Linux 安全和优化：RedHat 版本 - 实战指南
上一页	第 16 章。软件 - 安全（商业版）	下一页

sshd2_config`文件

sshd2 的配置文件/etc/ssh2/sshd2_config允许您设置选项来修改守护进程的操作。文件包含关键字-值对，每行一个，关键字不区分大小写。以下是一些更重要的关键字；完整的列表可在 sshd2(8) 的 man 手册中找到。

编辑sshd2_config文件 (vi/etc/ssh2/sshs2_config并添加或更改，如有必要
# sshd2_config # SSH 2.0 Server Configuration File *:Port 22 ListenAddress 192.168.1.1 Ciphers blowfish IdentityFile identification AuthorizationFile authorization HostKeyFile hostkey PublicHostKeyFile hostkey.pub RandomSeedFile random_seed ForwardAgent no ForwardX11 no PasswordGuesses 3 MaxConnections 5 PermitRootLogin no AllowedAuthentications publickey,password RequiredAuthentications publickey,password VerboseMode no PrintMotd yes CheckMail yes UserConfigDirectory "%D/.ssh2" SyslogFacility DAEMON Ssh1Compatibility no NoDelay yes KeepAlive yes UserKnownHosts yes AllowHosts 192.168.1.4 DenyHosts * QuietMode no # subsystem definitions subsystem-sftp sftp-server
这告诉 sshd2_config 文件为此特定配置设置自身，使用

端口 22: 选项端口指定 ssh2 守护进程监听传入 ssh 连接的端口号。默认端口是 22。
ListenAddress 192.168.1.1: 选项ListenAddress指定 ssh2 守护进程服务器套接字绑定的接口网络的 IP 地址。默认值为0.0.0.0；为了提高安全性，您可以仅指定所需的地址以限制可能的地址。
Ciphers blowfish: 选项Ciphers指定应该使用什么密码来加密会话。blowfish 使用 64 位块和最多 448 位的密钥。
IdentityFile identification: 选项IdentityFile指定用户身份文件的备用名称。
AuthorizationFile authorization: 选项AuthorizationFile指定用户授权文件的备用名称。
HostKeyFile hostkey: 选项HostKeyFile指定包含私有主机密钥的备用文件。默认值为/etc/ssh2/hostkey.
PublicHostKeyFile hostkey.pub: 选项PublicHostKeyFile指定包含公共主机密钥的备用文件。默认值为/etc/ssh2/hostkey.pub.
RandomSeedFile random_seed: 选项RandomSeedFile指定用户随机种子文件的备用名称。
ForwardAgent no: 选项ForwardAgent指定应将哪个连接身份验证代理（如果有）转发到远程计算机。
ForwardX11 no: 选项ForwardX11适用于使用Xwindow GUI 并希望自动重定向X11会话到远程计算机的人员。由于我们设置了服务器并且没有在其上安装 GUI，因此我们可以安全地关闭此选项。
PasswordGuesses 3: 选项PasswordGuesses指定用户在使用密码验证时可以尝试的次数。
MaxConnections 5: 选项MaxConnections指定 ssh2 守护进程将同时处理的最大连接数。
PermitRootLogin no: 选项PermitRootLogin指定 root 用户是否可以使用 ssh 登录。永远不要对这个选项说yes。
AllowedAuthentications publickey,password: 选项AllowedAuthentications指定允许使用的身份验证方法。使用此选项，管理员可以强制用户在被视为已验证之前完成多个身份验证。
RequiredAuthentications publickey,password: 选项RequiredAuthentications与AllowedAuthentications相关，指定用户在继续之前必须完成哪些身份验证方法。此参数必须与AllowedAuthentications选项相同，否则服务器将每次都拒绝连接。
VerboseMode no: 选项VerboseMode指示 ssh2 守护进程打印有关其进度的调试消息。此选项有助于调试连接、身份验证和配置问题。
PrintMotd yes: 选项PrintMotd指定 ssh2 守护进程是否应在用户以交互方式登录时打印/etc/motd文件的内容。该/etc/motd文件也称为每日消息。
CheckMail yes: 选项CheckMail指定 ssh2 守护进程是否应打印有关您可能有的新邮件的信息。
UserConfigDirectory "%D/.ssh2": 选项UserConfigDirectory指定用户特定配置数据的默认位置。
SyslogFacility DAEMON: 选项SyslogFacility指定从 ssh2 守护进程记录消息时使用的工具代码。该工具指定生成消息的子系统，在我们的例子中是DAEMON.
Ssh1Compatibility no: 选项Ssh1Compatibility指定是否将 SSH1 兼容代码与 SSH2 一起用于 ssh1 用户。
NoDelay yes: 选项NoDelay指定是否应启用套接字选项 TCP_NODELAY。建议您将此选项设置为yes以提高网络性能。
KeepAlive yes: 选项KeepAlive指定系统是否应向远程服务器发送保持活动消息。如果设置为yes，则会正确注意到连接中断或远程计算机崩溃。
UserKnownHosts yes: 选项UserKnownHosts指定是否可以使用默认用户的家目录$HOME/.ssh2/knownhosts/在使用 基于主机的身份验证 时获取主机公钥。
AllowHosts 192.168.1.4: 选项AllowHosts指定和控制哪些主机可以访问 ssh2 服务。可以指定多个主机，以空格分隔。
DenyHosts *: 选项DenyHosts指定和控制哪些主机无法访问 ssh2 服务。可以指定多个主机，以空格分隔。默认模式*表示所有主机。
QuietMode no: 选项QuietMode指定系统是否在安静模式下运行。此选项必须设置为no，因为在安静模式下，除了致命错误外，系统日志中不会记录任何内容。由于我们希望拥有有关用户会话的信息，因此最好禁用此选项。

上一页	主页	下一页
配置`/etc/ssh2/ssh2_config`文件	向上	配置 sshd2 以使用 tcp-wrappers/inetd 超级服务器

16.4. 配置/etc/ssh2/sshd2_config文件

16.4. 配置`/etc/ssh2/sshd2_config`文件