linux SSH各配置项解释

Linux SSH 配置详解

原创

已于 2022-10-25 18:01:02 修改 · 3.9k 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#linux #ssh #服务器

于 2017-07-03 15:58:42 首次发布

本文详细介绍 Linux 下 SSH 服务的各项配置，包括 SSH 最大连接数、连接时长及安全性配置等内容。以 Red Hat 6.3 版本为例，深入讲解 SSH 配置文件 /etc/ssh/sshd_config 的各项指令及其作用。

Linux下SSH各配置项解释

关于ssh 设置的相关总结（ssh最大连接数、ssh连接时长、安全性配置等)
以redhat6.3为例

ssh配置文件在：

/etc/ssh/sshd_config
可以打开查看相应配置，默认情况下只开放了几个选项，其余全部#屏蔽掉了。

英文手册参考:http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config

国内有人已经翻译了：（直接贴过来了）

sshd_config 中文手册
SSHD_CONFIG(5) OpenBSD Programmer's Manual SSHD_CONFIG(5)

名称
sshd_config - OpenSSH SSH 服务器守护进程配置文件

大纲
/etc/ssh/sshd_config

描述
sshd(8) 默认从 /etc/ssh/sshd_config 文件(或通过 -f 命令行选项指定的文件)读取配置信息。
配置文件是由"指令值"对组成的，每行一个。空行和以'#'开头的行都将被忽略。
如果值中含有空白符或者其他特殊符号，那么可以通过在两边加上双引号(")进行界定。
[注意]值是大小写敏感的，但指令是大小写无关的。

当前所有可以使用的配置指令如下：

AcceptEnv
指定客户端发送的哪些环境变量将会被传递到会话环境中。[注意]只有SSH-2协议支持环境变量的传递。
细节可以参考 ssh_config(5) 中的 SendEnv 配置指令。
指令的值是空格分隔的变量名列表(其中可以使用'*'和'?'作为通配符)。也可以使用多个 AcceptEnv 达到同样的目的。
需要注意的是，有些环境变量可能会被用于绕过禁止用户使用的环境变量。由于这个原因，该指令应当小心使用。
默认是不传递任何环境变量。

AddressFamily
指定 sshd(8) 应当使用哪种地址族。取值范围是："any"(默认)、"inet"(仅IPv4)、"inet6"(仅IPv6)。

AllowGroups
这个指令后面跟着一串用空格分隔的组名列表(其中可以使用"*"和"?"通配符)。默认允许所有组登录。
如果使用了这个指令，那么将仅允许这些组中的成员登录，而拒绝其它所有组。
这里的"组"是指"主组"(primary group)，也就是/etc/passwd文件中指定的组。
这里只允许使用组的名字而不允许使用GID。相关的 allow/deny 指令按照下列顺序处理：
DenyUsers, AllowUsers, DenyGroups, AllowGroups

AllowTcpForwarding
是否允许TCP转发，默认值为"yes"。
禁止TCP转发并不能增强安全性，除非禁止了用户对shell的访问，因为用户可以安装他们自己的转发器。

AllowUsers
这个指令后面跟着一串用空格分隔的用户名列表(其中可以使用"*"和"?"通配符)。默认允许所有用户登录。
如果使用了这个指令，那么将仅允许这些用户登录，而拒绝其它所有用户。
如果指定了 USER@HOST 模式的用户，那么 USER 和 HOST 将同时被检查。
这里只允许使用用户的名字而不允许使用UID。相关的 allow/deny 指令按照下列顺序处理：
DenyUsers, AllowUsers, DenyGroups, AllowGroups

AuthorizedKeysFile
存放该用户可以用来登录的 RSA/DSA 公钥。
该指令中可以使用下列根据连接时的实际情况进行展开的符号：
%% 表示'%'、%h 表示用户的主目录、%u 表示该用户的用户名。
经过扩展之后的值必须要么是绝对路径，要么是相对于用户主目录的相对路径。
默认值是".ssh/authorized_keys"。

Banner
将这个指令指定的文件中的内容在用户进行认证前显示给远程用户。
这个特性仅能用于SSH-2，默认什么内容也不显示。"none"表示禁用这个特性。

ChallengeResponseAuthentication
是否允许质疑-应答(challenge-response)认证。默认值是"yes"。
所有 login.conf(5) 中允许的认证方式都被支持。

Ciphers
指定SSH-2允许使用的加密算法。多个算法之间使用逗号分隔。可以使用的算法如下：
"aes128-cbc", "aes192-cbc", "aes256-cbc", "aes128-ctr", "aes192-ctr", "aes256-ctr",
"3des-cbc", "arcfour128", "arcfour256", "arcfour", "blowfish-cbc", "cast128-cbc"
默认值是可以使用上述所有算法。

ClientAliveCountMax
sshd(8) 在未收到任何客户端回应前最多允许发送多少个"alive"消息。默认值是 3 。
到达这个上限后，sshd(8) 将强制断开连接、关闭会话。
需要注意的是，"alive"消息与 TCPKeepAlive 有很大差异。
"alive"消息是通过加密连接发送的，因此不会被欺骗；而 TCPKeepAlive 却是可以被欺骗的。
如果 ClientAliveInterval 被设为 15 并且将 ClientAliveCountMax 保持为默认值，
那么无应答的客户端大约会在45秒后被强制断开。这个指令仅可以用于SSH-2协议。

ClientAliveInterval
设置一个以秒记的时长，如果超过这么长时间没有收到客户端的任何数据，
sshd(8) 将通过安全通道向客户端发送一个"alive"消息，并等候应答。
默认值 0 表示不发送"alive"消息。这个选项仅对SSH-2有效。

Compression
是否对通信数据进行加密，还是延迟到认证成功之后再对通信数据加密。
可用值："yes", "delayed"(默认), "no"。

DenyGroups
这个指令后面跟着一串用空格分隔的组名列表(其中可以使用"*"和"?"通配符)。默认允许所有组登录。
如果使用了这个指令，那么这些组中的成员将被拒绝登录。
这里的"组"是指"主组"(primary group)，也就是/etc/passwd文件中指定的组。
这里只允许使用组的名字而不允许使用GID。相关的 allow/deny 指令按照下列顺序处理：
DenyUsers, AllowU