昨天æ¥å…¬å¸ç™»é™†æ—¶å‘现åQŒå…¬å¸å±è”½äº†22端å£åQŒæ— 奈,回家把端å£æ”¹æŽ‰å§ã€?br /> ™åÞZ¾¿ž®†é»˜è®¤åªèƒ½raskey登陆方å¼åQŒæ”¹æŽ‰ï¼Œé‡æ–°é…ç½®ssh一下ã€?br />
# 1. 关于 SSH Server 的整体设定,包å«ä½¿ç”¨çš?nbsp;port 啦,以åŠä½¿ç”¨çš„密ç æ¼”½Ž—æ–¹å¼?/span>Port 22          # SSH 预设使用 22 ˜q™ä¸ª portåQŒæ‚¨ä¹Ÿå¯ä»¥ä‹É用多çš?nbsp;port åQ?br />
              # 亦å³é‡å¤ä½¿ç”¨ port ˜q™ä¸ªè®‘Ö®š™å¹ç›®å›_¯åQ?/span>Protocol 2,1        # 选择çš?nbsp;SSH å议版本åQŒå¯ä»¥æ˜¯ 1 也å¯ä»¥æ˜¯ 2 åQ?br />
              # 如果è¦åŒæ—¶æ”¯æŒä¸¤è€…,ž®±å¿…™å»è¦ä½¿ç”¨ 2,1 ˜q™ä¸ªåˆ†éš”了ï¼#ListenAddress 0.0.0.0   # 监å¬çš„主机适é…å¡ï¼ä¸¾ä¸ªä¾‹åæ¥è¯´åQŒå¦‚果您有两ä¸?nbsp;IPåQ?br />
              # 分别æ˜?nbsp;192.168.0.100 å?nbsp;192.168.2.20 åQŒé‚£ä¹ˆåªæƒŒ™¦ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ # å¼€æ”?nbsp;192.168.0.100 æ—Óž¼Œž®±å¯ä»¥å†™å¦‚åŒä¸‹é¢çš„æ ·å¼ï¼šListenAddress 192.168.0.100 # åªç›‘å¬æ¥è‡?nbsp;192.168.0.100 ˜q™ä¸ª IP çš„SSHè”机ã€?br />
                   # 如果ä¸ä‹É用设定的è¯ï¼Œåˆ™é¢„设所有接å£å‡æŽ¥å— SSHPidFile /var/run/sshd.pid      # å¯ä»¥æ”„¡½® SSHD ˜q™ä¸ª PID 的档案ï¼å·¦åˆ—为默认å€?/span>LoginGraceTime 600     # 当ä‹É用者连ä¸?nbsp;SSH server 之åŽåQŒä¼šå‡ºçŽ°è¾“入密ç çš„ç”»é¢ï¼Œã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ # 在该画é¢ä¸ï¼Œåœ¨å¤šä¹…时间内没有æˆåŠŸ˜qžä¸Š SSH server åQ?br />
              # ž®±æ–¾U¿ï¼æ—‰™—´ä¸ºç§’åQ?/span>Compression yes      # 是å¦å¯ä»¥ä½¿ç”¨åŽ‹ç¾ƒæŒ‡ä×oåQŸå½“然å¯ä»¥å•°åQ?br />
 # 2. 说明ä¸ÀLœºçš?nbsp;Private Key 攄¡½®çš„档案,预设使用下é¢çš„档案å³å¯ï¼HostKey /etc/ssh/ssh_host_key    # SSH version 1 使用的ç§é’?/span>HostKey /etc/ssh/ssh_host_rsa_key  # SSH version 2 使用çš?nbsp;RSA ¿Ué’¥HostKey /etc/ssh/ssh_host_dsa_key  # SSH version 2 使用çš?nbsp;DSA ¿Ué’¥# 2.1 关于 version 1 的一些设定ï¼KeyRegenerationInterval 3600     # ç”±å‰é¢è”机的说明å¯ä»¥çŸ¥é“åQ?nbsp;version 1 会ä‹Éç”?nbsp;                   # server çš?nbsp;Public Key åQŒé‚£ä¹ˆå¦‚果这ä¸?nbsp;Public                    # Key 被å·çš„è¯åQŒå²‚ä¸å®Œè›‹ï¼Ÿæ‰€ä»¥éœ€è¦æ¯éš”一ŒD‰|—¶é—?br />
                   # æ¥é‡æ–°å¾ç«‹ä¸€‹Æ¡ï¼˜q™é‡Œçš„时间äØ“¿U’ï¼ServerKeyBits 768           # 没错åQ这个就æ˜?nbsp;Server key 的长度ï¼# 3. 关于ç™Õd½•æ–‡äšg的讯æ¯æ•°æ®æ”¾¾|®ä¸Ž daemon çš„å¿UŽÍ¼SyslogFacility AUTH         # 当有äºÞZ‹Éç”?nbsp;SSH ç™Õd…¥¾pÈ»Ÿçš„时候,SSH会记录资                   # 讯,˜q™ä¸ªä¿¡æ¯è¦è®°å½•åœ¨ä»€ä¹?nbsp;daemon name 底下åQ?br />
