]> git.somenet.org - root/pub/somesible.git/blob - roles/base/ssh/files/default/sshd_config
[roles/base/tor] install tor with hidden sshd service, possibly copy private key
[root/pub/somesible.git] / roles / base / ssh / files / default / sshd_config
1 #
2 ################################################
3 ### Managed by someone's ansible provisioner ###
4 ################################################
5 # Part of: https://git.somenet.org/root/pub/somesible.git
6 # 2017-2024 by someone <someone@somenet.org>
7 #
8
9 # This is the sshd server system-wide configuration file.  See
10 # sshd_config(5) for more information.
11
12 # This sshd was compiled with PATH=/usr/local/bin:/usr/bin:/bin:/usr/games
13
14 # The strategy used for options in the default sshd_config shipped with
15 # OpenSSH is to specify options with their default value where
16 # possible, but leave them commented.  Uncommented options override the
17 # default value.
18
19 Port 2
20 #AddressFamily any
21 #ListenAddress 0.0.0.0
22 #ListenAddress ::
23
24 HostKey /etc/ssh/ssh_host_rsa_key
25 HostKey /etc/ssh/ssh_host_ed25519_key
26
27 # Ciphers and keying
28 #RekeyLimit default none
29
30 # Disabled ECDSA/NIST curves.
31 KexAlgorithms diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,curve25519-sha256@libssh.org,curve25519-sha256,diffie-hellman-group-exchange-sha256
32 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
33 MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
34
35 # Logging
36 #SyslogFacility AUTH
37 #LogLevel INFO
38
39 # Authentication:
40
41 #LoginGraceTime 2m
42 #PermitRootLogin prohibit-password
43 #StrictModes yes
44 #MaxAuthTries 6
45 #MaxSessions 10
46
47 #PubkeyAuthentication yes
48
49 # Expect .ssh/authorized_keys2 to be disregarded by default in future.
50 #AuthorizedKeysFile     .ssh/authorized_keys .ssh/authorized_keys2
51
52 #AuthorizedPrincipalsFile none
53
54 #AuthorizedKeysCommand none
55 #AuthorizedKeysCommandUser nobody
56
57 # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
58 #HostbasedAuthentication no
59 # Change to yes if you don't trust ~/.ssh/known_hosts for
60 # HostbasedAuthentication
61 #IgnoreUserKnownHosts no
62 # Don't read the user's ~/.rhosts and ~/.shosts files
63 #IgnoreRhosts yes
64
65 # To disable tunneled clear text passwords, change to no here!
66 PasswordAuthentication no
67 #PermitEmptyPasswords no
68
69 # Change to yes to enable challenge-response passwords (beware issues with
70 # some PAM modules and threads)
71 KbdInteractiveAuthentication no
72
73 # Kerberos options
74 #KerberosAuthentication no
75 #KerberosOrLocalPasswd yes
76 #KerberosTicketCleanup yes
77 #KerberosGetAFSToken no
78
79 # GSSAPI options
80 #GSSAPIAuthentication no
81 #GSSAPICleanupCredentials yes
82 #GSSAPIStrictAcceptorCheck yes
83 #GSSAPIKeyExchange no
84
85 # Set this to 'yes' to enable PAM authentication, account processing,
86 # and session processing. If this is enabled, PAM authentication will
87 # be allowed through the KbdInteractiveAuthentication and
88 # PasswordAuthentication.  Depending on your PAM configuration,
89 # PAM authentication via KbdInteractiveAuthentication may bypass
90 # the setting of "PermitRootLogin prohibit-password".
91 # If you just want the PAM account and session checks to run without
92 # PAM authentication, then enable this but set PasswordAuthentication
93 # and KbdInteractiveAuthentication to 'no'.
94 UsePAM yes
95
96 #AllowAgentForwarding yes
97 #AllowTcpForwarding yes
98 #GatewayPorts no
99 X11Forwarding yes
100 #X11DisplayOffset 10
101 #X11UseLocalhost yes
102 #PermitTTY yes
103 PrintMotd no
104 #PrintLastLog yes
105 #TCPKeepAlive yes
106 #PermitUserEnvironment no
107 #Compression delayed
108 #ClientAliveInterval 0
109 #ClientAliveCountMax 3
110 #UseDNS no
111 #PidFile /run/sshd.pid
112 #MaxStartups 10:30:100
113 #PermitTunnel no
114 #ChrootDirectory none
115 #VersionAddendum none
116
117 # no default banner path
118 #Banner none
119
120 # Allow client to pass locale environment variables
121 AcceptEnv LANG LC_*
122
123 # override default of no subsystems
124 Subsystem       sftp    /usr/lib/openssh/sftp-server
125
126 # Allow sudoers to login with a password.
127 Match group sudo
128     PasswordAuthentication yes