.\" -*- coding: UTF-8 -*-
.\"
.\" Author: Tatu Ylonen <ylo@cs.hut.fi>
.\" Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
.\"                    All rights reserved
.\"
.\" As far as I am concerned, the code I have written for this software
.\" can be used freely for any purpose.  Any derived versions of this
.\" software must be clearly marked as such, and if the derived work is
.\" incompatible with the protocol description in the RFC file, it must be
.\" called by a name other than "ssh" or "Secure Shell".
.\"
.\" Copyright (c) 1999,2000 Markus Friedl.  All rights reserved.
.\" Copyright (c) 1999 Aaron Campbell.  All rights reserved.
.\" Copyright (c) 1999 Theo de Raadt.  All rights reserved.
.\"
.\" Redistribution and use in source and binary forms, with or without
.\" modification, are permitted provided that the following conditions
.\" are met:
.\" 1. Redistributions of source code must retain the above copyright
.\"    notice, this list of conditions and the following disclaimer.
.\" 2. Redistributions in binary form must reproduce the above copyright
.\"    notice, this list of conditions and the following disclaimer in the
.\"    documentation and/or other materials provided with the distribution.
.\"
.\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
.\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
.\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
.\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
.\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
.\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
.\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
.\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
.\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
.\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
.\"
.\" $OpenBSD: sshd_config.5,v 1.374 2024/09/15 08:27:38 jmc Exp $
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.Dd $Mdocdate: September 15 2024 $
.Dt SSHD_CONFIG 5
.Os
.Sh NOM
.Nm sshd_config
.Nd Fichier de configuration du démon d’OpenSSH
.Sh DESCRIPTION
.Xr sshd 8
lit ses données de configuration dans le fichier
.Pa /etc/ssh/sshd_config
(ou dans le fichier spécifié à l'aide de l'option
.Fl f
sur la ligne de commande). Chaque ligne de ce fichier contient une
seule paire option/argument. Sauf mention contraire, c’est la première
valeur lue qui sera utilisée pour chaque option. Les lignes qui commencent
par le caractère « # » et les lignes vides sont considérées comme des
commentaires. Pour représenter des valeurs contenant des espaces, les
arguments doivent être entourés de guillemets droits doubles « \&" ».
.Pp
Les options disponibles et leur signification sont les suivantes (les noms
d’option ne sont pas sensibles à la casse, mais les arguments le sont) :
.Bl -tag -width Ds
.It Cm AcceptEnv
Cette option permet de spécifier quelles variables d’environnement envoyées
par le client seront copiées dans l’environnement de session (
.Xr environ 7 ) .
Voir
.Cm SendEnv
et
.Cm SetEnv
dans
.Xr ssh_config 5
pour la
configuration du client. La variable d’environnement
.Ev TERM
est
toujours acceptée quand un client demande un pseudo-terminal comme requis
par le protocole. Les variables sont spécifiées à l’aide de leur nom qui
peut contenir les caractères génériques « * » et « \&? ». Il est possible de
spécifier plusieurs variables d’environnement en les séparant par des
espaces ou en définissant plusieurs directives
.Cm AcceptEnv .
Gardez à
l’esprit que certaines variables d’environnement pourraient être utilisées
pour court-circuiter des environnements utilisateur restreints ; c’est
pourquoi cette directive doit être utilisée avec prudence. Par défaut,
aucune variable d’environnement n’est acceptée.
.It Cm AddressFamily
Cette option permet de spécifier la famille d’adresses que
.Xr sshd 8
doit utiliser. Les arguments valables sont
.Cm any
(la valeur par
défaut),
.Cm inet
(utiliser IPv4 seulement) ou
.Cm inet6
(utiliser
IPv6 seulement).
.It Cm AllowAgentForwarding
Cette option permet de spécifier si la redirection de
.Xr ssh-agent 1
est
autorisée. La valeur par défaut est
.Cm yes .
Notez que désactiver la
redirection d’agent n’améliore la sécurité que si les utilisateurs se voient
aussi refuser l’accès à un interpréteur de commande, car dans le cas
contraire, ils peuvent toujours installer leurs propres redirecteurs.
.It Cm AllowGroups
Cette option peut être suivie d'une liste de motifs de nom de groupe séparés
par des espaces. Si elle est spécifiée, seuls les utilisateurs dont le
groupe principal ou les groupes supplémentaires correspondent à un des
motifs sont autorisés à se connecter. Seuls les noms de groupes sont
valables ; les identifiants de groupes (GID) numériques ne sont pas
reconnus. Par défaut, tous les groupes sont autorisés à se connecter. Les
directives de groupe allow/deny sont traitées dans l’ordre suivant :
.Cm DenyGroups ,
.Cm AllowGroups .
.Pp
Voir la section MOTIFS dans
.Xr ssh_config 5
pour plus d’informations à
propos des motifs. Cette option peut apparaître plusieurs fois dans
.Nm sshd_config ,
chaque instance s’ajoutant à la liste.
.It Cm AllowStreamLocalForwarding
Cette option permet de spécifier si la redirection de StreamLocal (socket de
domaine Unix) est autorisée. Les arguments valables sont
.Cm yes
(la
valeur par défaut),
.Cm all
pour autoriser la redirection de StreamLocal,
.Cm no
pour interdire toute redirection de StreamLocal,
.Cm local
pour
n’autoriser que la redirection locale (vue selon
.Xr ssh 1 )
ou
.Cm remote
pour n’autoriser que la redirection distante. Notez que désactiver
la redirection de StreamLocal n’améliore la sécurité que si les utilisateurs
se voient refuser l’accès à un interpréteur de commande, car dans le cas
contraire, ils peuvent toujours installer leurs propres redirecteurs.
.It Cm AllowTcpForwarding
Cette option permet de spécifier si les redirections TCP sont
autorisées. Les arguments valables sont
.Cm yes
(la valeur par défaut),
.Cm all
pour autoriser la redirection TCP,
.Cm no
pour interdire toute
redirection TCP,
.Cm local
pour n’autoriser que la redirection locale
(vue selon
.Xr ssh 1 )
ou
.Cm remote
pour n’autoriser que la
redirection distante. Notez que désactiver la redirection TCP n’améliore la
sécurité que si les utilisateurs se voient refuser l’accès à un interpréteur
de commande, car dans le cas contraire, ils peuvent toujours installer leurs
propres redirecteurs.
.It Cm AllowUsers
Cette option peut être suivie d'une liste de motifs de nom d'utilisateur
séparés par des espaces. Si elle est spécifiée, seuls les noms d'utilisateur
correspondant à un des motifs sont autorisés à se connecter. Seuls les noms
d’utilisateur sont valables ; un identifiant d’utilisateur numérique (UID)
ne sera pas reconnu. Par défaut, la connexion est autorisée pour tous les
utilisateurs. Si le motif est de la forme UTILISATEUR@HÔTE, UTILISATEUR et
HÔTE sont vérifiés séparément, ce qui permet de restreindre les connexions à
certains utilisateurs d’un hôte particulier. Le critère HÔTE peut en plus
contenir des adresses à faire correspondre sous le format CIDR
adresse/taille_de_masque. Les directives d’utilisateur allow/deny sont
traitées dans l’ordre suivant :
.Cm DenyUsers ,
.Cm AllowUsers .
.Pp
Voir la section MOTIFS dans
.Xr ssh_config 5
pour plus d’informations à
propos des motifs. Cette option peut apparaître plusieurs fois dans
.Nm sshd_config ,
chaque instance s’ajoutant à la liste.
.It Cm AuthenticationMethods
Cette option permet de spécifier les méthodes d’authentification qui doivent
être appliquées avec succès pour qu’un utilisateur se voie autoriser
l’accès. Elle doit être suivie d’une ou plusieurs listes de noms de méthode
d’authentification séparés par des virgules ou de l’unique chaîne
.Cm any
pour indiquer le comportement par défaut qui consiste à accepter toute
méthode d’authentification unique. Si des listes sont spécifiées,
l’application avec succès de toutes les méthodes d’authentification d’au
moins une de ces listes sera requise pour réussir l’authentification.
.Pp
Par exemple, « publickey,password publickey,keyboard-interactive »
nécessiterait de la part de l’utilisateur une authentification par clé
publique suivie d’une authentification par mot de passe ou d’une
authentification par saisie au clavier. Les méthodes d’authentification
doivent être appliquées dans l’ordre selon lequel elles apparaissent dans
chaque liste ; ainsi, dans cet exemple, l’application d’une méthode
d’authentification par mot de passe ou par saisie au clavier avant
l’application d’une méthode d’authentification par clé publique ne serait
pas valable.
.Pp
Avec l’authentification par saisie au clavier, il est aussi possible de
restreindre l’authentification à un dispositif spécifique en ajoutant un
deux-points « : » suivi de l’identifiant du dispositif
.Cm bsdauth
ou
.Cm pam ,
en fonction de la configuration du serveur. Par exemple,
« keyboard-interactive:bsdauth » restreint l’authentification par saisie au
clavier au dispositif
.Cm bsdauth .
.Pp
Si la méthode d’authentification par clé publique est indiquée plusieurs
fois,
.Xr sshd 8
s’assure que les clés qui ont été utilisées avec succès
ne seront pas réutilisées pour les authentifications suivantes. Par exemple,
« publickey,publickey » requiert l’utilisation de deux clés publiques
différentes pour une authentification réussie.
.Pp
Notez que chaque méthode d’authentification indiquée doit aussi être
explicitement activée dans la configuration.
.Pp
Les méthodes d’authentification disponibles sont : « gssapi-with-mic »,
« hostbased », « keyboard-interactive », « none » (utilisée pour l’accès à
des comptes sans mot de passe lorsque
.Cm PermitEmptyPasswords
est
activé), « password » et « publickey ».
.It Cm AuthorizedKeysCommand
Cette option permet de spécifier un programme à utiliser pour rechercher les
clés publiques de l’utilisateur. Le programme doit être la propriété du
superutilisateur, non accessible en écriture pour le groupe ou les autres et
spécifié à l’aide d’un chemin absolu. Les arguments de
.Cm AuthorizedKeysCommand
acceptent les symboles décrits dans la section
.Sx SYMBOLES .
Si aucun argument n’est spécifié, c’est le nom d’utilisateur de
l’utilisateur cible qui est utilisé.
.Pp
Le programme doit produire sur la sortie standard zéro ou plusieurs lignes
au format authorized_keys (voir
.Sx AUTHORIZED_KEYS
dans
.Xr sshd 8 ) .
.Cm AuthorizedKeysCommand
est utilisée après les fichiers
.Cm AuthorizedKeysFile
usuels et ne sera pas exécutée si une clé correspondante
est trouvée dans ces derniers. Par défaut, aucune
.Cm AuthorizedKeysCommand
n’est exécutée.
