CentOS 7 下/etc/ssh/sshd_config 文件詳解

SSH由客戶端和服務端的軟件組成，在客戶端可以使用的軟件有SecureCRT、putty、Xshell等，而在服務器端運行的是一個sshd的服務，通過使用SSH，可以把所有傳輸的數據進行加密，而且也能夠防止dns和IP欺騙，此外，SSH傳輸的數據是經過壓縮的，可以加快傳輸速度，其服務器端的配置文件為/etc/ssh/sshd_config。以下為sshd_config學習記錄。

[root@localhost ~]# cat /etc/ssh/sshd_config
#       $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.    
# 這是 sshd 服務器系統范圍的配置文件。 有關更多信息，請參見sshd_config（5）。   

# This sshd was compiled with PATH=/usr/local/bin:/usr/bin    
# 這個 sshd 是用 PATH=/usr/local/bin：/usr/bin 編譯的。

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.
# 用于 OpenSSH 附帶的默認sshd_config中的選項的策略是在可能的情況下使用默認值指定選項，但保留注釋。 未注釋的選項將覆蓋默認值。

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
# 如果要更改 SELinux 系統上的端口，則必須將此更改告知 SELinux。

# 1、關于 SSH Server 的整體設定，包含使用的 port 、ip地址
#Port 22                    # SSH 預設使用 22 這個 port，也可以使用其他 port
#AddressFamily any
#ListenAddress 0.0.0.0     
#ListenAddress ::          # 監聽的主機適配卡！舉個例子來說，如果您有兩個 IP，
　　　　　　　　　　　　　 # 分別是 192.168.0.100 及 192.168.2.20 ，那么只想要開放 192.168.0.100 時，
　　　　　　　　　　　　　 # 就可以寫如同下面的樣式：ListenAddress 192.168.0.100
                           # 只監聽來自 192.168.0.100 這個 IP 的SSH聯機，如果不使用設定的話，則預設所有接口均接受 SSH

# 2. 說明主機的 Private Key 放置的檔案，預設使用下面的檔案即可！
HostKey /etc/ssh/ssh_host_rsa_key            # SSH version 2 使用的 RSA 私鑰
#HostKey /etc/ssh/ssh_host_dsa_key           # SSH version 2 使用的 DSA 私鑰
HostKey /etc/ssh/ssh_host_ecdsa_key          #用ecdsa加密方式生成ssh密鑰
HostKey /etc/ssh/ssh_host_ed25519_key        #用ed25519加密方式生成ssh密鑰

# Ciphers and keying            #密碼和密鑰
#RekeyLimit default none

# 3. 關于登錄文件的訊息數據放置與 daemon 的名稱！
# Logging
#SyslogFacility AUTH                 # 當有人使用 SSH 登入系統的時候，SSH會記錄資訊，這個信息要記錄在什么 daemon name 底下？
　　　　　　　　　　　　　　　　　　 # 預設是以 AUTH 來設定的，即是 /var/log/secure 里面！
　　　　　　　　　　　　　　　　　　 # 其它可用的 daemon name 為：DAEMON,USER,AUTH,LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5,
SyslogFacility AUTHPRIV
#LogLevel INFO                       # 記錄登錄的等級！任何信息！


# 4. 安全設定項目！重要！
# Authentication:     # 認證：

# 4.1 登入設定部分
#LoginGraceTime 2m
PermitRootLogin no    # PermitRootLogin參數指定root用戶是否可以使用ssh登錄。 建議設置為 no。
#StrictModes yes      # 當使用者的 host key 改變之后，Server 就不接受聯機，可以抵擋部分的木馬程序！
MaxAuthTries 4        # MaxAuthTries參數指定每個連接允許的最大驗證嘗試次數。 當登錄失敗次數達到設置的一半時，錯誤消息將被寫入syslog文件詳細記錄登錄失敗。
#MaxSessions 10       # 最大會話數

#PubkeyAuthentication yes    # 公鑰身份驗證，默認yes。

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2    # 默認設置是同時選中兩者 .ssh/authorized_keys 和 .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys   # 但這被覆蓋，因此安裝只會檢查 .ssh/authorized_keys
AuthorizedKeysFile      .ssh/authorized_keys                                     # 授權密鑰文件  .ssh/authorized_keys

#AuthorizedPrincipalsFile none           # 授權主體文件 none

#AuthorizedKeysCommand none              # 授權密鑰命令 none
#AuthorizedKeysCommandUser nobody        # 授權密鑰命令用戶 nobody

# 4.2 認證部分
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts    # 為此，您還需要 /etc/ssh/ssh_known_hosts 中的主機密鑰
#HostbasedAuthentication no    # 基于主機的身份驗證，HostbasedAuthentication參數指定身份驗證是否允許。默認值為 no。
# Change to yes if you don't trust ~/.ssh/known_hosts for          # 如果您不信任 ~/.ssh/known_hosts 的 Hostbased身份驗證，請更改為 yes
# HostbasedAuthentication
#IgnoreUserKnownHosts no       # 忽略用戶已知主機
# Don't read the user's ~/.rhosts and ~/.shosts files             # 不要讀取用戶的 ~/.rhosts 和 ~/.shosts 文件
#IgnoreRhosts yes              # 忽略主機

# To disable tunneled clear text passwords, change to no here!    # 要禁用隧道明文密碼，請在此處更改為否！
PasswordAuthentication yes    # 密碼身份驗證，設置為yes
PermitEmptyPasswords no       # 允許空密碼，設置為no

