SSH配置文件详解（sshd配置文件usrchg）

SSH（Secure SHell）是一种安全通道协议，主要用来实现字符界面的远程登录，远程复制等功能，而OpenSSH 是 SSH 协议的免费开源实现，为了系统安全除了我们需要尽量将 OpenSSH 升级到最新版本，另外我们还需要去了解OpenSSH的配置文件/etc/ssh/ssh_config，这个文件的每一行包含“关键词－值”的匹配，该配置文件允许你通过设置不同的选项来改变ssh程序的运行方式以到达最佳安全效果。

常用配置选项如下：

Port 22 #设置SSH服务监听的端口号，默认为22

ListenAddress 0.0.0.0 #设置监听IP地址，默认为任意网段

Protocol 2 #设置SSH协议版本，可以选择SSH1或SSH2

HostKey /etc/ssh/ssh_host_rsa_key #设置SSH服务器的密钥文件路径

LogLevel INFO #设置SSH日志级别，如DEBUG、INFO、WARN、ERROR等，默认为INFO

LoginGraceTime 2m #设置用户必须在指定的时限内认证成功，0 表示无限制。默认值为120 秒

PermitRootLogin yes #设置是否允许root用户登录，默认为yes

MaxAuthTries 6 #设置每个连接最大允许的认证次数，默认值是 6

PubkeyAuthentication yes #设置是否允许使用公钥认证方式登录，默认为yes

PasswordAuthentication yes #设置是否允许使用密码认证方式登录，默认为yes

AllowUsers #设置允许登录的用户列表，多个用户之间用空格分隔

AllowGroups #设置允许登录的用户组列表，多个用户组之间用空格分隔

DenyUsers #设置禁止登录的用户列表，多个用户之间用空格分隔

DenyGroups #设置禁止登录的用户组列表，多个用户组之间用空格分隔

关于上述四个安全加固选项说明如下：

AllowUsers user1 root #仅允许user1、root这两个用户登录，其他用户不允许登录

AllowUsers user2@1.2.3.0/24 #如果指定了USER@HOST模式的用户，那么USER和HOST将同时被检查，这里只允许1.2.3.0/24网段通过user2用户登录

AllowUsers *@1.1.1.1 root@1.2.3.* #可以使用“*”通配符表示任意用户或任意网段

ssh登录时Linux系统sshd服务会对登录者进行检查，只有在AllowUsers列表中的才被允许登录，那么同理如果对于AllowGroups的配置，就是配置允许的groups了,多个group之间也是使用空格隔开。DenyUsers 禁止某些用户登录，用法于AllowUsers 类似，注意不要同时使用此操作相当设置了一个黑名单，禁止黑名单中的用户登陆。相关的 allow/deny 指令按照下列顺序处理：DenyUsers, AllowUsers, DenyGroups, AllowGroups，当然修改过配置文件后，一定要重启，执行命令systemctl restart sshd。如果不在sshd_config里加上允许访问的ip及用户名的话，远程时输入正确密码会提示“SSH服务拒绝了密码。请再试一次。”

PermitEmptyPasswords no #设置是否允许密码为空的用户远程登录，默认为no

PrintMotd yes #设置登录后显示一些默认信息，默认为yes，在/etc/motd文件设置这些内容

PrintLastLog yes #设置是否显示最后一位用户的登录时间，默认为yes

UsePAM yes #设置是否使用PAM模块认证，默认为yes。PAM(插入式验证模块(Pluggable Authentication Module，PAM))简单来说就是提供了一组身份验证、密码验证的统一抽象接口，可以使用这些接口来实现与安全性相关的功能

Banner /etc/issue #设置在登录之前显示在用户屏幕上的内容，默认为none不显示任何信息，在/etc/issue文件设置这些内容

ClientAliveInterval 0 #设置一个以秒记的时长,如果超过这么长时间没有收到客户端的任何数据,sshd 将通过安全通道向客户端发送一个"alive"消息并等候应答，默认值0表示不发送"alive"消息

ClientAliveCountMax 3设置未收到任何客户端回应前最多允许发送多少个"alive"消息，到达这个上限后sshd 将强制断开连接关闭会话

以上两个选项默认的配置为：

ClientAliveinterval 0

ClientAlivecountmax 3

这种情况下我们视为ssh服务端为长连接，客户端连接上后服务端不再发送alive消息。如果客户端断开，服务端一直等待客户端的连接不会主动断开。

UseDNS yes #设置是否对远程主机名进行反向解析，以检查此主机名是否与其IP地址真实对应，默认值为yes

以上就是ssh配置文件相关说明了，可根据实际情况进行更改安全加固，注意每次修改完之后需要执行命令“systemctl restart sshd”重启服务，确保修改的配置生效。