[root@test ~]# cat /etc/ssh/sshd_config

#       $OpenBSD: sshd_config,v 1.73 // :: reyk Exp $

# This is the sshd server system-wide configuration file.  See

# sshd_config() for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with

# OpenSSH is to specify options with their default value where

# possible, but leave them commented.  Uncommented options change a

# default value.

#############. 关于 SSH Server 的整体设定##############

#Port

##port用来设置sshd监听的端口,为了安全起见,建议更改默认的22端口为5位以上陌生端口

#Protocol ,

Protocol

##设置协议版本为SSH1或SSH2,SSH1存在漏洞与缺陷,选择SSH2

#AddressFamily any

#ListenAddress 0.0.0.0

#ListenAddress用来设置sshd服务器绑定的IP地址

##监听的主机适配卡,举个例子来说,如果您有两个 IP, 分别是 192.168.0.11 及 192.168.2.20 ,那么只想要

###开放 192.168.0.11 时,就可以设置为:ListenAddress 192.168.0.11

####表示只监听来自 192.168.0.11 这个 IP 的SSH联机。如果不使用设定的话,则预设所有接口均接受 SSH

#############. 说明主机的 Private Key 放置的档案##########                 

#ListenAddress ::

##HostKey用来设置服务器秘钥文件的路径

# HostKey for protocol version

#HostKey /etc/ssh/ssh_host_key

##设置SSH version  使用的私钥

# HostKeys for protocol version

#HostKey /etc/ssh/ssh_host_rsa_key

##设置SSH version  使用的 RSA 私钥

#HostKey /etc/ssh/ssh_host_dsa_key

##设置SSH version  使用的 DSA 私钥

#Compression yes      

##设置是否可以使用压缩指令

# Lifetime and size of ephemeral version  server key

#KeyRegenerationInterval 1h

##KeyRegenerationInterval用来设置多长时间后系统自动重新生成服务器的秘钥,

###(如果使用密钥)。重新生成秘钥是为了防止利用盗用的密钥解密被截获的信息。

#ServerKeyBits

##ServerKeyBits用来定义服务器密钥的长度

###指定临时服务器密钥的长度。仅用于SSH-。默认值是 (位)。最小值是  。

# Logging

# obsoletes QuietMode and FascistLogging

#SyslogFacility AUTH

SyslogFacility AUTHPRIV

##SyslogFacility用来设定在记录来自sshd的消息的时候,是否给出“facility code”

#LogLevel INFO

##LogLevel用来设定sshd日志消息的级别

#################.安全认证方面的设定################

#############3.1、有关安全登录的设定###############

# Authentication:

##限制用户必须在指定的时限内认证成功, 表示无限制。默认值是  秒。

#LoginGraceTime 2m

##LoginGraceTime用来设定如果用户登录失败,在切断连接前服务器需要等待的时间,单位为妙

#PermitRootLogin yes

##PermitRootLogin用来设置能不能直接以超级用户ssh登录,root远程登录Linux很危险,建议注销或设置为no

#StrictModes yes

##StrictModes用来设置ssh在接收登录请求之前是否检查用户根目录和rhosts文件的权限和所有权,建议开启

###建议使用默认值"yes"来预防可能出现的低级错误。

#RSAAuthentication yes

##RSAAuthentication用来设置是否开启RSA密钥验证,只针对SSH1

#PubkeyAuthentication yes

##PubkeyAuthentication用来设置是否开启公钥验证,如果使用公钥验证的方式登录时,则设置为yes

#AuthorizedKeysFile     .ssh/authorized_keys

##AuthorizedKeysFile用来设置公钥验证文件的路径,与PubkeyAuthentication配合使用,默认值是".ssh/authorized_keys"。