.It Cm AuthorizedKeysCommandUser
Cette option permet de spécifier l’utilisateur sous le compte duquel la
commande
.Cm AuthorizedKeysCommand
sera exécutée. Il est recommandé de
spécifier un utilisateur dédié qui n’a pas d’autre rôle sur l’hôte que
d’exécuter des commandes de clés autorisées. Si
.Cm AuthorizedKeysCommand
est spécifié alors que
.Cm AuthorizedKeysCommandUser
ne l’est pas,
.Xr sshd 8
refusera de démarrer.
.It Cm AuthorizedKeysFile
Cette option permet de spécifier le fichier contenant les clés publiques à
utiliser pour l'authentification de l'utilisateur. Le format de ce fichier
est décrit dans la section FORMAT DU FICHIER AUTHORIZED_KEYS de
.Xr sshd 8 .
Les arguments de
.Cm AuthorizedKeysFile
acceptent les symboles
décrits dans la section
.Sx SYMBOLES .
Après développement,
.Cm AuthorizedKeysFile
est interprété comme un chemin absolu ou comme un chemin
relatif au répertoire personnel de l’utilisateur. Il est possible de
spécifier plusieurs fichiers en les séparant par des blancs. Pour se passer
de la vérification des clés d’utilisateur dans des fichiers, cette option
doit être définie à
.Cm none .
L’argument par défaut de cette option est
« .ssh/authorized_keys .ssh/authorized_keys2 ».
.It Cm AuthorizedPrincipalsCommand
Cette option permet de spécifier un programme à utiliser pour générer une
liste de « principals » de certificat autorisés en se basant sur
.Cm AuthorizedPrincipalsFile
(NDT : un « principal » est une chaîne arbitraire
définie au niveau du serveur pour un utilisateur et devant être présente
dans le certificat du client pour que ce dernier puisse se connecter). Le
programme doit être la propriété du superutilisateur, non accessible en
écriture pour le groupe ou pour les autres et spécifié à l’aide d’un chemin
absolu. Les arguments de
.Cm AuthorizedPrincipalsCommand
acceptent les
symboles décrits dans la section
.Sx SYMBOLES .
Si aucun argument n’est
spécifié, c’est le nom d’utilisateur de l’utilisateur cible qui sera
utilisé.
.Pp
Le programme doit produire sur la sortie standard zéro ou plusieurs lignes
du fichier
.Cm AuthorizedPrincipalsFile .
Si au moins une des options
.Cm AuthorizedPrincipalsCommand
ou
.Cm AuthorizedPrincipalsFile
est
spécifiée, les certificats proposés par le client pour l’authentification
devront contenir un « principal » faisant partie de la liste. Par défaut,
aucune commande
.Cm AuthorizedPrincipalsCommand
n’est exécutée.
.It Cm AuthorizedPrincipalsCommandUser
Cette option permet de spécifier l’utilisateur sous le compte duquel la
commande
.Cm AuthorizedPrincipalsCommand
sera exécutée. Il est recommandé
de spécifier un utilisateur dédié qui n’a pas d’autre rôle sur l’hôte que
d’exécuter des commandes de laissez-passer autorisées. Si
.Cm AuthorizedPrincipalsCommand
est spécifié alors que
.Cm AuthorizedPrincipalsCommandUser
ne l’est pas,
.Xr sshd 8
refusera de
démarrer.
.It Cm AuthorizedPrincipalsFile
Cette option permet de spécifier un fichier contenant la liste des noms de
« principal » acceptés pour une authentification par certificat. Lorsqu’on
utilise des certificats signés par une clé listée dans
.Cm TrustedUserCAKeys ,
un des noms contenus dans ce fichier doit apparaître
dans le certificat afin que ce dernier soit accepté pour
l’authentification. Chaque ligne du fichier contient un seul nom précédé des
options de clé (comme décrit dans la section
.Sx FORMAT DU FICHIER AUTHORIZED_KEYS
de
.Xr sshd 8 ) .
Les lignes vides et les commentaires
(lignes commençant par « # ») sont ignorés.
.Pp
Les arguments de
.Cm AuthorizedPrincipalsFile
acceptent les symboles
décrits dans la section
.Sx SYMBOLES .
Après développement,
.Cm AuthorizedPrincipalsFile
est interprété comme un chemin absolu ou comme un
chemin relatif au répertoire personnel de l’utilisateur. L’argument par
défaut est
.Cm none
et indique qu’aucun fichier de « principals » ne sera
utilisé ; dans ce cas, le nom d’utilisateur de l’utilisateur devra
apparaître dans une liste de laissez-passer du certificat pour que ce
dernier soit accepté.
.Pp
Notez que
.Cm AuthorizedPrincipalsFile
n’est utilisé que lorsque
l’authentification est effectuée en utilisant une autorité de certification
(CA) listée dans
.Cm TrustedUserCAKeys
et n’est pas consulté pour des CA
définies comme fiables à l’aide de
.Pa ~/.ssh/authorized_keys ,
bien que
l’option de clé
.Cm principals=
offre des possibilités similaires (voir
.Xr sshd 8
pour les détails).
.It Cm Banner
Le contenu du fichier spécifié est envoyé à l'utilisateur distant avant que
la connexion ne soit autorisée. Si l’argument est
.Cm none ,
aucune
bannière n’est affichée, ce qui correspond au comportement par défaut.
.It Cm CASignatureAlgorithms
Cette option permet de spécifier quels algorithmes sont autorisés pour la
signature des certificats par les autorités de certification (CA). Les
algorithmes par défaut sont :
.Bd -literal -offset indent
ssh-ed25519,ecdsa-sha2-nistp256,
ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
.Ed
.Pp
Si la liste spécifiée commence par un caractère « + », les algorithmes
qu’elle contient seront ajoutés à la liste par défaut au lieu de la
remplacer. Si la liste spécifiée commence par un caractère « - », les
algorithmes qu’elle contient (pouvant contenir des caractères génériques)
seront supprimés de la liste par défaut au lieu de la remplacer.
.Pp
Les certificats signés en utilisant d’autres algorithmes ne seront pas
acceptés pour l’authentification par clé publique ou basée sur l’hôte.
.It Cm ChannelTimeout
Cette option permet de spécifier si et sous quel délai
.Xr sshd 8
doit
fermer les canaux inactifs. Les délais sont spécifiés sous forme d’une ou
plusieurs paires « type=intervalle » séparées par des blancs, où « type »
doit être le mot-clé spécial « global » ou un nom de type de canal issu de
la liste ci-dessous et comportant éventuellement des caractères génériques.
.Pp
La valeur de délai « interval » est spécifiée en secondes ou peut utiliser
une unité documentée dans la section
.Sx FORMATS DE TEMPS .
Par exemple,
« session=5m » signifierait que les sessions interactives seraient fermées
après cinq minutes d’inactivité. Spécifier une valeur de zéro désactive le
délai d’inactivité.
.Pp
La valeur spéciale de délai « global » s’applique à tous les canaux actifs
pris dans leur ensemble. La présence de trafic sur un canal actif
réinitialise le délai, mais lorsque le délai expire, tous les canaux sont
fermés. Notez que ce délai « global » ne peut pas être exprimé à l’aide de
caractères génériques et qu’il doit donc être spécifié explicitement.
.Pp
Les noms de type de canal comprennent :
.Bl -tag -width Ds
.It Cm agent-connection
Connexions ouvertes vers
.Xr ssh-agent 1 .
.It Cm direct-tcpip , Cm direct-streamlocal@openssh.com
Connexions TCP ou socket Unix (respectivement) ouvertes qui ont été établies
depuis une redirection locale de
.Xr ssh 1 ,
c’est-à-dire à l’aide de
.Cm LocalForward
ou
.Cm DynamicForward .
.It Cm forwarded-tcpip , Cm forwarded-streamlocal@openssh.com
Connexions TCP ou socket Unix (respectivement) ouvertes qui ont été établies
vers un démon
.Xr sshd 8
en écoute au nom d’une redirection distante de
.Xr ssh 1 ,
c’est-à-dire à l’aide de
.Cm RemoteForward .
.It Cm session
La session interactive principale comprenant la session de l’interpréteur de
commande, l’exécution de commande,
.Xr scp 1 ,
.Xr sftp 1 ,
etc.
.It Cm tun-connection
Les connexions ouvertes à l’aide de
.Cm TunnelForward .
.It Cm x11-connection
Les sessions de redirections de X11 ouvertes.
.El
.Pp
Notez que dans tous les cas ci-dessus, fermer une session inactive ne
garantit pas que toutes les ressources associées à la session seront
supprimées ; par exemple, les processus de l’interpréteur de commande ou les
clients X11 liés à la session pourront continuer leur exécution.
.Pp
En outre, fermer une session ou un canal inactif ne ferme pas nécessairement
la connexion SSH et n’empêche pas un client de demander l’ouverture d’un
autre canal du même type. En particulier, fermer une session de redirection
inactive n’empêche pas la création subséquente d’une autre redirection
identique.
.Pp
Par défaut, aucun canal de quelque type que ce soit ne sera fermé pour
inactivité.
.It Cm ChrootDirectory
Cette option permet de spécifier le chemin d’un répertoire à passer à
.Xr chroot 2
après l’authentification. Au démarrage de la session,
.Xr sshd 8
vérifie que tous les composants du chemin sont des répertoires qui sont
la propriété du superutilisateur et non accessibles en écriture pour le
groupe ou les autres. Après passage en chroot,
.Xr sshd 8
définit le
répertoire personnel de l’utilisateur comme répertoire de travail. Les
arguments de
.Cm ChrootDirectory
acceptent les symboles décrits dans la
section
.Sx SYMBOLES .
.Pp
Le répertoire
.Cm ChrootDirectory
doit contenir les répertoires et
fichiers nécessaires pour prendre en charge la session de
l’utilisateur. Pour une session interactive, cela comprend au moins un
interpréteur de commande, en général
.Xr sh 1
et des nœuds
.Pa /dev
de
base tels que les dispositifs
.Xr null 4 ,
.Xr zero 4 ,
.Xr stdin 4 ,
.Xr stdout 4 ,
.Xr stderr 4
et
.Xr tty 4 .
Pour les sessions de
transfert de fichiers utilisant SFTP, aucune configuration additionnelle de
l’environnement n’est nécessaire si l’on utilise le serveur sftp interne,
bien que sur certains systèmes d’exploitation, les sessions qui utilisent la
journalisation puissent nécessiter
.Pa /dev/log
à l’intérieur du
répertoire de chroot (voir
.Xr sftp-server 8
pour les détails).
.Pp
Pour la sécurité, il est très important que l’arborescence du répertoire ne
puisse pas être modifiée par d’autres processus sur le système (en
particulier ceux qui se trouvent en dehors du « bac à sable »). Un mauvaise
configuration peut induire des environnements non sécurisés que
.Xr sshd 8
ne pourra pas détecter.