# Change to no to disable s/key passwords    # 更改為否以禁用 s/key 密碼
#ChallengeResponseAuthentication yes         # 質詢響應身份驗證
ChallengeResponseAuthentication no

# 4.3 與 Kerberos 有關的參數設定！沒有 Kerberos 主機不用設定！
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes

# 與 GSSAPI 有關的參數設定，指定是否允許基于GSSAPI的用戶認證，僅適用于SSH2，GSSAPI 是一套類似 Kerberos 5 的通用網絡安全系統接口。
# GSSAPI options
GSSAPIAuthentication yes            # GSSAPI認證，指定是否允許基于GSSAPI的用戶認證
GSSAPICleanupCredentials no         # GSSAPI清理憑據，設置是否在用戶退出登錄是自動銷毀用戶的憑證緩存
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no               # GSSAPI 密鑰交換
#GSSAPIEnablek5users no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# 將其設置為“是”以啟用 PAM 身份驗證、帳戶處理和會話處理。如果啟用此功能，將允許通過質詢響應身份驗證和密碼身份驗證進行 PAM 身份驗證。 
# 根據您的 PAM 配置，通過 ChallengeResponseAuthentication 進行的 PAM 身份驗證可能會繞過“PermitRootLogin without-password”的設置。
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
# WARNING: 'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause several
# problems.
# 如果您只希望 PAM 帳戶和會話檢查在沒有 PAM 身份驗證的情況下運行，請啟用此選項，
#但將 PasswordAuthentication 和 ChallengeResponseAuthentication 設置為“no”。
#警告：“UsePAM no”在 Red Hat Enterprise Linux 中不受支持，可能會導致多個問題。

UsePAM yes    # 設置是否通過PAM驗證

#AllowAgentForwarding yes
#AllowTcpForwarding yes    # 設置是否允許允許tcp端口轉發，保護其他的tcp連接
#GatewayPorts no
X11Forwarding yes          # 設置是否允許X11轉發
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
#PrintMotd yes        #PrintMotd 用來設置sshd是否在用戶登錄時顯示“/etc/motd”中的信息，可以選在在“/etc/motd”中加入警告的信息
#PrintLastLog yes     #PrintLastLog 是否顯示上次登錄信息
#TCPKeepAlive yes     #TCPKeepAlive 是否持續連接，設置yes可以防止死連接
                      #一般而言，如果設定這項目的話，那么 SSH Server 會傳送 KeepAlive 的訊息給 Client 端，以確保兩者的聯機正常！
                      #這種消息可以檢測到死連接、連接不當關閉、客戶端崩潰等異常。在這個情況下，任何一端死掉后， SSH 可以立刻知道，而不會有僵尸程序的發生！
#UseLogin no    #UseLogin 設置是否在交互式會話的登錄過程中使用。默認值是"no"。
                # 如果開啟此指令，那么X11Forwarding 將會被禁止，因為login不知道如何處理 xauth cookies 。
                # 需要注意的是，在SSH底下本來就不接受 login 這個程序的登入，如果指UsePrivilegeSeparation ，那么它將在認證完成后被禁用。
#UsePrivilegeSeparation sandbox
#PermitUserEnvironment no
#Compression delayed
ClientAliveInterval 300        # 客戶端存活間隔，ClientAliveInterval變量設置時，在指定時間內沒有活動的ssh會話將終止。
ClientAliveCountMax 3          # 最大活動客戶端計數，ClientAliveCountMax變量設置時，sshd將在每個ClientAliveInterval間隔發送客戶端alive的消息。
                                 sshd在未收到任何客戶端回應前最多允許發送多少個"alive"消息，到達這個上限后ssh會話將被終止。
                               # 例如，如果ClientAliveInterval設置為15，ClientAliveCountMax設置為3，那么無應答的客戶端會在45秒后被強制斷開。
#ShowPatchLevel no
#UseDNS yes                    # DNS解析，用ssh登錄服務器，發現登錄緩慢，可以設置為 no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# Accept locale-related environment variables    # 接受與區域設置相關的環境變量
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
# AcceptEnv 指定客戶端發送的哪些環境變量將會被傳遞到會話環境中。
##注意：只有SSH-2協議支持環境變量的傳遞。指令的值是空格分隔的變量名列表(其中可以使用'*'和'?'作為通配符)。
####也可以使用多個 AcceptEnv 達到同樣的目的。需要注意的是，有些環境變量可能會被用于繞過禁止用戶使用的環境變量。
#####由于這個原因，該指令應當小心使用。默認是不傳遞任何環境變量。

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       PermitTTY no
#       ForceCommand cvs server

# 以下選項可用于限制哪些用戶和組可以通過SSH訪問系統。
AllowUsers root user01        # AllowUsers變量為系統管理員提供允許特定用戶通過ssh進入系統的選項。
#AllowGroups <grouplist>      # AllowGroups變量為系統管理員提供允許特定用戶組的用戶通過ssh進入系統的選項。
#DenyUsers <userlist>         # DenyUsers變量為系統管理員提供拒絕特定用戶通過ssh進入系統的選項。
#DenyGroups <grouplist>       # DenyGroups變量為系統管理員提供拒絕特定用戶組的用戶通過ssh進入系統的選項。

Ciphers aes256-ctr,aes192-ctr,aes128-ctr    # 此變量限制SSH在通信期間可以使用的密碼類型。

MACs hmac-sha2-512,hmac-sha2-256            # 此變量限制SSH在通信期間可以使用的MAC算法的類型。

參考連接：https://blog.51cto.com/lookingdream/1826618