配置文件~/.ssh/config和/etc/ssh/ssh_config

最新推荐文章于 2025-11-27 16:48:28 发布
转载 最新推荐文章于 2025-11-27 16:48:28 发布 · 4.1k 阅读 · 2
文章标签:

#服务器 #shell #算法 #ssh #加密

本文介绍了OpenSSH客户端配置文件的使用方法及关键配置项的作用。包括如何覆盖全局参数、配置文件的安全要求、各种配置项如CheckHostIP、ForwardX11等的具体功能与设置建议。

一般不需要修改OpenSSH客户端配置文件。对于给定用户,共有两个配置文件:~/.ssh/config(用户专用)和/etc/ssh /ssh_config(全局共享)。要按照该顺序读取这些文件,对于给定的某个参数,它使用的是读取过程中发现的第一个配置。用户可以通过以下方式将全 局参数设置覆盖掉:在自己的用户配置文件中设置同样的参数即可。在ssh或scp命令行上给出的参数的优先级要高于这两个文件中所设置的参数的优先级。

用户的~/.ssh/config文件必须由该用户所有(他是目录"~/"的所有者),并且除了所有者之外任何人都不能写入该文件。否则客户端就会给出一条错误消息然后退出。这个文件的模式通常被设为600,这是因为除了它的所有者之外任何人没有理由能够读取它。

这些配置文件中的配置行包含着声明,这些声明均以某个关键字(不区分大小写)开头,后面跟着空格,最后是参数(区分大小写)。可以使用关键字Host,让声明只作用于特定的系统。Host声明作用于它与下一条Host声明之间的所有配置行。

CheckHostIPyesno

 

  如果将其设置为 yes (默认值),那么除了用 known_hosts

  文件中的主机名之外,还可以采用 IP 地址来识别远程系统。

  若设置为 no ,则只使用主机名。将 CheckHostIP 设置为 yes

  可以提高系统的安全性。

ForwardX11yesno

 

  如果设置为 yes ,那么自动通过一条安全通道以不可信模式

  来转发 X11 连接,但是并不设置 shell 变量 DISPLAY

  如果 ForwardX11Trusted 也设置为 yes, 那么连接以可信模式转发。

  此外,可以在命令行上使用选项 -X 以不可信模式重定向 X11 连接。

  这个参数的默认值是 no 。要想让 X11 转发起作用,还必须将服务器

  上的 /etc/sshd_config 文件中的 X11Forwarding 设置为 yes (参见 8.4.6 节)。

  更多信息请参见 8.6 节的“ X11 转发”部分。

ForwardX11Trustedyesno

 

   ForwardX11 一块使用时, ForwardX11 必须设置为 yes (默认),

  这个声明才能起作用。当这个声明设置为 yes (默认),而

  ForwardX11 也设置为 yes 时,这个声明将设置 shell 变量 DISPLAY

  并给予远程 X11 客户端对原来的(服务器) X11 显示的完全访问权限。

  此外,可以在命令行上使用选项 -Y 以可信模式重定向 X11 连接。

  这个声明的默认值是 no 。要想让 X11 转发起作用,还必须将服务

  器上的 /etc/sshd_config 文件中的 X11Forwarding 设置为 yes (参见 8.4.6 节)。

  更多信息请参见 8.6 节的“ X11 转发”部分。

HashKnownHosts

 

  当设置为 yes 时, OpenSSH 会将文件 ~/.ssh/known_hosts 中的

  主机名和地址进行散列。当设置为 no 时,主机名与地址将以明

  文形式写入。 UbuntuLinux 将这份声明设置为 yes 来提高系统的

  安全性。关于 known_hosts 文件的更多信息请参见 8.3.3 节第 2 小节。

Hosthostnames

 

  指定它后面的(直到下一个主机声明为止)声明只适用于与

hostnames 相匹配的主机。 Hostnames 可以包含 ? * 通配符。

  单个的 * 指定所有主机。如果没有这个关键字,任何声明都适用于所有主机。

HostbasedAuthenticationyesno

 

