Port 22 ## sshd监听的端口,建议更改默认的22端口,选择5位以上的数字端口
ListenAddress 0.0.0.0 ## sshd绑定的地址
HostKey /etc/ssh/ssh_host_rsa_key ## 设置服务器秘钥文件位置
logging 日志相关配置项
SyslogFacility AUTHPRIV ## 记录来自sshd的消息时,是否给出“Facility code”
LogLevel INFO ## 设置sshd日志消息级别
Authentication 认证相关
LoginGraceTime 2m ## 设置如果客户端登录失败,在断开连接前服务器需要等待的时间
PermitRootLogin yes ## 用来设置root用户是否能远程登录。root登录非常危险,远程连接Linux时,应设置为no
StrictModes yes ## 设置SSH在接收登录请求之前是否检查用户家目录和rhosts权限和所有权。应设置为yes
MaxAuthTries 6 ## 最大认证尝试次数,最多可以尝试6次输入密码。之后需要等待某段时间后才能再次输入密码
MaxSessions 10 ## 允许连接的最大会话数
PubkeyAuthentication yes ## 是否设置公钥认证,采用公钥方式验证登录时,设置为yes ,默认检查用户家目录下的.ssh/authorized_keys 和 .ssh/authorized_keys2
AuthorizedKeysFile .ssh/authorized_keys ## 用来设置公钥验证文件位置,与 PubkeyAuthentication 联合使用
IgnoreUserKnownHosts no ## 设置SSh在进行RhostsRSAAuthentication安全验证的时候是否忽略 “$HOME/.ssh/known_hosts”文件
IgnoreRhosts yes ## 设置验证的时候是否使用 “~/.rhosts” 和 “~/.shosts”文件
PasswordAuthentication yes ## 设置是否开启密码认证
PermitEmptyPasswords no ## 设置是否允许密码为空的账号登录系统,必须设置为no
ChallengeResponseAuthentication yes ## 禁用s/key密码
kerberos认证配置(第三方认证工具)
KerberosAuthentication no
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
KerberosGetAFSToken no
KerberosUseKuserok yes
GSSAPI选项
GSSAPIAuthentication no
GSSAPICleanupCredentials no
GSSAPIStrictAcceptorCheck yes
GSSAPIKeyExchange no
GSSAPIEnablek5users no
UsePAM no ## 不通过PAM认证
X11Forwarding yes ## 设置是否允许X11转发
PrintMotd yes ## 是否设置在用户登录的时候显示/etc/motd文件中的信息
PrintLastLog yes ## 是否显示上次登录信息
TCPKeepAlive yes ## 防止死连接
UseLogin no ## 是否在交互式会话的登录过程中使用 login(1),如果设置为yes,那么不能远程执行命令
Compression yes ## 是否开启命令压缩
UseDNS no ## 是否使用DNS反向解析
PidFile /var/run/sshd.pid ## 指定在哪个文件中存放SSH守护进程的进程号,默认为 /var/run/sshd.pid 文件
MaxStartups 5 ## 最大允许保持多少个未认证的连接。默认值是 10。 未认证的连接是指:用户连接到SSH但没有输入密码的时候
MaxAuthTries 3 ## 设置最大连接失败尝试次数,防止攻击者枚举登录服务器
AllowUsers <用户名> ## 设置允许通过远程访问的用户,多个用户之间用逗号分隔
AllowGroups <组名> ## 设置允许通过远程访问的用户组,多个用户组之间用逗号分隔
DenyUsers <用户名> ## 设置禁止通过远程访问的用户,多个用户之间用逗号分隔
DenyGroups <组名> ## 设置禁止通过远程访问的用户,多个用户组之间用逗号分隔