                   # 预设是以 AUTH æ¥è®¾å®šçš„åQŒå³æ˜?nbsp;/var/log/secure                   # 里é¢åQ什么?忘记了ï¼å›žåˆ° Linux 基础åŽÈ¿»ä¸€ä¸?br />
                   # 其它å¯ç”¨çš?nbsp;daemon name 为:DAEMON,USER,AUTH,                   # LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5,LogLevel INFO            # ç™Õd½•è®°å½•çš„牾U§ï¼å˜¿å˜¿åQä“Q何讯æ¯ï¼ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ # åŒæ ·çš„,忘记了就回去å‚考ï¼# 4. 安全讑֮š™å¹ç›®åQæžé‡è¦åQ?br />
# 4.1 ç™Õd…¥è®‘Ö®šéƒ¨åˆ†PermitRootLogin no     # 是å¦å…许 root ç™Õd…¥åQ预设是å…许的,但是å»ø™®®è®‘Ö®šæˆ?nbsp;noåQ?/span>UserLogin no        # åœ?nbsp;SSH 底下本楞®×ƒ¸æŽ¥å— login ˜q™ä¸ª½E‹åºçš„登入ï¼StrictModes yes      # 当ä‹É用者的 host key 改å˜ä¹‹åŽåQŒServer ž®×ƒ¸æŽ¥å—è”机åQ?br />
              # å¯ä»¥æŠ‰|Œ¡éƒ¨åˆ†çš„木马程åºï¼#RSAAuthentication yes   # 是å¦ä½¿ç”¨¾U¯çš„ RSA 认è¯åQ?仅针å¯?nbsp;version 1 åQ?/span>PubkeyAuthentication yes  # 是å¦å…许 Public Key åQŸå½“然å…许啦åQåªæœ?nbsp;version 2AuthorizedKeysFile .ssh/authorized_keys              # 上题q™ä¸ªåœ¨è®¾å®šè‹¥è¦ä‹É用ä¸éœ€è¦å¯†ç 登入的账å·æ—Óž¼Œé‚£ä¹ˆé‚£ä¸ªã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ # è´¦å·çš„å˜æ”¾æ¡£æ¡ˆæ‰€åœ¨æ¡£åï¼# 4.2 认è¯éƒ¨åˆ†RhostsAuthentication no  # 本机¾pÈ»Ÿä¸æ¢ä½¿ç”¨ .rhosts åQŒå› ä¸ÞZ»…使用 .rhosts å¤?br />
              # ä¸å®‰å…¨äº†åQŒæ‰€ä»¥è¿™é‡Œä¸€å®šè¦è®‘Ö®šä¸?nbsp;no åQ?/span>IgnoreRhosts yes      # 是å¦å–消使用 ~/.ssh/.rhosts æ¥åšä¸ø™®¤è¯ï¼å½“然是ï¼RhostsRSAAuthentication no # ˜q™ä¸ªé€‰é¡¹æ˜¯ä¸“门给 version 1 用的åQŒä‹Éç”?nbsp;rhosts 档案åœ?br />
              # /etc/hosts.equivé…åˆ RSA 演算方å¼æ¥è¿›è¡Œè®¤è¯ï¼ä¸è¦ä½¿ç”¨HostbasedAuthentication no # ˜q™ä¸ª™å¹ç›®ä¸Žä¸Šé¢çš„™å¹ç›®¾cÖM¼¼åQŒä¸˜q‡æ˜¯¾l?nbsp;version 2 使用的ï¼IgnoreUserKnownHosts no  # 是å¦å¿½ç•¥å®¶ç›®å½•å†…çš?nbsp;~/.ssh/known_hosts ˜q™ä¸ªæ¡£æ¡ˆæ‰€è®°å½•ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ # 的主机内容?当然ä¸è¦å¿½ç•¥åQŒæ‰€ä»¥è¿™é‡Œå°±æ˜?nbsp;no 啦ï¼PasswordAuthentication yes # 密ç 验è¯å½“然是需è¦çš„åQ所以这里写 yes 啎ͼPermitEmptyPasswords no  # 若上é¢é‚£ä¸€™å¹å¦‚果设定äØ“ yes çš„è¯åQŒè¿™ä¸€™å¹å°±æœ€å¥½è®¾å®?br />
