
<br />
# This is the sshd server system-wide configuration file. See<br />
# sshd_config(5) for more information.<br />
<br />
# This sshd was compiled with PATH=/usr/local/bin:/usr/bin<br />
<br />
# The strategy used for options in the default sshd_config shipped with<br />
# OpenSSH is to specify options with their default value where<br />
# possible, but leave them commented. Uncommented options override the<br />
# default value.<br />
<br />
#Port 22<br />
#AddressFamily any<br />
#ListenAddress 0.0.0.0<br />
#ListenAddress ::<br />
<br />
# The default requires explicit activation of protocol 1<br />
#Protocol 2<br />
<br />
# HostKey for protocol version 1<br />
HostKey /etc/ssh/ssh_host_key<br />
# HostKeys for protocol version 2<br />
HostKey /etc/ssh/ssh_host_rsa_key<br />
HostKey /etc/ssh/ssh_host_dsa_key<br />
#HostKey /etc/ssh/ssh_host_ecdsa_key<br />
<br />
# Lifetime and size of ephemeral version 1 server key<br />
#KeyRegenerationInterval 1h<br />
#ServerKeyBits 1024<br />
<br />
# Logging<br />
# obsoletes QuietMode and FascistLogging<br />
#SyslogFacility AUTH<br />
#LogLevel INFO<br />
<br />
# Authentication:<br />
<br />
#LoginGraceTime 2m<br />
PermitRootLogin no<br />
#StrictModes yes<br />
#MaxAuthTries 6<br />
#MaxSessions 10<br />
<br />
#RSAAuthentication yes<br />
#PubkeyAuthentication yes<br />
<br />
# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2<br />
# but this is overridden so installations will only check .ssh/authorized_keys<br />
AuthorizedKeysFile .ssh/authorized_keys<br />
<br />
#AuthorizedPrincipalsFile none<br />
<br />
#AuthorizedKeysCommand none<br />
#AuthorizedKeysCommandUser nobody<br />
<br />
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts<br />
#RhostsRSAAuthentication no<br />
# similar for protocol version 2<br />
#HostbasedAuthentication no<br />
# Change to yes if you don't trust ~/.ssh/known_hosts for<br />
# RhostsRSAAuthentication and HostbasedAuthentication<br />
#IgnoreUserKnownHosts no<br />
# Don't read the user's ~/.rhosts and ~/.shosts files<br />
#IgnoreRhosts yes<br />
<br />
# To disable tunneled clear text passwords, change to no here!<br />
#PasswordAuthentication yes<br />
#PermitEmptyPasswords no<br />
<br />
# Change to no to disable s/key passwords<br />
#ChallengeResponseAuthentication yes<br />
<br />
# Kerberos options<br />
#KerberosAuthentication no<br />
#KerberosOrLocalPasswd yes<br />
#KerberosTicketCleanup yes<br />
#KerberosGetAFSToken no<br />
<br />
# GSSAPI options<br />
#GSSAPIAuthentication no<br />
#GSSAPICleanupCredentials yes<br />
<br />
# Set this to 'yes' to enable PAM authentication, account processing, <br />
# and session processing. If this is enabled, PAM authentication will <br />
# be allowed through the ChallengeResponseAuthentication and<br />
# PasswordAuthentication. Depending on your PAM configuration,<br />
# PAM authentication via ChallengeResponseAuthentication may bypass<br />
# the setting of "PermitRootLogin without-password".<br />
# If you just want the PAM account and session checks to run without<br />
# PAM authentication, then enable this but set PasswordAuthentication<br />
# and ChallengeResponseAuthentication to 'no'.<br />
# Warning: when running under systemd, and PAM usage is disabled, restarting <br />
# SSH service will likely kill off any ssh connections, including the<br />
# current one<br />
UsePAM yes<br />
<br />
# Accept locale-related environment variables<br />
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES<br />
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT<br />
AcceptEnv LC_IDENTIFICATION LC_ALL<br />
<br />
#AllowAgentForwarding yes<br />
#AllowTcpForwarding yes<br />
#GatewayPorts no<br />
X11Forwarding yes<br />
#X11DisplayOffset 10<br />
#X11UseLocalhost yes<br />
#PrintMotd yes<br />
#PrintLastLog yes<br />
#TCPKeepAlive yes<br />
#UseLogin no<br />
UsePrivilegeSeparation sandbox # Default for new installations.<br />
