# 指定子配置文件路径,注意服务端sshd配置的应用顺序,取第一个获取的参数值 Include /etc/ssh/sshd_config.d/*.conf # 端口号,默认22,公网环境建议更改为其他端口 Port 2233 # 地址族,可选any(默认),inet(IPv4),inet6(IPv6) AddressFamily inet # 监听地址,可指定具体IP ListenAddress 0.0.0.0 # 日志类型,可选DAEMON, USER, AUTH(默认), LOCAL0, LOCAL1~LOCAL7 SyslogFacility AUTH # 日志级别,可选QUIET, FATAL, ERROR, INFO(默认), VERBOSE, DEBUG, DEBUG1, DEBUG2, DEBUG3 LogLevel INFO # 尝试登录的超时时间,默认单位秒,支持其他单位m(分钟),h(小时) LoginGraceTime 30 # 尝试登录的最大次数 MaxAuthTries 3 # 是否允许root登录,建议禁止 PermitRootLogin no # 是否允许空密码登录,建议禁止 PermitEmptyPasswords no # 公钥认证 PubkeyAuthentication yes # 保存公钥的文件路径,默认路径为用户家目录 AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2 # 密码认证,公网环境建议禁止,建议在添加公钥认证之后禁止密码认证 PasswordAuthentication yes # 是否允许交互登录方式,允许PAM则需要同时允许该项 ChallengeResponseAuthentication no # PAM认证,如果不使用LDAP之类的登录方式,建议禁用 UsePAM no # 是否允许TCP转发 AllowTcpForwarding yes # 是否允许远程主机连接到转发端口,即作为网关进行端口转发 GatewayPorts no # 是否允许X11图形界面转发 X11Forwarding no # 是否允许分配终端 PermitTTY yes # 登录成功后是否显示提示信息 PrintMotd no # 是否显示最后一次的登录信息 PrintLastLog yes # 是否开启TCP长连接 TCPKeepAlive yes # 是否开启压缩 Compression yes # 是否解析主机名 UseDNS no # 登录前是否显示提示信息 Banner none # 指定接收客户端的环境变量,建议禁止 AcceptEnv LANG LC_* # 是否开启sftp服务,开启sftp日志 -l INFO,日志保存在/var/log/auth.log Subsystem sftp /usr/lib/openssh/sftp-server -l INFO
服务端配置实例
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
$ cat /etc/ssh/sshd_config Include /etc/ssh/sshd_config.d/*.conf Port 2233 AddressFamily inet ListenAddress 0.0.0.0 LoginGraceTime 30 MaxAuthTries 3 PermitRootLogin no PermitEmptyPasswords no PubkeyAuthentication yes PasswordAuthentication yes ChallengeResponseAuthentication no UsePAM no X11Forwarding no PrintMotd no Compression yes UseDNS no Subsystem sftp /usr/lib/openssh/sftp-server -l INFO