/etc/ssh/sshd_config的 PasswordAuthentication PermitRootLogin ClientAliveCountMax ClientAliveInterval

最新推荐文章于 2024-04-24 11:32:21 发布
最新推荐文章于 2024-04-24 11:32:21 发布
阅读量6.1k 收藏 5
点赞数
分类专栏: # Linux CentOS Ubuntu 等 # 控制台命令行 Shell脚本 sh cmd 等 学习笔记 解决问题 过程记录 文章标签: ssh 网络 运维 linux ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kfepiza/article/details/127781345
版权

与远程登陆相关 PasswordAuthentication , PermitRootLogin

  • #PasswordAuthentication yes 这个选项允许远程登陆用密码来认证, 但加了#号, 不会起作用
    将前面的#去掉, 变为 PasswordAuthentication yes 可以允许远程用密码登录认证

  • #PermitRootLogin prohibit-password 设为 PermitRootLogin yes 允许root远程登陆

与远程连接保持相关 ClientAliveInterval , ClientAliveCountMax

  • #ClientAliveInterval 0 : ClientAliveInterval 多少秒测试一次远程客户端是否在线, 设为默认是0, 0不会测试
  • #ClientAliveCountMax 3: 客户端不响应的最大次数, 超过就断开连接, 默认值是3, 所可以不设置, 只设置ClientAliveInterval 就行了

PasswordAuthentication
Specifies whether password authentication is allowed. The default is yes.
指定是否允许密码身份验证。默认值为“yes”。

PermitRootLogin
Specifies whether root can log in using ssh(1). The argument must be yes, prohibit-password, forced-commands-only, or no. The default is prohibit-password.
If this option is set to prohibit-password (or its deprecated alias, without-password), password and keyboard-interactive authentication are disabled for root.

If this option is set to forced-commands-only, root login with public key authentication will be allowed, but only if the command option has been specified (which may be useful for taking remote backups even if root login is normally not allowed). All other authentication methods are disabled for root.

If this option is set to no, root is not allowed to log in.
指定 root 是否可以使用 ssh(1) 登录。参数必须是 [ yes , prohibit-password(禁止密码) , forced-commands-only(仅强制命令) , no ] 其中之一。默认值为prohibit-password
如果此选项设置为prohibit-password(或其已弃用的别名,without-password),则会为 root 禁用密码和键盘交互式身份验证。
prohibit-passwordwithout-password的新名字
如果此选项设置为 forced-commands-only,则将允许使用公钥身份验证进行root登录,但前提是指定了命令选项(即使通常不允许root登录,这对于进行远程备份也很有用)。所有其他身份验证方法都禁用 root 用户。
如果此选项设置为 no,则不允许 root 登录。

ClientAliveCountMax
Sets the number of client alive messages which may be sent without sshd(8) receiving any messages back from the client. If this threshold is reached while client alive messages are being sent, sshd will disconnect the client, terminating the session. It is important to note that the use of client alive messages is very different from TCPKeepAlive. The client alive messages are sent through the encrypted channel and therefore will not be spoofable. The TCP keepalive option enabled by TCPKeepAlive is spoofable. The client alive mechanism is valuable when the client or server depend on knowing when a connection has become unresponsive.
The default value is 3. If ClientAliveInterval is set to 15, and ClientAliveCountMax is left at the default, unresponsive SSH clients will be disconnected after approximately 45 seconds. Setting a zero ClientAliveCountMax disables connection termination.
设置在 sshd(8) 接收到客户端返回的任何消息的情况下可以发送的客户端活动消息的数量。如果在发送客户端活动消息时达到此阈值,sshd 将断开客户端的连接,从而终止会话。需要注意的是,客户端活动消息的使用与 TCPKeepAlive 非常不同。客户端活动消息通过加密通道发送,因此不会是可欺骗的。由 TCPKeepAlive 启用的 TCP 保持连接选项是可欺骗的。当客户端或服务器依赖于知道连接何时变得无响应时,客户端活动机制很有价值。
默认值为 3。如果 ClientAliveInterval 设置为 15,并且 ClientAliveCountMax 保留为默认值,则无响应的 SSH 客户端将在大约 45 秒后断开连接。设置零 ClientAliveCountMax 将禁用连接终止。

ClientAliveInterval
Sets a timeout interval in seconds after which if no data has been received from the client, sshd(8) will send a message through the encrypted channel to request a response from the client. The default is 0, indicating that these messages will not be sent to the client.
设置一个超时间隔(以秒为单位),如果客户端没有收到任何数据, sshd(8) 将通过加密通道发送消息请求客户端响应。默认值为 0,表示这些消息不会发送到客户端。