.Pp
L’argument par défaut est
.Cm none ,
indiquant de ne pas passer en
.Xr chroot 2 .
.It Cm Ciphers
Cette option permet de spécifier les algorithmes de chiffrement
autorisés. Plusieurs algorithmes de chiffrement peuvent être spécifiés en
les séparant par des virgules. Si la liste spécifiée commence par un
caractère « + », les algorithmes qu’elle contient seront ajoutés à la liste
par défaut au lieu de la remplacer. Si la liste spécifiée commence par un
caractère « - », les algorithmes qu’elle contient (pouvant contenir des
caractères génériques) seront supprimés de la liste par défaut au lieu de la
remplacer. Si la liste spécifiée commence par un caret « ^ », les
algorithmes qu’elle contient seront ajoutés au début de la liste par défaut.
.Pp
Les algorithmes de chiffrement pris en charge sont :
.Pp
.Bl -item -compact -offset indent
.It 
3des-cbc
.It 
aes128-cbc
.It 
aes192-cbc
.It 
aes256-cbc
.It 
aes128-ctr
.It 
aes192-ctr
.It 
aes256-ctr
.It 
aes128-gcm@openssh.com
.It 
aes256-gcm@openssh.com
.It 
chacha20-poly1305@openssh.com
.El
.Pp
La liste par défaut est :
.Bd -literal -offset indent
chacha20-poly1305@openssh.com,
aes128-ctr,aes192-ctr,aes256-ctr,
aes128-gcm@openssh.com,aes256-gcm@openssh.com
.Ed
.Pp
La liste des algorithmes de chiffrement disponibles peut aussi être obtenue
en utilisant la commande « ssh -Q cipher ».
.It Cm ClientAliveCountMax
Cette option permet de définir le nombre de messages de rappel au client qui
peuvent être envoyés sans que
.Xr sshd 8
reçoive de message en retour du
client. Si cette limite est atteinte alors que des messages de rappel au
client sont envoyés, sshd déconnectera le client et fermera la session. Il
est important de noter que l’utilisation de messages de rappel au client est
très différente de
.Cm TCPKeepAlive .
Les messages de rappel au client
sont envoyés par le canal chiffré et ne sont donc pas falsifiables. L’option
« keepalive » de TCP activée par
.Cm TCPKeepAlive
peut être
compromise. Le mécanisme de rappel au client s’avère utile lorsque le client
ou le serveur ont besoin d’être informés quand une connexion ne répond plus.
.Pp
La valeur par défaut est 3. Si
.Cm ClientAliveInterval
est défini à 15 et
si
.Cm ClientAliveCountMax
conserve sa valeur par défaut de 3, les
clients SSH qui ne répondent pas seront déconnectés après approximativement
45 secondes. Définir
.Cm ClientAliveCountMax
à zéro désactive la
fermeture des connexions inactives.
.It Cm ClientAliveInterval
Cette option permet de définir un délai en secondes après lequel, si aucune
donnée n'est reçue de la part du client,
.Xr sshd 8
enverra un message
par le canal chiffré pour demander une réponse au client. La valeur par
défaut est 0, ce qui signifie qu’aucun message de rappel ne sera envoyé au
client.
.It Cm Compression
Cette option permet d’indiquer si la compression est activée après une
authentification réussie de l’utilisateur. L’argument doit être
.Cm yes ,
.Cm delayed
(un équivalent hérité de
.Cm yes )
ou
.Cm no .
La valeur
par défaut est
.Cm yes .
.It Cm DenyGroups
Cette option peut être suivie d'une liste de motifs de nom de groupe séparés
par des espaces. Les utilisateurs dont le groupe principal ou les groupes
secondaires correspondent à un des motifs ne sont pas autorisés à se
connecter. Seuls les noms de groupe sont valables ; les identifiants
numériques de groupe ne sont pas reconnus. Par défaut, tous les groupes sont
autorisés à se connecter. Les directives de groupe allow/deny sont traitées
dans l’ordre suivant :
.Cm DenyGroups ,
.Cm AllowGroups .
.Pp
Voir la section MOTIFS dans
.Xr ssh_config 5
pour plus d’informations à
propos des motifs. Cette option peut apparaître plusieurs fois dans
.Nm sshd_config ,
chaque instance s’ajoutant à la liste.
.It Cm DenyUsers
Cette option peut être suivie d'une liste de motifs de nom d'utilisateur
séparés par des espaces. Les utilisateurs dont le nom correspond à un des
motifs ne sont pas autorisés à se connecter. Seuls les noms d'utilisateur
sont valables ; les identifiants numériques d'utilisateur ne sont pas
reconnus. Par défaut, tous les utilisateurs sont autorisés à se
connecter. Si le motif est de la forme UTILISATEUR@HÔTE, UTILISATEUR et HÔTE
sont vérifiés séparément, et la connexion est restreinte à certains
utilisateurs de certains hôtes. Le critère HÔTE peut aussi contenir des
correspondances d’adresse au format CIDR adresse/taille_de_masque. Les
directives allow/deny d’utilisateur sont traitées dans l’ordre suivant :
.Cm DenyUsers ,
.Cm AllowUsers .
.Pp
Voir la section MOTIFS dans
.Xr ssh_config 5
pour plus d’informations à
propos des motifs. Cette option peut apparaître plusieurs fois dans
.Nm sshd_config ,
chaque instance s’ajoutant à la liste.
.It Cm DisableForwarding
Cette option permet de désactiver toutes les redirections, y compris X11,
.Xr ssh-agent 1 ,
TCP et StreamLocal. Elle outrepasse toute autre option
concernant une redirection et peut simplifier les configurations
restreintes.
.It Cm ExposeAuthInfo
Cette option permet d’écrire un fichier temporaire contenant une liste des
méthodes d’authentification et des données d’authentification publiques
(comme les clés) utilisées pour authentifier l’utilisateur. L’emplacement du
fichier est indiqué à la session utilisateur à l’aide de la variable
d’environnement
.Ev SSH_USER_AUTH .
La valeur par défaut est
.Cm no .
.It Cm FingerprintHash
Cette option permet de spécifier l’algorithme de hachage utilisé pour la
journalisation des empreintes de clé. Les arguments valables sont
.Cm md5
et
.Cm sha256 .
La valeur par défaut est
.Cm sha256 .
.It Cm ForceCommand
Cette option permet de forcer l’exécution de la commande spécifiée par
.Cm ForceCommand
en ignorant toute commande fournie par le client et
.Pa ~/.ssh/rc
si présent. La commande est invoquée en utilisant l’interpréteur
de commande de connexion de l’utilisateur avec l’option \fB-c\fP. Cette option
s’applique à l’exécution de l’interpréteur de commande, de la commande ou du
sous-système. Elle s’avère particulièrement utile dans un bloc
.Cm Match .
La commande initialement fournie par le client est disponible dans
la variable d’environnement
.Ev SSH_ORIGINAL_COMMAND .
Spécifier la
commande
.Cm internal-sftp
forcera l’utilisation d’un serveur SFTP
interne au processus qui ne nécessite pas de fichier support lorsqu’il est
utilisé avec
.Cm ChrootDirectory .
La valeur par défaut est
.Cm none .
.It Cm GatewayPorts
Cette option permet de spécifier si les machines distantes sont autorisées à
se connecter à des ports redirigés pour le client. Par défaut,
.Xr sshd 8
branche les redirections de port distant à l'adresse de bouclage (loopback
address). Cela empêche les autres machines distantes de se connecter aux
ports redirigés.
.Cm GatewayPorts
peut être utilisé pour indiquer que
.Xr sshd 8
doit permettre le branchement des redirections de port distant
à des adresses autres que loopback, et par conséquent autoriser les autres
machines à se connecter. L’argument peut être
.Cm no
pour forcer les
redirections de port distant à n’être disponibles que pour l’hôte local,
.Cm yes
pour forcer les redirections de port distant à se lier à
l’adresse avec caractères génériques ou
.Cm clientspecified
pour
permettre au client de sélectionner l’adresse à laquelle la redirection est
liée. La valeur par défaut est
.Cm no .
.It Cm GSSAPIAuthentication
Cette option permet de spécifier si l’authentification utilisateur basée sur
GSSAPI est autorisée. La valeur par défaut est
.Cm no .
.It Cm GSSAPICleanupCredentials
Cette option permet d’indiquer si le cache des données d’identification des
utilisateurs doit être automatiquement vidé à la déconnexion. La valeur par
défaut est
.Cm yes .
.It Cm GSSAPIStrictAcceptorCheck
Cette option permet d’indiquer si l’on doit être strict quant à l’identité
de l’accepteur GSSAPI auprès duquel le client s’authentifie. Si elle est
définie à
.Cm yes ,
le client doit s’authentifier auprès du service
« host » avec le nom d’hôte actuel. Si elle est définie à
.Cm no ,
le
client peut s’authentifier auprès de n'importe quelle clé de service stockée
dans le magasin par défaut de la machine. Cette possibilité facilite les
opérations sur les machines multi-réseaux. La valeur par défaut est
.Cm yes .
.It Cm HostbasedAcceptedAlgorithms
Cette option permet de spécifier les algorithmes de signature qui seront
acceptés pour une authentification basée sur l’hôte sous la forme d’une
liste de motifs séparés par des virgules. Si la liste spécifiée commence par
un caractère « + », les algorithmes de signature qu’elle contient seront
ajoutés à la liste par défaut au lieu de la remplacer. Si la liste spécifiée
commence par un caractère « - », les algorithmes de signature qu’elle
contient (pouvant contenir des caractères génériques) seront supprimés de la
liste par défaut au lieu de la remplacer. Si la liste spécifiée commence par
un caret « ^ », les algorithmes de signature qu’elle contient seront ajoutés
au début de la liste par défaut. La liste par défaut est :
.Bd -literal -offset 3n
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
.Ed
.Pp
La liste des algorithmes de signature disponibles peut aussi être obtenue en
utilisant la commande « ssh -Q HostbasedAcceptedAlgorithms ». Cette option
se nommait par le passé HostbasedAcceptedKeyTypes.
.It Cm HostbasedAuthentication
Cette option permet de spécifier si l’authentification par rhosts ou
/etc/hosts.equiv conjointement avec une authentification de machine cliente
par clé publique réussie est autorisée (authentification basée sur
l’hôte). La valeur par défaut est
.Cm no .
.It Cm HostbasedUsesNameFromPacketOnly
Cette option permet d’indiquer si le serveur essaiera d’effectuer une
recherche de nom inverse lors d’une comparaison de nom dans les fichiers
.Pa ~/.shosts ,
.Pa ~/.rhosts
et
.Pa /etc/hosts.equiv
pendant une
authentification basée sur l’hôte. Si elle est définie à
.Cm yes ,
.Xr sshd 8
va utiliser le nom fourni par le client plutôt que de tenter
lui-même de résoudre le nom à partir de la connexion TCP. La valeur par
défaut est
.Cm no .
