zoukankan      html  css  js  c++  java
  • sshd配置文件详解

     

    [root@test ~]# cat /etc/ssh/sshd_config
    #       $OpenBSD: sshd_config,v 1.73 2005/12/06 22:38:28 reyk Exp $
    
    # This is the sshd server system-wide configuration file.  See
    # sshd_config(5) for more information.
    
    # This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
    
    # The strategy used for options in the default sshd_config shipped with
    # OpenSSH is to specify options with their default value where
    # possible, but leave them commented.  Uncommented options change a
    # default value.
    
     
    
    #############1. 关于 SSH Server 的整体设定##############
    #Port 22    
    ##port用来设置sshd监听的端口,为了安全起见,建议更改默认的22端口为5位以上陌生端口
    #Protocol 2,1
    Protocol 2
    ##设置协议版本为SSH1或SSH2,SSH1存在漏洞与缺陷,选择SSH2
    #AddressFamily any
    #ListenAddress 0.0.0.0
    #ListenAddress用来设置sshd服务器绑定的IP地址
    ##监听的主机适配卡,举个例子来说,如果您有两个 IP, 分别是 192.168.0.11192.168.2.20 ,那么只想要
    ###开放 192.168.0.11 时,就可以设置为:ListenAddress 192.168.0.11
    ####表示只监听来自 192.168.0.11 这个 IP 的SSH联机。如果不使用设定的话,则预设所有接口均接受 SSH
    
    #############2. 说明主机的 Private Key 放置的档案##########                 
    #ListenAddress ::
    ##HostKey用来设置服务器秘钥文件的路径
    # HostKey for protocol version 1
    #HostKey /etc/ssh/ssh_host_key
    ##设置SSH version 1 使用的私钥
    
    # HostKeys for protocol version 2
    #HostKey /etc/ssh/ssh_host_rsa_key
    ##设置SSH version 2 使用的 RSA 私钥
    
    #HostKey /etc/ssh/ssh_host_dsa_key
    ##设置SSH version 2 使用的 DSA 私钥
    
    
    #Compression yes      
    ##设置是否可以使用压缩指令
    
    # Lifetime and size of ephemeral version 1 server key
    #KeyRegenerationInterval 1h
    ##KeyRegenerationInterval用来设置多长时间后系统自动重新生成服务器的秘钥,
    ###(如果使用密钥)。重新生成秘钥是为了防止利用盗用的密钥解密被截获的信息。
    
    #ServerKeyBits 768
    ##ServerKeyBits用来定义服务器密钥的长度
    ###指定临时服务器密钥的长度。仅用于SSH-1。默认值是 768(位)。最小值是 512 。
    
    
    # Logging
    # obsoletes QuietMode and FascistLogging
    #SyslogFacility AUTH
    SyslogFacility AUTHPRIV
    ##SyslogFacility用来设定在记录来自sshd的消息的时候,是否给出“facility code”
    
    #LogLevel INFO
    ##LogLevel用来设定sshd日志消息的级别
    
    
    #################3.安全认证方面的设定################
    #############3.1、有关安全登录的设定###############
    # Authentication:
    ##限制用户必须在指定的时限内认证成功,0 表示无限制。默认值是 120 秒。
    
    #LoginGraceTime 2m
    ##LoginGraceTime用来设定如果用户登录失败,在切断连接前服务器需要等待的时间,单位为妙
    
    #PermitRootLogin yes
    ##PermitRootLogin用来设置能不能直接以超级用户ssh登录,root远程登录Linux很危险,建议注销或设置为no
    
    #StrictModes yes
    ##StrictModes用来设置ssh在接收登录请求之前是否检查用户根目录和rhosts文件的权限和所有权,建议开启
    ###建议使用默认值"yes"来预防可能出现的低级错误。
    
    #RSAAuthentication yes
    ##RSAAuthentication用来设置是否开启RSA密钥验证,只针对SSH1
    
    #PubkeyAuthentication yes
    ##PubkeyAuthentication用来设置是否开启公钥验证,如果使用公钥验证的方式登录时,则设置为yes
    
    #AuthorizedKeysFile     .ssh/authorized_keys
    ##AuthorizedKeysFile用来设置公钥验证文件的路径,与PubkeyAuthentication配合使用,默认值是".ssh/authorized_keys"。
    ###该指令中可以使用下列根据连接时的实际情况进行展开的符号: %% 表示'%'、%h 表示用户的主目录、%u 表示该用户的用户名
    ####经过扩展之后的值必须要么是绝对路径,要么是相对于用户主目录的相对路径。
    
