江苏龙网

  1. 主页 > 生活百科 > >

十分钟学会SSH+SFTP操作终端,告别XShell( 二 )

SSHSFTP


使用-R选项,也可以在 ~/.ssh/known_hosts 文件中手动删除
ssh-keygen -R 192.168.0.17.如何配置 SSHSSH 的配置文件在 /etc/ssh/sshd_config 中,你可以看到端口号,空闲超时时间等配置项 。
cat /etc/ssh/sshd_config/etc/ssh/sshd_config 配置文件详细说明
#############1. 关于 SSH Server 的整体设定###############Port 22 ##port用来设置sshd监听的端口,为了安全起见,建议更改默认的22端口为5位以上陌生端口#Protocol 2,1Protocol 2##设置协议版本为SSH1或SSH2,SSH1存在漏洞与缺陷,选择SSH2#AddressFamily any#ListenAddress 0.0.0.0#ListenAddress用来设置sshd服务器绑定的IP地址##监听的主机适配卡,举个例子来说,如果您有两个 IP, 分别是 192.168.0.11 及 192.168.2.20 ,那么只想要###开放 192.168.0.11 时,就可以设置为:ListenAddress 192.168.0.11####表示只监听来自 192.168.0.11 这个 IP 的SSH联机 。如果不使用设定的话,则预设所有接口均接受 SSH#############2. 说明主机的 Private Key 放置的档案###########ListenAddress ::##HostKey用来设置服务器秘钥文件的路径# HostKey for protocol version 1#HostKey /etc/ssh/ssh_host_key##设置SSH version 1 使用的私钥# HostKeys for protocol version 2#HostKey /etc/ssh/ssh_host_rsa_key##设置SSH version 2 使用的 RSA 私钥#HostKey /etc/ssh/ssh_host_dsa_key##设置SSH version 2 使用的 DSA 私钥#Compression yes##设置是否可以使用压缩指令# Lifetime and size of ephemeral version 1 server key#KeyRegenerationInterval 1h##KeyRegenerationInterval用来设置多长时间后系统自动重新生成服务器的秘钥,###(如果使用密钥) 。重新生成秘钥是为了防止利用盗用的密钥解密被截获的信息 。#ServerKeyBits 768##ServerKeyBits用来定义服务器密钥的长度###指定临时服务器密钥的长度 。仅用于SSH-1 。默认值是 768(位) 。最小值是 512。# Logging# obsoletes QuietMode and FascistLogging#SyslogFacility AUTHSyslogFacility AUTHPRIV##SyslogFacility用来设定在记录来自sshd的消息的时候,是否给出“facility code”#LogLevel INFO##LogLevel用来设定sshd日志消息的级别#################3.安全认证方面的设定#############################3.1、有关安全登录的设定################ Authentication:##限制用户必须在指定的时限内认证成功,0 表示无限制 。默认值是 120 秒 。#LoginGraceTime 2m##LoginGraceTime用来设定如果用户登录失败,在切断连接前服务器需要等待的时间,单位为妙#PermitRootLogin yes##PermitRootLogin用来设置能不能直接以超级用户ssh登录,root远程登录linux很危险,建议注销或设置为no#StrictModes yes##StrictModes用来设置ssh在接收登录请求之前是否检查用户根目录和rhosts文件的权限和所有权,建议开启###建议使用默认值"yes"来预防可能出现的低级错误 。#RSAAuthentication yes##RSAAuthentication用来设置是否开启RSA密钥验证,只针对SSH1#PubkeyAuthentication yes##PubkeyAuthentication用来设置是否开启公钥验证,如果使用公钥验证的方式登录时,则设置为yes#AuthorizedKeysFile .ssh/authorized_keys##AuthorizedKeysFile用来设置公钥验证文件的路径,与PubkeyAuthentication配合使用,默认值是".ssh/authorized_keys" 。###该指令中可以使用下列根据连接时的实际情况进行展开的符号: %% 表示'%'、%h 表示用户的主目录、%u 表示该用户的用户名####经过扩展之后的值必须要么是绝对路径,要么是相对于用户主目录的相对路径 。#############3.2、安全验证的设定################ For this to work you will also need host keys in /etc/ssh/ssh_known_hosts#RhostsRSAAuthentication no##是否使用强可信主机认证(通过检查远程主机名和关联的用户名进行认证) 。