搜索
首页运维linux运维Linux sshd_config如何配置

Linux sshd_config如何配置

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
May 14, 2023 pm 10:13 PM
linuxsshd_config

[注意]值是大小写敏感的,但指令是大小写无关的。

1. 关于 ssh server 的整体设定,包含使用的 port 啦,以及使用的密码演算方式

port 22          # ssh 预设使用 22 这个 port,您也可以使用多的 port !
              # 亦即重复使用 port 这个设定项目即可!
protocol 2,1        # 选择的 ssh 协议版本,可以是 1 也可以是 2 ,
              # 如果要同时支持两者,就必须要使用 2,1 这个分隔了!
#listenaddress 0.0.0.0   # 监听的主机适配卡!举个例子来说,如果您有两个 ip,
              # 分别是 192.168.0.100 及 192.168.2.20 ,那么只想要
              # 开放 192.168.0.100 时,就可以写如同下面的样式:
listenaddress 192.168.0.100          # 只监听来自 192.168.0.100 这个 ip 的ssh联机。
                   # 如果不使用设定的话,则预设所有接口均接受 ssh
pidfile /var/run/sshd.pid      # 可以放置 sshd 这个 pid 的档案!左列为默认值
logingracetime 600     # 当使用者连上 ssh server 之后,会出现输入密码的画面,
              # 在该画面中,在多久时间内没有成功连上 ssh server ,
              # 就断线!时间为秒!
compression yes      # 是否可以使用压缩指令?当然可以啰!

 
2. 说明主机的 private key 放置的档案,预设使用下面的档案即可!

hostkey /etc/ssh/ssh_host_key    # ssh version 1 使用的私钥
hostkey /etc/ssh/ssh_host_rsa_key  # ssh version 2 使用的 rsa 私钥
hostkey /etc/ssh/ssh_host_dsa_key  # ssh version 2 使用的 dsa 私钥
# 2.1 关于 version 1 的一些设定!
keyregenerationinterval 3600     # 由前面联机的说明可以知道, version 1 会使用
                   # server 的 public key ,那么如果这个 public
                   # key 被偷的话,岂不完蛋?所以需要每隔一段时间
                   # 来重新建立一次!这里的时间为秒!
serverkeybits 768           # 没错!这个就是 server key 的长度!


3. 关于登录文件的讯息数据放置与 daemon 的名称!

syslogfacility auth         # 当有人使用 ssh 登入系统的时候,ssh会记录资
                   # 讯,这个信息要记录在什么 daemon name 底下?
                   # 预设是以 auth 来设定的,即是 /var/log/secure
                   # 里面!什么?忘记了!回到 linux 基础去翻一下
                   # 其它可用的 daemon name 为:daemon,user,auth,
                   # local0,local1,local2,local3,local4,local5,
loglevel info            # 登录记录的等级!嘿嘿!任何讯息!
                   # 同样的,忘记了就回去参考!


4. 安全设定项目!极重要!
4.1 登入设定部分

permitrootlogin no     # 是否允许 root 登入!预设是允许的,但是建议设定成 no!
userlogin no        # 在 ssh 底下本来就不接受 login 这个程序的登入!
strictmodes yes      # 当使用者的 host key 改变之后,server 就不接受联机,
              # 可以抵挡部分的木马程序!
#rsaauthentication yes   # 是否使用纯的 rsa 认证!?仅针对 version 1 !
pubkeyauthentication yes  # 是否允许 public key ?当然允许啦!只有 version 2
authorizedkeysfile      .ssh/authorized_keys
              # 上面这个在设定若要使用不需要密码登入的账号时,那么那个
              # 账号的存放档案所在档名!


4.2 认证部分

rhostsauthentication no  # 本机系统不止使用 .rhosts ,因为仅使用 .rhosts 太
              # 不安全了,所以这里一定要设定为 no !
ignorerhosts yes      # 是否取消使用 ~/.ssh/.rhosts 来做为认证!当然是!
rhostsrsaauthentication no # 这个选项是专门给 version 1 用的,使用 rhosts 档案在
              # /etc/hosts.equiv配合 rsa 演算方式来进行认证!不要使用
hostbasedauthentication no # 这个项目与上面的项目类似,不过是给 version 2 使用的!
ignoreuserknownhosts no  # 是否忽略家目录内的 ~/.ssh/known_hosts 这个档案所记录
              # 的主机内容?当然不要忽略,所以这里就是 no 啦!
passwordauthentication yes # 密码验证当然是需要的!所以这里写 yes 啰!
permitemptypasswords no  # 若上面那一项如果设定为 yes 的话,这一项就最好设定
              # 为 no ,这个项目在是否允许以空的密码登入!当然不许!
challengeresponseauthentication yes  # 挑战任何的密码认证!所以,任何 login.conf
                   # 规定的认证方式,均可适用!
#pamauthenticationviakbdint yes      # 是否启用其它的 pam 模块!启用这个模块将会
                   # 导致 passwordauthentication 设定失效!


