推荐使用man sshd_config指令获取配置文件详细说明
Port 22
AddressFamily any
ListenAddress 0.0.0.0
ListenAddress ::
Protocol 2
/*
Port:sshd服务端口,预设22,也可以开放多个端口
AddressFamily:使用地址族,any(默认)、inet(仅IPv4)、inet6(仅IPv6)
ListenAddress:设置监听的地址
Protocol:SSH协议版本
*/
# HostKey for protocol version 1
HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
/*
主机私钥存放位置
*/
KeyRegenerationInterval 1h
ServerKeyBits 1024
/*
对于SSH-1协议中秘钥的过期时间和大小
*/
# Logging
SyslogFacility AUTH
SyslogFacility AUTHPRIV
LogLevel INFO
/*
SyslogFacility:日志系统选择
LogLevel:日志等级选择
*/
# Authentication:
LoginGraceTime 2m
PermitRootLogin yes
StrictModes yes
MaxAuthTries 6
MaxSessions 10
/*
LoginGraceTime:限制认证时限
PermitRootLogin:允许ROOT账户登录
StrictModes:检查用户主目录和相关的配置文件
MaxAuthTries:最大认证次数
MaxSessions:最大保持连接数
*/
RSAAuthentication yes
PubkeyAuthentication yes
# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile .ssh/authorized_keys
/*
RSAAuthentication:SSH-1公钥认证
PubkeyAuthentication:SSH-2公钥认证
AuthorizedKeysFile:授权秘钥文件
*/
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
/*
RhostsRSAAuthentication:SSH-1强可信主机
HostbasedAuthentication:SSH-2强可信主机
IgnoreUserKnownHosts:认证过程中忽略用户的 ~/.ssh/known_hosts 文件
IgnoreRhosts:认证过程中忽略 .rhosts 和 .shosts 文件
*/
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
PermitEmptyPasswords no
/*
PasswordAuthentication:使用密码认证
PermitEmptyPasswords:允许密码为空账户登录
*/
# Change to no to disable s/key passwords
ChallengeResponseAuthentication yes
/*
ChallengeResponseAuthentication:是否允许质疑-应答(challenge-response)认证
*/
# Kerberos options
KerberosAuthentication no
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
KerberosGetAFSToken no
/*
KerberosAuthentication:是否使用Kerberos认证
KerberosOrLocalPasswd:如果 Kerberos 密码认证失败,那么该密码还将要通过其它的认证机制
KerberosTicketCleanup:是否在用户退出登录后自动销毁用户的 ticket
KerberosGetAFSToken:尝试获取一个 AFS token
*/
# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials no
GSSAPIStrictAcceptorCheck yes
/*
GSSAPIAuthentication:是否允许使用基于 GSSAPI 的用户认证
GSSAPICleanupCredentials:是否在用户退出登录后自动销毁用户凭证缓存
GSSAPIStrictAcceptorCheck:是否严格检查GSSAPI的用户认证
*/
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
# WARNING: 'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause several
# problems.
UsePAM yes
/*
UsePAM:是否使用PAM认证登录
*/
AllowAgentForwarding yes
AllowTcpForwarding yes
GatewayPorts no
X11Forwarding yes
X11DisplayOffset 10
X11UseLocalhost yes
PermitTTY yes
PrintMotd yes
PrintLastLog yes
TCPKeepAlive yes
UseLogin no
UsePrivilegeSeparation sandbox # Default for new installations.
PermitUserEnvironment no
Compression delayed
ClientAliveInterval 0
ClientAliveCountMax 3
ShowPatchLevel no
UseDNS yes
PidFile /var/run/sshd.pid
MaxStartups 10:30:100
PermitTunnel no
ChrootDirectory none
VersionAddendum none
/*
AllowAgentForwarding:是否允许转发ssh-agent
AllowTcpForwarding:是否允许TCP转发
GatewayPorts:是否允许远程主机连接本地的转发端口
X11Forwarding:是否允许进行 X11 转发
X11DisplayOffset:指定X11 转发的第一个可用的显示区(display)数字
X11UseLocalhost:是否应当将X11转发服务器绑定到本地loopback地址
PermitTTY:是否允许pty分配
PrintMotd:是否在每一次交互式登录时打印 /etc/motd 文件的内容
PrintLastLog:是否在每一次交互式登录时打印最后一位用户的登录时间
TCPKeepAlive:是否向客户端发送 TCP keepalive 消息
UseLogin:是否在交互式会话的登录过程中使用 login
UsePrivilegeSeparation:是否让 sshd 通过创建非特权子进程处理接入请求的方法来进行权限分离
PermitUserEnvironment:是否允许 sshd处理environment
Compression:是否对通信数据进行加密
ClientAliveInterval:设置一个以秒记的时长,向客户端发送一个”alive”消息,并等候应答
ClientAliveCountMax:sshd 在未收到任何客户端回应前最多允许发送多少个”alive”消息
ShowPatchLevel:是否显示ssh的补丁信息
UseDNS:是否应该对远程主机名进行反向解析
PidFile:pid文件位置
MaxStartups: 指定并发未认证的最大数量节点到SSH守护进程
PermitTunnel:是否允许 tun 设备转发
ChrootDirectory:指定chroot认证的路径名
VersionAddendum:连接时指定附加文本
*/
# no default banner path
Banner none
/*
Banner:将这个指令指定的文件中的内容在用户进行认证前显示给远程用户
*/
# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
/*
AcceptEnv:指定客户端发送的哪些环境变量将会被传递到会话环境中
*/
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
/*
Subsystem:配置一个外部子系统
*/
NOTE:
1、 以上的所有说明配置命令均已去掉‘#’(注释符号),请勿直接copy使用
2、 在修改sshd_config文件时,正确的姿势应该是在原配置文件中找到相关配置添加‘#’注释,再在文件末尾添加配置命令及选项
3、以上内容并不完全来自于自己翻译,有部分摘自网络内容,如有侵权行为,请告知E-mail:gaohanxiang@126.com,本人会第一时间删除