仅用于SSH-1 。###这是通过在RSA认证成功后再检查 ~/.rhosts 或 /etc/hosts.equiv 进行认证的 。出于安全考虑,建议使用默认值"no" 。# similar for protocol version 2#HostbasedAuthentication no##这个指令与 RhostsRSAAuthentication 类似,但是仅可以用于SSH-2 。# Change to yes if you don't trust ~/.ssh/known_hosts for# RhostsRSAAuthentication and HostbasedAuthentication#IgnoreUserKnownHosts no##IgnoreUserKnownHosts用来设置ssh在进行RhostsRSAAuthentication安全验证时是否忽略用户的“/$HOME/.ssh/known_hosts”文件# Don't read the user's ~/.rhosts and ~/.shosts files#IgnoreRhosts yes##IgnoreRhosts用来设置验证的时候是否使用“~/.rhosts”和“~/.shosts”文件# To disable tunneled clear text passwords, change to no here!#PasswordAuthentication yes##PasswordAuthentication用来设置是否开启密码验证机制,如果用密码登录系统,则设置yes#PermitEmptyPasswords no#PermitEmptyPasswords用来设置是否允许用口令为空的账号登录系统,设置no#PasswordAuthentication yes##是否允许使用基于密码的认证 。默认为"yes" 。PasswordAuthentication yes# Change to no to disable s/key passwords##设置禁用s/key密码#ChallengeResponseAuthentication yes##ChallengeResponseAuthentication 是否允许质疑-应答(challenge-response)认证ChallengeResponseAuthentication no########3.3、与 Kerberos 有关的参数设定,指定是否允许基于Kerberos的用户认证#########Kerberos options#KerberosAuthentication no##是否要求用户为PasswdAuthentication提供的密码必须通过Kerberos KDC认证,要使用Kerberos认证,###服务器必须提供一个可以校验KDC identity的Kerberos servtab 。默认值为no#KerberosOrLocalPasswd yes##如果Kerberos密码认证失败,那么该密码还将要通过其他的的认证机制,如/etc/passwd###在启用此项后,如果无法通过Kerberos验证,则密码的正确性将由本地的机制来决定,如/etc/passwd,默认为yes#KerberosTicketCleanup yes##设置是否在用户退出登录是自动销毁用户的ticket#KerberosGetAFSToken no##如果使用AFS并且该用户有一个Kerberos 5 TGT,那么开启该指令后,###将会在访问用户的家目录前尝试获取一个AFS token,并尝试传送 AFS token 给 Server 端,默认为no####3.4、与 GSSAPI 有关的参数设定,指定是否允许基于GSSAPI的用户认证,仅适用于SSH2######GSSAPI 是一套类似 Kerberos 5 的通用网络安全系统接口 。###如果你拥有一套 GSSAPI库,就可以通过 tcp 连接直接建立 cvs 连接,由 GSSAPI 进行安全鉴别 。# GSSAPI options#GSSAPIAuthentication no##GSSAPIAuthentication 指定是否允许基于GSSAPI的用户认证,默认为noGSSAPIAuthentication yes#GSSAPICleanupCredentials yes##GSSAPICleanupCredentials 设置是否在用户退出登录是自动销毁用户的凭证缓存GSSAPICleanupCredentials yes# Set this to 'yes' to enable PAM authentication, account processing,# and session processing. If this is enabled, PAM authentication will# be allowed through the ChallengeResponseAuthentication mechanism.# Depending on your PAM configuration, this may bypass the setting of# PasswordAuthentication, PermitEmptyPasswords, and# "PermitRootLogin without-password". If you just want the PAM account and# session checks to run without PAM authentication, then enable this but set# ChallengeResponseAuthentication=no#UsePAM no##设置是否通过PAM验证UsePAM yes# Accept locale-related environment variables##AcceptEnv 指定客户端发送的哪些环境变量将会被传递到会话环境中 。