              # ä¸?nbsp;no åQŒè¿™ä¸ªé¡¹ç›®åœ¨æ˜¯å¦å…许以空的密ç 登入ï¼å½“然ä¸è®¸åQ?/span>ChallengeResponseAuthentication yes # 挑战ä»ÖM½•çš„密ç 认è¯ï¼æ‰€ä»¥ï¼Œä»ÖM½• login.conf                    # 规定的认è¯æ–¹å¼ï¼Œå‡å¯é€‚用åQ?br />
#PAMAuthenticationViaKbdInt yes # 是å¦å¯ç”¨å…¶å®ƒçš?nbsp;PAM 模å—åQå¯ç”¨è¿™ä¸ªæ¨¡å—å°†ä¼?br />
                   # å¯ÆD‡´ PasswordAuthentication 讑֮šå¤±æ•ˆåQ?br />
 # 4.3 ä¸?nbsp;Kerberos 有关的å‚数设定ï¼å› äؓ我们没有 Kerberos ä¸ÀLœºåQŒæ‰€ä»¥åº•ä¸‹ä¸ç”¨è®¾å®šï¼#KerberosAuthentication no#KerberosOrLocalPasswd yes#KerberosTicketCleanup yes#KerberosTgtPassing no # 4.4 底下是有兛_œ¨ X-Window 底下使用的相兌™®¾å®šï¼X11Forwarding yes#X11DisplayOffset 10#X11UseLocalhost yes# 4.5 ç™Õd…¥åŽçš„™å¹ç›®åQ?/span>PrintMotd no # ç™Õd…¥åŽæ˜¯å¦æ˜¾½Cºå‡ºä¸€äº›ä¿¡æ¯å‘¢åQŸä¾‹å¦‚上‹Æ¡ç™»å…¥çš„æ—‰™—´ã€åœ°ç‚¹ç‰ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€# ½{‰ï¼Œé¢„设æ˜?nbsp;yes åQŒä½†æ˜¯ï¼Œå¦‚æžœä¸ÞZº†å®‰å…¨åQŒå¯ä»¥è€ƒè™‘改äØ“ no åQ?/span>PrintLastLog yes     # 昄¡¤ºä¸Šæ¬¡ç™Õd…¥çš„ä¿¡æ¯ï¼å¯ä»¥å•Šï¼é¢„设也是 yes åQ?/span>KeepAlive yes       # 一般而言åQŒå¦‚果设定这™å¹ç›®çš„è¯åQŒé‚£ä¹?nbsp;SSH Server ä¼šä¼ é€?br />
             # KeepAlive 的讯æ¯ç»™ Client 端,以确ä¿ä¸¤è€…çš„è”机æ£å¸¸åQ?br />
             # 在这个情况下åQŒä“Q何一端æ»æŽ‰åŽåQ?nbsp;SSH å¯ä»¥ç«‹åˆ»çŸ¥é“åQ而ä¸ä¼?br />
             # 有僵ž®¸ç¨‹åºçš„å‘生åQ?/span>UsePrivilegeSeparation yes # 使用者的æƒé™è®‘Ö®š™å¹ç›®åQ就讑֮šä¸?nbsp;yes å§ï¼MaxStartups 10      # åŒæ—¶å…è®¸å‡ ä¸ªž®šæœªç™Õd…¥çš„è”机画é¢ï¼Ÿå½“我们连ä¸?nbsp;SSH åQ?br />
             # 但是ž®šæœªè¾“入密ç æ—Óž¼Œ˜q™ä¸ªæ—¶å€™å°±æ˜¯æˆ‘们所谓的è”机画é¢å•¦ï¼ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€# 在这个è”机画é¢ä¸åQŒäؓ了ä¿æŠ¤ä¸»æœºï¼Œæ‰€ä»¥éœ€è¦è®¾å®šæœ€å¤§å€û|¼Œã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€ã€€# 预设最多å个è”机画é¢ï¼Œè€Œå·²¾lå¾ç«‹è”机的ä¸è®¡½Ž—在˜q™å个当ä¸?br />
# 4.6 关于使用者抵挡的讑֮š™å¹ç›®åQ?/span>DenyUsers *        # 讑֮šå—抵挡的使用者å¿UŽÍ¼Œå¦‚果是全部的使用者,那就是全éƒ?br />
             # 挡å§åQ若是部分ä‹É用者,å¯ä»¥ž®†è¯¥è´¦å·å¡«å…¥åQ例如下列ï¼DenyUsers testDenyGroups test      # ä¸?nbsp;DenyUsers 相åŒåQ仅抉|Œ¡å‡ 个¾Ÿ¤ç»„而已åQ?br />
# 5. 关于 SFTP æœåŠ¡çš„设定项目ï¼Subsystem sftp /usr/lib/ssh/sftp-server引用自:http://doc.licess.org/openssh/sshd_config.html
colorfire 2011-03-15 10:51 å‘表评论
]]>