Linux服務-openssh

目錄

• 1. 使用 SSH 訪問遠程命令行
  • 1.1 OpenSSH 簡介
  • 1.2 SSH 版本
  • 1.3 SSH 認證方式
  • 1.4 openSSH 的工做模式
  • 1.5 Secure Shell 示例
  • 1.5 SSH 主機密鑰
• 2. 配置基於 SSH 密鑰的身份驗證
  • 2.1 scp命令
• 3. 自定義 SSH 服務配置
• 4. SSH 安全注意事項
  • 4.1 sshd_config配置詳解

Linux服務-openssh

1. 使用 SSH 訪問遠程命令行

1.1 OpenSSH 簡介

OpenSSH這一術語指系統中使用的Secure Shell軟件的軟件實施。用於在遠程系統上安全運行shell。若是您在可提供ssh服務的遠程Linux系統中擁有用戶賬戶，則ssh是一般用來遠程登陸到該系統的命令。ssh命令也可用於在遠程系統中運行命令。

常見的遠程登陸工具備：

• telnet
• ssh
• dropbear

telnet      //遠程登陸協議，23/TCP
           //通常用於測試端口或者接口是否開啓
    認證實文
    數據傳輸明文

ssh         //Secure SHell，應用層協議，22/TCP
    通訊過程及認證過程是加密的，主機認證
    用戶認證過程加密
    數據傳輸過程加密
    
dropbear    //嵌入式系統專用的SSH服務器端和客戶端工具，通常應用於手機上

1.2 SSH 版本

openssh有兩個版本，分別爲v1和v2，其特色以下：

v1：基於CRC-32作MAC，沒法防範中間人攻擊

v2：雙方主機協議選擇安全的MAC方式。基於DH算法作密鑰交換，基於RSA或DSA算法實現身份認證

關於密鑰交換
協商生成密碼的過程叫作密鑰交換（Internet Key Exchange，IKE）

使用的是DH協議（Diffie-Hellman）：

A(主機) --> B（主機）

    p,g（大素數，生成數），在網絡中傳輸的，公開的

    A：本身取一個隨機數x

    B：本身取一個隨機數y

    A：g^x%p --> B

    B：g^y%p --> A

    A：(g^y%p)^x=g^yx%p

    B：(g^x%p)^y=g^xy%p

這最後得出的g^xy%p就是最終的密鑰

1.3 SSH 認證方式

openssh有兩種認證方式，分別是：

• 基於口令認證（即密碼認證）
• 基於密鑰認證（非對稱加密。有一對密鑰，公鑰（P）和私鑰（S））

1.4 openSSH 的工做模式

openSSH是基於C/S架構工做的

服務器端    //sshd，配置文件在/etc/ssh/sshd_config
[root@CTL .ssh]# vim /etc/ssh/sshd_config 

#       $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
.
.
.
# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       PermitTTY no
#       ForceCommand cvs server

客戶端
//ssh，配置文件在/etc/ssh/ssh_config
    ssh-keygen      //密鑰生成器
    ssh-copy-id     //將公鑰傳輸至遠程服務器
    scp             //跨主機安全複製工具
       $OpenBSD: ssh_config,v 1.30 2016/02/20 23:06:23 sobrado Exp $

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

# Host *
#   ForwardAgent no
#   ForwardX11 no
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
.
.
.
# Send locale-related environment variables
        SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
        SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
        SendEnv LC_IDENTIFICATION LC_ALL LANGUAGE
        SendEnv XMODIFIERS

1.5 Secure Shell 示例

//以當前用戶身份建立遠程交互式shell，而後在結束時使用exit命令返回到以前的shell

[root@CTL .ssh]# ssh 192.168.112.131
The authenticity of host '192.168.112.131 (192.168.112.131)' can't be established.
//生成了一個算法是SHA256得公鑰
ECDSA key fingerprint is SHA256:dyCibeKTgTQDtKrGgYAKVnGsLcR/Necufp4Jvnx0cTc.
ECDSA key fingerprint is MD5:bb:a6:d4:16:be:40:d1:d9:ef:6b:89:c9:22:bb:bd:b0.
//問你是否信任所鏈接得主機，不信任則不鏈接
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.112.131' (ECDSA) to the list of known hosts.
root@192.168.112.131's password: 
Last login: Mon Apr  1 14:24:13 2019 from 192.168.112.14
//此時從用戶名得知已經登錄到另外一臺主機
[root@GUI ~]#

//以其餘用戶身份（remoteuser）在選定主機（remotehost）上鍊接到遠程`shell`

[root@CTL .ssh]# ssh root@192.168.112.131
root@192.168.112.131's password: 
Last login: Mon Apr  1 14:24:54 2019 from 192.168.112.14
[root@GUI ~]#