.It Cm HostCertificate
Cette option permet de spécifier un fichier contenant un certificat d’hôte
public. La clé publique du certificat doit correspondre à une clé d’hôte
privée déjà spécifiée à l’aide de
.Cm HostKey .
Par défaut,
.Xr sshd 8
ne charge aucun certificat.
.It Cm HostKey
Cette option permet de spécifier un fichier contenant une clef d’hôte privée
utilisée par SSH. Les fichiers par défaut sont
.Pa /etc/ssh/ssh_host_ecdsa_key ,
.Pa /etc/ssh/ssh_host_ed25519_key
et
.Pa /etc/ssh/ssh_host_rsa_key .
.Pp
Notez que
.Xr sshd 8
refusera d'utiliser un fichier accessible au groupe
ou aux autres et que l’option
.Cm HostKeyAlgorithms
restreint la liste
des clés réellement utilisées par
.Xr sshd 8 .
.Pp
Il est possible d’avoir plusieurs fichiers de clé d’hôte. Il est aussi
possible de spécifier des fichiers de clé d’hôte publique à la place. Dans
ce cas, les opérations sur la clé privée seront déléguées à un agent
.Xr ssh-agent 1 .
.It Cm HostKeyAgent
Cette option permet d’identifier le socket de domaine Unix utilisé pour
communiquer avec un agent qui a accès aux clés d’hôte privées. Si l’argument
est « SSH_AUTH_SOCK », l’emplacement du socket sera lu depuis la variable
d’environnement
.Ev SSH_AUTH_SOCK .
.It Cm HostKeyAlgorithms
Cette option permet d’indiquer les algorithmes de signature de clé d’hôte
qu’offre le serveur. La valeur par défaut de cette option est :
.Bd -literal -offset 3n
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
.Ed
.Pp
La liste des algorithmes de signature disponibles peut aussi être obtenue en
utilisant la commande « ssh -Q HostKeyAlgorithms ».
.It Cm IgnoreRhosts
Cette option permet de spécifier si les fichiers
.Pa .rhosts
et
.Pa .shosts
propres à un utilisateur doivent être ignorés lors d’une
authentification basée sur l’hôte. Les fichiers globaux du système
.Pa /etc/hosts.equiv
et
.Pa /etc/ssh/shosts.equiv
seront quant à eux
toujours utilisés, et cela quelle que soit la valeur de cette option.
.Pp
Les valeurs acceptées sont
.Cm yes
(la valeur par défaut) pour ignorer
tous les fichiers propres aux utilisateurs,
.Cm shosts-only
pour
autoriser l’utilisation de
.Pa .shosts
mais ignorer
.Pa .rhosts
ou
.Cm no
pour autoriser l’utilisation de
.Pa .shosts
et
.Pa rhosts .
.It Cm IgnoreUserKnownHosts
Cette option permet de spécifier si
.Xr sshd 8
doit ignorer le fichier
.Pa ~/.ssh/known_hosts
de l’utilisateur lors des authentifications basées
sur l’hôte pour n’utiliser que le fichier des hôtes connus global du système
.Pa /etc/ssh/ssh_known_hosts .
La valeur par défaut est
.Cm no .
.It Cm Include
Cette option permet d’inclure le(s) fichier(s) de configuration
spécifié(s). Plusieurs noms de chemin peuvent être spécifiés, chacun d’entre
eux pouvant contenir des caractères génériques
.Xr glob 7 ,
et seront
développés et traités selon l’ordre lexical. Les fichiers qui ne sont pas
spécifiés à l’aide d’un chemin absolu sont supposés être situés dans
.Pa /etc/ssh .
Une directive
.Cm Include
peut être placée dans un bloc
.Cm Match
afin d’effectuer une inclusion conditionnelle.
.It Cm IPQoS
Cette option permet de spécifier le type de service IPv4 ou la classe DSCP
pour la connexion. Les valeurs acceptées sont
.Cm af11 ,
.Cm af12 ,
.Cm af13 ,
.Cm af21 ,
.Cm af22 ,
.Cm af23 ,
.Cm af31 ,
.Cm af32 ,
.Cm af33 ,
.Cm af41 ,
.Cm af42 ,
.Cm af43 ,
.Cm cs0 ,
.Cm cs1 ,
.Cm cs2 ,
.Cm cs3 ,
.Cm cs4 ,
.Cm cs5 ,
.Cm cs6 ,
.Cm cs7 ,
.Cm ef ,
.Cm le ,
.Cm lowdelay ,
.Cm throughput ,
.Cm reliability ,
une valeur numérique ou
.Cm none
pour utiliser la valeur
par défaut du système d’exploitation. Cette option peut prendre un ou deux
arguments séparés par un blanc. Si un seul argument est spécifié, il est
utilisé en tant que classe du paquet sans condition. Si deux arguments sont
spécifiés, le premier est automatiquement sélectionné pour les sessions
interactives et le second pour les sessions non interactives. La valeur par
défaut est
.Cm af21
(données à faible latence) pour les sessions
interactives et
.Cm cs1
(effort moindre) pour les sessions non
interactives.
.It Cm KbdInteractiveAuthentication
Cette option permet de spécifier si l’authentification par saisie au clavier
est autorisée. Tous les styles d’authentification de
.Xr login.conf 5
sont pris en charge. La valeur par défaut est
.Cm yes .
L’argument doit
être
.Cm yes
ou
.Cm no .
.Cm ChallengeResponseAuthentication
est un
alias obsolète de cette option.
.It Cm KerberosAuthentication
Cette option permet de spécifier si le mot de passe fourni par l’utilisateur
pour l’authentification par mot de passe sera validé à l’aide du KDC (Centre
de Distribution de Clé) Kerberos. Pour utiliser cette option, le serveur a
besoin d'un fichier de clé servtab Kerberos qui autorise la vérification de
l'identité du KDC. La valeur par défaut est
.Cm no .
.It Cm KerberosGetAFSToken
Si AFS est actif et si l’utilisateur possède un ticket (TGT) Kerberos 5,
essayer d’obtenir un jeton AFS avant d’accéder au répertoire personnel de
l’utilisateur. La valeur par défaut est
.Cm no .
.It Cm KerberosOrLocalPasswd
Si l'authentification par mot de passe à l’aide de Kerberos échoue, le mot
de passe sera validé à l’aide de n'importe quel mécanisme additionnel local
tel que
.Pa /etc/passwd .
La valeur par défaut est
.Cm yes .
.It Cm KerberosTicketCleanup
Cette option permet de spécifier si le fichier cache du ticket de
l'utilisateur doit être automatiquement détruit à la déconnexion. La valeur
par défaut est
.Cm yes .
.It Cm KexAlgorithms
Cette option permet de spécifier les algorithmes d’échange de clés KEX (Key
Exchange) autorisés que le serveur peut offrir aux clients. L’ordre de cette
liste n’est pas important, car c’est le client qui spécifie un ordre de
préférence. Plusieurs algorithmes peuvent être spécifiés en les séparant par
des virgules.
.Pp
Si la liste spécifiée commence par un caractère « + », les algorithmes
qu’elle contient seront ajoutés à la liste par défaut au lieu de la
remplacer. Si la liste spécifiée commence par un caractère « - », les
algorithmes qu’elle contient (pouvant contenir des caractères génériques)
seront supprimés de la liste par défaut au lieu de la remplacer. Si la liste
spécifiée commence par un caret « ^ », les algorithmes qu’elle contient
seront ajoutés au début de la liste par défaut.
.Pp
Les algorithmes de chiffrement pris en charge sont :
.Pp
.Bl -item -compact -offset indent
.It 
curve25519-sha256
.It 
curve25519-sha256@libssh.org
.It 
diffie-hellman-group1-sha1
.It 
diffie-hellman-group14-sha1
.It 
diffie-hellman-group14-sha256
.It 
diffie-hellman-group16-sha512
.It 
diffie-hellman-group18-sha512
.It 
diffie-hellman-group-exchange-sha1
.It 
diffie-hellman-group-exchange-sha256
.It 
ecdh-sha2-nistp256
.It 
ecdh-sha2-nistp384
.It 
ecdh-sha2-nistp521
.It 
mlkem768x25519-sha256
.It 
sntrup761x25519-sha512
.It 
sntrup761x25519-sha512@openssh.com
.El
.Pp
La liste par défaut est :
.Bd -literal -offset indent
sntrup761x25519-sha512,sntrup761x25519-sha512@openssh.com,
mlkem768x25519-sha256,
curve25519-sha256,curve25519-sha256@libssh.org,
ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
diffie-hellman-group-exchange-sha256,
diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,
diffie-hellman-group14-sha256
.Ed
.Pp
La liste des algorithmes d’échange de clés pris en charge peut aussi être
obtenue en utilisant la commande « ssh -Q KexAlgorithms ».
.It Cm ListenAddress
Cette option permet de spécifier les adresses locales d'écoute sur
lesquelles
.Xr sshd 8
doit attendre les connexions. On peut utiliser les
formes suivantes :
.Pp
.Bl -item -offset indent -compact
.It 
.Cm ListenAddress
.Sm off
.Ar nom_hôte | adresse
.Sm on
.Op Cm rdomain Ar domaine
.It 
.Cm ListenAddress
.Sm off
.Ar nom_hôte : port
.Sm on
.Op Cm rdomain Ar domaine
.It 
.Cm ListenAddress
.Sm off
.Ar adresse_IPv4 : port
.Sm on
.Op Cm rdomain Ar domaine
.It 
.Cm ListenAddress
.Sm off
.Oo Ar nom_hôte | adresse Oc : Ar port
.Sm on
.Op Cm rdomain Ar domaine
.El
.Pp
Le qualificateur facultatif
.Cm rdomain
demande à
.Xr sshd 8
d’écouter
dans un domaine de routage explicite. Si
.Ar port
n’est pas spécifié,
sshd va écouter sur l’adresse et les ports spécifiés à l’aide de toutes les
options
.Cm Port .
Par défaut, l’écoute s’effectue sur toutes les adresses
locales du domaine de routage par défaut actuel. Il est possible de
spécifier plusieurs options
.Cm ListenAddress .
Pour plus d’informations à
propos des domaines de routage, voir
.Xr rdomain 4 .
.It Cm LoginGraceTime
Le serveur se déconnecte après ce délai si l'utilisateur n’a pas réussi à se
connecter. Si la valeur est 0, il n'y a aucune limite de temps. La valeur
par défaut est 120 (secondes).
.It Cm LogLevel
Cette option permet d’indiquer le niveau de prolixité utilisé lors de la
journalisation des messages en provenance de
.Xr sshd 8 .
