配置文件/etc/ssh/sshd_config包含這一系列單行聲明,每行聲明均以某個關鍵字(不區分大小寫)開頭,其後跟着空格,最後是參數(區分大小寫)。想要這些修改生效,必須重新加載sshd服務器。
|
AllowUsersuserlist |
|
|
|
userlist是一個由空格隔開的用戶名列表,指定哪些用 戶允許使用sshd登錄。這個列表可以含有通配符*和?。 可以用user或者user@host的形式來指定用戶。如果使用的 是第二種格式的話,那麼要確保將host指定爲hostname命令 所返回的值。如果沒有指定這項聲明,那麼任何能夠在本地 登錄的用戶都能夠使用OpenSSH客戶端登錄。 |
|
ClientAliveCountMaxn |
|
|
|
n指定sshd從客戶端斷開連接之前,在沒有接收到響應時能夠 發送client-alive消息的條數。參見ClientAliveInterval。默認值爲3。 |
|
ClientAliveIntervaln |
|
|
|
如果n秒之內沒有接收到客戶端的消息,就通過加 密通道發送一條信息。參見ClientAliveCountMax。默認值爲0, 意味着不發送消息。 這項聲明通過加密通道(應用層,參見《基礎篇》10.1.7節) 傳遞消息,不容易受到IP欺騙攻擊(參見術語表)。它區別於 TCPKeepAlive,後者使用TCP的keepalive選項(傳輸層, 參見《基礎篇》10.1.7節),容易受到IP欺騙攻擊。 |
|
DenyUsersuserlist |
|
|
|
userlist是一個由空格隔開的用戶名列表,指定哪些用戶不 可以使用sshd登錄。這個列表可以含有通配符*和?。 可以用user或者user@host的形式來指定用戶。如果使用 的是第二種格式的話,那麼要確保將host指定爲hostname命令所返回的值。 |
|
HostbasedAuthenticationyesno |
|
|
|
如果設置爲yes,則嘗試進行rhosts和/etc/hosts.equiv身份驗證。 要想提高系統安全性,請將其設置爲no(默認值)。 |
|
IgnoreRhostsyesno |
|
|
|
忽略.rhosts和.shosts身份驗證文件。不會影響到 /etc/hosts.equiv和/etc/ssh/shosts.equiv身份驗證文件的使用。 要想提高系統安全性,請將其設置爲yes(默認值)。 |
|
LoginGraceTimen |
|
|
|
在斷開連接之前,等待n秒以便用戶登錄到服務器。 如果值爲零的話,表示沒有時間限制。默認值爲120秒。 |
|
LogLevelval |
|
|
|
指定日誌消息的詳細程度。val的值從QUIET、FATAL、 ERROR、INFO和VERBOSE中選取。默認爲INFO。 |
|
PasswordAuthentication |
|
|
|
允許用戶使用口令進行身份驗證。要想提高系統安全性, 請設置自動登錄(參見8.4.4節),並將該聲明設置爲no。默認值爲yes。 |
|
PermitEmptyPasswords |
|
|
|
允許用戶登錄到口令爲空的賬號。默認值爲no。 |
|
PermitRootLogin |
|
|
|
允許root使用OpenSSH客戶端登錄。考慮到連接到因特網的 典型系統經常遭受到的強力攻擊次數,將該聲明設置爲no是 很必要的。(如果root賬號被鎖定,如何設置這個聲明 就不是一個問題。)默認值爲yes。 |
|
Portnum |
指定sshd服務器偵聽端口num。將num改成非標準端口 可以提高安全性。默認端口爲22。 |
|
StrictModesyesno |
|
|
|
檢查用戶主目錄和文件的模式和所有權。如果目錄或文件 可以被任何一個除了所有者之外的人寫入的話,那麼 任何一個除了所有者之外的人登錄將失敗。出於安全方面的考慮, 請將其設置爲yes(默認值)。 |
|
TCPKeepAliveyesno |
|
|
|
如果設置爲yes(默認值),那麼週期性地檢查連接是否存活。 當客戶端崩潰或者由於其他原因導致連接死掉,那麼該項檢 查會讓ssh或scp連接斷開,即便只是臨時性的故障。 這個選項在傳輸層(TCP)測試連接(參見《基礎篇》 10.1.7節)。將該參數設置爲no,會導致服務器不去檢查連接是否存活。 這項聲明使用TCP的keepalive選項,該項未被加密, 容易受到IP欺騙攻擊(參見術語表)。對於不易 受到IP欺騙攻擊的替代技術請參考ClientAliveInterval(參見8.4.6節)。 |
|
X11Forwardingyesno |
|
|
|
若將該選項設置爲yes,則允許X11轉發。默認值爲no, 但是UbuntuLinux將X11Forwarding設置爲yes。要想讓 可信的X11轉發能夠工作,那麼~/.ssh/config或者 /etc/ssh/ssh_config客戶端配置文件(參見8.3.7節) 中也必須將ForwardX11聲明和ForwardX11Trusted聲明設置爲yes。 更多信息請參見(參見8.6節)節的“X11轉發”部分。 |