sshd_config配置詳解

sshd_config配置詳解

名稱
sshd_config - OpenSSH SSH 服務器守護進程配置文件

大綱
/etc/ssh/sshd_config

描述
sshd(8) 默認從 /etc/ssh/sshd_config 文件(或通過 -f 命令行選項指定的文件)讀取配置信息。
配置文件是由"指令 值"對組成的，每行一個。空行和以'#'開頭的行都將被忽略。
如果值中含有空白符或者其他特殊符號，那麼可以通過在兩邊加上雙引號(")進行界定。
[注意]值是大小寫敏感的，但指令是大小寫無關的。

當前所有可以使用的配置指令如下：

AcceptEnv
指定客戶端發送的哪些環境變量將會被傳遞到會話環境中。[注意]只有SSH-2協議支持環境變量的傳遞。
細節可以參考 ssh_config(5) 中的 SendEnv 配置指令。
指令的值是空格分隔的變量名列表(其中可以使用'*'和'?'作爲通配符)。也可以使用多個 AcceptEnv 達到同樣的目的。
需要注意的是，有些環境變量可能會被用於繞過禁止用戶使用的環境變量。由於這個原因，該指令應當小心使用。
默認是不傳遞任何環境變量。

AddressFamily
指定 sshd(8) 應當使用哪種地址族。取值範圍是："any"(默認)、"inet"(僅IPv4)、"inet6"(僅IPv6)。

AllowGroups
這個指令後面跟着一串用空格分隔的組名列表(其中可以使用"*"和"?"通配符)。默認允許所有組登錄。
如果使用了這個指令，那麼將僅允許這些組中的成員登錄，而拒絕其它所有組。
這裏的"組"是指"主組"(primary group)，也就是/etc/passwd文件中指定的組。
這裏只允許使用組的名字而不允許使用GID。相關的 allow/deny 指令按照下列順序處理：
DenyUsers, AllowUsers, DenyGroups, AllowGroups

AllowTcpForwarding
是否允許TCP轉發，默認值爲"yes"。
禁止TCP轉發並不能增強安全性，除非禁止了用戶對shell的訪問，因爲用戶可以安裝他們自己的轉發器。

AllowUsers
這個指令後面跟着一串用空格分隔的用戶名列表(其中可以使用"*"和"?"通配符)。默認允許所有用戶登錄。
如果使用了這個指令，那麼將僅允許這些用戶登錄，而拒絕其它所有用戶。
如果指定了 USER@HOST 模式的用戶，那麼 USER 和 HOST 將同時被檢查。
這裏只允許使用用戶的名字而不允許使用UID。相關的 allow/deny 指令按照下列順序處理：
DenyUsers, AllowUsers, DenyGroups, AllowGroups

AuthorizedKeysFile
存放該用戶可以用來登錄的 RSA/DSA 公鑰。
該指令中可以使用下列根據連接時的實際情況進行展開的符號：
%% 表示'%'、%h 表示用戶的主目錄、%u 表示該用戶的用戶名。
經過擴展之後的值必須要麼是絕對路徑，要麼是相對於用戶主目錄的相對路徑。
默認值是".ssh/authorized_keys"。

Banner
將這個指令指定的文件中的內容在用戶進行認證前顯示給遠程用戶。
這個特性僅能用於SSH-2，默認什麼內容也不顯示。"none"表示禁用這個特性。

ChallengeResponseAuthentication
是否允許質疑-應答(challenge-response)認證。默認值是"yes"。
所有 login.conf(5) 中允許的認證方式都被支持。

Ciphers
指定SSH-2允許使用的加密算法。多個算法之間使用逗號分隔。可以使用的算法如下：
"aes128-cbc", "aes192-cbc", "aes256-cbc", "aes128-ctr", "aes192-ctr", "aes256-ctr",
"3des-cbc", "arcfour128", "arcfour256", "arcfour", "blowfish-cbc", "cast128-cbc"
默認值是可以使用上述所有算法。

ClientAliveCountMax
sshd(8) 在未收到任何客戶端迴應前最多允許發送多少個"alive"消息。默認值是 3 。
到達這個上限後，sshd(8) 將強制斷開連接、關閉會話。
需要注意的是，"alive"消息與 TCPKeepAlive 有很大差異。
"alive"消息是通過加密連接發送的，因此不會被欺騙；而 TCPKeepAlive 卻是可以被欺騙的。
如果 ClientAliveInterval 被設爲 15 並且將 ClientAliveCountMax 保持爲默認值，
那麼無應答的客戶端大約會在45秒後被強制斷開。這個指令僅可以用於SSH-2協議。

ClientAliveInterval
設置一個以秒記的時長，如果超過這麼長時間沒有收到客戶端的任何數據，
sshd(8) 將通過安全通道向客戶端發送一個"alive"消息，並等候應答。
默認值 0 表示不發送"alive"消息。這個選項僅對SSH-2有效。