Les valeurs
possibles sont : QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2
et DEBUG3. La valeur par défaut est INFO. DEBUG et DEBUG1 sont
équivalents. DEBUG2 et DEBUG3 indiquent des niveaux de débogage supérieurs
pour la sortie. Le niveau de journalisation DEBUG viole la vie privée des
utilisateurs et n’est pas recommandé.
.It Cm LogVerbose
Specify one or more overrides to
.Cm LogLevel .
An override consists of
one or more pattern lists that matches the source file, function and line
number to force detailed logging for.  For example, an override pattern of:
.Bd -literal -offset indent
kex.c:*:1000,*:kex_exchange_identification():*,packet.c:*
.Ed
.Pp
activerait la journalisation détaillée pour la ligne 1000 de
.Pa kex.c ,
tout le contenu de la fonction
.Fn kex_exchange_identification
et tout le
code du fichier
.Pa packet.c .
Cette option est destinée au débogage et
aucun outrepassement n’est activé par défaut.
.It Cm MACs
Cette option permet de spécifier les algorithmes MAC (code
d'authentification de message) disponibles. L'algorithme MAC est utilisé
pour la protection de l'intégrité des données. Plusieurs algorithmes peuvent
être spécifiés en les séparant par des virgules. Si la liste spécifiée
commence par un caractère « + », les algorithmes qu’elle contient seront
ajoutés à la liste par défaut au lieu de la remplacer. Si la liste spécifiée
commence par un caractère « - », les algorithmes qu’elle contient (pouvant
contenir des caractères génériques) seront supprimés de la liste par défaut
au lieu de la remplacer. Si la liste spécifiée commence par un caret « ^ »,
les algorithmes qu’elle contient seront ajoutés au début de la liste par
défaut.
.Pp
Les algorithmes qui contiennent « -etm » calculent le MAC après chiffrement
(encrypt-then-mac). Ils sont considérés comme plus sûrs et leur utilisation
est recommandée. Les algorithmes MAC pris en charge sont :
.Pp
.Bl -item -compact -offset indent
.It 
hmac-md5
.It 
hmac-md5-96
.It 
hmac-sha1
.It 
hmac-sha1-96
.It 
hmac-sha2-256
.It 
hmac-sha2-512
.It 
umac-64@openssh.com
.It 
umac-128@openssh.com
.It 
hmac-md5-etm@openssh.com
.It 
hmac-md5-96-etm@openssh.com
.It 
hmac-sha1-etm@openssh.com
.It 
hmac-sha1-96-etm@openssh.com
.It 
hmac-sha2-256-etm@openssh.com
.It 
hmac-sha2-512-etm@openssh.com
.It 
umac-64-etm@openssh.com
.It 
umac-128-etm@openssh.com
.El
.Pp
La liste par défaut est :
.Bd -literal -offset indent
umac-64-etm@openssh.com,umac-128-etm@openssh.com,
hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,
hmac-sha1-etm@openssh.com,
umac-64@openssh.com,umac-128@openssh.com,
hmac-sha2-256,hmac-sha2-512,hmac-sha1
.Ed
.Pp
La liste des algorithmes MAC disponibles peut aussi être obtenue en
utilisant la commande « ssh -Q mac ».
.It Cm Match
Cette option introduit un bloc conditionnel. Si tous les critères de la
ligne du
.Cm Match
sont respectés, les options des lignes suivantes
outrepassent celles définies dans la partie globale du fichier de
configuration jusqu’à ce qu’on atteigne une autre ligne
.Cm Match
ou la
fin du fichier. Si une option apparaît dans plusieurs blocs
.Cm Match
dont les critères sont respectés, seule la première instance de l’option
s’applique.
.Pp
The arguments to
.Cm Match
are one or more criteria-pattern pairs or one
of the single token criteria:
.Cm All ,
which matches all criteria, or
.Cm Invalid-User ,
which matches when the requested user-name does not
match any known account.  The available criteria are
.Cm User ,
.Cm Group ,
.Cm Host ,
.Cm LocalAddress ,
.Cm LocalPort ,
.Cm RDomain ,
and
.Cm Address
(with
.Cm RDomain
representing the
.Xr rdomain 4
on
which the connection was received).
.Pp
Les motifs de correspondance peuvent se composer d’entrées simples ou de
listes de motifs séparés par des virgules et peuvent utiliser les caractères
génériques et les opérateurs de négation décrits dans la section
.Sx MOTIFS
de
.Xr ssh_config 5 .
.Pp
Les motifs d’un critère
.Cm Address
peuvent aussi contenir des groupes
d’adresses au format CIDR adresse/taille_de_masque comme 192.0.2.0/24 ou
2001:db8::/32. Notez que la taille de masque spécifiée doit être cohérente
avec l’adresse ; spécifier une taille de masque trop longue pour l’adresse
ou une taille avec des bits définis dans cette partie hôte de l’adresse est
une erreur. 192.0.2.0/33 et 192.0.2.0/8, respectivement, sont des exemples
de cette erreur.
.Pp
Only a subset of keywords may be used on the lines following a
.Cm Match
keyword.  Available keywords are
.Cm AcceptEnv ,
.Cm AllowAgentForwarding ,
.Cm AllowGroups ,
.Cm AllowStreamLocalForwarding ,
.Cm AllowTcpForwarding ,
.Cm AllowUsers ,
.Cm AuthenticationMethods ,
.Cm AuthorizedKeysCommand ,
.Cm AuthorizedKeysCommandUser ,
.Cm AuthorizedKeysFile ,
.Cm AuthorizedPrincipalsCommand ,
.Cm AuthorizedPrincipalsCommandUser ,
.Cm AuthorizedPrincipalsFile ,
.Cm Banner ,
.Cm CASignatureAlgorithms ,
.Cm ChannelTimeout ,
.Cm ChrootDirectory ,
.Cm ClientAliveCountMax ,
.Cm ClientAliveInterval ,
.Cm DenyGroups ,
.Cm DenyUsers ,
.Cm DisableForwarding ,
.Cm ExposeAuthInfo ,
.Cm ForceCommand ,
.Cm GatewayPorts ,
.Cm GSSAPIAuthentication ,
.Cm HostbasedAcceptedAlgorithms ,
.Cm HostbasedAuthentication ,
.Cm HostbasedUsesNameFromPacketOnly ,
.Cm IgnoreRhosts ,
.Cm Include ,
.Cm IPQoS ,
.Cm KbdInteractiveAuthentication ,
.Cm KerberosAuthentication ,
.Cm LogLevel ,
.Cm MaxAuthTries ,
.Cm MaxSessions ,
.Cm PAMServiceName ,
.Cm PasswordAuthentication ,
.Cm PermitEmptyPasswords ,
.Cm PermitListen ,
.Cm PermitOpen ,
.Cm PermitRootLogin ,
.Cm PermitTTY ,
.Cm PermitTunnel ,
.Cm PermitUserRC ,
.Cm PubkeyAcceptedAlgorithms ,
.Cm PubkeyAuthentication ,
.Cm PubkeyAuthOptions ,
.Cm RefuseConnection ,
.Cm RekeyLimit ,
.Cm RevokedKeys ,
.Cm RDomain ,
.Cm SetEnv ,
.Cm StreamLocalBindMask ,
.Cm StreamLocalBindUnlink ,
.Cm TrustedUserCAKeys ,
.Cm UnusedConnectionTimeout ,
.Cm X11DisplayOffset ,
.Cm X11Forwarding
and
.Cm X11UseLocalhost .
.It Cm MaxAuthTries
Cette option permet de spécifier le nombre maximal de tentatives
d’authentification par connexion. Lorsque le nombre d’échecs atteint la
moitié de cette valeur, les échecs suivants sont journalisés. La valeur par
défaut est 6.
.It Cm MaxSessions
Cette option permet de spécifier le nombre maximal autorisé de sessions
d’interpréteur de commande, de connexion ou de sous-système (par exemple
sftp) ouvertes par connexion réseau. Les clients qui prennent en charge le
multiplexage de connexions peuvent établir plusieurs sessions. Définir
.Cm MaxSessions
à 1 désactive à proprement parler le multiplexage de sessions,
alors que le définir à 0 interdit toute session d’interpréteur de commande,
de connexion ou de sous-système tout en permettant la redirection. La valeur
par défaut est 10.
.It Cm MaxStartups
Cette option permet de spécifier le nombre maximal de connexions simultanées
non authentifiées au démon SSH. Les connexions supplémentaires seront
rejetées jusqu’à ce que l’authentification réussisse ou que le délai de
grâce défini à l'aide de l'option
.Cm LoginGraceTime
expire pour une
connexion. La valeur par défaut est 10:30:100.
.Pp
Une autre possibilité consiste à activer le rejet prématuré aléatoire en
spécifiant un triplet « début:taux:total » (par exemple,
« 10:30:60 »).
.Xr sshd 8
va alors rejeter les tentatives de connexion
avec une probabilité de « taux/100 » (30 %) s'il y a « début » (10)
connexions non authentifiées en cours. La probabilité augmente linéairement
et toutes les tentatives de connexion seront rejetées si le nombre de
connexions non authentifiées atteint « total » (60).
.It Cm ModuliFile
Cette option permet de spécifier le fichier
.Xr moduli 5
qui contient les
groupes Diffie-Hellman utilisés pour les méthodes d’échange de clés
« diffie-hellman-group-exchange-sha1 » et
« diffie-hellman-group-exchange-sha256 ». La valeur par défaut est
.Pa /etc/ssh/moduli .
.It Cm PAMServiceName
Cette option permet de spécifier le nom de service utilisé pour
l’authentification, l’autorisation et le contrôle de session PAM (Pluggable
Authentication Modules) lorsque
.Cm UsePAM
est activé. La valeur par
défaut est
.Cm sshd .
.It Cm PasswordAuthentication
Cette option permet de spécifier si l'authentification par mot de passe est
autorisée. La valeur par défaut est
.Cm yes .
.It Cm PermitEmptyPasswords
Quand l'authentification par mot de passe est autorisée, cette option permet
de spécifier si le serveur autorise les connexions à des comptes dont les
mots de passe sont des chaînes de caractères vides. La valeur par défaut est
.Cm no .
.It Cm PermitListen
Cette option permet de spécifier les adresses/ports sur lesquels une
redirection de port TCP distant peut écouter. La spécification de permission
d’écoute peut être sous une des formes suivantes :
.Pp
.Bl -item -offset indent -compact
.It 
.Cm PermitListen
.Sm off
.Ar port
.Sm on
.It 
.Cm PermitListen
.Sm off
.Ar hôte : port
.Sm on
.El
.Pp
Plusieurs permissions peuvent être spécifiées en les séparant par des
blancs. Si l’argument est
.Cm any ,
toutes les restrictions sont
supprimées et toutes les requêtes d’écoute sont autorisées. Si l’argument
est
.Cm none ,
toutes les requêtes d’écoute sont interdites. Le nom d’hôte
peut contenir des caractères génériques comme décrit dans la section MOTIFS
de
.Xr ssh_config 5 .