不直接修改/etc/ssh/sshd_config, 而是在 /etc/ssh/sshd_config.d 下建立一个 Mysshd.conf 配置文件
并重启sshd.service服务

echo '
PasswordAuthentication yes
PermitRootLogin yes
ClientAliveInterval 666
' | sudo tee /etc/ssh/sshd_config.d/Mysshd.conf
sudo systemctl restart sshd.service

因为 PasswordAuthentication 的默认值就是 yes , 所以可以不设置

echo '
PermitRootLogin yes
ClientAliveInterval 666
' | sudo tee /etc/ssh/sshd_config.d/Mysshd.conf
sudo systemctl restart sshd.service

来个进入 /etc/ssh/sshd_config.d/ 文件夹 的命令, 方便复制

cd  /etc/ssh/sshd_config.d/

查看 /etc/ssh/sshd_config 文件

sudo cat /etc/ssh/sshd_config

sudo less /etc/ssh/sshd_config

sudo more /etc/ssh/sshd_config

sudo vi /etc/ssh/sshd_config

sudo nano /etc/ssh/sshd_config

sudo gedit /etc/ssh/sshd_config

初装的Ubuntu22.04.01Desktop桌面版的 /etc/ssh/sshd_config👇


# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Include /etc/ssh/sshd_config.d/*.conf

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile	.ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
KbdInteractiveAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the KbdInteractiveAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via KbdInteractiveAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and KbdInteractiveAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem	sftp	/usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	PermitTTY no
#	ForceCommand cvs server

其中
Include /etc/ssh/sshd_config.d/*.conf 会引入/etc/ssh/sshd_config.d/目录下的,以.conf结尾的文件,作为附加配置文件, 所以, 不要直接修改这个文件, 而是将修改的配置文件以.conf结尾,并放入/etc/ssh/sshd_config.d/目录

