linux下sshd配置文件说明

Created2018-06-17Updated2020-04-06Words1.5kReading11m

Linux下sshd配置文件说明

注明:很多人可能不知道ssh和sshd有什么区别,在这里我给大家讲解一下他们的区别,ssh通常是客户端,sshd是服务端,一般我们连接Linux则需要配置Linux的sshd配置文件,这样我们才能连接服务器。

sshd配置文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
#	$OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER  #SELinux配置SSH端口
#
#Port 22  #监听的服务器端口
#AddressFamily any  #any表示同时监听iPv4和iPv6地址
#ListenAddress 0.0.0.0  #监听iPv4地址
#ListenAddress ::  #监听iPv6地址

HostKey /etc/ssh/ssh_host_rsa_key  #SSH所使用的RSA私钥路径
#HostKey /etc/ssh/ssh_host_dsa_key  #SSH所使用的DSA私钥路径
HostKey /etc/ssh/ssh_host_ecdsa_key  #SSH所使用的ECDSA私钥路径
HostKey /etc/ssh/ssh_host_ed25519_key  #SSH所使用的ED25519私钥路径

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV  #设置在记录来自sshd的消息的时候,是否给出"Facility code"
#LogLevel INFO  #日志记录级别

# Authentication:

#LoginGraceTime 2m  #限定用户认证时间为2分钟
PermitRootLogin no  #是否允许root账号SSH登录,生成环境最好禁止root登录
#StrictModes yes  #设置SSH在接受登陆请求之前,是否检查用户根目录和rhosts文件的权限和所有权,建议开启
#MaxAuthTries 6  #指定每个链接最大允许的认证次数,默认值是6
#MaxSessions 10  #最大允许保持多少个连接,默认值是10

#PubkeyAuthentication yes  #是否开启公钥验证

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile .ssh/authorized_keys  #公钥验证文件路径

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication  #指定服务器在使用 ~/.shosts ~/.rhosts /etc/hosts.equiv进行远程主机名匹配时,是否进行反向域名查询
#IgnoreUserKnownHosts no  #是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 过程中忽略用户的 ~/.ssh/known_hosts 文件
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes  #是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 过程中忽略 .rhosts 和 .shosts 文件

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes  #是否启用密码登录验证,建议使用秘钥登录
#PermitEmptyPasswords no  #是否允许空密码


# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no  #是否允许质疑-应答(challenge-response)认证

# Kerberos options
#KerberosAuthentication no #是否使用Kerberos认证
#KerberosOrLocalPasswd yes  #如果 Kerberos 密码认证失败,那么该密码还将要通过其它的认证机制(比如 /etc/passwd)
#KerberosTicketCleanup yes  #是否在用户退出登录后自动销毁用户的 ticket
#KerberosGetAFSToken no  #如果使用了AFS并且该用户有一个 Kerberos 5 TGT,那么开启该指令后,将会在访问用户的家目录前尝试获取一个AFS token
#KerberosUseKuserok yes

# GSSAPI options
GSSAPIAuthentication yes    #是否允许基于GSSAPI的用户认证
GSSAPICleanupCredentials no  #是否在用户退出登录后自动销毁用户凭证缓存
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
#GSSAPIEnablek5users no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
# WARNING: 'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause several
# problems.
UsePAM yes  #是否通过PAM验证

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no  #是否允许远程主机连接本地的转发端口
X11Forwarding yes  #是否允许X11转发
#X11DisplayOffset 10  #指定sshd(8)X11转发的第一个可用的显示区(display)数字。默认值是10
#X11UseLocalhost yes  #是否应当将X11转发服务器绑定到本地loopback地址
#PermitTTY yes
#PrintMotd yes  #指定sshd(8)是否在每一次交互式登录时打印 /etc/motd 文件的内容
#PrintLastLog yes  #指定sshd(8)是否在每一次交互式登录时打印最后一位用户的登录时间
#TCPKeepAlive yes  #指定系统是否向客户端发送 TCP keepalive 消息
#UseLogin no  #是否在交互式会话的登录过程中使用 login(1)
#UsePrivilegeSeparation sandbox  #是否让 sshd(8) 通过创建非特权子进程处理接入请求的方法来进行权限分离
#PermitUserEnvironment no  #指定是否允许sshd(8)处理~/.ssh/environment以及 ~/.ssh/authorized_keys中的 environment= 选项
#Compression delayed  #是否对通信数据进行加密,还是延迟到认证成功之后再对通信数据加密
#ClientAliveInterval 0  #sshd(8)长时间没有收到客户端的任何数据,不发送"alive"消息
#ClientAliveCountMax 3  #sshd(8)在未收到任何客户端回应前最多允许发送多个"alive"消息,默认值是 3
#ShowPatchLevel no
UseDNS no  #是否使用dns反向解析
#PidFile /var/run/sshd.pid  #指定存放SSH守护进程的进程号的路径
#MaxStartups 10:30:100  #最大允许保持多少个未认证的连接
#PermitTunnel no  #是否允许tun(4)设备转发
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none  #将这个指令指定的文件中的内容在用户进行认证前显示给远程用户,默认什么内容也不显示,"none"表示禁用这个特性

# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS

# override default of no subsystems
Subsystem sftp	/usr/libexec/openssh/sftp-server  #配置一个外部子系统sftp及其路径

# Example of overriding settings on a per-user basis
#Match User anoncvs  #引入一个条件块。块的结尾标志是另一个 Match 指令或者文件结尾    
#	X11Forwarding no
#	AllowTcpForwarding no
#	PermitTTY no
#	ForceCommand cvs server