Si le numéro de port est remplacé par le caractère
générique « * », tous les ports sont autorisés. Par défaut, toutes les
requêtes d’écoute de redirection de port sont autorisées. Notez que l’option
.Cm GatewayPorts
peut par la suite restreindre les adresses qui peuvent
être écoutées. Notez aussi que
.Xr ssh 1
demandera « localhost » comme
hôte d’écoute si aucun hôte d’écoute n’a été spécifiquement demandé, et que
ce nom est traité différemment des adresses d'hôte local explicites
« 127.0.0.1 » et « ::1 ».
.It Cm PermitOpen
Cette option permet de spécifier les destinations vers lesquelles la
redirection de port TCP est autorisée. La spécification de redirection doit
être sous une des formes suivantes :
.Pp
.Bl -item -offset indent -compact
.It 
.Cm PermitOpen
.Sm off
.Ar hôte : port
.Sm on
.It 
.Cm PermitOpen
.Sm off
.Ar adr_IPv4 : port
.Sm on
.It 
.Cm PermitOpen
.Sm off
.Ar \&[ adr_IPv6 \&] : port
.Sm on
.El
.Pp
Plusieurs redirections peuvent être spécifiées en les séparant par des
blancs. Si l’argument est
.Cm any ,
toutes les restrictions sont
supprimées et toutes les requêtes de redirection sont autorisées. Si
l’argument est
.Cm none ,
toutes les requêtes de redirection sont
interdites. Si l’hôte ou le numéro de port est remplacé par le caractère
générique « * », tous les hôtes ou ports, respectivement, sont
autorisés. Sinon, aucune correspondance de motif ou de recherche d’adresse
n’est effectuée pour les noms fournis. Par défaut, toutes les requêtes de
redirection de port sont autorisées.
.It Cm PermitRootLogin
Cette option permet de spécifier si l’utilisateur root peut se connecter en
utilisant
.Xr ssh 1 .
L'argument doit être
.Cm yes ,
.Cm prohibit-password ,
.Cm forced-commands-only
ou
.Cm no .
La valeur par
défaut est
.Cm prohibit-password . .
.Pp
Si cette option est définie à
.Cm prohibit-password
(ou son alias
obsolète
.Cm without-password ) ,
l'authentification par mot de passe et
interaction au clavier est désactivée pour l’utilisateur root.
.Pp
Si cette option est définie à
.Cm forced-commands-only ,
les connexions de
l’utilisateur root sont autorisées avec une authentification par clé
publique, mais seulement si l'option
.Ar command
a été spécifiée (ce qui
peut être utile pour effectuer des sauvegardes à distance même si les
connexions de l’utilisateur root sont normalement interdites). Toutes les
autres méthodes d'authentification sont désactivées pour l’utilisateur root.
.Pp
Si cette option est définie à
.Cm no ,
l’utilisateur root n'est pas
autorisé à se connecter.
.It Cm PermitTTY
Cette option permet de spécifier si l’allocation de terminal
.Xr pty 4
est autorisée. La valeur par défaut est
.Cm yes .
.It Cm PermitTunnel
Cette option permet de spécifier si la redirection de dispositif
.Xr tun 4
est autorisée. L’argument doit être
.Cm yes ,
.Cm point-to-point
(couche 3),
.Cm ethernet
(couche 2) ou
.Cm no .
Spécifier
.Cm yes
revient à autoriser
.Cm point-to-point
et
.Cm ethernet .
La valeur par
défaut est
.Cm no .
.Pp
Indépendamment de cette définition, les permissions du dispositif
.Xr tun 4
sélectionné doivent accorder l’autorisation d’accès à l’utilisateur.
.It Cm PermitUserEnvironment
Cette option permet de spécifier si les options
.Cm environment=
de
.Pa ~/.ssh/authorized_keys
et le fichier
.Pa ~/.ssh/environment
seront
traités par
.Xr sshd 8 .
L’argument doit être
.Cm yes ,
.Cm no
ou une
liste de motifs indiquant les noms de variable d’environnement à accepter
(par exemple « LANG,LC_* »). La valeur par défaut est
.Cm no .
Activer le
traitement de l’environnement peut permettre aux utilisateurs de
court-circuiter les restrictions d’accès dans certaines configurations
utilisant des mécanismes comme
.Ev LD_PRELOAD .
.It Cm PermitUserRC
Cette option permet de spécifier si le fichier
.Pa ~/.ssh/rc
sera
exécuté. La valeur par défaut est
.Cm yes .
.It Cm PerSourceMaxStartups
Cette option permet de spécifier le nombre de connexions non authentifiées
permises depuis une adresse source donnée ou « none » pour n’imposer aucune
limite. Cette limite s’applique en plus de
.Cm MaxStartups ,
la valeur la
plus basse des deux étant retenue. La valeur par défaut est
.Cm no .
.It Cm PerSourceNetBlockSize
Cette option permet de spécifier le nombre de bits de l’adresse source qui
sont regroupés pour appliquer les limites de PerSourceMaxStartups. Il est
possible de spécifier la valeur pour IPv4 éventuellement suivie d’un
deux-points « : » et de la valeur pour IPv6. La valeur par défaut est
.Cm 32:128 ,
ce qui signifie que chaque adresse est considérée individuellement.
.It Cm PerSourcePenalties
Cette option permet de contrôler les pénalités à appliquer pour diverses
conditions qui peuvent correspondre à une attaque sur
.Xr sshd 8 .
Si une
pénalité est appliquée à un client, son adresse source et toutes celles du
même réseau (tel que défini par
.Cm PerSourceNetBlockSize )
feront l’objet
d’un refus de connexion pendant un certain temps.
.Pp
Une pénalité n’affecte pas les connexions simultanées en cours, mais
plusieurs pénalités pour la même source et des connexions simultanées vont
s’accumuler jusqu’à un maximum. Inversement, les pénalités ne sont
appliquées qu’une fois un certain seuil de temps accumulé.
.Pp
Penalties are enabled by default with the default settings listed below but
may disabled using the
.Cm no
keyword.  The defaults may be overridden by
specifying one or more of the keywords below, separated by whitespace.  All
keywords accept arguments, e.g.\&
.Qq crash:2m .
.Bl -tag -width Ds
.It Cm crash:durée
Spécifier la durée pendant laquelle seront rejetés les clients qui ont causé
un plantage de
.Xr sshd 8
(par défaut 90 secondes).
.It Cm authfail:durée
Spécifier la durée pendant laquelle seront rejetés les clients qui se
déconnectent après avoir effectué une ou plusieurs tentatives
d’authentification infructueuses (par défaut 5 secondes).
.It Cm refuseconnection:duration
Specifies how long to refuse clients that were administratively prohibited
connection via the
.Cm RefuseConnection
option (default: 10s).
.It Cm noauth:durée
Spécifier la durée pendant laquelle seront rejetés les clients qui se
déconnectent sans essayer de s’authentifier (par défaut 1 seconde). Ce délai
doit être utilisé avec prudence sous peine de pénaliser des outils de
recherche légitimes comme
.Xr ssh-keyscan 1 .
.It Cm grace-exceeded:durée
Specifies how long to refuse clients that fail to authenticate after
.Cm LoginGraceTime
(default: 10s).
.It Cm max:durée
Spécifier la durée maximale pendant laquelle l’accès sera refusé pour un
intervalle d’adresses sources particulier (par défaut 10 minutes). Des
pénalités répétées feront grimper la durée jusqu’à cette valeur maximale.
.It Cm min:durée
Spécifier la pénalité minimale qui doit être atteinte avant que
l’application ne commence (par défaut 15 secondes).
.It Cm max-sources4:nombre , max-sources6:nombre
Spécifier le nombre maximal de plages d'adresses client IPv4 et IPv6 à
suivre pour les pénalités (par défaut : 65 536 pour les deux).
.It Cm overflow:mode
Cette option permet de contrôler la manière dont le serveur se comporte
lorsque
.Cm max-sources4
ou
.Cm max-sources6
sont dépassés. Il y a
deux modes opératoires :
.Cm deny-all
qui rejette toutes les connexions
entrantes autres que celles exemptées à l’aide de
.Cm PerSourcePenaltyExemptList
jusqu’à ce qu’une pénalité arrive à expiration,
et
.Cm permissive
qui autorise de nouvelles connexions en supprimant les
pénalités existantes plus tôt (le mode par défaut est
.Cm permissive ) .
Notez que les pénalités client inférieures au seuil
.Cm min
sont comptabilisées dans le nombre total de pénalités suivies. Les adresses
IPv4 et IPv6 sont suivies séparément, si bien qu’un dépassement dans l’un
n’affectera pas l’autre.
.It Cm overflow6:mode
Cette option permet de spécifier un mode de dépassement différent pour les
adresses IPv6. Par défaut, c’est le même mode de dépassement que celui
défini pour IPv4 qui est utilisé.
.El
.It Cm PerSourcePenaltyExemptList
Cette option permet de spécifier une liste, séparée par des virgules,
d’adresses exemptes de pénalités. Cette liste peut contenir des caractères
génériques et des intervalles au format CIDR adresse/taille_masque. Notez
que la taille de masque fournie doit être cohérente avec l’adresse — il est
erroné de spécifier une taille de masque trop grande pour l’adresse ou avec
des bits positionnés dans la partie hôte de l’adresse (par exemple
192.0.2.0/33 et 192.0.2.0/8, respectivement). Par défaut, aucune adresse
n’est exemptée.
.It Cm PidFile
Cette option permet de spécifier l'emplacement du fichier contenant
l'identifiant du processus du démon de SSH ou
.Cm none
pour ne pas écrire
ce fichier. La valeur par défaut est
.Pa /run/sshd.pid .
.It Cm Port
Cette option permet de spécifier le numéro du port sur lequel écoute
.Xr sshd 8 .
La valeur par défaut est 22. Cette option peut être spécifiée
plusieurs fois. Voir aussi
.Cm ListenAddress .
.It Cm PrintLastLog
Cette option permet de spécifier si
.Xr sshd 8
doit afficher la date et
l'heure de la dernière connexion d’un utilisateur lorsque l’utilisateur se
connecte en mode interactif. La valeur par défaut est
.Cm yes .
.It Cm PrintMotd
Cette option permet de spécifier si
.Xr sshd 8
doit afficher le contenu
du fichier
.Pa /etc/motd
quand un utilisateur se connecte en mode
interactif (sur certains systèmes, il est aussi affiché par l'interpréteur
de commande ou le fichier
.Pa /etc/profile
ou équivalent). La valeur par
défaut est
.Cm yes .