 
4.3 与 kerberos 有关的参数设定!因为我们没有 kerberos 主机,所以底下不用设定!

#kerberosauthentication no
#kerberosorlocalpasswd yes
#kerberosticketcleanup yes
#kerberostgtpassing no


 
4.4 底下是有关在 x-window 底下使用的相关设定!

x11forwarding yes
#x11displayoffset 10
#x11uselocalhost yes


4.5 登入后的项目:

printmotd no              # 登入后是否显示出一些信息呢?例如上次登入的时间、地点等
             # 等,预设是 yes ,但是,如果为了安全,可以考虑改为 no !
printlastlog yes     # 显示上次登入的信息!可以啊!预设也是 yes !
keepalive yes       # 一般而言,如果设定这项目的话,那么 ssh server 会传送
             # keepalive 的讯息给 client 端,以确保两者的联机正常!
             # 在这个情况下,任何一端死掉后, ssh 可以立刻知道!而不会
             # 有僵尸程序的发生!
useprivilegeseparation yes # 使用者的权限设定项目!就设定为 yes 吧!
maxstartups 10      # 同时允许几个尚未登入的联机画面?当我们连上 ssh ,
             # 但是尚未输入密码时,这个时候就是我们所谓的联机画面啦!
             # 在这个联机画面中,为了保护主机,所以需要设定最大值,
             # 预设最多十个联机画面,而已经建立联机的不计算在这十个当中


4.6 关于使用者抵挡的设定项目:

denyusers *        # 设定受抵挡的使用者名称,如果是全部的使用者,那就是全部
             # 挡吧!若是部分使用者,可以将该账号填入!例如下列!
denyusers test
denygroups test      # 与 denyusers 相同!仅抵挡几个群组而已!


5. 关于 sftp 服务的设定项目!

subsystem       sftp    /usr/lib/ssh/sftp-server

基本上,在系统中除非有必要,否则请不要更改 /etc/ssh/sshd_config 这个档案的设定值!因为预设的情况下通常都是最严密的 ssh 保护了,因此,可以不需要更动他!上面的说明仅是在让大家了解每个细项的一些基本内容而已!需要注意的是最后一项,如果您不愿意开放 sftp 的话,将最后一行批注掉即可。

以上是Linux sshd_config如何配置的详细内容。更多信息请关注PHP中文网其他相关文章!

声明
本文转载于:亿速云。如有侵权,请联系admin@php.cn删除
相关文章
了解Linux的维护模式:必需品了解Linux的维护模式:必需品Apr 14, 2025 am 12:04 AM

Linux维护模式通过在启动时添加init=/bin/bash或single参数进入。1.进入维护模式:编辑GRUB菜单,添加启动参数。2.重新挂载文件系统为读写模式:mount-oremount,rw/。3.修复文件系统:使用fsck命令,如fsck/dev/sda1。4.备份数据并谨慎操作,避免数据丢失。

Debian如何提升Hadoop数据处理速度Debian如何提升Hadoop数据处理速度Apr 13, 2025 am 11:54 AM

本文探讨如何在Debian系统上提升Hadoop数据处理效率。优化策略涵盖硬件升级、操作系统参数调整、Hadoop配置修改以及高效算法和工具的运用。一、硬件资源强化确保所有节点硬件配置一致,尤其关注CPU、内存和网络设备性能。选择高性能硬件组件对于提升整体处理速度至关重要。二、操作系统调优文件描述符和网络连接数:修改/etc/security/limits.conf文件,增加系统允许同时打开的文件描述符和网络连接数上限。JVM参数调整:在hadoop-env.sh文件中调整

Debian syslog如何学习Debian syslog如何学习Apr 13, 2025 am 11:51 AM

本指南将指导您学习如何在Debian系统中使用Syslog。Syslog是Linux系统中用于记录系统和应用程序日志消息的关键服务,它帮助管理员监控和分析系统活动,从而快速识别并解决问题。一、Syslog基础知识Syslog的核心功能包括:集中收集和管理日志消息;支持多种日志输出格式和目标位置(例如文件或网络);提供实时日志查看和过滤功能。二、安装和配置Syslog(使用Rsyslog)Debian系统默认使用Rsyslog。您可以通过以下命令安装:sudoaptupdatesud

Debian中Hadoop版本怎么选Debian中Hadoop版本怎么选Apr 13, 2025 am 11:48 AM

选择适合Debian系统的Hadoop版本,需要综合考虑以下几个关键因素:一、稳定性与长期支持:对于追求稳定性和安全性的用户,建议选择Debian稳定版,例如Debian11(Bullseye)。该版本经过充分测试,拥有长达五年的支持周期,能够确保系统稳定运行。二、软件包更新速度:如果您需要使用最新的Hadoop功能和特性,则可以考虑Debian的不稳定版(Sid)。但需注意,不稳定版可能存在兼容性问题和稳定性风险。三、社区支持与资源:Debian拥有庞大的社区支持,可以提供丰富的文档和