###该指令中可以使用下列根据连接时的实际情况进行展开的符号: %% 表示'%'、%h 表示用户的主目录、%u 表示该用户的用户名

####经过扩展之后的值必须要么是绝对路径,要么是相对于用户主目录的相对路径。

#############3.2、安全验证的设定###############

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

#RhostsRSAAuthentication no

##是否使用强可信主机认证(通过检查远程主机名和关联的用户名进行认证)。仅用于SSH-。

###这是通过在RSA认证成功后再检查 ~/.rhosts 或 /etc/hosts.equiv 进行认证的。出于安全考虑,建议使用默认值"no"。

# similar for protocol version

#HostbasedAuthentication no

##这个指令与 RhostsRSAAuthentication 类似,但是仅可以用于SSH-。

# Change to yes if you don't trust ~/.ssh/known_hosts for

# RhostsRSAAuthentication and HostbasedAuthentication

#IgnoreUserKnownHosts no

##IgnoreUserKnownHosts用来设置ssh在进行RhostsRSAAuthentication安全验证时是否忽略用户的“/$HOME/.ssh/known_hosts”文件

# Don't read the user's ~/.rhosts and ~/.shosts files

#IgnoreRhosts yes

##IgnoreRhosts用来设置验证的时候是否使用“~/.rhosts”和“~/.shosts”文件

# To disable tunneled clear text passwords, change to no here!

#PasswordAuthentication yes

##PasswordAuthentication用来设置是否开启密码验证机制,如果用密码登录系统,则设置yes

#PermitEmptyPasswords no

#PermitEmptyPasswords用来设置是否允许用口令为空的账号登录系统,设置no

#PasswordAuthentication yes

##是否允许使用基于密码的认证。默认为"yes"。

PasswordAuthentication yes

# Change to no to disable s/key passwords

##设置禁用s/key密码

#ChallengeResponseAuthentication yes

##ChallengeResponseAuthentication 是否允许质疑-应答(challenge-response)认证

ChallengeResponseAuthentication no

########3.3、与 Kerberos 有关的参数设定,指定是否允许基于Kerberos的用户认证########

#Kerberos options

#KerberosAuthentication no

##是否要求用户为PasswdAuthentication提供的密码必须通过Kerberos KDC认证,要使用Kerberos认证,

###服务器必须提供一个可以校验KDC identity的Kerberos servtab。默认值为no

#KerberosOrLocalPasswd yes

##如果Kerberos密码认证失败,那么该密码还将要通过其他的的认证机制,如/etc/passwd

###在启用此项后,如果无法通过Kerberos验证,则密码的正确性将由本地的机制来决定,如/etc/passwd,默认为yes

#KerberosTicketCleanup yes

##设置是否在用户退出登录是自动销毁用户的ticket

#KerberosGetAFSToken no

##如果使用AFS并且该用户有一个Kerberos  TGT,那么开启该指令后,

###将会在访问用户的家目录前尝试获取一个AFS token,并尝试传送 AFS token 给 Server 端,默认为no

####3.4、与 GSSAPI 有关的参数设定,指定是否允许基于GSSAPI的用户认证,仅适用于SSH2####

##GSSAPI 是一套类似 Kerberos  的通用网络安全系统接口。

###如果你拥有一套 GSSAPI库,就可以通过 tcp 连接直接建立 cvs 连接,由 GSSAPI 进行安全鉴别。

# GSSAPI options

#GSSAPIAuthentication no

##GSSAPIAuthentication 指定是否允许基于GSSAPI的用户认证,默认为no

GSSAPIAuthentication yes

#GSSAPICleanupCredentials yes

##GSSAPICleanupCredentials 设置是否在用户退出登录是自动销毁用户的凭证缓存

GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,