.It Cm PubkeyAcceptedAlgorithms
Cette option permet de spécifier les algorithmes de signature qui seront
acceptés pour une authentification par clé publique sous la forme d’une
liste de motifs séparés par des virgules. Si la liste spécifiée commence par
un caractère « + », les algorithmes de signature qu’elle contient seront
ajoutés à la liste par défaut au lieu de la remplacer. Si la liste spécifiée
commence par un caractère « - », les algorithmes de signature qu’elle
contient (pouvant contenir des caractères génériques) seront supprimés de la
liste par défaut au lieu de la remplacer. Si la liste spécifiée commence par
un caret « ^ », les algorithmes de signature qu’elle contient seront ajoutés
au début de la liste par défaut. La liste par défaut est :
.Bd -literal -offset 3n
ssh-ed25519-cert-v01@openssh.com,
ecdsa-sha2-nistp256-cert-v01@openssh.com,
ecdsa-sha2-nistp384-cert-v01@openssh.com,
ecdsa-sha2-nistp521-cert-v01@openssh.com,
sk-ssh-ed25519-cert-v01@openssh.com,
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,
rsa-sha2-512-cert-v01@openssh.com,
rsa-sha2-256-cert-v01@openssh.com,
ssh-ed25519,
ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
sk-ssh-ed25519@openssh.com,
sk-ecdsa-sha2-nistp256@openssh.com,
rsa-sha2-512,rsa-sha2-256
.Ed
.Pp
La liste des algorithmes de signature disponibles peut aussi être obtenue en
utilisant la commande « ssh -Q PubkeyAcceptedAlgorithms ».
.It Cm PubkeyAuthOptions
Cette option permet de définir une ou plusieurs options d’authentification
par clé publique. Les mots-clés pris en charge sont :
.Cm none
(la valeur
par défaut indiquant qu’aucune autre option n’est activée),
.Cm touch-required
et
.Cm verify-required .
.Pp
L’option
.Cm touch-required
fait que l’authentification par clé publique
utilise un algorithme d’authentificateur FIDO (c’est-à-dire
.Cm ecdsa-sk
ou
.Cm ed25519-sk )
de façon à toujours imposer la signature pour attester
qu’un utilisateur physiquement présent a confirmé explicitement
l’authentification (en général en touchant l’authentificateur). Par défaut,
.Xr sshd 8
impose la présence de l’utilisateur, sauf outrepassement à
l’aide d’une option authorized_keys. L’option
.Cm touch-required
désactive cet outrepassement.
.Pp
L’option
.Cm verify-required
impose qu’une signature de clé FIDO atteste
que l’utilisateur a été vérifié, par exemple à l’aide d’un code PIN.
.Pp
Les mots-clés
.Cm touch-required
ou
.Cm verify-required
n’ont aucun
effet sur les autres types d’authentification par clé publique non-FIDO.
.It Cm PubkeyAuthentication
Cette option permet de spécifier si l’authentification par clé publique est
autorisée. La valeur par défaut est
.Cm yes .
.It Cm RefuseConnection
Indicates that
.Xr sshd 8
should unconditionally terminate the
connection.  Additionally, a
.Cm refuseconnection
penalty may be recorded
against the source of the connection if
.Cm PerSourcePenalties
are
enabled.  This option is only really useful in a
.Cm Match
block.
.It Cm RekeyLimit
Cette option permet de spécifier la quantité maximale de données qui peuvent
être envoyées ou reçues, éventuellement suivie d’une durée maximale, avant
que la clé de session ne soit renégociée. Le premier argument est spécifié
en octets et peut posséder un suffixe « K », « M » ou « G » pour indiquer
respectivement des kilo-octets, des méga-octets ou des giga-octets. La
valeur par défaut se situe entre « 1 Go » et « 4 Go » en fonction de
l’algorithme de chiffrement. Le second argument facultatif est spécifié en
secondes et peut utiliser toutes les unités décrites dans la section
.Sx FORMATS DE TEMPS .
La valeur par défaut de
.Cm RekeyLimit
est
.Cm default none ,
ce qui signifie que la renégociation de clé est effectuée
après que la quantité de données par défaut de l’algorithme de chiffrement a
été envoyée ou reçue, et qu’aucune renégociation de clé basée sur la durée
n’est effectuée.
.It Cm RequiredRSASize
Cette option permet de spécifier la taille minimale de clé RSA (en bits) que
.Xr sshd 8
acceptera. Les clés d’authentification d’utilisateur et basées
sur l’hôte dont la taille est en dessous de cette limite seront refusées. La
valeur par défaut est
.Cm 1024
 bits. Notez que la valeur spécifiée doit
être supérieure ou égale à la valeur par défaut.
.It Cm RevokedKeys
Cette option permet de spécifier l’emplacement du fichier des clés publiques
révoquées ou
.Cm none
si on ne l’utilise pas. Les clés listées dans ce
fichier seront refusées pour l’authentification par clé publique. Notez que
si ce fichier n’est pas accessible en lecture, l’authentification par clé
publique sera refusée pour tous les utilisateurs. Les clés peuvent être
spécifiées à l’aide d’un fichier texte avec une clé par ligne, ou sous la
forme d’une liste de révocations de clé OpenSSH (KRL) telle que générée par
.Xr ssh-keygen 1 .
Pour plus d’informations à propos des KRL, voir la
section LISTES DE RÉVOCATIONS DE CLÉ de
.Xr ssh-keygen 1 .
.It Cm RDomain
Cette option permet de spécifier un domaine de routage explicite qui
s’appliquera une fois le processus d’authentification terminé. La session
utilisateur, ainsi que tout socket IP d’écoute ou redirigé, sera lié à ce
.Xr rdomain 4 .
Si le domaine de routage est défini à
.Cm \&%D ,
le
domaine dans lequel la connexion entrante a été reçue s’appliquera.
.It Cm SecurityKeyProvider
Cette option permet de spécifier le chemin d’une bibliothèque qui sera
utilisée lors du chargement des clés hébergées par un authentificateur FIDO,
outrepassant ainsi le comportement par défaut consistant à utiliser le
support USB HID embarqué.
.It Cm SetEnv
Cette option permet de spécifier une ou plusieurs variables d’environnement
à définir dans les sessions enfant ouvertes par
.Xr sshd 8 ,
sous la forme
« NOM=VALEUR ». La valeur de la variable d’environnement peut être entourée
de guillemets droits (par exemple si elle contient des blancs). Les
variables d’environnement définies à l’aide de
.Cm SetEnv
outrepassent
l’environnement par défaut et toute variable spécifiée par l’utilisateur à
l’aide de
.Cm AcceptEnv
ou
.Cm PermitUserEnvironment .
.It Cm SshdSessionPath
Remplacer le chemin par défaut de l’exécutable
.Cm sshd-session
invoqué
pour gérer chaque connexion. Le chemin par défaut est
.Pa /usr/lib/ssh/sshd-session .
Cette option est destinée à être utilisée dans
les tests.
.It Cm StreamLocalBindMask
Cette option permet de définir le masque de mode de création de fichier
.Pq umask
à utiliser pour créer un fichier de socket de domaine Unix pour
la redirection de port local ou distant. Cette option n’est utilisée que
pour la redirection d’un port vers un fichier de socket de domaine Unix.
.Pp
La valeur par défaut est 0177 qui crée un fichier de socket de domaine Unix
qui n’est accessible en lecture et écriture que pour son propriétaire. Notez
que tous les systèmes d’exploitation ne tiennent pas compte du mode de
fichier pour les fichiers de socket de domaine Unix.
.It Cm StreamLocalBindUnlink
Cette option permet de spécifier si un fichier de socket de domaine Unix
pour la redirection de port local ou distant doit être supprimé avant d’en
créer un nouveau. Si le fichier de socket existe déjà et si
.Cm StreamLocalBindUnlink
n’est pas activée,
.Nm sshd
ne pourra pas
rediriger le port vers le fichier de socket de domaine Unix. Cette option
n’est utilisée que pour la redirection de port vers un fichier de socket de
domaine Unix.
.Pp
L’argument doit être
.Cm yes
ou
.Cm no .
La valeur par défaut est
.Cm no .
.It Cm StrictModes
Cette option permet de spécifier si
.Xr sshd 8
doit vérifier les modes et
le propriétaire des fichiers et du répertoire personnel de l'utilisateur
avant d'accepter une connexion. C'est en général souhaitable, parce que les
novices laissent parfois accidentellement leur répertoire ou leurs fichiers
accessibles en écriture pour tout le monde. La valeur par défaut est
.Cm yes .
Notez que cette option ne s’applique pas à
.Cm ChrootDirectory
dont
les permissions et propriétaire sont systématiquement vérifiés.
.It Cm Subsystem
Cette option permet de configurer un sous-système externe (par exemple un
démon de transfert de fichiers). Les arguments doivent être un nom de
sous-système et une commande (avec arguments optionnels) à exécuter lors
d'une requête à ce sous-système.
.Pp
La commande
.Cm sftp-server
implémente le sous-système de transfert de
fichiers SFTP.
.Pp
La commande
.Cm internal-sftp ,
quant à elle, implémente un serveur SFTP
interne au processus, ce qui peut simplifier les configurations utilisant
.Cm ChrootDirectory
pour forcer une racine de système de fichiers
différente sur les clients. Cette commande accepte les même arguments que
.Cm sftp-server ,
et même si elle est interne au processus, les options
telles que
.Cm LogLevel
ou
.Cm SyslogFacility
ne s’appliquent pas à
elle et doivent être définies explicitement à l’aide d’arguments sur la
ligne de commande.
.Pp
Par défaut, aucun sous-système n’est défini.
.It Cm SyslogFacility
Cette option permet d’indiquer le code de catégorie (« facility ») utilisé
lors de la journalisation des messages du démon
.Xr sshd 8 .
Les valeurs
possibles sont : DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4,
LOCAL5, LOCAL6 et LOCAL7. La valeur par défaut est AUTH.
.It Cm TCPKeepAlive
Cette option permet de spécifier si le système doit envoyer des messages de
rappel TCP à l’autre extrémité de la connexion. Si ces messages sont
envoyés, la mort d’une connexion ou le plantage d’une des machines seront
notifiés de manière appropriée. Cela signifie cependant que les connexions
seront fermées si la route est momentanément interrompue, et cela indispose
certains utilisateurs. À l’inverse, si les messages de rappel TCP ne sont
pas envoyés, des sessions pourront rester indéfiniment bloquées sur le
serveur en laissant des utilisateurs « fantômes » et en consommant des
ressources du serveur.
.Pp
La valeur par défaut est
.Cm yes
(envoyer les messages de rappel TCP), et
le serveur saura alors si le réseau tombe ou si la machine du client se
plante, ce qui permet d’éviter le blocage infini de sessions.
.Pp
Pour désactiver l’envoi de messages de rappel TCP, cette option doit être
définie à
.Cm no .