Debian上TigerVNC共享文件方法Debian上TigerVNC共享文件方法Apr 13, 2025 am 11:45 AM

本文介绍如何在Debian系统上使用TigerVNC共享文件。你需要先安装TigerVNC服务器,然后进行配置。一、安装TigerVNC服务器打开终端。更新软件包列表:sudoaptupdate安装TigerVNC服务器:sudoaptinstalltigervnc-standalone-servertigervnc-common二、配置TigerVNC服务器设置VNC服务器密码:vncpasswd启动VNC服务器:vncserver:1-localhostno

Debian邮件服务器防火墙配置技巧Debian邮件服务器防火墙配置技巧Apr 13, 2025 am 11:42 AM

配置Debian邮件服务器的防火墙是确保服务器安全性的重要步骤。以下是几种常用的防火墙配置方法,包括iptables和firewalld的使用。使用iptables配置防火墙安装iptables(如果尚未安装):sudoapt-getupdatesudoapt-getinstalliptables查看当前iptables规则:sudoiptables-L配置

Debian邮件服务器SSL证书安装方法Debian邮件服务器SSL证书安装方法Apr 13, 2025 am 11:39 AM

在Debian邮件服务器上安装SSL证书的步骤如下:1.安装OpenSSL工具包首先,确保你的系统上已经安装了OpenSSL工具包。如果没有安装,可以使用以下命令进行安装:sudoapt-getupdatesudoapt-getinstallopenssl2.生成私钥和证书请求接下来,使用OpenSSL生成一个2048位的RSA私钥和一个证书请求(CSR):openss

Debian邮件服务器虚拟主机配置方法Debian邮件服务器虚拟主机配置方法Apr 13, 2025 am 11:36 AM

在Debian系统上配置邮件服务器的虚拟主机通常涉及安装和配置邮件服务器软件(如Postfix、Exim等),而不是ApacheHTTPServer,因为Apache主要用于Web服务器功能。以下是配置邮件服务器虚拟主机的基本步骤:安装Postfix邮件服务器更新系统软件包:sudoaptupdatesudoaptupgrade安装Postfix:sudoapt

See all articles

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

AI Hentai Generator

AI Hentai Generator

免费生成ai无尽的。

显示更多

热门文章

R.E.P.O.能量晶体解释及其做什么(黄色晶体)
3 周前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最佳图形设置
3 周前By尊渡假赌尊渡假赌尊渡假赌
刺客信条阴影:贝壳谜语解决方案
2 周前ByDDD
R.E.P.O.如果您听不到任何人,如何修复音频
3 周前By尊渡假赌尊渡假赌尊渡假赌
WWE 2K25:如何解锁Myrise中的所有内容
4 周前By尊渡假赌尊渡假赌尊渡假赌
显示更多

热工具

Dreamweaver CS6

Dreamweaver CS6

视觉化网页开发工具

螳螂BT

螳螂BT

Mantis是一个易于部署的基于Web的缺陷跟踪工具,用于帮助产品缺陷跟踪。它需要PHP、MySQL和一个Web服务器。请查看我们的演示和托管服务。

DVWA

DVWA

Damn Vulnerable Web App (DVWA) 是一个PHP/MySQL的Web应用程序,非常容易受到攻击。它的主要目标是成为安全专业人员在合法环境中测试自己的技能和工具的辅助工具,帮助Web开发人员更好地理解保护Web应用程序的过程,并帮助教师/学生在课堂环境中教授/学习Web应用程序安全。DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞,难度各不相同。请注意,该软件中

MinGW - 适用于 Windows 的极简 GNU

MinGW - 适用于 Windows 的极简 GNU

这个项目正在迁移到osdn.net/projects/mingw的过程中,你可以继续在那里关注我们。MinGW:GNU编译器集合(GCC)的本地Windows移植版本,可自由分发的导入库和用于构建本地Windows应用程序的头文件;包括对MSVC运行时的扩展,以支持C99功能。MinGW的所有软件都可以在64位Windows平台上运行。

SecLists

SecLists

SecLists是最终安全测试人员的伙伴。它是一个包含各种类型列表的集合,这些列表在安全评估过程中经常使用,都在一个地方。SecLists通过方便地提供安全测试人员可能需要的所有列表,帮助提高安全测试的效率和生产力。列表类型包括用户名、密码、URL、模糊测试有效载荷、敏感数据模式、Web shell等等。测试人员只需将此存储库拉到新的测试机上,他就可以访问到所需的每种类型的列表。

显示更多

热门话题

gmail邮箱登陆入口在哪里
7490
15
CakePHP 教程
1377
52
steam的账户名称是什么格式
77
11
win11激活密钥永久
52
19
NYT连接提示和答案
19
41
显示更多