18 sshd_config文件中的配置参数-上

1
2
3

https://blog.csdn.net/linghe301/article/details/8211305
https://www.cnblogs.com/xiaogan/p/5902846.html
http://www.jinbuguo.com/openssh/sshd_config.html

1. 新建一个新的用户test,把它提升为root级别管理员

1-1. 创建test账号

1	useradd test

1-2. 设置test账号密码

1	passwd test

1-3. 提升root级别权限

找到配置文件

1	vi /etc/sudoers

修改配置文件

1 2	root ALL=(ALL) ALL test ALL=(ALL) ALL //增加这行

2. 禁止SSH root用户的登录

2-1. 打开配置文件

1	vi /etc/ssh/sshd_config

2-2. 修改配置文件——-禁止SSH root用户的登录

1	PermitRootLogin no

2-3. 修改配置文件——-启动SSH root用户的登录

1	PermitRootLogin yes

2-4. 修改配置文件——-只允许用户:test通SSH方式登录,别的账户都禁止

1	AllowUsers test

2-5. 重启sshd生效

1	systemctl restart sshd.service

3. 提示 – 输入密码前

1
2
3
4
5
6

###############################################################
# Welcome to bndstone #
# All connections are monitored and recorded #
# Disconnect IMMEDIATELY if you are not an authorized user! #
# Any question Please call 0086-592-5792071 #
###############################################################

3-1. 输入密码前得到如下图:

3-1-1. 找到文件位置

1	vi /etc/issue.net

3-1-2. 把如上内容输进去

3-1-3. 打开配置文件

1	vi /etc/ssh/sshd_config

3-1-4. 修改配置文件

1	Banner /etc/issue.net

3-1-5. 重启sshd生效

1	systemctl restart sshd.service

3-2. 输入密码后得到如下图:

3-1-1. 找到文件位置

1	vi /etc/motd

——————-更多/etc/ssh/sshd_config配置——————————–

4-1. ssh端口22

Port 22

5-1. 指定ssh应当使用哪种地址族 — 所有 – 默认

1	AddressFamily any

5-2. 指定ssh应当使用哪种地址族 — (仅IPv4)

1	AddressFamily inet

5-6. 指定ssh应当使用哪种地址族 — (仅IPv6)

1	AddressFamily inet6

6-1. ssh监听 – 监听IPV4所有网络地址 – 默认

1	ListenAddress 0.0.0.0

6-2. ssh监听 – 监听192.168.122.1

1	ListenAddress 192.168.122.1

6-3. ssh监听 – 监听192.168.122.1 端口号:22

1	ListenAddress 192.168.122.1:22

6-4. ssh监听 – 监听192.168.122.1 端口号:22,192.168.122.2 端口号:22

1 2	ListenAddress 192.168.122.1:22 ListenAddress 192.168.122.2:22

7-1. root用户远程登录 – 允许 -默认

1	PermitRootLogin yes

7-2. root用户远程登录 – 禁止

1	PermitRootLogin no

8-1. 基于密码认证的远程登录 – 开启 – 默认

1	PasswordAuthentication yes

8-2. 基于密码认证的远程登录 – 禁止

1	PasswordAuthentication no

9-1. 使用空密码的用户登录 – 禁止 – 默认

1	PermitEmptyPasswords no

9-2. 使用空密码的用户登录 – 允许

1	PermitEmptyPasswords yes

10-1. 质疑-应答(challenge-response)模式认证 – 禁用 – 默认

1	ChallengeResponseAuthentication no

10-2. 质疑-应答(challenge-response)模式认证 – 允许

1	ChallengeResponseAuthentication yes

———kerberos认证配置（第三方认证工具）—————

11-1. 是否使用Kerberos认证 – 否 – 默认

1	KerberosAuthentication no

11-2. 是否使用Kerberos认证 – 是

1	KerberosAuthentication yes

11-3. 如果 Kerberos 密码认证失败,那么该密码还将要通过其它的认证机制(比如 /etc/passwd) – 是 – 默认

1	KerberosOrLocalPasswd yes

11-4. 如果 Kerberos 密码认证失败,那么该密码还将要通过其它的认证机制(比如 /etc/passwd) – 否

1	KerberosOrLocalPasswd no

11-5. 在用户退出登录后自动销毁用户的 ticket – 是 – 默认

1	KerberosTicketCleanup yes

11-6. 在用户退出登录后自动销毁用户的 ticket – 否 – 默认

1	KerberosTicketCleanup no

11-7. 取得token – 否 – 默认
如果使用了 AFS 并且该用户有一个 Kerberos 5 TGT，那么开启该指令后
将会在访问用户的家目录前尝试获取一个 AFS token

1	KerberosGetAFSToken no

11-8. 取得token – 是
如果使用了 AFS 并且该用户有一个 Kerberos 5 TGT，那么开启该指令后
将会在访问用户的家目录前尝试获取一个 AFS token

1	KerberosGetAFSToken yes

11-9.

1	KerberosUseKuserok yes

————–12 开启GSSAPI用户认证—————

12-1. 是否允许使用基于 GSSAPI 的用户认证 – 允许 -默认

1	GSSAPIAuthentication yes

12-2. 是否允许使用基于 GSSAPI 的用户认证 – 禁止

1	GSSAPIAuthentication no

12-3. 在用户退出登录后自动销毁用户凭证缓存 – 否 – 默认

1	GSSAPICleanupCredentials no

12-4. 在用户退出登录后自动销毁用户凭证缓存 – 是

1	GSSAPICleanupCredentials yes

12-5. 是否对客户端进行严格的身份认证.若为”yes”,则客户端会在服务端被验证主机名 – 是 – 默认

1	GSSAPIStrictAcceptorCheck yes

12-6. 是否对客户端进行严格的身份认证.若为”yes”,则客户端会在服务端被验证主机名 – 否

1	GSSAPIStrictAcceptorCheck no

12-7.

1	GSSAPIKeyExchange no

12-8.

1	GSSAPIEnablek5users no

13-1. PAM接口 – 启用

1	UsePAM yes

13-2. PAM接口 – 禁用

UsePAM no

14-1. 允许TCP转发默认值为”yes” — 允许

1	AllowTcpForwarding yes

14-2. 禁止TCP转发默认值为”yes” — 禁止

1	AllowTcpForwarding no

SSH, 记于心

18 sshd_config文件中的配置参数-上

Administrator

Leave a Reply Cancel reply