ssh配置含义解释

Posted 2020-10-07 沧海一粟，何以久远

ssh包括客户端配置(ssh_config)和服务端配置(sshd_config)

一、客户端配置ssh_config，客户端软件有SecureCRT、putty、Xshell等

“#”表示注释，虽然表示不起作用，但有时说明此为系统默认的初始化设置

#    $OpenBSD: ssh_config,v 1.25 2009/02/17 01:28:32 djm Exp $

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

"Host"只对匹配后面字串的计算机有效，“*”表示所有的计算机。从该项格式前置一些可以看出，这是一个类似于全局的选项，表示下面缩进的选项都适用于该设置，可以指定某计算机替换*号使下面选项只针对该算机器生效。
# Host *
设置连接是否经过验证代理（如果存在）转发给远程计算机
#   ForwardAgent no
置X11连接是否被自动重定向到安全的通道和显示集（DISPLAY set）
#   ForwardX11 no
设置是否使用用RSA算法的基于rhosts的安全验证
#   RhostsRSAAuthentication no
设置是否使用RSA算法进行安全验证
#   RSAAuthentication yes
设置是否使用口令验证
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
批处理模式，一般设为"no"；如果设为"yes"，交互式输入口令的提示将被禁止，这个选项对脚本文件和批处理任务十分有用
#   BatchMode no
设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为"yes"。
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
如果设为"yes"，ssh将不会自动把计算机的密匙加入"$HOME/.ssh/known_hosts"文件，且一旦计算机的密匙发生了变化，就拒绝连接
#   StrictHostKeyChecking ask
设置读取用户的RSA安全验证标识
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
设置连接到远程主机的端口，ssh默认端口为22
#   Port 22
#   Protocol 2,1
设置加密用的密钥，blowfish可以自己随意设置
#   Cipher 3des
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,[email protected],hmac-ripemd160
设置escape字符
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
Host *
    GSSAPIAuthentication yes
# If this option is set to yes then remote X11 clients will have full access
# to the original X11 display. As virtually no X11 client supports the untrusted
# mode correctly we set this to yes.
    ForwardX11Trusted yes
# Send locale-related environment variables
    SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
    SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
    SendEnv LC_IDENTIFICATION LC_ALL LANGUAGE
    SendEnv XMODIFIERS

二、服务端配置sshd_config

#    $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.
#############1. 关于 SSH Server 的整体设定##############
设置sshd监听的端口号，了安全起见，建议更改默认的22端口为5位以上陌生端口
#Port 22
#AddressFamily any
设置sshd服务器绑定的IP地址，默认所有ip
#ListenAddress 0.0.0.0
#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
ssh1和ssh2，ssh1是不安全的
Protocol 2
#############2. 说明主机的 Private Key 放置的档案##########
# HostKey for protocol version 1
设置ssh1密匙文件位置
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
设置ssh2密钥文件位置
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
设置在多少秒之后自动重新生成服务器的密匙（如果使用密匙）。重新生成密匙是为了防止用盗用的密匙解密被截获的信息
#KeyRegenerationInterval 1h
定义服务器密匙的位数
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
设置在记录来自sshd的消息的时候，是否给出“facility code”
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
设置记录sshd日志消息的层次。INFO是一个好的选择。查看sshd的man帮助页，获取更多的信息
#LogLevel INFO
#################3.安全认证方面的设定################
#############3.1、有关安全登录的设定###############
限制用户必须在指定的时限内认证成功，0 表示无限制。默认值是 120 秒
# Authentication:
设置如果用户不能成功登录，在切断连接之前服务器需要等待的时间（以秒为单位）
#LoginGraceTime 2m
设置是否允许root通过ssh登录。这个选项从安全角度来讲应设成"no"
#PermitRootLogin yes
设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权。这通常是必要的，因为新手经常会把自己的目录和文件设成任何人都有写权限
#StrictModes yes
设置客户端登录失败允许次数
#MaxAuthTries 6
设置允许客户端同时连接的个数
#MaxSessions 10
用来设置是否开启RSA密钥验证，只针对SSH1
#RSAAuthentication yes
用来设置是否开启公钥验证，如果使用公钥验证的方式登录时，则设置为yes
#PubkeyAuthentication yes
用来设置公钥验证文件的路径，与PubkeyAuthentication配合使用,默认值是".ssh/authorized_keys"
#AuthorizedKeysFile    .ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody

#############3.2、安全验证的设定###############
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
设置是否允许用rhosts或“/etc/hosts.equiv”加上RSA进行安全验证
是否使用强可信主机认证(通过检查远程主机名和关联的用户名进行认证)。仅用于SSH-1。这是通过在RSA认证成功后再检查 ~/.rhosts 或 /etc/hosts.equiv 进行认证的。出于安全考虑，建议使用默认值"no"。
#RhostsRSAAuthentication no
# similar for protocol version 2
这个指令与 RhostsRSAAuthentication 类似，但是仅可以用于SSH-2。
#HostbasedAuthentication no
# Change to yes if you don‘t trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
设置ssh daemon是否在进行RhostsRSAAuthentication安全验证的时候忽略用户的"$HOME/.ssh/known_hosts”
#IgnoreUserKnownHosts no
# Don‘t read the user‘s ~/.rhosts and ~/.shosts files
设置验证的时候是否使用“rhosts”和“shosts”文件
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
设置是否允许口令验证
#PasswordAuthentication yes
设置是否允许用口令为空的帐号登录
#PermitEmptyPasswords no
PasswordAuthentication yes

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
是否允许质疑-应答(challenge-response)认证
ChallengeResponseAuthentication no
########3.3、与 Kerberos 有关的参数设定，指定是否允许基于Kerberos的用户认证########
# Kerberos options
是否要求用户为PasswdAuthentication提供的密码必须通过Kerberos KDC认证，要使用Kerberos认证，服务器必须提供一个可以校验KDC identity的Kerberos servtab。默认值为no
#KerberosAuthentication no
如果Kerberos密码认证失败，那么该密码还将要通过其他的的认证机制，如/etc/passwd
#KerberosOrLocalPasswd yes
设置是否在用户退出登录是自动销毁用户的ticket
#KerberosTicketCleanup yes
如果使用AFS并且该用户有一个Kerberos 5 TGT,那么开启该指令后，将会在访问用户的家目录前尝试获取一个AFS token,并尝试传送 AFS token 给 Server 端，默认为no
#KerberosGetAFSToken no
#KerberosUseKuserok yes

####3.4、与 GSSAPI 有关的参数设定，指定是否允许基于GSSAPI的用户认证，仅适用于SSH2####
GSSAPI 是一套类似 Kerberos 5 的通用网络安全系统接口。如果你拥有一套 GSSAPI库，就可以通过 tcp 连接直接建立 cvs 连接，由 GSSAPI 进行安全鉴别
# GSSAPI options
指定是否允许基于GSSAPI的用户认证，默认为no
#GSSAPIAuthentication no
#GSSAPIAuthentication yes
设置是否在用户退出登录是自动销毁用户的凭证缓存
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to ‘yes‘ to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to ‘no‘.
设置是否通过PAM验证
#UsePAM no
UsePAM yes
AcceptEnv 指定客户端发送的哪些环境变量将会被传递到会话环境中。[注意]只有SSH-2协议支持环境变量的传递。指令的值是空格分隔的变量名列表(其中可以使用‘*‘和‘?‘作为通配符)。
也可以使用多个 AcceptEnv 达到同样的目的。需要注意的是，有些环境变量可能会被用于绕过禁止用户使用的环境变量。由于这个原因，该指令应当小心使用。默认是不传递任何环境变量
# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS

#AllowAgentForwarding yes
设置是否允许允许tcp端口转发，保护其他的tcp连接
#AllowTcpForwarding yes
设置是否允许远程客户端使用本地主机的端口转发功能，出于安全考虑，建议禁止
#GatewayPorts no
#############3.5、X-Window下使用的相关设定###############
设置是否允许X11转发
#X11Forwarding no
X11Forwarding yes
指定X11 转发的第一个可用的显示区(display)数字。默认值是 10 。可以用于防止 sshd 占用了真实的 X11 服务器显示区，从而发生混淆
#X11DisplayOffset 10
#X11UseLocalhost yes
设置sshd是否在用户登录的时候显示“/etc/motd”中的信息

