Para el control de acceso por máquina, puede permitir o denegar máquinas introduciendo una lista de nombres de máquina (como www.foo.com), direcciones IP o patrones de nombre (como *.foo.com). Sin embargo, esta clase de control de acceso no está soportada por todas las versiones del servidor SSH.

Para el control de acceso por usuario o grupo, los nombres de usuario pueden ser tanto cuentas locales (como jcameron), patrones de cuentas (como jcam*) o una combinación de nombre de usuario y máquina cliente (como jcameron@www.foo.com). Los grupos permitidos o denegados también pueden ser nombres de grupo normales o patrones de grupos, pero no pueden incluir nombres de máquinas.