2. 程式人生 > >SSH服務器端/etc/ssh/sshd_conf配置文件詳解

SSH服務器端/etc/ssh/sshd_conf配置文件詳解

阿新 發佈:2018-05-22
sshd_conf 22 sshd

  • #Port 22 監聽端口,默認監聽22端口 【默認可修改】
  • #AddressFamily any IPV4和IPV6協議家族用哪個,any表示二者均有
  • #ListenAddress 0.0.0.0 指明監控的地址,0.0.0.0表示本機的所有地址 【默認可修改】
  • #ListenAddress :: 指明監聽的IPV6的所有地址格式

  • The default requires explicit activation of protocol 1

  • #Protocol 2 使用SSH第二版本,centos7默認第一版本已拒絕

  • HostKey for protocol version 1 一版的SSH支持以下一種秘鑰形式

  • #HostKey /etc/ssh/ssh_host_key

  • HostKeys for protocol version 2 使用第二版本發送秘鑰,支持以下四種秘鑰認證的存放位置:(centos6只支持rsa和dsa兩種)

  • HostKey /etc/ssh/ssh_host_rsa_key rsa私鑰認證 【默認】
  • #HostKey /etc/ssh/ssh_host_dsa_key dsa私鑰認證
  • HostKey /etc/ssh/ssh_host_ecdsa_key ecdsa私鑰認證
  • HostKey /etc/ssh/ssh_host_ed25519_key ed25519私鑰認證

  • Lifetime and size of ephemeral version 1 server key

  • #KeyRegenerationInterval 1h
  • #ServerKeyBits 1024 主機秘鑰長度

  • Ciphers and keying

  • #RekeyLimit default none

  • Logging

  • obsoletes QuietMode and FascistLogging

  • #SyslogFacility AUTH
  • SyslogFacility AUTHPRIV 當有人使用ssh登錄系統的時候,SSH會記錄信息,信息保存在/var/log/secure裏面
  • #LogLevel INFO 日誌的等級

  • Authentication:

  • #LoginGraceTime 2m 登錄的寬限時間,默認2分鐘沒有輸入密碼,則自動斷開連接
  • #PermitRootLogin no
  • PermitRootLogin yes 是否允許管理員直接登錄,‘yes‘表示允許
  • #StrictModes yes 是否讓sshd去檢查用戶主目錄或相關文件的權限數據
  • #MaxAuthTries 6 最大認證嘗試次數,最多可以嘗試6次輸入密碼。之後需要等待某段時間後才能再次輸入密碼
  • #MaxSessions 10 允許的最大會話數
  • #RSAAuthentication yes
  • #PubkeyAuthentication yes

  • The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2

  • but this is overridden so installations will only check .ssh/authorized_keys

  • AuthorizedKeysFile .ssh/authorized_keys 服務器生成一對公私鑰之後,會將公鑰放到.ssh/authorizd_keys裏面,將私鑰發給客戶端
  • #AuthorizedPrincipalsFile none
  • #AuthorizedKeysCommand none
  • #AuthorizedKeysCommandUser nobody

  • For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

  • #RhostsRSAAuthentication no

  • similar for protocol version 2

  • #HostbasedAuthentication no

  • Change to yes if you don‘t trust ~/.ssh/known_hosts for

  • RhostsRSAAuthentication and HostbasedAuthentication

  • #IgnoreUserKnownHosts no

  • Don‘t read the user‘s ~/.rhosts and ~/.shosts files

  • #IgnoreRhosts yes

  • To disable tunneled clear text passwords, change to no here!

  • #PasswordAuthentication yes
  • #PermitEmptyPasswords no
  • PasswordAuthentication yes 是否允許支持基於口令的認證

  • Change to no to disable s/key passwords

  • #ChallengeResponseAuthentication yes
  • ChallengeResponseAuthentication no 是否允許任何的密碼認證

  • Kerberos options 是否支持kerberos(基於第三方的認證,如LDAP)認證的方式,默認為no

  • #KerberosAuthentication no
  • #KerberosOrLocalPasswd yes
  • #KerberosTicketCleanup yes
  • #KerberosGetAFSToken no
  • #KerberosUseKuserok yes

  • GSSAPI options

  • GSSAPIAuthentication yes
  • GSSAPICleanupCredentials no
  • #GSSAPIStrictAcceptorCheck yes
  • #GSSAPIKeyExchange no
  • #GSSAPIEnablek5users no

  • Set this to ‘yes‘ to enable PAM authentication, account processing,

  • and session processing. If this is enabled, PAM authentication will

  • be allowed through the ChallengeResponseAuthentication and

  • PasswordAuthentication. Depending on your PAM configuration,

  • PAM authentication via ChallengeResponseAuthentication may bypass

  • the setting of "PermitRootLogin without-password".