  当设置为 yes 时,尝试进行 rhosts 身份验证。对于安全性要求较

  高的系统,设置为 no (默认)。

HostKeyAlgorithmsalgorithms

 

  其中 algorithms 是一个由逗号隔开的算法列表,客户端按照优

  先级顺序依次使用这些算法。从 ssh-rsa ssh-dss 中选择 algorithms

  (默认值为“ ssh-rsa,ssh-dss )。

Portnum

  使 OpenSSH 通过 num 端口与远程系统连接。默认值为 22

StrictHostKeyCheckingyesno ask

 

  决定 OpenSSH 是否将主机密钥添加到用户的 known_hosts 文件

  中以及如何添加。如果将该选项设置为 ask ,那么在连接新系

  统时会询问是否添加主机密钥;如果设置为 no ,就会自动添加

  主机密钥;如果设置为 y e s ,就要求手工添加主机密钥。若将

  参数设置 yes ask ,则当某系统的主机密钥发生改变之后,

  OpenSSH 会拒绝连接到该系统。对于安全性要求较高的系统,

  请将此参数设置为 yes ask 。默认为 ask

TCPKeepAliveyesno

 

  如果设置为 yes (默认值),就定期检查连接是否存活。

  如果服务器崩溃或者由于其他原因导致连接死掉,那么这种

  检查将会导致 ssh scp 连接中断,即便连接只是暂时死掉。

  若将这个参数设置为 no ,则会导致客户端不去检查连接是否存活。

  这项声明用到了 TCP keepalive 选项,它未经加密,并且容易受到

  IP 欺骗(参见术语表)。如果希望采用能够防止 IP 欺骗的替代品,

  那么可以采用基于服务器的相关技术,请参见 8.4.6 节中的“ ClientAliveInterval ”。

Username

 