     
    
    #############3.2、安全验证的设定###############
    # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
    #RhostsRSAAuthentication no
    ##是否使用强可信主机认证(通过检查远程主机名和关联的用户名进行认证)。仅用于SSH-1。
    ###这是通过在RSA认证成功后再检查 ~/.rhosts 或 /etc/hosts.equiv 进行认证的。出于安全考虑,建议使用默认值"no"。
    
    # similar for protocol version 2
    #HostbasedAuthentication no
    ##这个指令与 RhostsRSAAuthentication 类似,但是仅可以用于SSH-2。
    
    # Change to yes if you don't trust ~/.ssh/known_hosts for
    # RhostsRSAAuthentication and HostbasedAuthentication
    
    #IgnoreUserKnownHosts no
    ##IgnoreUserKnownHosts用来设置ssh在进行RhostsRSAAuthentication安全验证时是否忽略用户的“/$HOME/.ssh/known_hosts”文件
    # Don't read the user's ~/.rhosts and ~/.shosts files
    
    #IgnoreRhosts yes
    ##IgnoreRhosts用来设置验证的时候是否使用“~/.rhosts”和“~/.shosts”文件
    
    # To disable tunneled clear text passwords, change to no here!
    #PasswordAuthentication yes
    ##PasswordAuthentication用来设置是否开启密码验证机制,如果用密码登录系统,则设置yes
    
    #PermitEmptyPasswords no
    #PermitEmptyPasswords用来设置是否允许用口令为空的账号登录系统,设置no
    
    #PasswordAuthentication yes
    ##是否允许使用基于密码的认证。默认为"yes"。
    PasswordAuthentication yes
    
    # Change to no to disable s/key passwords
    ##设置禁用s/key密码
    #ChallengeResponseAuthentication yes
    ##ChallengeResponseAuthentication 是否允许质疑-应答(challenge-response)认证
    ChallengeResponseAuthentication no
    
     
    
    ########3.3、与 Kerberos 有关的参数设定,指定是否允许基于Kerberos的用户认证########
    #Kerberos options
    #KerberosAuthentication no
    ##是否要求用户为PasswdAuthentication提供的密码必须通过Kerberos KDC认证,要使用Kerberos认证,
    ###服务器必须提供一个可以校验KDC identity的Kerberos servtab。默认值为no
    
    #KerberosOrLocalPasswd yes
    ##如果Kerberos密码认证失败,那么该密码还将要通过其他的的认证机制,如/etc/passwd
    ###在启用此项后,如果无法通过Kerberos验证,则密码的正确性将由本地的机制来决定,如/etc/passwd,默认为yes
    
    #KerberosTicketCleanup yes
    ##设置是否在用户退出登录是自动销毁用户的ticket
    
    #KerberosGetAFSToken no
    ##如果使用AFS并且该用户有一个Kerberos 5 TGT,那么开启该指令后,
    ###将会在访问用户的家目录前尝试获取一个AFS token,并尝试传送 AFS token 给 Server 端,默认为no
    
     
    
    ####3.4、与 GSSAPI 有关的参数设定,指定是否允许基于GSSAPI的用户认证,仅适用于SSH2####
    ##GSSAPI 是一套类似 Kerberos 5 的通用网络安全系统接口。
    ###如果你拥有一套 GSSAPI库,就可以通过 tcp 连接直接建立 cvs 连接,由 GSSAPI 进行安全鉴别。
    
    # GSSAPI options
    #GSSAPIAuthentication no
    ##GSSAPIAuthentication 指定是否允许基于GSSAPI的用户认证,默认为no
    
    GSSAPIAuthentication yes
    #GSSAPICleanupCredentials yes
    ##GSSAPICleanupCredentials 设置是否在用户退出登录是自动销毁用户的凭证缓存
    GSSAPICleanupCredentials yes
    
    # Set this to 'yes' to enable PAM authentication, account processing,
    # and session processing. If this is enabled, PAM authentication will
    # be allowed through the ChallengeResponseAuthentication mechanism.
    # Depending on your PAM configuration, this may bypass the setting of
    # PasswordAuthentication, PermitEmptyPasswords, and
    # "PermitRootLogin without-password". If you just want the PAM account and
    # session checks to run without PAM authentication, then enable this but set
    # ChallengeResponseAuthentication=no
    #UsePAM no
    ##设置是否通过PAM验证
    UsePAM yes
    
