配置文件/etc/ssh/sshd_config包含这一系列单行声明,每行声明均以某个关键字(不区分大小写)开头,其后跟着空格,最后是参数(区分大小写)。想要这些修改生效,必须重新加载sshd服务器。
AllowUsersuserlist | |
| userlist是一个由空格隔开的用户名列表,指定哪些用 户允许使用sshd登录。这个列表可以含有通配符*和?。 可以用user或者user@host的形式来指定用户。如果使用的 是第二种格式的话,那么要确保将host指定为hostname命令 所返回的值。如果没有指定这项声明,那么任何能够在本地 登录的用户都能够使用OpenSSH客户端登录。 |
ClientAliveCountMaxn | |
| n指定sshd从客户端断开连接之前,在没有接收到响应时能够 发送client-alive消息的条数。参见ClientAliveInterval。默认值为3。 |
ClientAliveIntervaln | |
| 如果n秒之内没有接收到客户端的消息,就通过加 密通道发送一条信息。参见ClientAliveCountMax。默认值为0, 意味着不发送消息。 这项声明通过加密通道(应用层,参见《基础篇》10.1.7节) 传递消息,不容易受到IP欺骗攻击(参见术语表)。它区别于 TCPKeepAlive,后者使用TCP的keepalive选项(传输层, 参见《基础篇》10.1.7节),容易受到IP欺骗攻击。 |
DenyUsersuserlist | |
| userlist是一个由空格隔开的用户名列表,指定哪些用户不 可以使用sshd登录。这个列表可以含有通配符*和?。 可以用user或者user@host的形式来指定用户。如果使用 的是第二种格式的话,那么要确保将host指定为hostname命令所返回的值。 |
HostbasedAuthenticationyesno | |
| 如果设置为yes,则尝试进行rhosts和/etc/hosts.equiv身份验证。 要想提高系统安全性,请将其设置为no(默认值)。 |
IgnoreRhostsyesno | |
| 忽略.rhosts和.shosts身份验证文件。不会影响到 /etc/hosts.equiv和/etc/ssh/shosts.equiv身份验证文件的使用。 要想提高系统安全性,请将其设置为yes(默认值)。 |
LoginGraceTimen | |
| 在断开连接之前,等待n秒以便用户登录到服务器。 如果值为零的话,表示没有时间限制。默认值为120秒。 |
LogLevelval | |
| 指定日志消息的详细程度。val的值从QUIET、FATAL、 ERROR、INFO和VERBOSE中选取。默认为INFO。 |
PasswordAuthentication | |
| 允许用户使用口令进行身份验证。要想提高系统安全性, 请设置自动登录(参见8.4.4节),并将该声明设置为no。默认值为yes。 |
PermitEmptyPasswords | |
| 允许用户登录到口令为空的账号。默认值为no。 |
PermitRootLogin | |
| 允许root使用OpenSSH客户端登录。考虑到连接到因特网的 典型系统经常遭受到的强力攻击次数,将该声明设置为no是 很必要的。(如果root账号被锁定,如何设置这个声明 就不是一个问题。)默认值为yes。 |
Portnum | 指定sshd服务器侦听端口num。将num改成非标准端口 可以提高安全性。默认端口为22。 |
StrictModesyesno | |
| 检查用户主目录和文件的模式和所有权。如果目录或文件 可以被任何一个除了所有者之外的人写入的话,那么 任何一个除了所有者之外的人登录将失败。出于安全方面的考虑, 请将其设置为yes(默认值)。 |
TCPKeepAliveyesno | |
| 如果设置为yes(默认值),那么周期性地检查连接是否存活。 当客户端崩溃或者由于其他原因导致连接死掉,那么该项检 查会让ssh或scp连接断开,即便只是临时性的故障。 这个选项在传输层(TCP)测试连接(参见《基础篇》 10.1.7节)。将该参数设置为no,会导致服务器不去检查连接是否存活。 这项声明使用TCP的keepalive选项,该项未被加密, 容易受到IP欺骗攻击(参见术语表)。对于不易 受到IP欺骗攻击的替代技术请参考ClientAliveInterval(参见8.4.6节)。 |
X11Forwardingyesno | |
| 若将该选项设置为yes,则允许X11转发。默认值为no, 但是UbuntuLinux将X11Forwarding设置为yes。要想让 可信的X11转发能够工作,那么~/.ssh/config或者 /etc/ssh/ssh_config客户端配置文件(参见8.3.7节) 中也必须将ForwardX11声明和ForwardX11Trusted声明设置为yes。 更多信息请参见(参见8.6节)节的“X11转发”部分。 |