# and session processing. If this is enabled, PAM authentication will

# be allowed through the ChallengeResponseAuthentication mechanism.

# Depending on your PAM configuration, this may bypass the setting of

# PasswordAuthentication, PermitEmptyPasswords, and

# "PermitRootLogin without-password". If you just want the PAM account and

# session checks to run without PAM authentication, then enable this but set

# ChallengeResponseAuthentication=no

#UsePAM no

##设置是否通过PAM验证

UsePAM yes

# Accept locale-related environment variables

##AcceptEnv 指定客户端发送的哪些环境变量将会被传递到会话环境中。

###[注意]只有SSH-2协议支持环境变量的传递。指令的值是空格分隔的变量名列表(其中可以使用'*'和'?'作为通配符)。

####也可以使用多个 AcceptEnv 达到同样的目的。需要注意的是,有些环境变量可能会被用于绕过禁止用户使用的环境变量。

#####由于这个原因,该指令应当小心使用。默认是不传递任何环境变量。

AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES

AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT

AcceptEnv LC_IDENTIFICATION LC_ALL

AllowTcpForwarding yes

##AllowTcpForwarding设置是否允许允许tcp端口转发,保护其他的tcp连接

#GatewayPorts no

##GatewayPorts 设置是否允许远程客户端使用本地主机的端口转发功能,出于安全考虑,建议禁止

#############3.5、X-Window下使用的相关设定###############

#X11Forwarding no

##X11Forwarding 用来设置是否允许X11转发

X11Forwarding yes

#X11DisplayOffset

##指定X11 转发的第一个可用的显示区(display)数字。默认值是  。

###可以用于防止 sshd 占用了真实的 X11 服务器显示区,从而发生混淆。

X11DisplayOffset 

#X11UseLocalhost yes

#################3.6、登入后的相关设定#################

#PrintMotd yes

##PrintMotd用来设置sshd是否在用户登录时显示“/etc/motd”中的信息,可以选在在“/etc/motd”中加入警告的信息

#PrintLastLog yes

#PrintLastLog 是否显示上次登录信息

#TCPKeepAlive yes

##TCPKeepAlive 是否持续连接,设置yes可以防止死连接

###一般而言,如果设定这项目的话,那么 SSH Server 会传送 KeepAlive 的讯息给 Client 端,以确保两者的联机正常!

####这种消息可以检测到死连接、连接不当关闭、客户端崩溃等异常。在这个情况下,任何一端死掉后, SSH 可以立刻知道,而不会有僵尸程序的发生!

#UseLogin no

##UseLogin 设置是否在交互式会话的登录过程中使用。默认值是"no"。

###如果开启此指令,那么X11Forwarding 将会被禁止,因为login不知道如何处理 xauth cookies 。

####需要注意的是,在SSH底下本来就不接受 login 这个程序的登入,如果指UsePrivilegeSeparation ,那么它将在认证完成后被禁用。

UserLogin no       

#UsePrivilegeSeparation yes

##UsePrivilegeSeparation 设置使用者的权限

#PermitUserEnvironment no

#Compression delayed

#ClientAliveInterval

#ClientAliveCountMax

#ShowPatchLevel no

#UseDNS yes

##UseDNS是否使用dns反向解析

#PidFile /var/run/sshd.pid

#MaxStartups

##MaxStartups 设置同时允许几个尚未登入的联机,当用户连上ssh但并未输入密码即为所谓的联机,

###在这个联机中,为了保护主机,所以需要设置最大值,预设为10个,而已经建立联机的不计算入内,

####所以一般5个即可,这个设置可以防止恶意对服务器进行连接

#MaxAuthTries

##MaxAuthTries 用来设置最大失败尝试登陆次数为6,合理设置辞职,可以防止攻击者穷举登录服务器

#PermitTunnel no

############3.7、开放禁止用户设定############

#AllowUsers<用户名1> <用户名2> <用户名3> ...

##指定允许通过远程访问的用户,多个用户以空格隔开

#AllowGroups<组名1> <组名2> <组名3> ...

##指定允许通过远程访问的组,多个组以空格隔开。当多个用户需要通过ssh登录系统时,可将所有用户加入一个组中。

#DenyUsers<用户名1> <用户名2> <用户名3> ...

##指定禁止通过远程访问的用户,多个用户以空格隔开

#DenyGroups<组名1> <组名2> <组名3> ...

