sshd参数设置
[xy@xunye ~]$ sshd --help
unknown option -- -
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
usage: sshd [-46DdeiqTt] [-C connection_spec] [-c host_cert_file]
[-E log_file] [-f config_file] [-g login_grace_time]
[-h host_key_file] [-o option] [-p port] [-u len]
常用参数说明:
| -b bits | 用于定义服务器密钥的位数。默认值为 7 6 8,然而,还可以将它设 得更长或更短,这取决于你是否运行 i n e t d或希望更好的安全性。 |
| -d | 它可以用来将服务器设置成为调试模式。 S S H守护进程启动后,但 既不在后台运行,也不派生出任何新的子进程。 S S H守护进程在某个 时刻只能处理一个连接。调试输出将写入到日志文件中,并且关闭 “ a l e r t”机制。该选项应当用于服务器的调试,而不是用于增加日志 信息的。 |
| -f config_file | 可以定义一个特殊的配置文件。默认为 / e t c / s s h d _ c o n f i g,但如果不 是以r o o t身份运行S S H,你有必要把它定义到其他地方去。 |
| -g login_grace_time | 它设置S S H守护进程中的 a l e r t机制。它提供客户端较充裕的时间 与服务器进行认证,默认为 6 0 0秒( 1 0分钟)。如果客户端不进行认 证,服务器将从套接字断开连接。可以把这个值设为 0,意味着不 限制认证时间。如果把服务器设置成为调试模式,那么该数值将自 动设为0 |
| -h host_key_file | 它定义了你用于私人主机密钥的文件。如果不是以 r o o t身份运行 S S H进程,那么必须使用该选项。通常,私人主机密钥文件除了 r o o t账户以外是不可读的,然而,如果你从一个用户账户运行它, 情况就不是这样了。而且,如果使用一个替换文件,则需确定你把 权限设置为4 0 0或类似值。 |
| -i | 可以用来定义是否从 i n e t d来运行S S H。这要取决于是否以 T C P包 来运行 S S H守护进程或者是否想用 i n e t d来启动 S S H守护进程。从 i n e t d启动S S H有它自身的问题,这会引起潜在的麻烦。当密钥被再 生时,客户端可能会为一个普通长度的或较强壮的服务器密钥等得 太久。但你可以使用一个较小的密钥来提高性能,同时应当注意密 钥越短,就越容易被攻破。 |
| -k key_gen_time | 可以用来定义服务器密钥更新的频率。主机密钥一般并不轻易更 换。默认时间为一个小时。当重新生成密钥以后,即使是主机已经 受到损害,要想恢复解出加密数据包也会变得更加困难。如果把它 设置为 0,那么就意味着服务器密钥将不再被更改,我坚持建议不 要这样做。 |
| -p port | 可以用于定义服务器在哪个端口监听套接字。默认值为 2 2,专为 S S H所保留。记住它也是 / e t c / s e r v i c e s文件中定义的端口,除非作了更改。如果端口2 2已被其他应用程序所占用,也可把它定义为别的 端口。 |
| - q | 这是一种哑模式,意味着任何事件都不会发往系统日志。通常送 往系统日志的材料都是一个连接的开始部分的信息,如用户的认证 和连接的终端等。除非系统日志填充得太快了,一般你不必更改这 个选项。审计总是有好处的,因为它可以查看是否有人非法登录过 你的系统 |
| - V | 它会显示出从客户端读到的版本信息,并检查与 S S H 2的兼容性。 |
308
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
