linux ssh配置文件ssh_config与sshd_config文件配置详解

Linux系统 0 1047 团子精英 收藏
ssh_config,个人可以通过配置~/.ssh/config文件来自定义
参数说明
Host *选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。
ForwardAgent   no“ForwardAgent”设置连接是否经过验证代理(如果存在)转发给远程计算机。
ForwardX11 no“ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集(DISPLAY   set)。
RhostsAuthentication   no“RhostsAuthentication”设置是否使用基于rhosts的安全验证。
RhostsRSAAuthentication   no“RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。
RSAAuthentication   yes“RSAAuthentication”设置是否使用RSA算法进行安全验证。
PasswordAuthentication   yes“PasswordAuthentication”设置是否使用口令验证。
FallBackToRsh   no“FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。
UseRsh no“UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。
BatchMode no“BatchMode”如果设为“yes”,passphrase/password(交互式输入口令)的提示将被禁止。当不能交互式输入口令的时候,这个选项对脚本文件和批处理任务十分有用。
CheckHostIP   yes“CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”。
StrictHostKeyChecking   no“StrictHostKeyChecking”如果设置成“yes”,ssh就不会自动把计算机的密匙加入“$HOME/.ssh/known_hosts”文件,并且一旦计算机的密匙发生了变化,就拒绝连接。
IdentityFile   ~/.ssh/identity“IdentityFile”设置从哪个文件读取用户的RSA安全验证标识。
Port 22“Port”设置连接到远程主机的默认端口。
Cipher   blowfish“Cipher”设置加密用的密码。
EscapeChar ~“EscapeChar”设置escape字符。
SendEnv将那些客户端环境变量传递到服务器,配合sshd_config中的AcceptEnv配置共同使用




sshd_config
参数说明
Port 22# SSH 预设使用 22 这个端口,您也可以使用其他多端口
Protocol 2,1# 选择的 SSH 协议版本,可以是 1 也可以是 2   ,也可以二者共用
#ListenAddress   0.0.0.0# 监听的IP地址,也代表用户可以通过哪个IP地址连接到这台机器
PidFile   /var/run/sshd.pid# 放置 SSHD 这个 PID 的位置!
LoginGraceTime   600#代表多久没有成功连接就断开
Compression   yes# 是否可以使用压缩指令
SyslogFacility   AUTH当有人使用 SSH 登入系统的时候,SSH会记录到/var/log/secure,记录内容可以有DAEMON,USER,AUTH,LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5
LogLevel INFO# 登录记录的等级 QUIET, FATAL, ERROR, INFO(默认), VERBOSE, DEBUG, DEBUG1, DEBUG2,   DEBUG3


