Linux 安全与优化：RedHat 版本 - 实战指南
上一页	第 15 章. 软件 - 安全	下一页

sshd_config 文件`

该/etc/ssh/sshd_config文件是 OpenSSH 的系统级配置文件，允许您设置选项来修改守护进程的操作。此文件包含关键字-值对，每行一对，关键字不区分大小写。以下是配置 sshd 以获得最高安全性的最重要关键字；完整的列表和/或特殊要求可在 sshd(8) 的 man 手册中找到。

编辑sshd_config文件，使用 vi/etc/ssh/sshd_config并添加/或更改以下参数（如果需要）
# This is ssh server systemwide configuration file. Port 22 ListenAddress 192.168.1.1 HostKey /etc/ssh/ssh_host_key ServerKeyBits 1024 LoginGraceTime 600 KeyRegenerationInterval 3600 PermitRootLogin no IgnoreRhosts yes IgnoreUserKnownHosts yes StrictModes yes X11Forwarding no PrintMotd yes SyslogFacility AUTH LogLevel INFO RhostsAuthentication no RhostsRSAAuthentication no RSAAuthentication yes PasswordAuthentication yes PermitEmptyPasswords no AllowUsers admin

这告诉 sshd_config 文件使用以下配置设置自身

Port 22: 选项Port指定 ssh 守护进程监听传入连接的端口号。默认端口是 22。
ListenAddress 192.168.1.1: 选项ListenAddress指定 ssh 守护进程服务器套接字绑定的接口网络的 IP 地址。默认值为0.0.0.0；为了提高安全性，您可以仅指定必需的地址以限制可能的地址。
HostKey /etc/ssh/ssh_host_key: 选项HostKey指定包含私有主机密钥的位置。
ServerKeyBits 1024: 选项ServerKeyBits指定服务器密钥中使用的位数。当守护进程启动以生成其 RSA 密钥时，将使用这些位。
LoginGraceTime 600: 选项LoginGraceTime指定在收到连接请求后，服务器等待多长时间（秒）才断开连接，如果用户未成功登录。
KeyRegenerationInterval 3600: 选项KeyRegenerationInterval指定服务器应等待多长时间（秒）才自动重新生成其密钥。这是一种安全功能，可防止解密捕获的会话。
PermitRootLogin no: 选项PermitRootLogin指定是否允许 root 用户使用 ssh 登录。永远不要将此选项设置为yes。
IgnoreRhosts yes: 选项IgnoreRhosts指定是否不应在身份验证中使用 rhosts 或 shosts 文件。出于安全原因，建议不要使用 rhosts 或 shosts 文件进行身份验证。
IgnoreUserKnownHosts yes: 选项IgnoreUserKnownHosts指定 ssh 守护进程是否应忽略用户的$HOME/.ssh/known_hosts在 RhostsRSAAuthentication 期间。
StrictModes yes: 选项StrictModes指定 ssh 在接受登录之前是否应检查用户在其主目录和 rhosts 文件中的权限。此选项必须始终设置为yesyes，因为有时用户可能会意外地将其目录或文件设置为全局可写。
X11Forwarding no: 选项X11Forwarding指定是否应在此服务器上启用X11转发。由于我们设置的服务器未安装 GUI，因此我们可以安全地关闭此选项。
PrintMotd yes: 选项PrintMotd指定 ssh 守护进程是否应在用户以交互方式登录时打印/etc/motd文件的内容。该/etc/motd文件也称为每日消息。
SyslogFacility AUTH: 选项SyslogFacility指定记录来自 sshd 的消息时使用的工具代码。该工具指定生成消息的子系统——在我们的例子中，是 AUTH。
LogLevel INFO: 选项LogLevel指定记录来自 sshd 的消息时使用的级别。INFO 是一个不错的选择。有关其他可能性的更多信息，请参见 sshd 的 man 手册。
RhostsAuthentication no: 选项RhostsAuthentication指定 sshd 是否可以尝试使用基于 rhosts 的身份验证。由于 rhosts 身份验证不安全，因此您不应使用此选项。
RhostsRSAAuthentication no: 选项RhostsRSAAuthentication指定是否尝试将 rhosts 身份验证与 RSA 主机身份验证结合使用。
RSAAuthentication yes: 选项RSAAuthentication指定是否尝试 RSA 身份验证。为了在会话中获得更好的安全性，此选项必须设置为yesyes。RSA 使用使用 ssh-keygen1 实用程序创建的公钥和私钥对进行身份验证。
PasswordAuthentication yes: 选项PasswordAuthentication指定我们是否应使用基于密码的身份验证。为了获得强大的安全性，此选项必须始终设置为yes.
yes。: 选项PermitEmptyPasswords noPermitEmptyPasswordsyes.
指定服务器是否允许登录到密码为空的帐户。如果您打算使用 scp 实用程序通过网络进行自动备份，则必须将此选项设置为: 选项no。AllowUsers admin

上一页	AllowUsers	下一页
指定和控制哪些用户可以访问 ssh 服务。可以指定多个用户，用空格分隔。`/etc/ssh/ssh_config 文件`	向上	配置 OpenSSH 以使用 TCP-Wrappers/inetd 超级服务器

15.4. 配置/etc/ssh/sshd_config 文件

15.4. 配置`/etc/ssh/sshd_config 文件`