    # Accept locale-related environment variables
    ##AcceptEnv 指定客户端发送的哪些环境变量将会被传递到会话环境中。
    ###[注意]只有SSH-2协议支持环境变量的传递。指令的值是空格分隔的变量名列表(其中可以使用'*''?'作为通配符)。
    ####也可以使用多个 AcceptEnv 达到同样的目的。需要注意的是,有些环境变量可能会被用于绕过禁止用户使用的环境变量。
    #####由于这个原因,该指令应当小心使用。默认是不传递任何环境变量。
    
    AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
    AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
    AcceptEnv LC_IDENTIFICATION LC_ALL
    AllowTcpForwarding yes
    
    ##AllowTcpForwarding设置是否允许允许tcp端口转发,保护其他的tcp连接
    
    #GatewayPorts no
    ##GatewayPorts 设置是否允许远程客户端使用本地主机的端口转发功能,出于安全考虑,建议禁止
    
     
    
    #############3.5、X-Window下使用的相关设定###############
    
    #X11Forwarding no
    ##X11Forwarding 用来设置是否允许X11转发
    X11Forwarding yes
    
    #X11DisplayOffset 10
    ##指定X11 转发的第一个可用的显示区(display)数字。默认值是 10 。
    ###可以用于防止 sshd 占用了真实的 X11 服务器显示区,从而发生混淆。
    X11DisplayOffset 10
    
    #X11UseLocalhost yes
    
     
    
    #################3.6、登入后的相关设定#################
    
    #PrintMotd yes
    ##PrintMotd用来设置sshd是否在用户登录时显示“/etc/motd”中的信息,可以选在在“/etc/motd”中加入警告的信息
    
    #PrintLastLog yes
    #PrintLastLog 是否显示上次登录信息
    
    #TCPKeepAlive yes
    ##TCPKeepAlive 是否持续连接,设置yes可以防止死连接
    ###一般而言,如果设定这项目的话,那么 SSH Server 会传送 KeepAlive 的讯息给 Client 端,以确保两者的联机正常!
    ####这种消息可以检测到死连接、连接不当关闭、客户端崩溃等异常。在这个情况下,任何一端死掉后, SSH 可以立刻知道,而不会有僵尸程序的发生!
    
    #UseLogin no
    ##UseLogin 设置是否在交互式会话的登录过程中使用。默认值是"no"。
    ###如果开启此指令,那么X11Forwarding 将会被禁止,因为login不知道如何处理 xauth cookies 。
    ####需要注意的是,在SSH底下本来就不接受 login 这个程序的登入,如果指UsePrivilegeSeparation ,那么它将在认证完成后被禁用。
    UserLogin no       
    
    #UsePrivilegeSeparation yes
    ##UsePrivilegeSeparation 设置使用者的权限
    #PermitUserEnvironment no
    #Compression delayed
    #ClientAliveInterval 0
    #ClientAliveCountMax 3
    #ShowPatchLevel no
    
    #UseDNS yes
    ##UseDNS是否使用dns反向解析
    
    #PidFile /var/run/sshd.pid
    
    #MaxStartups 10
    ##MaxStartups 设置同时允许几个尚未登入的联机,当用户连上ssh但并未输入密码即为所谓的联机,
    ###在这个联机中,为了保护主机,所以需要设置最大值,预设为10个,而已经建立联机的不计算入内,
    ####所以一般5个即可,这个设置可以防止恶意对服务器进行连接
    
    #MaxAuthTries 6
    ##MaxAuthTries 用来设置最大失败尝试登陆次数为6,合理设置辞职,可以防止攻击者穷举登录服务器
    #PermitTunnel no
    
     
    
    ############3.7、开放禁止用户设定############
    
    #AllowUsers<用户名1> <用户名2> <用户名3> ...
    ##指定允许通过远程访问的用户,多个用户以空格隔开
    
    #AllowGroups<组名1> <组名2> <组名3> ...
    ##指定允许通过远程访问的组,多个组以空格隔开。当多个用户需要通过ssh登录系统时,可将所有用户加入一个组中。
    
    #DenyUsers<用户名1> <用户名2> <用户名3> ...
    ##指定禁止通过远程访问的用户,多个用户以空格隔开
    
    #DenyGroups<组名1> <组名2> <组名3> ...
    ##指定禁止通过远程访问的组,多个组以空格隔开。
    
    # no default banner path
    #Banner /some/path
    
    # override default of no subsystems
    Subsystem       sftp    /usr/libexec/openssh/sftp-server
    ClientAliveInterval 3600
    ClientAliveCountMax 0

