]> ruderich.org/simon Gitweb - config/dotfiles.git/blob - shell/ssh_config
vcs/gitconfig: support older gits without `stash push`
[config/dotfiles.git] / shell / ssh_config
1 # SSH configuration file.
2 #
3 # Some options are set even if they are default to prevent /etc/ssh/ssh_config
4 # from overwriting them.
5
6 # Copyright (C) 2011-2016  Simon Ruderich
7 #
8 # This file is free software: you can redistribute it and/or modify
9 # it under the terms of the GNU General Public License as published by
10 # the Free Software Foundation, either version 3 of the License, or
11 # (at your option) any later version.
12 #
13 # This file is distributed in the hope that it will be useful,
14 # but WITHOUT ANY WARRANTY; without even the implied warranty of
15 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16 # GNU General Public License for more details.
17 #
18 # You should have received a copy of the GNU General Public License
19 # along with this file.  If not, see <http://www.gnu.org/licenses/>.
20
21 # Undocumented (and not very well tested) feature. This drops the connection
22 # after 5 seconds of inactivity. Thanks to shad0VV in #openssh on Freenode
23 # (2012-11-04 18:40 CET) for telling me about this undocumented feature.
24 #
25 #     ServerAliveCountMax 0
26 #     ServerAliveInterval 5
27
28
29 # Options are parsed top-to-bottom, the first matching option is used. Later
30 # assignments to the same option are ignored, thanks to anonJD in #openssh on
31 # Freenode (2011-05-18 21:40 CEST) for letting me know. Therefore put all
32 # affected host specific rules here, before the global rules.
33 #
34 # For example to change the MACs option for a specific host, use:
35 #
36 # Host host
37 #     # Old SSH daemon which needs SHA1 (SHA-512 in case it gets updated).
38 #     MACs hmac-sha2-512,hmac-sha1
39
40
41 # Rules for all hosts.
42 Host *
43
44 # Force protocol version 2 which is more secure (default).
45     Protocol 2
46
47 # Use stronger algorithms. If some hosts require weaker versions then use Host
48 # groups to enable them only for those specific machines.
49
50 # Don't use SHA1 and disable elliptic curves whose security regarding the
51 # parameters is still in debate.
52     KexAlgorithms diffie-hellman-group-exchange-sha256
53 # Use stronger cipher versions. Disable CBC ciphers to prevent (unlikely)
54 # plaintext recovery attack [1], disable RC4 because it's broken [2]; this
55 # leaves only AES. No GCM ciphers yet because they are still very new.
56 #
57 # [1]: http://www.openssh.com/txt/cbc.adv
58 # [2]: http://www.schneier.com/blog/archives/2013/03/new_rc4_attack.html
59     Ciphers aes256-ctr
60 # Don't use weak MACs like MD5 or SHA1. However strong MACs are not as
61 # important as strong ciphers because an attacker must be able to break a MAC
62 # in real time to modify the data in transmit. Prefer "-etm" algorithms which
63 # use encrypt-then-mac which is more secure than the default encrypt-and-mac
64 # in SSH [1] (available since 6.2).
65 #
66 # [1]: http://cseweb.ucsd.edu/~mihir/papers/oem.html
67     MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-512
68 # Disable DSA host keys because they are weak (only 1024 bit) and elliptic
69 # curves. I don't need certificates, therefore disable those algorithms as
70 # well (*-cert-*).
71     HostKeyAlgorithms ssh-rsa
72
73 # Disable X11 and agent forwarding for security reasons (defaults).
74     ForwardX11 no
75     ForwardAgent no
76 # Don't trust remote X11 clients. If enabled allows bad admins complete access
77 # to local X11!
78     ForwardX11Trusted no
79
80 # Disable authentication methods I don't use.
81     ChallengeResponseAuthentication no
82     GSSAPIAuthentication no
83     HostbasedAuthentication no
84     KbdInteractiveAuthentication no
85 # Only enable those I need.
86     PasswordAuthentication yes
87     PubkeyAuthentication yes
88
89 # Use only authentication identity files configured in ~/.ssh/config even if
90 # ssh-agent offers more identities.
91     IdentitiesOnly yes
92
93 # Bind local forwardings to loopback only. This way no remote hosts can access
94 # them (default).
95     GatewayPorts no
96 # Abort if not all requested port forwardings can be set up.
97     ExitOnForwardFailure yes
98
99 # Allow using -M (ControlMaster) to create a master SSH session which
100 # "tunnels" other connections to the same host, thus reducing the number of
101 # authentications (which are relatively slow) and TCP connections. The master
102 # sockets are stored in ~/.ssh (by default ControlPath is not set). Using %r
103 # (remote user name) might leak information to other users on the current
104 # system (e.g. via netstat or lsof).
105     ControlPath ~/.ssh/master/%l-%h-%p-%r
106 # Automatically create a new master session if there's none yet or use an
107 # existing one. This way the user doesn't have to use -M to enable a master
108 # manually. Don't set this option to "yes" or all SSH commands try to become
109 # the master session which is obviously not possible.
110     ControlMaster auto
111 # When the connection for a master is closed (e.g. logout of remote shell),
112 # move the master connection in the background. If there's no other active
113 # connection using the master, close it after x seconds. This prevents the
114 # client of the master connection from blocking because it waits for all
115 # connections using it to terminate which is very annoying. The timeout
116 # prevents stale master connections.
117     ControlPersist 10
118
119 # Don't permit running local commands (default).
120     PermitLocalCommand no
121
122 # Don't send any environment variables (default).
123     SendEnv
124
125 # Don't hash any hosts in ~/.ssh/known_hosts. It doesn't help if the ssh hosts
126 # are stored in the shell's history file or in this file as shortcut so it's
127 # rather useless (default).
128     HashKnownHosts no
129
130 # Check host IP in known_hosts when connecting to detect DNS spoofing
131 # (default).
132     CheckHostIP yes
133 # Ask before adding any host keys to ~/.ssh/known_hosts (default).
134     StrictHostKeyChecking ask
135 # Check host keys from DNS' SSHFP resource records but ask apply
136 # StrictHostKeyChecking before trusting them.
137     VerifyHostKeyDNS ask