/etc/ssh/sshd_config配置文件内容详解。
- Port 22
设置SSHD监听端口号。
- SSH 预设使用 22 这个port,也可以使用多个port,即重复使用 port 这个设定项!
- 例如想要开放SSHD端口为 22和222,则多加一行内容为: Port 222 即可。
然后重新启动SSHD这样就好了。 建议大家修改 port number 为其它端口,防止别人暴力破解。
systemctl restart sshd #重启sshd服务。
测试:
[root@root ~]# netstat -tlunp | grep sshd
2.ListenAddress 0.0.0.0
设置SSHD服务器绑定的IP 地址,0.0.0.0 表示侦听所有地址
安全建议:如果主机不需要从公网ssh访问,可以把监听地址改为内网地址
这个值可以写成本地IP地址,也可以写成所有地址,即0.0.0.0 表示所有IP。
3.Protocol 2
选择的 SSH 协议版本,可以是 1 也可以是 2,CentOS 5.x 预设是仅支援V2版本,出于安全考虑,设置为最新的协议版本。
#HostKey /etc/ssh/ssh_host_key
设置包含计算机私人密钥的文件
SyslogFacility AUTHPRIV
当有人使用 SSH 登入系统的时候,SSH 会记录信息,这个信息要记录的类型为AUTHPRIV,sshd服务日志存放在:/var/log/secure。
4.等待登录时间 #LoginGraceTime 2m
在这登录的时候最长等待时间2分钟
- grace意思是系统给与多少秒来进行登录。
- 当使用者连上 SSH server 之后,会出现输入密码的画面,在该画面中。
- 在多久时间内没有成功连上 SSH server 就强迫断线!若无单位则默认时间为秒。
可以根据实际情况来修改实际
5.设置root用户是否登录
是否允许 root 登入,默认是允许的,但是建议设定成 no,真实的生产环境服务器,是不允许root账号直接登陆的,仅允许普通用户登录,需要用到root用户再切换到root用户。
PasswordAuthentication yes
验证需要密码登录!所以这里写 yes,也可以设置为no,在真实的生产服务器上,根据不同安全级别要求,有的是设置不需要密码登陆的,通过认证的秘钥来登陆。
如果要设置成no ,开启秘钥登录。
6.给sshd服务添加一些警告信息
[root@xuegod ~]# cat /etc/motd
[root@xuegod ~]# echo 'Warning ! From now on, all of your operation has been record!'> /etc/motd
7.#LogLevel INFO 定义登录记录的等级
LogLevel INFO 定义登录记录的等级
当有人使用 SSH 登入系统的时候,SSH 会记录信息,这个信息要记录的类型为AUTHPRIV,sshd服务日志存放在:/var/log/secure。
8.# UseDNS yes
一般来说,为了要判断客户端来源是正常合法的,因此会使用 DNS 去反查客户端的主机名,但通常在内网互连时,该基设置为no,因此使联机速度会快些。