  指定登录系统时所用的用户名。可用 Host 声明来指定系统。

  该选项意味着,在远程系统上登录时,如果使用的用户名不同

  于在本地系统上登录所用的用户名,那么不必在命令行上输入用户名。

SSH配置文件
蛐蛐的博客
11-02 961
此页面是关于OpenSSH客户端配置的。 有关OpenSSH服务器的配置,请参见sshd_config。 有关Tectia SSH配置,请参见《 Tectia SSH服务器管理员手册》。 有关配置无密码公钥认证的信息,请参见ssh-keygen。 主机上的ssh程序从命令行或配置文件〜/ .ssh / config/ etc / ssh / ssh_config接收其配置。 命令行选项优先于配置文件。 接下来使用用户特定的配置文件〜/ .ssh / config。 最后,使用全局/ et...
iOS小技能:使用ssh config配置文件来管理ssh连接(scp 远程拷贝文件/目录),推荐使用SecureCRT。
专注于计算机研发知识和资讯分享
10-12 2万+
# Private 192.168.2.125 Host iPhone HostName 192.168.2.125 User root IdentityFile ~/.ssh/id_rsa_Theos125 # Private gitlab.v6h5. Host gitlab.v6h5.cn HostName gitlab.v6h5. User git IdentityFile ~
OpenSSH 服务端配置文件 sshd_config 快速上手
最新发布
vortex5的博客
11-27 1035
本文详细解析了OpenSSH服务端核心配置文件sshd_config的结构关键配置项。主要内容包括: 基本语法规则:每行一个指令,参数区分大小写,修改需重启服务 重要安全配置项:修改默认端口、禁用root密码登录、关闭密码认证、限制用户白名单 性能与连接管理:心跳保活设置、登录超时控制、并发连接限制 高级安全措施:加密算法选择、SFTP限制、端口转发控制 生产环境推荐配置:提供完整的安全加固版配置模板
ubuntu-2204 gerrit ssh 报错Permission denied (publickey).分析及解决
halazi100
04-29 1万+
ubuntu-2204 gerrit/git ssh 报错Permission denied (publickey).分析及解决 使用repo init/sync下载代码时遇到报错: Permission denied (publickey). 分析排查步骤 通过以下步骤排查 以下user及10.100.1.115为化名 $ ssh -p 29418 user@10.100.1.115 The authenticity of host '[10.100.1.115]:29418 ([10.100.1.1
ssh配置config文件
热门推荐
baalhuo的博客
09-22 3万+
在使用ssh连接服务器时,经常要输入一些不同的主机地址密码,使用config文件可以很好的解决这个问题。 在配置之前我们先生成ssh密钥。 # 使用以下命令 一路回车即可 ssh-keygen -t rsa # 为.ssh目录设置权限 chmod 600 ~/.ssh/ config文件配置十分简单,只需要按照以下格式配置即可。 # config文件需要放到 ~/.ssh/conf
ssh~/.ssh/config 配置文件实现
edward_zcl的博客
06-19 2447
address、port是什么,都可以不用输入,只需要输入一个替换的名称即可登陆该服务器配置文件,实现免密、更改名称的登陆方法,不论你的username、使用ssh-copy-id命令将生成的公钥上传到服务器。1、使用指定别名登录到www.test.com这台主机。1、将公钥 rsa.pub 上传到服务器。Host配置项标识了一个配置区段。1、config文件配置项。最常用的登陆方法是**
Bad owner or permissions on ssh/config - 解决方案
NSJim的博客
03-11 1942
Windows系统连接远程服务器时报错Bad owner or permissions,解决方案如下。
ssh_config:去解析器ssh_config文件
05-03
ssh_config Get()GetStrict()函数将尝试从$HOME/.ssh/config读取值,然后回退到/etc/ssh/ssh_config 。 第一个参数是要匹配的主机名,第二个参数是要检索的键。 port := ssh_config . Get ( "myhost" , "Port" )...
SSH Config 后门 | Linux 后门系列
jijisaq的博客
05-29 765
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!命令行参数 > ~/.ssh/config > /etc/ssh/ssh_config。Ubuntu server 16.04 默认 /etc/ssh/ssh_config。这里着重介绍两个参数,剩下的参数可以查看下面这个文档。如果.ssh目录不存在就创建这个目录,可以直接将。参数为我们的msf恶意命令,同时设置。参数为执行我们的恶意脚本,并保存。
基于SSH config 管理多个GIT帐号
skfeng36的专栏
05-24 2141