##指定禁止通过远程访问的组,多个组以空格隔开。

# no default banner path

#Banner /some/path

# override default of no subsystems

Subsystem       sftp    /usr/libexec/openssh/sftp-server

ClientAliveInterval

ClientAliveCountMax

标准配置如下:

#       $OpenBSD: sshd_config,v 1.100 // :: naddy Exp $

# This is the sshd server system-wide configuration file.  See

# sshd_config() for more information.

# This sshd was compiled with PATH=/usr/local/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with

# OpenSSH is to specify options with their default value where

# possible, but leave them commented.  Uncommented options override the

# default value.

# If you want to change the port on a SELinux system, you have to tell

# SELinux about this change.

# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER    <==在开启selinux的系统上,修改ssh端口的要修改selinux规则,用此命令修改

#

#Port            <==默认ssh端口,生产环境中建议改成五位数的端口

#AddressFamily any   <==地址家族,any表示同时监听ipv4和ipv6地址

#ListenAddress 0.0.0.0  <==监听本机所有ipv4地址

#ListenAddress ::    <==监听本机所有ipv6地址

HostKey /etc/ssh/ssh_host_rsa_key   <==ssh所使用的RSA私钥路径

#HostKey /etc/ssh/ssh_host_dsa_key

HostKey /etc/ssh/ssh_host_ecdsa_key   <==ssh所使用的ECDSA私钥路径

HostKey /etc/ssh/ssh_host_ed25519_key   <==ssh所使用的ED25519私钥路径

# Ciphers and keying

#RekeyLimit default none

# Logging

#SyslogFacility AUTH

SyslogFacility AUTHPRIV    <==设定在记录来自sshd的消息的时候,是否给出“facility code”

#LogLevel INFO    <==日志记录级别,默认为info 

# Authentication:

#LoginGraceTime 2m    <==限定用户认证时间为2min

#PermitRootLogin yes   <==是否允许root账户ssh登录,生产环境中建议改成no,使用普通账户ssh登录

#StrictModes yes    <==设置ssh在接收登录请求之前是否检查用户根目录和rhosts文件的权限和所有权,建议开启

#MaxAuthTries    <==指定每个连接最大允许的认证次数。默认值是

#MaxSessions    <==最大允许保持多少个连接。默认值是  

#PubkeyAuthentication yes  <==是否开启公钥验证

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2

# but this is overridden so installations will only check .ssh/authorized_keys

AuthorizedKeysFile      .ssh/authorized_keys   <==公钥验证文件路径

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none

#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

#HostbasedAuthentication no

# Change to yes if you don't trust ~/.ssh/known_hosts for

# HostbasedAuthentication   <==指定服务器在使用 ~/.shosts ~/.rhosts /etc/hosts.equiv 进行远程主机名匹配时,是否进行反向域名查询

#IgnoreUserKnownHosts no  <==是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 过程中忽略用户的 ~/.ssh/known_hosts 文件

# Don't read the user's ~/.rhosts and ~/.shosts files

#IgnoreRhosts yes   <==是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 过程中忽略 .rhosts 和 .shosts 文件

# To disable tunneled clear text passwords, change to no here!

#PasswordAuthentication yes

#PermitEmptyPasswords no    <==是否允许空密码

PasswordAuthentication yes   <==是否允许密码验证,生产环境中建议改成no,只用密钥登录

# Change to no to disable s/key passwords

#ChallengeResponseAuthentication yes

ChallengeResponseAuthentication no   <==是否允许质疑-应答(challenge-response)认证

# Kerberos options

#KerberosAuthentication no   <==是否使用Kerberos认证

#KerberosOrLocalPasswd yes   <==如果 Kerberos 密码认证失败,那么该密码还将要通过其它的认证机制(比如 /etc/passwd)

#KerberosTicketCleanup yes  <==是否在用户退出登录后自动销毁用户的 ticket

#KerberosGetAFSToken no  <==如果使用了AFS并且该用户有一个 Kerberos  TGT,那么开启该指令后,将会在访问用户的家目录前尝试获取一个AFS token