     

     

     标准配置如下:

    #       $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $
    
    # This is the sshd server system-wide configuration file.  See
    # sshd_config(5) for more information.
    
    # This sshd was compiled with PATH=/usr/local/bin:/usr/bin
    
    # The strategy used for options in the default sshd_config shipped with
    # OpenSSH is to specify options with their default value where
    # possible, but leave them commented.  Uncommented options override the
    # default value.
    
    # If you want to change the port on a SELinux system, you have to tell
    # SELinux about this change.
    # semanage port -a -t ssh_port_t -p tcp #PORTNUMBER    <==在开启selinux的系统上,修改ssh端口的要修改selinux规则,用此命令修改
    #
    #Port 22           <==默认ssh端口,生产环境中建议改成五位数的端口 
    #AddressFamily any   <==地址家族,any表示同时监听ipv4和ipv6地址
    #ListenAddress 0.0.0.0  <==监听本机所有ipv4地址
    #ListenAddress ::    <==监听本机所有ipv6地址
    HostKey /etc/ssh/ssh_host_rsa_key   <==ssh所使用的RSA私钥路径
    #HostKey /etc/ssh/ssh_host_dsa_key
    HostKey /etc/ssh/ssh_host_ecdsa_key   <==ssh所使用的ECDSA私钥路径
    HostKey /etc/ssh/ssh_host_ed25519_key   <==ssh所使用的ED25519私钥路径
    
    # Ciphers and keying
    #RekeyLimit default none
    
    # Logging
    #SyslogFacility AUTH
    SyslogFacility AUTHPRIV    <==设定在记录来自sshd的消息的时候,是否给出“facility code”
    #LogLevel INFO    <==日志记录级别,默认为info 
    
    # Authentication:
    
    #LoginGraceTime 2m    <==限定用户认证时间为2min
    #PermitRootLogin yes   <==是否允许root账户ssh登录,生产环境中建议改成no,使用普通账户ssh登录
    #StrictModes yes    <==设置ssh在接收登录请求之前是否检查用户根目录和rhosts文件的权限和所有权,建议开启
    #MaxAuthTries 6   <==指定每个连接最大允许的认证次数。默认值是 6
    #MaxSessions 10   <==最大允许保持多少个连接。默认值是 10 
    
    #PubkeyAuthentication yes  <==是否开启公钥验证
    
    # The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
    # but this is overridden so installations will only check .ssh/authorized_keys
    AuthorizedKeysFile      .ssh/authorized_keys   <==公钥验证文件路径
    
    #AuthorizedPrincipalsFile none
    
    #AuthorizedKeysCommand none
    #AuthorizedKeysCommandUser nobody
    
    # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
    #HostbasedAuthentication no
    # Change to yes if you don't trust ~/.ssh/known_hosts for
    # HostbasedAuthentication   <==指定服务器在使用 ~/.shosts ~/.rhosts /etc/hosts.equiv 进行远程主机名匹配时,是否进行反向域名查询
    #IgnoreUserKnownHosts no  <==是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 过程中忽略用户的 ~/.ssh/known_hosts 文件
    # Don't read the user's ~/.rhosts and ~/.shosts files
    #IgnoreRhosts yes   <==是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 过程中忽略 .rhosts 和 .shosts 文件
    
    # To disable tunneled clear text passwords, change to no here!
    #PasswordAuthentication yes
    #PermitEmptyPasswords no    <==是否允许空密码
    PasswordAuthentication yes   <==是否允许密码验证,生产环境中建议改成no,只用密钥登录
    
    # Change to no to disable s/key passwords
    #ChallengeResponseAuthentication yes
    ChallengeResponseAuthentication no   <==是否允许质疑-应答(challenge-response)认证
    
    # Kerberos options
    #KerberosAuthentication no   <==是否使用Kerberos认证
    #KerberosOrLocalPasswd yes   <==如果 Kerberos 密码认证失败,那么该密码还将要通过其它的认证机制(比如 /etc/passwd)
    #KerberosTicketCleanup yes  <==是否在用户退出登录后自动销毁用户的 ticket
    #KerberosGetAFSToken no  <==如果使用了AFS并且该用户有一个 Kerberos 5 TGT,那么开启该指令后,将会在访问用户的家目录前尝试获取一个AFS token
    #KerberosUseKuserok yes
    