#PermitUserEnvironment no<br />
#Compression delayed<br />
#ClientAliveInterval 0<br />
#ClientAliveCountMax 3<br />
#UseDNS yes<br />
#PidFile /var/run/sshd.pid<br />
#MaxStartups 10:30:100<br />
#PermitTunnel no<br />
#ChrootDirectory none<br />
#VersionAddendum none<br />
<br />
# no default banner path<br />
Banner /etc/ssh/banner<br />
AllowUsers rrc<br />
<br />
# override default of no subsystems<br />
Subsystem sftp /usr/lib64/ssh/sftp-server<br />
<br />
# Example of overriding settings on a per-user basis<br />
#Match User anoncvs<br />
# X11Forwarding no<br />
# AllowTcpForwarding no<br />
# ForceCommand cvs server<br />
<br />
[root@Llawyr ssh]# systemctl restart sshd.service<br />
<br />
[root@Llawyr ssh]# journalctl -f<br />
-- Logs begin at Thu 2014-11-06 15:33:47 CST. --<br />
Nov 07 15:23:43 Llawyr.LinuxCabal.org systemd[1]: Stopping OpenSSH server daemon...<br />
Nov 07 15:23:43 Llawyr.LinuxCabal.org systemd[1]: Starting OpenSSH server daemon...<br />
Nov 07 15:23:43 Llawyr.LinuxCabal.org sshd[4325]: Received signal 15; terminating.<br />
Nov 07 15:23:43 Llawyr.LinuxCabal.org systemd[1]: Started OpenSSH server daemon.<br />
Nov 07 15:23:43 Llawyr.LinuxCabal.org sshd[3267]: Server listening on 0.0.0.0 port 22.<br />
Nov 07 15:23:43 Llawyr.LinuxCabal.org sshd[3267]: Server listening on :: port 22.<br />
<br />
ARCHIVOS<br />
~/.hushlogin<br />
Este archivo se utiliza para suprimir la impresión de la última hora de inicio de<br />
sesión y /etc/motd, si PrintLastLog y PrintMotd, respectivamente, están habilitados.<br />
No suprime impresión del banner especificado por Banner.<br />
<br />
~/.rhosts<br />
Este archivo se usa para la autenticación basada en host (véase ssh (1) para obtener<br />
más información). En algunas máquinas este archivo deberá ser legible si el directorio<br />
home del usuario está en una partición NFS, porque sshd Lee como root. Además, este<br />
fichero debe ser propiedad del usuario y no debe tener permisos de escritura para los<br />
demás. El permiso recomendado para la mayoría de las máquinas es de lectura/escritura<br />
para el usuario y no accesibles por otros.<br />
<br />
~/.shosts<br />
Este archivo se usa de exactamente el mismo modo como .rhosts, pero permite basado en<br />
host autenticación sin permitir iniciar sesión con rlogin/rsh.<br />
<br />
~/.ssh/<br />
Este carpeta es la ubicación predeterminada para toda la configuración específica del<br />
usuario y información de autenticación. No hay ningún requisito general para mantener<br />
todo el contenido de este carpeta ocultada, pero los permisos recomendados son<br />
leer/escribir/ejecutar para el usuario y no son accesibles por otros.<br />
<br />
~/.ssh/authorized_keys<br />
Pone las claves públicas en una lista (DSA/ECDSA/RSA) que se puede usar para entrar al<br />
sistema como este usuario. El contenido del archivo no es muy sensible, entonces los<br />
permisos recomendados son de lectura/escritura para el usuario y no accesibles<br />
por otros.<br />
<br />
Si este archivo, la carpeta ~/.ssh o carpeta home del usuario es editables por<br />
otros usuarios, entonces el archivo puede ser modificado o reemplazado por usuarios<br />
no autorizados. En este caso, sshd no permitirá ser utilizado a menos que la opción<br />
StrictModes se ha ajustado a "no".<br />
<br />
~/.ssh/environment<br />
Este archivo se lee en el ambiente en la entrada al sistema (si existe). Sólo puede<br />
contener líneas vacías, líneas del comentario (que principio con ‘# ’) y líneas de la<br />
asignación de la forma name=value. El archivo sólo debería ser escribible por el<br />
usuario; no tiene que ser legible por nadie más. El procesamiento del ambiente es <br />
dishabilitada por default y se controla vía la opción de PermitUserEnvironment.<br />
<br />
~/.ssh/known_hosts<br />
Contiene una lista de claves de host para todos los hosts que el usuario ha iniciado<br />