Compression
是否對通信數據進行加密，還是延遲到認證成功之後再對通信數據加密。
可用值："yes", "delayed"(默認), "no"。

DenyGroups
這個指令後面跟着一串用空格分隔的組名列表(其中可以使用"*"和"?"通配符)。默認允許所有組登錄。
如果使用了這個指令，那麼這些組中的成員將被拒絕登錄。
這裏的"組"是指"主組"(primary group)，也就是/etc/passwd文件中指定的組。
這裏只允許使用組的名字而不允許使用GID。相關的 allow/deny 指令按照下列順序處理：
DenyUsers, AllowUsers, DenyGroups, AllowGroups

DenyUsers
這個指令後面跟着一串用空格分隔的用戶名列表(其中可以使用"*"和"?"通配符)。默認允許所有用戶登錄。
如果使用了這個指令，那麼這些用戶將被拒絕登錄。
如果指定了 USER@HOST 模式的用戶，那麼 USER 和 HOST 將同時被檢查。
這裏只允許使用用戶的名字而不允許使用UID。相關的 allow/deny 指令按照下列順序處理：
DenyUsers, AllowUsers, DenyGroups, AllowGroups

ForceCommand
強制執行這裏指定的命令而忽略客戶端提供的任何命令。這個命令將使用用戶的登錄shell執行(shell -c)。
這可以應用於 shell 、命令、子系統的完成，通常用於 Match 塊中。
這個命令最初是在客戶端通過 SSH_ORIGINAL_COMMAND 環境變量來支持的。

GatewayPorts
是否允許遠程主機連接本地的轉發端口。默認值是"no"。
sshd(8) 默認將遠程端口轉發綁定到loopback地址。這樣將阻止其它遠程主機連接到轉發端口。
GatewayPorts 指令可以讓 sshd 將遠程端口轉發綁定到非loopback地址，這樣就可以允許遠程主機連接了。
"no"表示僅允許本地連接，"yes"表示強制將遠程端口轉發綁定到統配地址(wildcard address)，
"clientspecified"表示允許客戶端選擇將遠程端口轉發綁定到哪個地址。

GSSAPIAuthentication
是否允許使用基於 GSSAPI 的用戶認證。默認值爲"no"。僅用於SSH-2。

GSSAPICleanupCredentials
是否在用戶退出登錄後自動銷燬用戶憑證緩存。默認值是"yes"。僅用於SSH-2。

HostbasedAuthentication
這個指令與 RhostsRSAAuthentication 類似，但是僅可以用於SSH-2。推薦使用默認值"no"。
推薦使用默認值"no"禁止這種不安全的認證方式。

HostbasedUsesNameFromPacketOnly
在開啓 HostbasedAuthentication 的情況下，
指定服務器在使用 ~/.shosts ~/.rhosts /etc/hosts.equiv 進行遠程主機名匹配時，是否進行反向域名查詢。
"yes"表示 sshd(8) 信任客戶端提供的主機名而不進行反向查詢。默認值是"no"。

HostKey
主機私鑰文件的位置。如果權限不對，sshd(8) 可能會拒絕啓動。
SSH-1默認是 /etc/ssh/ssh_host_key 。
SSH-2默認是 /etc/ssh/ssh_host_rsa_key 和 /etc/ssh/ssh_host_dsa_key 。
一臺主機可以擁有多個不同的私鑰。"rsa1"僅用於SSH-1，"dsa"和"rsa"僅用於SSH-2。

IgnoreRhosts
是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 過程中忽略 .rhosts 和 .shosts 文件。
不過 /etc/hosts.equiv 和 /etc/shosts.equiv 仍將被使用。推薦設爲默認值"yes"。

IgnoreUserKnownHosts
是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 過程中忽略用戶的 ~/.ssh/known_hosts 文件。
默認值是"no"。爲了提高安全性，可以設爲"yes"。

KerberosAuthentication
是否要求用戶爲 PasswordAuthentication 提供的密碼必須通過 Kerberos KDC 認證，也就是是否使用Kerberos認證。
要使用Kerberos認證，服務器需要一個可以校驗 KDC identity 的 Kerberos servtab 。默認值是"no"。

KerberosGetAFSToken
如果使用了 AFS 並且該用戶有一個 Kerberos 5 TGT，那麼開啓該指令後，
將會在訪問用戶的家目錄前嘗試獲取一個 AFS token 。默認爲"no"。

KerberosOrLocalPasswd
如果 Kerberos 密碼認證失敗，那麼該密碼還將要通過其它的認證機制(比如 /etc/passwd)。
默認值爲"yes"。