  • If you just want the PAM account and session checks to run without

  • PAM authentication, then enable this but set PasswordAuthentication

  • and ChallengeResponseAuthentication to ‘no‘.

  • WARNING: ‘UsePAM no‘ is not supported in Red Hat Enterprise Linux and may cause several

  • problems.

  • UsePAM yes
  • #AllowAgentForwarding yes
  • #AllowTcpForwarding yes
  • #GatewayPorts no
  • X11Forwarding yes 是否允許x11轉發,可以讓窗口的數據通過SSH連接來傳遞(請查看ssh -X 參數):#ssh -X user@IP
  • #X11DisplayOffset 10
  • #X11UseLocalhost yes
  • #PermitTTY yes
  • #PrintMotd yes
  • #PrintLastLog yes
  • #TCPKeepAlive yes
  • #UseLogin no
  • UsePrivilegeSeparation sandbox # Default for new installations.
  • #PermitUserEnvironment no
  • #Compression delayed
  • #ClientAliveInterval 0
  • #ClientAliveCountMax 3
  • #ShowPatchLevel no
  • #UseDNS yes 是否反解DNS,如果想讓客戶端連接服務器端快一些,這個可以改為no
  • #PidFile /var/run/sshd.pid
  • #MaxStartups 10:30:100
  • #PermitTunnel no
  • #ChrootDirectory none
  • #VersionAddendum none

  • no default banner path

  • #Banner none

  • Accept locale-related environment variables

  • AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
  • AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
  • AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
  • AcceptEnv XMODIFIERS

  • override default of no subsystems

  • Subsystem sftp /usr/libexec/openssh/sftp-server 支持 SFTP ,如果註釋掉,則不支持sftp連接

  • Example of overriding settings on a per-user basis

  • #Match User anoncvs

  • X11Forwarding no

  • AllowTcpForwarding no

  • PermitTTY no

  • ForceCommand cvs server

  • AllowUsers user1 user2 登錄白名單(默認沒有這個配置,需要自己手動添加),允許遠程登錄的用戶。如果名單中沒有的用戶,則提示拒絕登錄

    • SSH服務器端/etc/ssh/sshd_conf配置文件詳解

    相關推薦

    SSH服務/etc/ssh/sshd_conf配置

    sshd_conf 22 sshd #Port 22 監聽端口,默認監聽22端口 【默認可修改】 #AddressFamily any IPV4和IPV6協議家族用哪

    /etc/default/useradd配置

    目錄 cti default 詳解 efault useradd 日期 文件 fault   /etc/default/useradd文件內容如下: [xf@xuexi ~]$ cat /etc/default/useradd # useradd defaults

    小程序調用後接口服務 配置

    簡單 開發 符號 交流 con 階段 什麽 效率 頁面 前言:為了開發階段的效率更高,方便項目接口管理,在做web項目時,我們需要把後端提供的接口地址進行配置,這樣我們自己在調用時,要方便得多,利己利人。在配置小程序接口地址時,和web的配置大同小異,下面總結幾點配置小程序

    nagios 服務與客戶監控安裝與詳細配置,各配置

    this sql 引入 apache2 cpu load fine 宕機 pri require nagios 安裝與部署—————— 1、安裝前準備(1)創建nagios用戶和用戶組 [root@localhost ~]#groupadd nagios

    ssh配置

    創建 如果 protocol 端口號 pro clas group 日誌 linux 一、ssh詳解1、什麽是ssh簡單來說,ssh是一種網絡協議,用於計算機之間的加密登錄。 如果一個用戶從本地計算機,使用ssh協議登錄另一臺遠程計算機,我們就可以認為,這種登錄是安全

    linux服務之系統用戶配置介紹

    系統 警告 保留 換算 http 如果 文件 修改密碼 沒有 用戶配置文件用戶信息文件:/etc/passwd影子文件:/etc/shadow組信息文件:/etc/group組密碼文件:/etc/gshadow在Linux中主要通過用戶配置文件來查看和修改用戶信息 /etc

    nginx高性能WEB服務系列之四配置

    pro web服務 發送 應該 避免 如果 upstream index 靜態頁 註:原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。 nginx的強大之處不必要我細說,當初第一次接觸nginx的時候就發現了它的強大

