Protocol  2                                       # протокол только  2 
DenyUsers user1@*                         # блокировать пользователей кому доступ из вне запрещёт (толко su)

# X11 tunneling options                   # если нужно на сервере утилиты в графике запускать, например 
X11Forwarding yes                          # инсталяця оракла
X11DisplayOffset  10 
X11UseLocalhost no

# Syslog facility and level 
SyslogFacility auth                          # настройка логирования в журналах
LogLevel info
MaxAuthTries     6                             # попыток ввода пароля  6 
MaxAuthTriesLog  3                           # после  3  неудачных - запись в журнал

PermitEmptyPasswords no                 # с пустым паролем не пущать (реально можно #passwd -duf user2)
PasswordAuthentication yes              # если поставить no то вход только по ключам (и по паролю не пущать)
PAMAuthenticationViaKBDInt yes        # это и есть запрос в PAM
PermitRootLogin no                          # руту удалённый доступ, только после заявления на увольнение

IgnoreRhosts yes                            # это для того чтобы эр-утилиты не работали через ssh
RhostsAuthentication no                  # были модными в  1  версии ssh
RhostsRSAAuthentication no
RSAAuthentication yes

auth.info                                       /dev/sysmsg
auth.info                                       /var/adm/messages
auth.info                                       /var/log/authlog         # необязательный

CRYPT_ALGORITHMS_ALLOW= 1 ,2a,md5, 5 , 6 
CRYPT_DEFAULT=2a                               # задаёт сложность шифрования пароля (длинна пароля  256 
# символов, по умолчанию установленн __unix__ только первые  8  символов обрабатываются, при 
# требовании сложности пароля лучше слабого, возникают серьезные проблемы с герерацией 
# сложного пароля в пределах  8  символов)
LOCK_AFTER_RETRIES=YES                     # блокировка учетки, после указанных в /etc/default/login 
# в параметре RETRIES= 6  количестве неудачных вводов пароля.
# сложность пароля можно задать в /etc/default/passwd, но это только если обстоятельства 
# требуют, чем сложнее требования к паролю, тем реже админам удаётся выспаться.