Sshd jest demonem, który nasłuchuje na porcie 22 i czeka na połączenia żądane przez klientów. Uruchamia on osobne demony dla każdego z połączeń. Każdy z nich ma oddzielne dane dotyczące kodowania, autoryzacji wykonywanych komend i plików. Do transmisji używa protokołu SSH. W ścisłym znaczeniu SSH to tylko następca protokołu Telnet, służącego do terminalowego łączenia się ze zdalnymi komputerami. SSH różni się od Telnetu tym, że transfer wszelkich danych jest zaszyfrowany oraz możliwe jest rozpoznawanie użytkownika na wiele różnych sposobów. W szerszym znaczeniu SSH to wspólna nazwa dla całej rodziny protokołów, nie tylko terminalowych, lecz także służących do przesyłania plików (SCP, SFTP), zdalnej kontroli zasobów, tunelowania i wielu innych zastosowań. Wspólną cechą wszystkich tych protokołów jest identyczna z SSH technika szyfrowania danych i rozpoznawania użytkownika. Obecnie protokoły z rodziny SSH praktycznie wyparły wszystkie inne “bezpieczne” protokoły, takie, jak np. Rlogin czy RSH.

Edytuj plik /etc/ssh/sshd_config:

#portu i protokołów.
#portu lepiej nie zmieniać, protokół można ustawić tylko na 2 dla bezpieczeństwa
Port 22
Protocol 2,1

#możemy ale nie musimy określać na jakim IP SSHD ma prowadzić nasłuch,
#możemy pozostawić: ListenAddress ::
ListenAddress 10.0.0.2

#jeśli mamy własne klucze i certyfikaty, tu możesz je wprowadzić
HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 963
LoginGraceTime 600
KeyRegenerationInterval 3600

#możliwość logowania się do zdalnego systemu jako root
PermitRootLogin yes

#ignorowanie zawartośCi plików:  ~/.rhosts i  ~/.shosts
IgnoreRhosts yes

#każdy użytkownik systemu może stworzyć w swoim katalogu domowym plik znanych serwerów
#( ~/.ssh/known_hosts)
#poniższa opcja zignoruje te wpisy przy RhostsRSAAuthentication
IgnoreUserKnownHosts yes

#ograniczenia zdalnych użytkowników
StrictModes yes
X11Forwarding no
X11DisplayOffset 10

#wyświetlanie zawartośCi plik /etc/motd
PrintMotd yes

#podtrzymywania połączeń
KeepAlive yes

#opcje logowania
SyslogFacility AUTHPRIV
LogLevel INFO

#opcję rhostów(domyślne są wystarczające)
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes

#opcje haseł
PasswordAuthentication yes
PermitEmptyPasswords no

#automatyczna autentyfikacja przy użyciu kluczy PAM
ChallengeResponseAuthentication no

#sprawdzanie skrzynki tuż po zalogowaniu
CheckMail yes

#UseLogin no
#MaxStartups 10:30:60

#plik wyświetlany przed zalogowaniem,
#jeśli nie jest włączony, po połączeniu się z naszym hostem widnieć będzie tylko
#napis: login
Banner /etc/issue.net

#ReverseMappingCheck yes

#pod system dostępny z SSH
Subsystem       sftp    /usr/libexec/openssh/sftp-server