在日常工作中,常常会容易遇到一台电脑(主机)上要使用多个 Git 账号的场景,比如开发公司项目时使用的的GIT账号(我们这里称为 company 账号),而日常开发自己的项目时使用的账号 (我们这里称为personal帐号)。由于 Git 本身并没有提供管理多账号的机制,导致我们在默认设置下无法很好的区分哪个仓库使用哪个账号。本文将介绍如何使用 SSH config 来解决这个问题。Git 通常的鉴权方式有两种: HTTPS 与 SSH,前者通常是在需要鉴权的操作时(如git push。
Connection reset by peer / paramiko.ssh_exception.SSHException: Error reading SSH protocol banner
zywhehe的博客
02-13 6587
Python 报错处理 Connection reset by peer / paramiko.ssh_exception.SSHException: Error reading SSH protocol banner
[转载]Linux ssh客户端配置-基础知识
weixin_33974433的博客
02-03 525
原文链接:http://www.hao32.com/unix-linux/462.html 配置文件~/.ssh/config/etc/ssh/ssh_config 14. 01. 一般不需要修改OpenSSH客户端配置文件。对于给定用户,共有两个配置文件,分别是~/.ssh/config(用户专用)/etc/ssh/ssh_config(全局共享)。要按照该顺序读取这些文件,对...
SSH~/.ssh/config 基本配置
Holenxr的博客
08-02 3549
【代码】【SSH~/.ssh/config 基本配置。
<Linux>《OpenSSH 客户端配置文件ssh_config详解》
Else 的博客
06-13 9781
OpenSSH ssh_config
touch ~/.ssh/config创建空的 SSH 配置文件
DEVIL_hym的博客
11-18 935
如果你有多个服务器需要 SSH 连接,可以为每个服务器配置不同的条目。文件中,你可以为不同的主机(Host)设置不同的 SSH 选项。这样,SSH 会自动使用你为每个主机配置的参数(如用户名、私钥等)。创建空的 SSH 配置文件(如果该文件不存在的话)。
ssh——config
霊昱的博客
03-28 448
为了在单台机器中通过ssh方便的链接多台机器,openssh提供了一种较为简洁的方案来管理用户,可以在~/.ssh/config中进行配置。 使用ssh-add 将私钥加入钥匙串中,但有时会出现: Could not open a connection to your authentication agent 这是由于本地的ssh-agent没有启动,无法将密钥加入到代理中 需要执行 ...
SSH config
好学分子的博客
01-17 1741
起因就是我发现大部分人对 SSH 只会基本的 ssh user@ip 的方式登录服务器,至多再会个配置免密,而对 SSH config 几乎不了解。事实上 SSH 可以灵活批量配置服务器信息,配置跳板等等。本文努力普及一些使用细节,希望有一天大家都熟练了 SSH config,以后我就可以直接给别人发送 SSH config 配置项而不需要作任何解释了。SSH config 作用就是可以把 SSH 相关的信息都记录到一个配置文件,可以简化操作、节约时间。SSH config 有一个系统级的,一个用户级的。
利用 ssh 的用户配置文件 config 管理 ssh 会话
weixin_30456039的博客
08-05 278
http://dhq.me/use-ssh-config-manage-ssh-session 利用ssh连接远程服务器,一般都要输入以下类似命令: 1 ssh user@hostname -p port 如果拥有多个 ssh 账号,特别是像我这种喜欢在终端里直接 ssh...
公网服务器没有~/.ssh/authorized_keys文件
11-18
<think> 根据用户的问题,用户希望解决公网服务器缺少~/.ssh/authorized_keys文件的问题。结合引用内容,我们可以知道authorized_keys文件用于存储公钥以实现SSH免密登录。如果该文件不存在,我们可以手动创建。 解决方案: 1. 登录到公网服务器(假设以root用户登录)。 2. 进入.ssh目录(如果不存在则创建)。 3. 创建authorized_keys文件并设置正确的权限。 注意:权限设置非常重要,错误的权限可能导致SSH服务器拒绝使用该文件。 具体步骤: 步骤1:登录公网服务器(通过SSH或其他方式)。 步骤2:检查并创建.ssh目录(如果不存在): mkdir -p ~/.ssh 步骤3:创建authorized_keys文件(如果不存在)并添加公钥: touch ~/.ssh/authorized_keys 步骤4:将客户端的公钥(如id_rsa.pub文件的内容)追加到authorized_keys文件中。可以通过复制粘贴,或者使用命令(如果已经登录到服务器且公钥内容在剪贴板): echo "公钥内容" >> ~/.ssh/authorized_keys 或者使用文本编辑器(如vi)打开文件并粘贴。 步骤5:设置正确的权限: chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys 步骤6:确保文件的所有者是正确的用户(即当前登录用户)。 另外,根据引用[1][3],生成密钥对使用的是ssh-keygen命令,并且将公钥内容追加到authorized_keys文件中。