#KerberosUseKuserok yes

# GSSAPI options

#GSSAPIAuthentication yes   <==是否允许基于GSSAPI的用户认证

GSSAPICleanupCredentials no    <==是否在用户退出登录后自动销毁用户凭证缓存

#GSSAPIStrictAcceptorCheck yes

#GSSAPIKeyExchange no

#GSSAPIEnablek5users no

# Set this to 'yes' to enable PAM authentication, account processing,

# and session processing. If this is enabled, PAM authentication will

# be allowed through the ChallengeResponseAuthentication and

# PasswordAuthentication.  Depending on your PAM configuration,

# PAM authentication via ChallengeResponseAuthentication may bypass

# the setting of "PermitRootLogin without-password".

# If you just want the PAM account and session checks to run without

# PAM authentication, then enable this but set PasswordAuthentication

# and ChallengeResponseAuthentication to 'no'.

# WARNING: 'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause several

# problems.

UsePAM yes   <==是否通过PAM验证

#AllowAgentForwarding yes

#AllowTcpForwarding yes

#GatewayPorts no     <==是否允许远程主机连接本地的转发端口

X11Forwarding yes    <==是否允许X11转发

#X11DisplayOffset   <==指定sshd()X11转发的第一个可用的显示区(display)数字。默认值是10

#X11UseLocalhost yes  <==是否应当将X11转发服务器绑定到本地loopback地址

#PermitTTY yes

#PrintMotd yes     <==指定sshd()是否在每一次交互式登录时打印 /etc/motd 文件的内容

#PrintLastLog yes  <==指定sshd()是否在每一次交互式登录时打印最后一位用户的登录时间

#TCPKeepAlive yes  <==指定系统是否向客户端发送 TCP keepalive 消息

#UseLogin no   <==是否在交互式会话的登录过程中使用 login()

UsePrivilegeSeparation sandbox  <==是否让 sshd(8) 通过创建非特权子进程处理接入请求的方法来进行权限分离

#PermitUserEnvironment no  <==指定是否允许sshd()处理~/.ssh/environment以及 ~/.ssh/authorized_keys中的 environment= 选项

#Compression delayed  <==是否对通信数据进行加密,还是延迟到认证成功之后再对通信数据加密

#ClientAliveInterval   <==sshd()长时间没有收到客户端的任何数据,不发送"alive"消息

#ClientAliveCountMax    <==sshd()在未收到任何客户端回应前最多允许发送多个"alive"消息,默认值是

#ShowPatchLevel no

#UseDNS no      <==是否使用dns反向解析

#PidFile /var/run/sshd.pid   <==指定存放SSH守护进程的进程号的路径

#MaxStartups ::   <==最大允许保持多少个未认证的连接

#PermitTunnel no   <==是否允许tun()设备转发

#ChrootDirectory none

#VersionAddendum none

# no default banner path

#Banner none  <==将这个指令指定的文件中的内容在用户进行认证前显示给远程用户,默认什么内容也不显示,"none"表示禁用这个特性

# Accept locale-related environment variables

AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES

AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT

AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE

AcceptEnv XMODIFIERS

# override default of no subsystems

Subsystem       sftp    /usr/libexec/openssh/sftp-server   <==配置一个外部子系统sftp及其路径

# Example of overriding settings on a per-user basis

#Match User anoncvs    <==引入一个条件块。块的结尾标志是另一个 Match 指令或者文件结尾

#       X11Forwarding no

#       AllowTcpForwarding no

#       PermitTTY no

#       ForceCommand cvs server

————————————————

sshd配置文件详解的更多相关文章

  1. 网卡配置文件详解 用户管理与文件权限篇 文件与目录权限 软连接 tar解压命令 killall命令 linux防火墙 dns解析设置 计划任务crond服务 软件包安装 阿里云 yum源 安装

    Linux系统基础优化及常用命令 Linux基础系统优化 引言没有,只有一张图. Linux的网络功能相当强悍,一时之间我们无法了解所有的网络命令,在配置服务器基础环境时,先了解下网络参数设定命令. ...

