Linux — SSH远程登陆配置sshd_config文件详解程序员
2023-06-13 09:20:05 时间
ssh是linux远程登录的安全协议,是 C/S 模式的架构,配置文件分为服务器端配置文件 [/etc/ssh/sshd_config] 与客户端配置文件默认配置文件[/etc/ssh/ssh_config] 用户配置文件[~/.ssh/config]
sshd_config 是服务端主配置文件。这个文件的宿主应当是root,权限最大可以是”644”
# $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/local/bin:/usr/bin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options override the # default value. # If you want to change the port on a SELinux system, you have to tell # SELinux about this change. # semanage port -a -t ssh_port_t -p tcp #PORTNUMBER ==在开启selinux的系统上,修改ssh端口的要修改selinux规则,用此命令修改 #Port 22 ==默认ssh端口,生产环境中建议改成五位数的端口 #AddressFamily any ==地址家族,any表示同时监听ipv4和ipv6地址 #ListenAddress 0.0.0.0 ==监听本机所有ipv4地址 #ListenAddress :: ==监听本机所有ipv6地址 HostKey /etc/ssh/ssh_host_rsa_key ==ssh所使用的RSA私钥路径 #HostKey /etc/ssh/ssh_host_dsa_key HostKey /etc/ssh/ssh_host_ecdsa_key ==ssh所使用的ECDSA私钥路径 HostKey /etc/ssh/ssh_host_ed25519_key ==ssh所使用的ED25519私钥路径 # Ciphers and keying #RekeyLimit default none # Logging #SyslogFacility AUTH SyslogFacility AUTHPRIV ==设定在记录来自sshd的消息的时候,是否给出“facility code” #LogLevel INFO ==日志记录级别,默认为info # Authentication: #LoginGraceTime 2m ==限定用户认证时间为2min #PermitRootLogin yes ==是否允许root账户ssh登录,生产环境中建议改成no,使用普通账户ssh登录 #StrictModes yes ==设置ssh在接收登录请求之前是否检查用户根目录和rhosts文件的权限和所有权,建议开启 #MaxAuthTries 6 ==指定每个连接最大允许的认证次数。默认值是 6 #MaxSessions 10 ==最大允许保持多少个连接。默认值是 10 #PubkeyAuthentication yes ==是否开启公钥验证 # The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2 # but this is overridden so installations will only check .ssh/authorized_keys AuthorizedKeysFile .ssh/authorized_keys ==公钥验证文件路径 #AuthorizedPrincipalsFile none #AuthorizedKeysCommand none #AuthorizedKeysCommandUser nobody # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #HostbasedAuthentication no # Change to yes if you dont trust ~/.ssh/known_hosts for # HostbasedAuthentication ==指定服务器在使用 ~/.shosts ~/.rhosts /etc/hosts.equiv 进行远程主机名匹配时,是否进行反向域名查询 #IgnoreUserKnownHosts no ==是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 过程中忽略用户的 ~/.ssh/known_hosts 文件 # Dont read the users ~/.rhosts and ~/.shosts files #IgnoreRhosts yes ==是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 过程中忽略 .rhosts 和 .shosts 文件 # To disable tunneled clear text passwords, change to no here! #PasswordAuthentication yes #PermitEmptyPasswords no ==是否允许空密码 PasswordAuthentication yes ==是否允许密码验证,生产环境中建议改成no,只用密钥登录 # Change to no to disable s/key passwords #ChallengeResponseAuthentication yes ChallengeResponseAuthentication no ==是否允许质疑-应答(challenge-response)认证 # Kerberos options #KerberosAuthentication no ==是否使用Kerberos认证 #KerberosOrLocalPasswd yes ==如果 Kerberos 密码认证失败,那么该密码还将要通过其它的认证机制(比如 /etc/passwd) #KerberosTicketCleanup yes ==是否在用户退出登录后自动销毁用户的 ticket #KerberosGetAFSToken no ==如果使用了AFS并且该用户有一个 Kerberos 5 TGT,那么开启该指令后,将会在访问用户的家目录前尝试获取一个AFS token #KerberosUseKuserok yes # GSSAPI options GSSAPIAuthentication yes ==是否允许基于GSSAPI的用户认证 GSSAPICleanupCredentials