Linux 学习笔记 - ssh 配置文件

现在远程管理linux系统基本上都要使用到ssh，原因很简单：telnet、ftp等传输方式是‍以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。ssh（secureshell）目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用ssh协议可以有效防止远程管理过程中的信息泄露问题，透过ssh可以对所有传输的数据进行加密，也能够防止dns欺骗和ip欺骗。

ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于，前者是针对客户端的配置文件，后者则是针对服务端的配置文件。两个配置文件都允许你通过设置不同的选项来改变客户端程序的运行方式。下面列出来的是两个配置文件中最重要的一些关键词，每一行为“关键词&值”的形式，其中“关键词”是忽略大小写的。‍‍

1、编辑/etc/ssh/ssh_config文件

#标识以下选项均为系统初始默认的选项，配置文件中很多选项前面加有#注释#其实是说明此为系统默认的初始化设置#site-widedefaultsforvariousoptions#只对匹配后面字串的计算机有效，*表示所有的计算机，这是一个类似于全局的选项#表示下面缩进的选项都适用于该设置，可以指定某计算机替换*号使下面选项只针对该算机器生效host*#设置连接是否经过验证代理（如果存在）转发给远程计算机forwardagentno#设置x11连接是否被自动重定向到安全的通道和显示集（displayset）forwardx11no#设置是否使用基于rhosts的安全验证rhostsauthenticationno#设置是否使用用rsa算法的基于rhosts的安全验证rhostsrsaauthenticationno#设置是否使用rsa算法进行安全验证‍rsaauthenticationyes#设置是否使用口令验证passwordauthenticationyes#设置如果用ssh连接出现错误是否自动使用rsh，由于rsh并不安全，所以此选项应当设置为nofallbacktorshno#设置是否在这台计算机上使用rlogin/rsh，原因同上，设为nousershno#批处理模式，一般设为no，如果设为yes，交互式输入口令的提示将被禁止#这个选项对脚本文件和批处理任务十分有用batchmodeno#设置ssh是否查看连接到服务器的主机的ip地址以防止dns欺骗。建议设置为yescheckhostipyes#如果设为yes，ssh将不会自动把计算机的密匙加入$home/.ssh/known_hosts文件#一旦计算机的密匙发生了变化，就拒绝连接stricthostkeycheckingno#设置读取用户的rsa安全验证标识identityfile~/.ssh/identity#设置连接到远程主机的端口，ssh默认端口为22port22#设置加密用的密钥，blowfish可以自己随意设置cipherblowfish#设置escape字符escapechar~

2、编辑/etc/ssh/sshd_config文件

#thisissshserversystemwideconfigurationfile.#设置sshd监听的端口号port22#设置sshd服务器绑定的ip地址listenaddress192.168.1.1#设置包含计算机私人密匙的文件hostkey/etc/ssh/ssh_host_key#定义服务器密匙的位数serverkeybits1024#设置如果用户不能成功登录，在切断连接之前服务器需要等待的时间（以秒为单位）logingracetime600#设置在多少秒之后自动重新生成服务器的密匙（如果使用密匙）#重新生成密匙是为了防止用盗用的密匙解密被截获的信息keyregenerationinterval3600#设置是否允许root通过ssh登录。这个选项从安全角度来讲应设成nopermitrootloginno#设置验证的时候是否使用rhosts和shosts文件ignorerhostsyes#设置sshdaemon是否在进行rhostsrsaauthentication安全验证#忽略用户的$home/.ssh/known_hostsignoreuserknownhostsyes#设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权#这通常是必要的，因为新手经常会把自己的目录和文件设成任何人都有写权限strictmodesyes#设置是否允许x11转发x11forwardingno#设置sshd是否在用户登录的时候显示/etc/motd中的信息printmotdyes#设置在记录来自sshd的消息的时候，是否给出facilitycodesyslogfacilityauth#设置记录sshd日志消息的层次。info是一个好的选择。查看sshd的man帮助页，已获取更多的信息loglevelinfo#设置只用rhosts或/etc/hosts.equiv进行安全验证是否已经足够了rhostsauthenticationno#设置是否允许用rhosts或/etc/hosts.equiv加上rsa进行安全验证rhostsrsaauthenticationno#设置是否允许只有rsa安全验证rsaauthenticationyes#设置是否允许口令验证passwordauthenticationyes#设置是否允许用口令为空的帐号登录permitemptypasswordsno#的后面可以跟任意的数量的用户名的匹配串，这些字符串用空格隔开。主机名可以是域名或ip地址allowusersadmin