KerberosTicketCleanup
是否在用戶退出登錄後自動銷燬用戶的 ticket 。默認值是"yes"。

KeyRegenerationInterval
在SSH-1協議下，短命的服務器密鑰將以此指令設置的時間爲週期(秒)，不斷重新生成。
這個機制可以儘量減小密鑰丟失或者******造成的損失。
設爲 0 表示永不重新生成，默認爲 3600(秒)。

ListenAddress
指定 sshd(8) 監聽的網絡地址，默認監聽所有地址。可以使用下面的格式：

ListenAddress host|IPv4_addr|IPv6_addr
ListenAddress host|IPv4_addr:port
ListenAddress [host|IPv6_addr]:port

如果未指定 port ，那麼將使用 Port 指令的值。
可以使用多個 ListenAddress 指令監聽多個地址。

LoginGraceTime
限制用戶必須在指定的時限內認證成功，0 表示無限制。默認值是 120 秒。

LogLevel
指定 sshd(8) 的日誌等級(詳細程度)。可用值如下：
QUIET, FATAL, ERROR, INFO(默認), VERBOSE, DEBUG, DEBUG1, DEBUG2, DEBUG3
DEBUG 與 DEBUG1 等價；DEBUG2 和 DEBUG3 則分別指定了更詳細、更羅嗦的日誌輸出。
比 DEBUG 更詳細的日誌可能會泄漏用戶的敏感信息，因此反對使用。

MACs
指定允許在SSH-2中使用哪些消息摘要算法來進行數據校驗。
可以使用逗號分隔的列表來指定允許使用多個算法。默認值(包含所有可以使用的算法)是：
hmac-md5,hmac-sha1,[email protected],hmac-ripemd160,hmac-sha1-96,hmac-md5-96

Match
引入一個條件塊。塊的結尾標誌是另一個 Match 指令或者文件結尾。
如果 Match 行上指定的條件都滿足，那麼隨後的指令將覆蓋全局配置中的指令。
Match 的值是一個或多個"條件-模式"對。可用的"條件"是：User, Group, Host, Address 。
只有下列指令可以在 Match 塊中使用：AllowTcpForwarding, Banner,
ForceCommand, GatewayPorts, GSSApiAuthentication,
KbdInteractiveAuthentication, KerberosAuthentication,
PasswordAuthentication, PermitOpen, PermitRootLogin,
RhostsRSAAuthentication, RSAAuthentication, X11DisplayOffset,
X11Forwarding, X11UseLocalHost

MaxAuthTries
指定每個連接最大允許的認證次數。默認值是 6 。
如果失敗認證的次數超過這個數值的一半，連接將被強制斷開，且會生成額外的失敗日誌消息。

MaxStartups
最大允許保持多少個未認證的連接。默認值是 10 。
到達限制後，將不再接受新連接，除非先前的連接認證成功或超出 LoginGraceTime 的限制。

PasswordAuthentication
是否允許使用基於密碼的認證。默認爲"yes"。

PermitEmptyPasswords
是否允許密碼爲空的用戶遠程登錄。默認爲"no"。

PermitOpen
指定TCP端口轉發允許的目的地，可以使用空格分隔多個轉發目標。默認允許所有轉發請求。
合法的指令格式如下：
PermitOpen host:port
PermitOpen IPv4_addr:port
PermitOpen [IPv6_addr]:port
"any"可以用於移除所有限制並允許一切轉發請求。

PermitRootLogin
是否允許 root 登錄。可用值如下：
"yes"(默認) 表示允許。"no"表示禁止。
"without-password"表示禁止使用密碼認證登錄。
"forced-commands-only"表示只有在指定了 command 選項的情況下才允許使用公鑰認證登錄。
同時其它認證方法全部被禁止。這個值常用於做遠程備份之類的事情。

PermitTunnel
是否允許 tun(4) 設備轉發。可用值如下：
"yes", "point-to-point"(layer 3), "ethernet"(layer 2), "no"(默認)。
"yes"同時蘊含着"point-to-point"和"ethernet"。

PermitUserEnvironment
指定是否允許 sshd(8) 處理 ~/.ssh/environment 以及 ~/.ssh/authorized_keys 中的 environment= 選項。
默認值是"no"。如果設爲"yes"可能會導致用戶有機會使用某些機制(比如 LD_PRELOAD)繞過訪問控制，造成安全漏洞。

PidFile
指定在哪個文件中存放SSH守護進程的進程號，默認爲 /var/run/sshd.pid 文件。

Port
指定 sshd(8) 守護進程監聽的端口號，默認爲 22 。可以使用多條指令監聽多個端口。
默認將在本機的所有網絡接口上監聽，但是可以通過 ListenAddress 指定只在某個特定的接口上監聽。