no ==是否在用户退出登录后自动销毁用户凭证缓存 #GSSAPIStrictAcceptorCheck yes #GSSAPIKeyExchange no #GSSAPIEnablek5users no # Set this to yes to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via ChallengeResponseAuthentication may bypass # the setting of "PermitRootLogin without-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and ChallengeResponseAuthentication to no. # WARNING: UsePAM no is not supported in Red Hat Enterprise Linux and may cause several # problems. UsePAM yes ==是否通过PAM验证 #AllowAgentForwarding yes #AllowTcpForwarding yes #GatewayPorts no ==是否允许远程主机连接本地的转发端口 X11Forwarding yes ==是否允许X11转发 #X11DisplayOffset 10 ==指定sshd(8)X11转发的第一个可用的显示区(display)数字。默认值是10 #X11UseLocalhost yes ==是否应当将X11转发服务器绑定到本地loopback地址 #PermitTTY yes #PrintMotd yes ==指定sshd(8)是否在每一次交互式登录时打印 /etc/motd 文件的内容 #PrintLastLog yes ==指定sshd(8)是否在每一次交互式登录时打印最后一位用户的登录时间 #TCPKeepAlive yes ==指定系统是否向客户端发送 TCP keepalive 消息 #UseLogin no ==是否在交互式会话的登录过程中使用 login(1) #UsePrivilegeSeparation sandbox ==是否让 sshd(8) 通过创建非特权子进程处理接入请求的方法来进行权限分离 #PermitUserEnvironment no ==指定是否允许sshd(8)处理~/.ssh/environment以及 ~/.ssh/authorized_keys中的 environment= 选项 #Compression delayed ==是否对通信数据进行加密,还是延迟到认证成功之后再对通信数据加密 #ClientAliveInterval 0 ==sshd(8)长时间没有收到客户端的任何数据,不发送"alive"消息 #ClientAliveCountMax 3 ==sshd(8)在未收到任何客户端回应前最多允许发送多个"alive"消息,默认值是 3 #ShowPatchLevel no #UseDNS no ==是否使用dns反向解析 #PidFile /var/run/sshd.pid ==指定存放SSH守护进程的进程号的路径 #MaxStartups 10:30:100 ==最大允许保持多少个未认证的连接 #PermitTunnel no ==是否允许tun(4)设备转发 #ChrootDirectory none #VersionAddendum none # no default banner path #Banner none ==将这个指令指定的文件中的内容在用户进行认证前显示给远程用户,默认什么内容也不显示,"none"表示禁用这个特性 # Accept locale-related environment variables AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE AcceptEnv XMODIFIERS # override default of no subsystems Subsystem sftp /usr/libexec/openssh/sftp-server ==配置一个外部子系统sftp及其路径 # Example of overriding settings on a per-user basis #Match User anoncvs ==引入一个条件块。块的结尾标志是另一个 Match 指令或者文件结尾 # X11Forwarding no # AllowTcpForwarding no # PermitTTY no # ForceCommand cvs server
配置修改完成后执行如下命令生效:
/bin/systemctl start sshd.service
reboot
2926.html
服务器部署程序员系统优化网站设置运维相关文章
- 学以致用:如何使用Linux创建脚本文件(创建linux脚本文件)
- Linux下的CAP文件管理(cap文件linux)
- 合理价格实惠,学习Linux 尚观培训必选(尚观linux培训价格)
- Linux解压zip文件的简单步骤(linux如何解压zip文件)
- Linux在虚拟机中实现文件复制(虚拟机linux复制文件)
- Linux如何删除指定行的文件(linux删除指定行)
- Linux指令索引:删除文件(linux命令删除文件)
- Linux画面撕裂:折磨结束,一切重新开始(linux画面撕裂)
- 文件Linux查看文件末尾几行:从头开始(linux查看最后几行)
- 版本Linux的分支版本:开启探索之旅(linux的分支)
- Linux 日志管理:如何删除日志文件(linux日志删除)
- 一键重命名:在 Linux 中快速重命名文件(批量重命名linux)
- 如何在Linux上查看CAP文件(linux查看cap文件)
- Linux中移动文件的常用命令及其用法(linux移动文件的命令)
- Linux文件管理达人指南:轻松实现文件移动功能(linux移动文件函数)
- 文件查找轻松搞定!Linux实用技巧指南(linux在文件里查找)
- Linux 系统下如何安装 Ant?(linux安装ant)
- Linux系统备份:避免数据丢失的重要措施(linux系统备份)
- Linux下的文件退出——简单实用的指令操作(linux退出文件)
- Linux常用命令:创建目录及文件(linux创建目录及文件)
- DOTA游戏的Linux实现(dota linux)
- 入门指南:菜鸟学习Linux基础知识(菜鸟学linux)
- Linux快速启动数据库命令简易指南(linux启动数据库命令)
- 深入探索:Linux系统查看CPU主频的方法(linux查看cpu主频)