PermitRootLogin   no# 是否允许 root 登入!默认是允许的
UseLogin no是否在交互式会话的登录过程中使用 login,如果开启此指令,那么X11Forwarding将会被禁止
StrictModes   yes指定是否要求在接受连接请求前对用户主目录和相关的配置文件进行宿主和权限检查
RSAAuthentication   yes是否允许使用纯 RSA   公钥认证。仅用于SSH-1。默认值是"yes"。
PubkeyAuthentication   yes是否允许公钥认证。仅可以用于SSH-2。默认值为"yes"。
AuthorizedKeysFile 存放该用户可以用来登录的 RSA/DSA 公钥,默认值是".ssh/authorized_keys"
RhostsAuthentication   no是否允许使用.rhosts,因为仅使用 .rhosts 太不安全,默认禁止
IgnoreRhosts   yes 是否取消使用 ~/.ssh/.rhosts 来做为认证!默认开启
RhostsRSAAuthentication   no是否使用强可信主机认证(通过检查远程主机名和关联的用户名进行认证)。仅用于SSH-1。安全为主,默认禁止
HostbasedAuthentication   no这个指令与RhostsRSAAuthentication类似,但是仅可以用于SSH-2。默认禁止
IgnoreUserKnownHosts   no是否在RhostsRSAAuthenticationHostbasedAuthentication过程中忽略用户的~/.ssh/known_hosts文件。
PasswordAuthentication   yes是否允许使用基于密码的认证。默认为允许
PermitEmptyPasswords   no是否允许密码为空的用户远程登录。默认禁止
ChallengeResponseAuthentication   yes 是否允许质疑-应答(challenge-response)认证。默认允许
X11Forwarding   yes是否允许进行 X11 转发,有些主机默认禁止,建议打开
X11DisplayOffset   10指定X11 转发的第一个可用的显示区(display)数字。默认值是 10 ,这个可以用于防止 sshd 占用了真实的 X11 服务器显示区,从而发生混淆。
X11UseLocalhost   yes是否应当将X11转发服务器绑定到本地loopback地址。默认允许,但是有些旧的系统可能无法兼容,这时可以设置为no
PrintMotd yes是否在每一次交互式登录时打印/etc/motd文件的内容。默认允许
PrintLastLog   yes是否在每一次交互式登录时打印最后一位用户的登录时间。默认允许
TCPKeepAlive   yes指定系统是否向客户端发送 TCP keepalive 消息。默认允许
UsePrivilegeSeparation   yes通过创建非特权子进程处理接入请求的方法来进行权限分离。默认允许
MaxAuthTries 6每个连接最大允许的认证次数。默认值是 6,失败认证的次数超过这个数值的一半,连接将被强制断开,且会生成额外的失败日志消息。
MaxStartups 10最大允许保持多少个未认证的连接。默认值是 10 。到达限制后,将不再接受新连接,除非先前的连接认证成功或超出LoginGraceTime的限制。也就是最多10个人停留在输入账号密码阶段
DenyUsers/AllowUsers后面跟着一串用空格分隔的用户名列表(其中可以使用"*""?"通配符)。默认允许所有用户登录。指定了 USER@HOST 模式的用户,那么 USER   HOST 将同时被检查,只允许使用用户的名字而不允许使用UID           
DenyGroups/AllowGroups后面跟着一串用空格分隔的组名列表(其中可以使用"*""?"通配符)。默认允许所有组登录。 allow/deny 指令按照下列顺序处理:DenyUsers,AllowUsers,DenyGroups,AllowGroups   
GSSAPIAuthentication是否允许使用基于   GSSAPI 的用户认证。默认值为"no"。仅用于SSH-2。
GSSAPICleanupCredentials是否在用户退出登录后自动销毁用户凭证缓存。默认值是"yes"。仅用于SSH-2。
HostbasedAuthentication这个指令与RhostsRSAAuthentication类似,但是仅可以用于SSH-2。默认禁止
UseDNS是否应该对远程主机名进行反向解析,以检查此主机名是否与其IP地址真实对应。默认允许,建议禁止
ClientAliveInterval设置一个以秒记的时长,如果超过这么长时间没有收到客户端的任何数据,将通过安全通道向客户端发送一个"alive"消息,并等候应答。 默认值   0 表示不发送"alive"消息。这个选项仅对SSH-2有效。
ClientAliveCountMax在未收到任何客户端回应前最多允许发送多少个"alive"消息。默认值是 3 。到达这个上限后,将强制断开连接、关闭会话。
AcceptEnv指定客户端发送的哪些环境变量将会被传递到会话环境中。配合   ssh_config中的SendEnv指令
AllowTcpForwarding是否允许TCP转发,默认允许
Banner将这个指令指定的文件中的内容在用户进行认证前显示给远程用户。默认为none
Ciphers指定SSH-2允许使用的加密算法。多个算法之间使用逗号分隔。可以使用的算法如下:"aes128-cbc", "aes192-cbc",   "aes256-cbc", "aes128-ctr", "aes192-ctr",   "aes256-ctr", "3des-cbc",   "arcfour128","arcfour256", "arcfour",   "blowfish-cbc", "cast128-cbc" 默认值是可以使用上述所有算法。
GatewayPorts 是否允许远程主机连接本地的转发端口。默认禁止
XAuthLocation指定 xauth程序的绝对路径。默认值是/usr/X11R6/bin/xauth


相关推荐:

网友留言:

您需要 登录账户 后才能发表评论

我要评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
验证码