    # GSSAPI options
    #GSSAPIAuthentication yes   <==是否允许基于GSSAPI的用户认证
    GSSAPICleanupCredentials no    <==是否在用户退出登录后自动销毁用户凭证缓存
    #GSSAPIStrictAcceptorCheck yes
    #GSSAPIKeyExchange no
    #GSSAPIEnablek5users no
    
    # Set this to 'yes' to enable PAM authentication, account processing,
    # and session processing. If this is enabled, PAM authentication will
    # be allowed through the ChallengeResponseAuthentication and
    # PasswordAuthentication.  Depending on your PAM configuration,
    # PAM authentication via ChallengeResponseAuthentication may bypass
    # the setting of "PermitRootLogin without-password".
    # If you just want the PAM account and session checks to run without
    # PAM authentication, then enable this but set PasswordAuthentication
    # and ChallengeResponseAuthentication to 'no'.
    # WARNING: 'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause several
    # problems.
    UsePAM yes   <==是否通过PAM验证
    
    #AllowAgentForwarding yes
    #AllowTcpForwarding yes
    #GatewayPorts no     <==是否允许远程主机连接本地的转发端口
    X11Forwarding yes    <==是否允许X11转发
    #X11DisplayOffset 10  <==指定sshd(8)X11转发的第一个可用的显示区(display)数字。默认值是10
    #X11UseLocalhost yes  <==是否应当将X11转发服务器绑定到本地loopback地址
    #PermitTTY yes
    #PrintMotd yes     <==指定sshd(8)是否在每一次交互式登录时打印 /etc/motd 文件的内容
    #PrintLastLog yes  <==指定sshd(8)是否在每一次交互式登录时打印最后一位用户的登录时间
    #TCPKeepAlive yes  <==指定系统是否向客户端发送 TCP keepalive 消息
    #UseLogin no   <==是否在交互式会话的登录过程中使用 login1UsePrivilegeSeparation sandbox  <==是否让 sshd(8) 通过创建非特权子进程处理接入请求的方法来进行权限分离
    #PermitUserEnvironment no  <==指定是否允许sshd(8)处理~/.ssh/environment以及 ~/.ssh/authorized_keys中的 environment= 选项
    #Compression delayed  <==是否对通信数据进行加密,还是延迟到认证成功之后再对通信数据加密
    #ClientAliveInterval 0  <==sshd(8)长时间没有收到客户端的任何数据,不发送"alive"消息
    #ClientAliveCountMax 3   <==sshd(8)在未收到任何客户端回应前最多允许发送多个"alive"消息,默认值是 3 
    #ShowPatchLevel no
    #UseDNS no      <==是否使用dns反向解析
    #PidFile /var/run/sshd.pid   <==指定存放SSH守护进程的进程号的路径
    #MaxStartups 10:30:100   <==最大允许保持多少个未认证的连接
    #PermitTunnel no   <==是否允许tun(4)设备转发
    #ChrootDirectory none
    #VersionAddendum none
    
    # no default banner path
    #Banner none  <==将这个指令指定的文件中的内容在用户进行认证前显示给远程用户,默认什么内容也不显示,"none"表示禁用这个特性
    
    # Accept locale-related environment variables
    AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
    AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
    AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
    AcceptEnv XMODIFIERS
    
    # override default of no subsystems
    Subsystem       sftp    /usr/libexec/openssh/sftp-server   <==配置一个外部子系统sftp及其路径
    
    # Example of overriding settings on a per-user basis
    #Match User anoncvs    <==引入一个条件块。块的结尾标志是另一个 Match 指令或者文件结尾    
    #       X11Forwarding no
    #       AllowTcpForwarding no
    #       PermitTTY no
    #       ForceCommand cvs server
    ————————————————

     

  • 相关阅读:
    教你Python3实现12306火车票自动抢票,小白必学
    Spring Security 中如何快速查看登录 IP地址等信息?一招搞定
    方程组及其解的判定
    向量空间
    极大无关组和向量组等价
    向量组的线性相关与线性无关
    向量间的线性关系
    向量的概念和运算
    矩阵的秩和秩的性质
    利用初等变换求逆矩阵和解矩阵方程
  • 原文地址:https://www.cnblogs.com/igoodful/p/11710146.html
Copyright © 2011-2022 走看看