Linux sshd_config配置手册中文版

sshd默认从 /etc/ssh/sshd_config 文件(或通过 -f 命令行选项指定的文件)读取配置信息。配置文件是由"指令 值"对组成的，每行一个。空行和以'#'开头的行都将被忽略。如果值中含有空白符或者其他特殊符号，那么可以通过在两边加上双引号(")进行界定 Linux SSH服务的核心组件是`sshd`，它通过配置文件`/etc/ssh/sshd_config`来管理其行为。此配置文件控制着SSH服务器的各种安全和功能设置。配置文件中的每一项由指令和对应的值组成，每行一个，空行和以`#`开头的行被视为注释。 1. **SSH Server的整体设定** - `Port`: 指定SSH服务器监听的端口号，默认是22。你可以设置多个端口以增加安全性或避免常见端口扫描。 - `Protocol`: 设置SSH协议版本，支持1或2。`2,1`表示同时支持两个版本。 - `ListenAddress`: 指定服务器监听哪个IP地址。不设置则监听所有接口。 - `PidFile`: 存储`sshd`进程PID的文件路径，默认为`/var/run/sshd.pid`。 - `LoginGraceTime`: 用户登录时，允许输入密码的超时时间，单位为秒。 2. **主机Private Key的设定** - `HostKey`: 定义SSH服务器用于身份验证的私钥文件，包括`ssh_host_key`（v1）、`ssh_host_rsa_key`（v2 RSA）、`ssh_host_dsa_key`（v2 DSA）。 3. **SSH v1的特定设定** - `KeyRegenerationInterval`: 定义服务器私钥再生的间隔，防止私钥被窃后长期有效。 - `ServerKeyBits`: 指定服务器密钥的位数，影响加密强度。 4. **日志和守护进程设置** - `SyslogFacility`: 指定记录SSH事件的日志设施，例如`AUTH`对应`/var/log/secure`。 - `LogLevel`: 设置日志记录级别，如`INFO`记录所有信息。 5. **安全设定** - `PermitRootLogin`: 控制是否允许root用户通过SSH登录，默认允许，但推荐设置为`no`以提高安全性。 - `PermitEmptyPasswords`: 是否允许空密码登录，一般应禁用。 - `PasswordAuthentication`: 是否启用基于密码的身份验证，可设置为`yes`或`no`。 - `ChallengeResponseAuthentication`: 是否开启挑战响应认证，有时会与PAM集成。 - `PubkeyAuthentication`: 是否启用公钥认证，这是更安全的认证方式。 - `AllowUsers`和`DenyUsers`: 分别定义允许和禁止登录的用户名列表。 6. **其他高级设置** - `MaxStartups`: 最大并发连接数限制，防止DoS攻击。 - `ClientAliveInterval`和`ClientAliveCountMax`: 保持连接活跃性，防止死掉的会话占用资源。 - `X11Forwarding`: 是否允许X11转发，这可能带来安全风险。 正确配置`sshd_config`文件对于确保系统的安全性和稳定性至关重要。在调整设置时，务必了解每个选项的含义，并根据实际需求进行调整。修改后，记得重启`sshd`服务使更改生效。