引用[5]也提到了查看公钥的方法(cat ~/.ssh/id_rsa.pub)以及公钥的存放位置。 如果用户是在配置Jenkins等自动化工具的SSH连接,那么需要将Jenkins容器中生成的公钥(通过ssh-keygen生成)添加到公网服务器的authorized_keys文件中。 注意:如果公网服务器是Linux系统,且SSH服务配置未修改,默认是启用公钥认证的。如果修改过,可能需要检查/etc/ssh/sshd_config文件,确保以下配置: PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys 修改配置后需要重启SSH服务(如:systemctl restart sshd)。 根据引用[1]中提到的,如果遇到主机密钥验证问题,可以设置StrictHostKeyChecking为no,并指定UserKnownHostsFile为/dev/null(但这样会降低安全性,仅建议在测试环境使用)。 因此,总结解决方法就是创建文件并设置权限,然后添加公钥内容。 生成相关问题: 1. 如何生成SSH密钥对? 2. 如何设置SSH免密登录? 3. SSH连接时出现权限错误(如bad permissions)如何解决? 4. 如何修改SSH服务配置以启用公钥认证? 5. 在Docker容器中如何生成SSH密钥并配置免密登录? 注意:用户的问题仅针对缺少authorized_keys文件,所以主要回答此问题,相关问题作为扩展。 </think>### 公网服务器缺少 `~/.ssh/authorized_keys` 文件的解决方法 当公网服务器缺少 `~/.ssh/authorized_keys` 文件时,可按以下步骤手动创建并配置: #### 1. **创建 `.ssh` 目录文件** ```bash # 登录公网服务器 ssh root@your-server-ip # 创建 .ssh 目录(若不存在) mkdir -p ~/.ssh # 创建 authorized_keys 文件 touch ~/.ssh/authorized_keys ``` #### 2. **设置严格的文件权限** ```bash chmod 700 ~/.ssh # 目录权限 chmod 600 ~/.ssh/authorized_keys # 文件权限 ``` > **关键说明**:SSH 要求严格的权限设置,否则会拒绝认证[^1][^3]。 #### 3. **添加公钥内容** 将客户端的公钥(如 `id_rsa.pub`)内容追加到文件中: ```bash # 方法1:直接粘贴(需登录服务器) vi ~/.ssh/authorized_keys # 粘贴公钥内容后保存 # 方法2:通过命令追加(从本地操作) ssh root@server "echo '公钥内容' >> ~/.ssh/authorized_keys" ``` #### 4. **验证SSH配置** 检查服务器端的 SSH 配置: ```bash vi /etc/ssh/sshd_config ``` 确保包含以下配置: ```ini PubkeyAuthentication yes # 启用公钥认证 AuthorizedKeysFile .ssh/authorized_keys # 指定公钥文件路径 ``` 重启 SSH 服务生效: ```bash systemctl restart sshd ``` #### 5. **调试连接问题** 若仍无法连接,查看日志定位原因: ```bash tail -f /var/log/auth.log # Ubuntu/Debian tail -f /var/log/secure # CentOS/RHEL ``` 常见错误: - `Permission denied (publickey)` → 检查文件权限或公钥格式 - `No such file or directory` → 确认文件路径正确 --- ### 关键注意事项 1. **权限问题** `.ssh` 目录权限必须是 `700`,`authorized_keys` 文件权限必须是 `600`[^1][^3]。 2. **密钥格式** 确保公钥格式为单行文本,例如: `ssh-rsa AAAAB3NzaC... user@host`[^2][^5] 3. **SELinux 影响** 若服务器启用 SELinux,需修复上下文: ```bash restorecon -Rv ~/.ssh ``` 4. **用户目录所有权** 确保 `$HOME` 目录属于相应用户: ```bash chown -R user:user /home/user ``` --- ### 完整操作示例 ```bash # 在客户端生成密钥对(Jenkins/本地机器) ssh-keygen -t rsa -b 2048 # 默认保存到 ~/.ssh/id_rsa.pub # 将公钥推送到服务器 ssh-copy-id -i ~/.ssh/id_rsa.pub user@server_ip # 若 ssh-copy-id 不可用,使用手动追加: cat ~/.ssh/id_rsa.pub | ssh user@server "mkdir -p ~/.ssh; cat >> ~/.ssh/authorized_keys" ``` 通过以上步骤,即可解决因缺少 `authorized_keys` 文件导致的 SSH 连接问题[^2][^3][^5]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值