  2. Linux:SSH服务配置文件详解

    SSH服务配置文件详解 SSH客户端配置文件 /etc/ssh/ssh——config 配置文件概要 Host * #选项“Host”只对能够匹配后面字串的计算机有效.“*”表示所有的计算机. For ...

  3. nginx之旅(第一篇):nginx下载安装、nginx启动与关闭、nginx配置文件详解、nginx默认网站

    一.nginx下载安装 版本nginx 1.15.5 系统环境centos7.5(本机ip192.168.199.228) 关闭selinux 和防火墙firewall 1.下载 wget http: ...

  4. quartz配置文件详解

    quartz配置文件详解(转载)     quartz学习总结: 一.关于job:    用Quartz的行话讲,作业是一个执行任务的简单Java类.任务可以是任何Java代码.只需你实现org.qu ...

  5. WebConfig配置文件详解

    今天看到博客园一位朋友整理的一个WebConfig配置文件详解,觉得不错,转载一下: <?xml version="1.0"?> <!--注意: 除了手动编辑此文 ...

  6. tomcat配置文件详解

    Tomcat系列之服务器的安装与配置以及各组件详解   tomcat 配置文件详解

  7. ubuntu nginx 安装以及配置文件详解

    1.到nginx官网下载源码包.最好下载稳定版本,nginx官网http://www.nginx.org/ 2.安装nginx依赖包运行命令: sudo apt-get install libssl- ...

  8. Spring配置文件详解 – applicationContext.xml文件路径

    Spring配置文件详解 – applicationContext.xml文件路径 Java编程                 spring的配置文件applicationContext.xml的默 ...

  9. spring配置文件详解--真的蛮详细

    spring配置文件详解--真的蛮详细   转自: http://book.51cto.com/art/201004/193743.htm 此处详细的为我们讲解了spring2.5的实现原理,感觉非常 ...

随机推荐

  1. Mysql 权限命令整理大全

    mysql show slave status 需要什么权限 grant replication client on *.* to 'user_name'@'%';

  2. tomcat下文件路径

    第一种:复制要访问的文件a.txt至tomcat安装路径下的webapps/ROOT文件夹下: 访问路径为:localhost:8080/a.txt 或者在webapps文件夹下新建一个文件夹(tes ...

  3. NOIP2016 解题报告

    D1T1 玩具谜题 xjb模拟即可 #include<bits/stdc++.h> #define N (100000+5) using namespace std; inline int ...

  4. php算法题---对称的二叉树

    php算法题---对称的二叉树 一.总结 一句话总结: 可以在isSymmetrical()的基础上再加一个函数comRoot,函数comRoot来做树的递归判断 /*思路:首先根节点以及其左右子树, ...

  5. (34)C#异常

    一.异常的层次结构 二.异常格式 异常的一般格式 try { //可能会抛出异常的代码 } catch { //发现错误后会运行这里面的代码 } finally { //写不论是否出现异常都执行的代码 ...

  6. 三种方法实现MNIST 手写数字识别

    MNIST数据集下载: import tensorflow as tf from tensorflow.examples.tutorials.mnist import input_data mnist ...

  7. Git初次使用,记录自己看

    Git官网下载:https://git-scm.com/downloads 官网如果太慢,可以去这下载:http://www.wmzhe.com/soft-38801.html,注意选择如下图地址下载 ...

  8. Linux操作系统系列-Linux基础

    概述 先了解下unix,unix是一个多任务.多用户的操作系统,并且是收费的操作系统. 1991年的10月5日,林纳斯·托瓦兹在comp.os.minix新闻组上发布消息,正式向外宣布Linux内核的 ...

  9. atom的使用

    一,Atom介绍 Atom 是 Github 开源的文本编辑器,这个编辑器完全是使用Web技术构建的(基于Node-Webkit).启动速度快,提供很多常用功能的插件和主题,可以说Atom已经足以胜任 ...

  10. C++:多线程002

    https://blog.csdn.net/morewindows/article/details/7442333 程序描述:主线程启动10个子线程并将表示子线程序号的变量地址作为参数传递给子线程.子 ...