sesiónes. Este archivo debe tener permiso de escritura sólo para el root/el dueño y<br />
puede, pero no necesitan ser, legible.<br />
<br />
~/.ssh/rc<br />
Contiene rutinas de inicialización que se ejecuta antes de que la carpeta de inicio del<br />
usuario se vuelve accesible. Este archivo debe tener permisos de escritura sólo por el<br />
usuario, y no es necesario ser leídos por nadie más.<br />
<br />
/etc/hosts.allow<br />
/etc/hosts.deny<br />
Los archovos de tcp-wrappers mencionada anteriormente. Más detalles son disponibles<br />
en hosts_access(5).<br />
<br />
/etc/hosts.equiv<br />
Este archivo es para la autenticación basada en host (véase ssh(1)). Sólo debe ser<br />
escribible por root.<br />
<br />
/etc/ssh/moduli<br />
Contiene grupos Diffie-Hellman, utilizados para el "intercambio Diffie-Hellman Group".<br />
El formato de archivo se describe en moduli(5).<br />
<br />
/etc/motd<br />
Vees motd(5).<br />
<br />
/etc/nologin<br />
Si este archivo existe, el sshd rechaza dejar a cualquiera excepto a root entrar al<br />
sistema. Los contenidos del archivo se muestran a cualquiera que trata de entrar al<br />
sistema, y las conexiones no-root se negaron. El archivo debe ser mundialmente legible.<br />
<br />
/etc/ssh/shosts.equiv<br />
Este archivo se usa exactamente la misma manera como hosts.equiv, pero permite que la<br />
autenticación basada en host sin que permite iniciar sesión con rlogin/rsh.<br />
<br />
/etc/ssh/ssh_host_key<br />
/etc/ssh/ssh_host_dsa_key<br />
/etc/ssh/ssh_host_ecdsa_key<br />
/etc/ssh/ssh_host_rsa_key<br />
Estos archivos contienen las partes privadas de las claves del host. Estos archivos<br />
deben ser propiedad de root, que solamente se puede leer por el usuario root, y no<br />
es accesible a los demás. Tenga en cuenta que sshd no se inicia si estos archivos<br />
son del grupo/mundo accesible.<br />
<br />
/etc/ssh/ssh_host_key.pub<br />
/etc/ssh/ssh_host_dsa_key.pub<br />
/etc/ssh/ssh_host_ecdsa_key.pub<br />
/etc/ssh/ssh_host_rsa_key.pub<br />
Estos archivos contienen las partes públicas de las claves del sistema. Estos archivos<br />
deben ser legible pero escribible sólo para el root. Su contenido debe coincidir con<br />
las partes respectivas private. Estos archivos no se utilizan realmente para nada; se<br />
proporcionan para la conveniencia del usuario para que su contenido puede ser copiado<br />
de archivos hosts conocidos. Estos archivos se crean utilizando ssh-keygen(1).<br />
<br />
/etc/ssh/ssh_known_hosts<br />
Lista publica de claves de host conocidos. Este archivo debe estar preparada por el<br />
administrador del sistema para contener las claves de host públicos de todas las<br />
máquinas de la organización. Este archivo debe tener permiso de escritura sólo por<br />
root/el dueño y debe ser mundialmente legible.<br />
<br />
/etc/ssh/sshd_config<br />
Contiene datos de configuración de sshd. Se describen las opciones de configuración y<br />
formato de archivo en sshd_config(5).<br />
<br />
/etc/ssh/sshrc<br />
Similar a ~/.ssh/rc, puede ser usado para especificar inicializaciones del tiempo de<br />
la entrada al sistema específicas para la máquina globalmente. Este archivo sólo<br />
debería ser escribible por root y debería ser mundialmente legible.<br />
<br />
/var/empty<br />
Chroot(2) carpeta usado por sshd en privilegio separación, en el pre-fase de<br />
autenticación. La carpeta debe contener ningunos archivos y debe ser propiedad<br />
de root y no con permisos de escritura al grupo o mundo.<br />
<br />
/var/run/sshd.pid<br />
Contiene el ID de proceso de sshd escucha conexiones (si hay varios demonios<br />
ejecutándose simultáneamente en diferentes puertos, este contiene el ID. del<br />
proceso de la que se puso en marcha el último). El contenido de este archivo<br />
no es sensible, que puede ser accesible a todo el mundo.<br />
<br />
</syntaxhighlight><br />
<br />
[[Category:Comandos de la terminal]]</div>Rrc