.It Cm TrustedUserCAKeys
Cette option permet de spécifier un fichier contenant les clés publiques
d’autorités de certification considérées comme fiables pour signer des
certificats utilisateur pour l’authentification, ou
.Cm none
pour ne pas
utiliser un tel fichier. Chaque ligne du fichier contient une clé ; les
lignes vides et les commentaires commençant par « # » sont autorisés. Si un
certificat est présenté pour une authentification et si la clé de la CA qui
l’a signé est enregistrée dans ce fichier, il pourra être utilisé pour
l’authentification pour tout utilisateur faisant partie de la liste de
« principals » du certificat. Notez que les certificats qui ne possèdent pas
de liste de « principals » ne seront pas acceptés pour une authentification
utilisant
.Cm TrustedUserCAKeys
(NDT : un « principal » est une chaîne
arbitraire définie au niveau du serveur pour un utilisateur et devant être
présente dans le certificat du client pour que ce dernier puisse se
connecter). Pour plus de détails à propos des certificats, voir la section
CERTIFICATS de
.Xr ssh-keygen 1 .
.It Cm UnusedConnectionTimeout
Cette option permet de spécifier si et au bout de combien de temps
.Xr sshd 8
doit fermer les connexions client sans canaux ouverts. Les canaux
ouverts comprennent les interpréteurs de commande actifs, les exécutions de
commande ou les sessions de sous-système, les réseaux connectés, les
sockets, les redirections d’agent ou de X11. Les écouteurs de redirection
tels que ceux du drapeau
.Fl R
de
.Xr ssh 1
ne sont pas considérés
comme des canaux ouverts et n’empêchent pas le délai d’arriver à
expiration. La valeur du délai est spécifiée en secondes ou peut utiliser
toute unité décrite dans la section
.Sx FORMATS DE TEMPS .
.Pp
Notez que ce délai prend effet lorsque la connexion du client a terminé
l’authentification de l’utilisateur, mais avant que le client ait
l’opportunité d’ouvrir un canal. Il faut être prudent lorsqu’on utilise des
valeurs de délai courtes, car elles ne donneront peut-être pas assez de
temps au client pour demander l’ouverture de ses canaux avant la fermeture
de la connexion.
.Pp
La valeur par défaut est
.Cm none
et indique que les connexions sans
canaux ouverts n’auront pas de délai d’expiration. Cette option s’avère
utile en combinaison avec l’option
.Cm ChannelTimeout .
.It Cm UseDNS
Cette option permet de spécifier si
.Xr sshd 8
doit rechercher le nom de
l’hôte distant et vérifier que le nom d’hôte résolu pour l’adresse IP
distante correspond en retour à exactement la même adresse IP.
.Pp
Si cette option est définie à
.Cm no
(la valeur par défaut), les noms
d’hôte ne pourront pas être utilisés dans les directives
.Cm from ,
.Nm sshd_config ,
.Cm Match
et
.Cm Host
de
.Pa ~/.ssh/authorized_keys ,
mais
seulement leurs adresses IP.
.It Cm UsePAM
Cette option permet d’activer l’interface PAM (Pluggable Authentication
Module). Si elle est définie à
.Cm yes ,
l’authentification PAM sera
activée en utilisant
.Cm KbdInteractiveAuthentication
et
.Cm PasswordAuthentication
en plus du traitement du module PAM de compte et de
session pour tous les types d’authentification.
.Pp
Étant donné que l’authentification PAM par interaction au clavier est en
général équivalente à l’authentification par mot de passe, vous devez
désactiver
.Cm PasswordAuthentication
ou
.Cm KbdInteractiveAuthentication .
.Pp
Si
.Cm UsePAM
est activée, vous ne pourrez pas exécuter
.Xr sshd 8
en
tant qu’utilisateur autre que le superutilisateur. La valeur par défaut est
.Cm no .
.It Cm VersionAddendum
Cette option permet de spécifier du texte additionnel à ajouter à la
bannière de protocole SSH envoyée par le serveur lors d’une connexion. La
valeur par défaut est
.Cm none .
.It Cm X11DisplayOffset
Cette option permet de spécifier le premier numéro de « display » disponible
pour les redirections de X11 par
.Xr sshd 8 ,
ce qui empêche sshd
d'interférer avec les vrais serveurs X11. La valeur par défaut est 10.
.It Cm X11Forwarding
Cette option permet de spécifier si les redirections de X11 sont
autorisées. L’argument doit être
.Cm yes
ou
.Cm no .
La valeur par
défaut est
.Cm no .
.Pp
Lorsque la redirection de X11 est activée, le serveur et les affichages du
client peuvent être davantage exposés si le « display » mandataire de
.Xr sshd 8
est configuré pour écouter l'adresse générique (voir
.Cm X11UseLocalhost ) ,
bien que cela ne soit pas le comportement par défaut. De
plus, l’usurpation d’authentification ainsi que la vérification et la
substitution des données d’authentification se produisent côté client. Le
risque de sécurité induit par l’utilisation de la redirection de X11 est que
le serveur d’affichage X11 du client soit exposé à une attaque lorsque le
client SSH demande la redirection (voir les avertissements à propos de
.Cm ForwardX11
dans
.Xr ssh_config 5 ) .
Un administrateur système peut
vouloir protéger les clients qui pourraient s'exposer à des attaques en
demandant involontairement une redirection de X11, ce qui pourrait justifier
de définir cette option à
.Cm no .
.Pp
Notez que la désactivation des redirections de X11 n'empêche pas les
utilisateurs de rediriger le trafic X11, puisqu’ils pourront toujours
installer leurs propres redirecteurs.
.It Cm X11UseLocalhost
Cette option permet de spécifier si
.Xr sshd 8
doit lier le serveur de
redirection de X11 à l'adresse de bouclage (loopback address) ou à l'adresse
générique (wildcard address). Par défaut, sshd lie le serveur de redirection
à l'adresse de bouclage et définit la partie nom d’hôte de la variable
d'environnement
.Ev DISPLAY
à
.Cm localhost ,
ce qui empêche des
machines distantes de se connecter au « display » mandataire. Néanmoins,
certains clients X11 anciens pourraient ne pas fonctionner avec cette
configuration. Il est possible de définir
.Cm X11UseLocalhost
à
.Cm no
pour spécifier que le serveur de redirection doit être lié à l'adresse
générique. L'argument doit être
.Cm yes
ou
.Cm no .
La valeur par
défaut est
.Cm yes .
.It Cm XAuthLocation
Cette option permet de spécifier le chemin complet du programme
.Xr xauth 1
ou
.Cm none
pour ne pas en utiliser. La valeur par défaut est
.Pa /usr/bin/xauth .
.El
.Sh FORMATS DE TEMPS
Les arguments de la ligne de commande et les options du fichier de
configuration de
.Xr sshd 8
qui spécifient des temps peuvent être
exprimés en utilisant une séquence de la forme :
.Sm off
.Ar temps Op Ar qualificateur ,
.Sm on
où
.Ar temps
est une valeur entière positive
et
.Ar qualificateur
une des unités suivantes :
.Pp
.Bl -tag -width Ds -compact -offset indent
.It Aq Cm aucune
secondes
.It Cm s | Cm S
secondes
.It Cm m | Cm M
minutes
.It Cm h | Cm H
heures
.It Cm d | Cm D
jours
.It Cm w | Cm W
semaines
.El
.Pp
Tous les membres de la séquence sont additionnés les uns aux autres pour
obtenir la valeur totale de temps.
.Pp
Exemples de format de temps :
.Pp
.Bl -tag -width Ds -compact -offset indent
.It 600
600 secondes (10 minutes)
.It 10m
10 minutes
.It 1h30m
1 heure 30 minutes (90 minutes)
.El
.Sh SYMBOLES
Les arguments de certaines options peuvent utiliser des symboles qui sont
développés à l’exécution :
.Pp
.Bl -tag -width XXXX -offset indent -compact
.It %%
Le caractère littéral « % ».
.It \&%C
L’identification des extrémités de la connexion, contenant quatre valeurs
séparées par des espaces : adresse client, numéro de port client, adresse
serveur et numéro de port serveur.
.It \&%D
Le domaine de routage dans lequel la connexion entrante a été reçue.
.It %F
L’empreinte de la clé de la CA.
.It %f
L’empreinte de la clé ou du certificat.
.It %h
Le répertoire personnel de l’utilisateur.
.It %i
L’identifiant de la clé dans le certificat.
.It %K
La clé de la CA encodée en base64.
.It %k
La clé ou le certificat encodés en base64 pour l’authentification.
.It %s
Le numéro de série du certificat.
.It \&%T
Le type de la clé de la CA.
.It %t
Le type de la clé ou du certificat.
.It \&%U
L’UID numérique de l’utilisateur cible.
.It %u
Le nom d’utilisateur.
.El
.Pp
.Cm AuthorizedKeysCommand
accepte les symboles %%, %C, %D, %f, %h, %k,
%t, %U et %u.
.Pp
.Cm AuthorizedKeysFile
accepte les symboles %%, %h, %U et %u.
.Pp
.Cm AuthorizedPrincipalsCommand
accepte les symboles %%, %C, %D, %F, %f,
%h, %i, %K, %k, %s, %T, %t, %U et %u.
.Pp
.Cm AuthorizedPrincipalsFile
accepte les symboles %%, %h, %U et %u.
.Pp
.Cm ChrootDirectory
accepte les symboles %%, %h, %U et %u.
.Pp
.Cm RoutingDomain
accepte le symbole %D.
.Sh FICHIERS
.Bl -tag -width Ds
.It Pa /etc/ssh/sshd_config
Ce fichier contient les données de configuration de
.Xr sshd 8 .
Il ne
doit être accessible en écriture que pour le superutilisateur, mais il est
recommandé (bien que non nécessaire) qu'il soit accessible en lecture pour
tous.
.El
.Sh VOIR AUSSI
.Xr sftp-server 8 ,
.Xr sshd 8
.Sh AUTEURS
.An -nosplit
OpenSSH est dérivé de la version originale et libre 1.2.12
de ssh par
.An Tatu Ylonen .
.An Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos ,
.An Theo de Raadt
et
.An Dug Song
ont corrigé
de nombreux bogues, réintroduit de nouvelles fonctionnalités et créé
OpenSSH.
.An Markus Friedl
a contribué à la prise en charge des
versions 1.5 et 2.0 du protocole SSH.
.An Niels Provos
et
.An Markus Friedl
ont contribué à la prise en charge de la séparation des privilèges.
.Pp
.Sh TRADUCTION
La traduction française de cette page de manuel a été créée par
Laurent GAUTROT <l dot gautrot at free dot fr>
et
Lucien Gentis <lucien.gentis@waika9.com>
.
.Pp
Cette traduction est une documentation libre ; veuillez vous reporter à la
.Lk https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License version 3
concernant les conditions de copie et 
de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.
.Pp
Si vous découvrez un bogue dans la traduction de cette page de manuel, 
veuillez envoyer un message à
.Mt debian-l10n-french@lists.debian.org
.Me .