    企業分布式微服務雲SpringCloud SpringBoot mybatis (二)Spring Boot屬性配置

    public profile 功能 tps with oot oschina 基本 ava 相信很多人選擇Spring Boot主要是考慮到它既能兼顧Spring的強大功能,還能實現快速開發的便捷。我們在Spring Boot使用過程中,最直觀的感受就是沒有了原來自己整合S

    Spring Cloud Spring Boot mybatis分布式微服務雲架構(三)屬性配置(1)

    定義 public 配置數據庫連接 clas cep and xml配置 其他 PE 相信很多人選擇Spring Boot主要是考慮到它既能兼顧Spring的強大功能,還能實現快速開發的便捷。我們在Spring Boot使用過程中,最直觀的感受就是沒有了原來自己整合Spri

    linux ftp服務配置

    大端 pro 配置 inux rate 運行 最大 cal 必須 安裝ftp服務: yum install vsftpd -y vsftpd配置文件----------常用配置項-----------listen=YES:是否以獨立運行的方式監聽服務listen_add

    Rsyslog配置(轉)

    安裝 權限 lines true time cor optional tex 以及 最近在搭建日誌審計服務器,使用了rsyslog,發現這篇文章很有用,收藏一下。 原文鏈接:http://my.oschina.net/0757/blog/198329 具體內容: 非常詳

    Apache的主要目錄和配置

    監聽 erl 腳本 env tca live 斷開連接 linux real 一、Apache 主要配置文件註釋Apache的主配置文件:/etc/httpd/conf/httpd.conf默認站點主目錄:/var/www/html/Apache服務器的配置信息全部存儲在主

    Elasticsearch基本概念及核心配置

    last log4j 強烈 內存 文檔 size oca 機制 集群   Elasticsearch5.X,下列的是Elasticsearch2.X系類配置,其實很多配置都是相互兼容的 1. 配置文件 config/elasticsearch.yml 主配置文件

    elasticsearch配置

    配置文件 文件夾 master 記錄 elasticsearch的config文件夾裏面有兩個配置文 件:elasticsearch.yml和logging.yml,第一個是es的基本配置文件,第二個是日誌配置文件,es也是使用log4j來記錄日 誌的,所以logging.yml裏的設置按普通

    Redis常見配置

    設置 lru 指定 數據分頁 tile color level 同步機制 ebp Redis常見配置文件詳解 # vi redis.conf daemonize yes #是否以後臺進程運行 pidfile /var/run/redis/redis-server.p

    nginx配置vhost配置

    pan cnblogs 實力 git color file www include pre //千鋒PHP-PHP培訓的實力派server { listen 80; server_name www.sina.com; roo

    PHP配置php.ini

    php配置文件詳解php.iniPHP配置文件詳解php.ini [PHP] ; PHP還是一個不斷發展的工具,其功能還在不斷地刪減 ; 而php.ini的設置更改可以反映出相當的變化, ; 在使用新的PHP版本前,研究一下php.ini會有好處的 ;;;;;;;;;;;;;;;;;;; ; 關於這個

    Redis配置

    客戶端連接 data val 行數 read 內存 虛擬內存 master led 1 daemonize yes #是否以後臺進程運行,默認為no 2 pidfile /var/run/redis.pid #如以後臺進程運行,則需指定一個pid,默認為/var

    php.ini配置

    php.ini配置文件詳解php.ini配置文件詳解查找 php.ini路徑:# /usr/local/php/bin/php -i |head看那一行Loaded Configuration File => /usr/local/php/etc/php.ini。如果這裏為None,那麽就說明沒有加載到

    Samba 配置

    無限 exc end samb 機會 lis 其他 管理 conn Samba 的配置文件 /etc/samba/smb.conf 分為兩大部分,一部分是 [global] ,即全局配置,另一部分是 [home] 、[printer] 、[自定義共享名] ,這些都是共享的部