###[注意]只有SSH-2协议支持环境变量的传递 。指令的值是空格分隔的变量名列表(其中可以使用'*'和'?'作为通配符) 。####也可以使用多个 AcceptEnv 达到同样的目的 。需要注意的是,有些环境变量可能会被用于绕过禁止用户使用的环境变量 。#####由于这个原因,该指令应当小心使用 。默认是不传递任何环境变量 。AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGESAcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENTAcceptEnv LC_IDENTIFICATION LC_ALLAllowTcpForwarding yes##AllowTcpForwarding设置是否允许允许tcp端口转发,保护其他的tcp连接#GatewayPorts no##GatewayPorts 设置是否允许远程客户端使用本地主机的端口转发功能,出于安全考虑,建议禁止#############3.5、X-Window下使用的相关设定################X11Forwarding no##X11Forwarding 用来设置是否允许X11转发X11Forwarding yes#X11DisplayOffset 10##指定X11 转发的第一个可用的显示区(display)数字 。默认值是 10。###可以用于防止 sshd 占用了真实的 X11 服务器显示区,从而发生混淆 。X11DisplayOffset 10#X11UseLocalhost yes#################3.6、登入后的相关设定##################PrintMotd yes##PrintMotd用来设置sshd是否在用户登录时显示“/etc/motd”中的信息,可以选在在“/etc/motd”中加入警告的信息#PrintLastLog yes#PrintLastLog 是否显示上次登录信息#TCPKeepAlive yes##TCPKeepAlive 是否持续连接,设置yes可以防止死连接###一般而言,如果设定这项目的话,那么 SSH Server 会传送 KeepAlive 的讯息给 Client 端,以确保两者的联机正常!####这种消息可以检测到死连接、连接不当关闭、客户端崩溃等异常 。在这个情况下,任何一端死掉后, SSH 可以立刻知道,而不会有僵尸程序的发生!#UseLogin no##UseLogin 设置是否在交互式会话的登录过程中使用 。默认值是"no" 。###如果开启此指令,那么X11Forwarding 将会被禁止,因为login不知道如何处理 xauth cookies。####需要注意的是,在SSH底下本来就不接受 login 这个程序的登入,如果指UsePrivilegeSeparation ,那么它将在认证完成后被禁用 。UserLogin no#UsePrivilegeSeparation yes##UsePrivilegeSeparation 设置使用者的权限#PermitUserEnvironment no#Compression delayed#ClientAliveInterval 0#ClientAliveCountMax 3#ShowPatchLevel no#UseDNS yes##UseDNS是否使用dns反向解析#PidFile /var/run/sshd.pid#MaxStartups 10##MaxStartups 设置同时允许几个尚未登入的联机,当用户连上ssh但并未输入密码即为所谓的联机,###在这个联机中,为了保护主机,所以需要设置最大值,预设为10个,而已经建立联机的不计算入内,####所以一般5个即可,这个设置可以防止恶意对服务器进行连接#MaxAuthTries 6##MaxAuthTries 用来设置最大失败尝试登陆次数为6,合理设置辞职,可以防止攻击者穷举登录服务器#PermitTunnel no############3.7、开放禁止用户设定#############AllowUsers<用户名1> <用户名2> <用户名3> ...##指定允许通过远程访问的用户,多个用户以空格隔开#AllowGroups<组名1> <组名2> <组名3> ...##指定允许通过远程访问的组,多个组以空格隔开 。当多个用户需要通过ssh登录系统时,可将所有用户加入一个组中 。#DenyUsers<用户名1> <用户名2> <用户名3> ...##指定禁止通过远程访问的用户,多个用户以空格隔开#DenyGroups<组名1> <组名2> <组名3> ...##指定禁止通过远程访问的组,多个组以空格隔开 。# no default banner path#Banner /some/path# override default of no subsystemsSubsystem sftp /usr/libexec/openssh/sftp-serverClientAliveInterval 3600ClientAliveCountMax 0


推荐阅读


上一篇:冷胶墙布和热胶墙布的区别 冷胶和热胶墙布哪种好

下一篇:SQL临时表的用法