kfepiza
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[已解决]SSH远程登录失败,提示“Password authentication failed”
全名工作狂的小城堡
08-20 5万+
使用linuxssh登陆, ssh root@xxx.xxx.xxx.xxx 提示“Permission denied, please try again.” 然而我的密码都是对的啊啊啊啊啊。 排查点一: 查看防火墙设置:电脑->控制中心->防火墙 (Computer -> Control Center-> Firewall) sshd的22端口已经勾选上了。
sshd_config默认配置
10-22
sshd_config默认配置
SSH_Config_Editor_Pro_1.11.5.zip
12-19
SSH Config Editor Mac版是一款macOS平台的ssh配置文件管理工具,SSH Config Editor Mac版可以帮助我们在 mac电脑上管理ssh配置文件,我们可以通过这款软件添加或是修改SSH配置文件、添加或是修改端口转发规则、RSA密匙生成、分类管理配置文件等。
Linux sshd_config配置手册中文版
09-15
sshd默认从 /etc/ssh/sshd_config 文件(或通过 -f 命令行选项指定的文件)读取配置信息。配置文件是由"指令 值"对组成的,每行一个。空行和以'#'开头的行都将被忽略。如果值中含有空白符或者其他特殊符号,那么可以通过在两边加上双引号(")进行界定
SecureCRT出现Password authentication failed,也可能是用户名错误
weixin_41965446的博客
01-30 1万+
第一次写博,记载一下碰到的错误 使用SecureCRT登录虚拟机,发现出现“Password authentication failed” 在网上找了一堆方法,都试了一下,发现都没用   网上的方法: 方法一: vi服务器端的/etc/ssh/sshd_configPasswordAuthentication设成yes 重启service 方法二: 1...
密码正确,SSH无法登陆 Password authentication failed /Permission denied, please try again.
热门推荐
migee的博客
01-17 11万+
密码正确,SSH无法登陆 使用SecureCRT登陆,提示“Password authentication failed” 使用linuxssh登陆,提示“Permission denied,please try again.” 参考网上经验,一一实验: 方法一: vi  /etc/ssh/sshd_config 找到#Per
SSH服务中参数PasswordAuthentication的默认值为yes
xbeethoven的博客
08-12 3万+
问题描述 当您通过SSH客户端登录Linux系统的ECS实例时,输入正确的账号密码,也会出现类似如下错误信息。 · Permission denied (publickey,gssapi-keyex,gssapi-with-mic). · sshd[10826]: Connection closed by XX.XX.XX.XX. · Disconnected: No supported authentication methods available. 图片1.png 问题原因 SSH服务中参数Passw
/etc/ssh/sshd_config 配置文件中的 PasswordAuthentication & PermitRootLogin 参数作用
qq_50247813的博客
09-04 2884
是一种身份验证方式,通常用于远程服务器的登录。当用户连接到远程服务器并进行身份验证时,服务器会根据。用户名进行验证,如果验证成功允许用户访问服务器。用户使用密码远程访问,但是可以用其他方式访问,比如公钥。,则必须使用其他的身份验证方式,如公钥身份验证。表示 不允许 root 用户远程访问,,以指示是否允许密码身份验证。允许 root 用户远程访问,表示 不允许 root。测试结果: 可以远程访问。#可以看出密码被拒绝了。
linux基础第3节 ----配置和管理SSH服务器
m0_60981735的博客
02-16 2910
配置远程连接(sshd)服务
设置空闲超时选项“ClientAliveCountMax” ”ClientAliveInterval“ 参数来加强ssh连接的稳定性和安全性
Cheng_AJS_557的博客
02-20 3355
设置这两个选项的意义在于引入了试错机会: 因此,如果客户端发送心跳包,并且它们都成功,则连接可以保持活动状态,直到其中一方关闭连接。在这种情况下,心跳包仅用于重置连接计时器,而不会导致连接断开。只有在一定时间内没有收到心跳包时,服务器才会开始累计重试次数,并在重试次数达到阈值时关闭连接
sshd_config
12-01
linux /etc/ssh/sshd_config文件 该文件是为了对用户组进行管理 # $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $ # This is the sshd server system-wide configuration file. See # sshd...
Linux SSH 安全策略 更改 SSH 端口
01-10
默认的 SSH 端口是 22。强烈建议改成 10000 以上。...# 编辑 /etc/ssh/sshd_config (同上2图)  vim /etc/ssh/sshd_config  #加入新的 Port 值  Port 22   Port 18439 # 保存后,重启 SSH 服务:
Linux中的sshd_config文件.docx
10-13
linuxssh远程连接协议中的配置文件sshd_config
网络安全之反弹Shell
小飞的博客
04-12 1660
网络安全和渗透测试领域,“正向Shell”(Forward Shell)和"反向Shell"(Reverse Shell)是两种常用的技术手段,用于建立远程访问目标计算机的会话。这两种技术都可以让攻击者在成功渗透目标系统后执行命令,但它们在建立连接的方式上有所不同。
webman 事务回滚失效问题记录
juan9872的博客
04-21 699
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
Verilog 不可综合部分
Arthur...J的博客
04-22 539
Verilog中存在部分用于仿真验证的子集,只在仿真时使用,因为没有对应的硬件元件,因此不可综合。
hcip实验5:ospf综合实验
rrl18215821889的博客
04-20 614
私网的ip还是不能够访问公网上R4的环回地址 ,因为公网口的地址并没有宣告进私网(这里需要下发一条默认缺省让其他路由器能够访问公网口----3、整个OSPF环境IP基于172.16.0.0/16划分;除了R12有两个环回,其他路由器均有一个环回IP。1、R4为ISP,其上只配置IP地址;2、R3-R5、R6、R7为MGRE环境,R3为中心站点;5、减少LSA的更新量,加快收敛,保障更新安全;4.配置nat easy ip能够访问R4的环回。4、所有设备均可访问R4的环回;8.配置认证保证安全。
Mac 上可以使用 ping 端口
最新发布
qq_37194189的博客
04-24 235
在 Mac 上可以使用 ping 命令来检查与另一台计算机或网络设备的连通性。要 ping 一个端口,你需要使用另一个命令 nc(也称为 netcat)。
redis的订阅与发布功能
qq_19891197的博客
04-20 625
redis的订阅与发布功能
sudo nano /etc/ssh/sshd_config 如何配置
06-07
要配置OpenSSH服务器,您需要编辑 `/etc/ssh/sshd_config` 文件。这里是一些常见的配置选项: - **Port**:指定SSH服务器监听的端口。默认端口是22,但是为了安全起见,您可以更改为不常用的端口号,例如2222。示例:`Port 2222` - **PermitRootLogin**:指定是否允许root用户通过SSH登录。建议禁止root用户通过SSH登录,以提高系统安全性。示例:`PermitRootLogin no` - **PasswordAuthentication**:指定是否允许使用密码进行身份验证。建议禁用密码身份验证,并使用公钥身份验证提高安全性。示例:`PasswordAuthentication no` - **AllowUsers**:指定可以通过SSH登录的用户列表。示例:`AllowUsers user1 user2` - **MaxAuthTries**:指定在认证之前允许的最大尝试次数。默认为6。示例:`MaxAuthTries 3` - **X11Forwarding**:指定是否允许X11转发。默认为“no”。示例:`X11Forwarding yes` 编辑完 `sshd_config` 文件后,要使更改生效,需要重启SSH服务。使用以下命令重启SSH服务: ``` sudo systemctl restart ssh ``` 注意:在修改 `sshd_config` 文件之前,请务必备份原始文件。如果修改了错误的配置选项,可能会导致SSH服务器无法正常工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kfepiza

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值