#################3.6、登入后的相关设定#################
用来设置sshd是否在用户登录时显示“/etc/motd”中的信息，可以选在在“/etc/motd”中加入警告的信息
#PrintMotd yes
是否显示上次登录信息
#PrintLastLog yes
是否持续连接，设置yes可以防止死连接，一般而言，如果设定这项的话，那么 SSH Server 会传送 KeepAlive 的讯息给 Client 端，以确保两者的联机正常！
这种消息可以检测到死连接、连接不当关闭、客户端崩溃等异常。在这个情况下，任何一端死掉后， SSH 可以立刻知道，而不会有僵尸程序的发生！
#TCPKeepAlive yes
设置是否在交互式会话的登录过程中使用。默认值是"no"，如果开启此指令，那么X11Forwarding 将会被禁止，因为login不知道如何处理 xauth cookies 。
需要注意的是，在SSH底下本来就不接受 login 这个程序的登入，如果指UsePrivilegeSeparation ，那么它将在认证完成后被禁用
#UseLogin no
设置使用者的权限
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
通常情况下我们在连接 OpenSSH服务器的时候假如 UseDNS选项是打开的话，服务器会先根据客户端的 IP地址进行 DNS PTR反向查询出客户端的主机名，然后根据查询出的客户端主机名进行DNS正向A记录查询，
并验证是否与原始 IP地址一致，通过此种措施来防止客户端欺骗。平时我们都是动态 IP不会有PTR记录，所以打开此选项也没有太多作用。我们可以通过关闭此功能来提高连接 OpenSSH 服务器的速度
UseDNS no
#PidFile /var/run/sshd.pid
设置同时允许几个尚未登入的联机，当用户连上ssh但并未输入密码即为所谓的联机，在这个联机中，为了保护主机，所以需要设置最大值，预设为10个，而已经建立联机的不计算入内，
所以一般5个即可，这个设置可以防止恶意对服务器进行连接
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none

############3.7、开放禁止用户设定############

当只有AllowUsers选项时，是白名单机制，只有允许的用户可以登录；当同时存在AllowUsers和DenyUsers时，是黑名单机制，只要用户不在黑名单里，都是可以登录的；两个选项都没有时，任何用户都可以登录

#AllowUsers<用户名1> <用户名2> <用户名3> ...
##指定允许通过远程访问的用户，多个用户以空格隔开

#AllowGroups<组名1> <组名2> <组名3> ...
##指定允许通过远程访问的组，多个组以空格隔开。当多个用户需要通过ssh登录系统时，可将所有用户加入一个组中。

#DenyUsers<用户名1> <用户名2> <用户名3> ...
##指定禁止通过远程访问的用户，多个用户以空格隔开

#DenyGroups<组名1> <组名2> <组名3> ...
##指定禁止通过远程访问的组，多个组以空格隔开。

# no default banner path
#Banner none

# override default of no subsystems
Subsystem    sftp    /usr/libexec/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#    X11Forwarding no
#    AllowTcpForwarding no
#    ForceCommand cvs server

三、相关命令行

service ssh status
ssh: unrecognized service
# service sshd status
openssh-daemon (pid  13237) is running...
# /etc/init.d/sshd status
openssh-daemon (pid  13237) is running...
# /etc/init.d/sshd -h
Usage: /etc/init.d/sshd {start|stop|restart|reload|force-reload|condrestart|try-restart|status}
# service sshd -h
Usage: service < option > | --status-all | [ service_name [ command | --full-restart ] ]
# service sshd st
Usage: /etc/init.d/sshd {start|stop|restart|reload|force-reload|condrestart|try-restart|status}

那么要先生成两个密钥：

#ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key

#ssh-keygen -t dsa -f /etc/ssh/ssh_host_rsa_key

执行命令后都会让输入密码，直接敲回车设置为空即可

 

参考：

1、http://blog.csdn.net/field_yang/article/details/51568861

2、