PrintLastLog
指定 sshd(8) 是否在每一次交互式登錄時打印最後一位用戶的登錄時間。默認值是"yes"。

PrintMotd
指定 sshd(8) 是否在每一次交互式登錄時打印 /etc/motd 文件的內容。默認值是"yes"。

Protocol
指定 sshd(8) 支持的SSH協議的版本號。
'1'和'2'表示僅僅支持SSH-1和SSH-2協議。"2,1"表示同時支持SSH-1和SSH-2協議。

PubkeyAuthentication
是否允許公鑰認證。僅可以用於SSH-2。默認值爲"yes"。

RhostsRSAAuthentication
是否使用強可信主機認證(通過檢查遠程主機名和關聯的用戶名進行認證)。僅用於SSH-1。
這是通過在RSA認證成功後再檢查 ~/.rhosts 或 /etc/hosts.equiv 進行認證的。
出於安全考慮，建議使用默認值"no"。

RSAAuthentication
是否允許使用純 RSA 公鑰認證。僅用於SSH-1。默認值是"yes"。

ServerKeyBits
指定臨時服務器密鑰的長度。僅用於SSH-1。默認值是 768(位)。最小值是 512 。

StrictModes
指定是否要求 sshd(8) 在接受連接請求前對用戶主目錄和相關的配置文件進行宿主和權限檢查。
強烈建議使用默認值"yes"來預防可能出現的低級錯誤。

Subsystem
配置一個外部子系統(例如，一個文件傳輸守護進程)。僅用於SSH-2協議。
值是一個子系統的名字和對應的命令行(含選項和參數)。比如"sft /bin/sftp-server"。

SyslogFacility
指定 sshd(8) 將日誌消息通過哪個日誌子系統(facility)發送。有效值是：
DAEMON, USER, AUTH(默認), LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7

TCPKeepAlive
指定系統是否向客戶端發送 TCP keepalive 消息。默認值是"yes"。
這種消息可以檢測到死連接、連接不當關閉、客戶端崩潰等異常。
可以設爲"no"關閉這個特性。

UseDNS
指定 sshd(8) 是否應該對遠程主機名進行反向解析，以檢查此主機名是否與其IP地址真實對應。默認值爲"yes"。

UseLogin
是否在交互式會話的登錄過程中使用 login(1) 。默認值是"no"。
如果開啓此指令，那麼 X11Forwarding 將會被禁止，因爲 login(1) 不知道如何處理 xauth(1) cookies 。
需要注意的是，login(1) 是禁止用於遠程執行命令的。
如果指定了 UsePrivilegeSeparation ，那麼它將在認證完成後被禁用。

UsePrivilegeSeparation
是否讓 sshd(8) 通過創建非特權子進程處理接入請求的方法來進行權限分離。默認值是"yes"。
認證成功後，將以該認證用戶的身份創建另一個子進程。
這樣做的目的是爲了防止通過有缺陷的子進程提升權限，從而使系統更加安全。

X11DisplayOffset
指定 sshd(8) X11 轉發的第一個可用的顯示區(display)數字。默認值是 10 。
這個可以用於防止 sshd 佔用了真實的 X11 服務器顯示區，從而發生混淆。

X11Forwarding
是否允許進行 X11 轉發。默認值是"no"，設爲"yes"表示允許。
如果允許X11轉發並且sshd(8)代理的顯示區被配置爲在含有通配符的地址(X11UseLocalhost)上監聽。
那麼將可能有額外的信息被泄漏。由於使用X11轉發的可能帶來的風險，此指令默認值爲"no"。
需要注意的是，禁止X11轉發並不能禁止用戶轉發X11通信，因爲用戶可以安裝他們自己的轉發器。
如果啓用了 UseLogin ，那麼X11轉發將被自動禁止。

X11UseLocalhost
sshd(8) 是否應當將X11轉發服務器綁定到本地loopback地址。默認值是"yes"。
sshd 默認將轉發服務器綁定到本地loopback地址並將 DISPLAY 環境變量的主機名部分設爲"localhost"。
這可以防止遠程主機連接到 proxy display 。不過某些老舊的X11客戶端不能在此配置下正常工作。
爲了兼容這些老舊的X11客戶端，你可以設爲"no"。

XAuthLocation
指定 xauth(1) 程序的絕對路徑。默認值是 /usr/X11R6/bin/xauth

時間格式
在 sshd(8) 命令行參數和配置文件中使用的時間值可以通過下面的格式指定：time[qualifier] 。
其中的 time 是一個正整數，而 qualifier 可以是下列單位之一：
<無> 秒
s | S 秒
m | M 分鐘
h | H 小時
d | D 天
w | W 星期

可以通過指定多個數值來累加時間，比如：
1h30m 1 小時 30 分鐘 (90 分鐘)

文件
/etc/ssh/sshd_config
sshd(8) 的主配置文件。這個文件的宿主應當是root，權限最大可以是"644"。