//以遠程用戶身份（remoteuser）在遠程主機（remotehost）上經過將輸出返回到本地顯示器的方式來執行單一命令

//首先登錄一臺主機查看本身IP
[root@GUI .ssh]# ip a s ens33
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:8e:77:9b brd ff:ff:ff:ff:ff:ff
    inet 192.168.112.131/24 brd 192.168.112.255 scope global dynamic ens33
       valid_lft 1191sec preferred_lft 1191sec
    inet6 fe80::bc68:f1a3:4a1f:87fb/64 scope link 
       valid_lft forever preferred_lft forever
//在用另外一臺主機經過ssh來遠程執行命令
[root@CTL .ssh]# ssh root@192.168.112.131 '/usr/sbin/ip a s ens33'
root@192.168.112.131's password: 
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:8e:77:9b brd ff:ff:ff:ff:ff:ff
    inet 192.168.112.131/24 brd 192.168.112.255 scope global dynamic ens33
       valid_lft 1783sec preferred_lft 1783sec
    inet6 fe80::bc68:f1a3:4a1f:87fb/64 scope link 
       valid_lft forever preferred_lft forever
[root@CTL .ssh]#

//w命令能夠顯示當前登陸到計算機的用戶列表。這對於顯示哪些用戶使用ssh從哪些遠程位置進行了登陸以及執行了何種操做等內容特別有用
[root@CTL .ssh]# ssh 192.168.112.131
root@192.168.112.131's password: 
Last login: Mon Apr  1 14:30:57 2019 from 192.168.112.14
//在切換到GUI主機使用w命令查看  能夠看到192.168.112.14用戶在登錄中
[root@GUI .ssh]# w
 14:40:59 up  4:37,  2 users,  load average: 0.00, 0.02, 0.05
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    192.168.112.1    10:03    3.00s  0.17s  0.01s w
root     pts/1    192.168.112.14   14:40    2.00s  0.03s  0.03s -bash

1.5 SSH 主機密鑰

ssh經過公鑰加密的方式保持通訊安全。當某一ssh客戶端鏈接到ssh服務器時，在該客戶端登陸以前，服務器會向其發送公鑰副本。這可用於爲通訊渠道設置安全加密，並可驗證客戶端的服務器。

當用戶第一次使用ssh鏈接到特定服務器時，ssh命令可在用戶的~/.ssh/known_hosts文件中存儲該服務器的公鑰。在此以後每當用戶進行鏈接時，客戶端都會經過對比~/.ssh/known_hosts文件中的服務器條目和服務器發送的公鑰，確保從服務器得到相同的公鑰。若是公鑰不匹配，客戶端會假定網絡通訊已遭劫持或服務器已被入侵，而且中斷鏈接。

這意味着，若是服務器的公鑰發生更改（因爲硬盤出現故障致使公鑰丟失，或者出於某些正當理由替換公鑰），用戶則須要更新其~/.ssh/known_hosts文件並刪除舊的條目纔可以進行登陸。

//主機ID存儲在本地客戶端系統上的 ~/.ssh/known_hosts 中(家目錄中的隱藏目錄.ssh)
[root@CTL ~]# cat /root/.ssh/known_hosts 
192.168.112.131 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJvfkdzYN1ayz0bbvSc5be4/rddT4r2q/DfLo6VtruJgNNsexqi5GzSJ7AGB1kECRSw4/eg1Z11x05bGjRJfL+8=

//主機密鑰存儲在SSH服務器上的 /etc/ssh/ssh_host_key* 中（也就是不手動生成密鑰的狀況下會自動使用這裏的密鑰）
[root@CTL ~]# ls /etc/ssh/*key*
/etc/ssh/ssh_host_ecdsa_key  /etc/ssh/ssh_host_ecdsa_key.pub  /etc/ssh/ssh_host_ed25519_key  /etc/ssh/ssh_host_ed25519_key.pub  /etc/ssh/ssh_host_rsa_key  /etc/ssh/ssh_host_rsa_key.pub

2. 配置基於 SSH 密鑰的身份驗證

用戶可經過使用公鑰身份驗證進行ssh登陸身份驗證。ssh容許用戶使用私鑰-公鑰方案進行身份驗證。這意味着將生成私鑰和公鑰這兩個密鑰。私鑰文件用做身份驗證憑據，像密碼同樣，必須妥善保管。公鑰複製到用戶但願登陸的系統，用於驗證私鑰。公鑰並不須要保密。擁有公鑰的ssh服務器能夠發佈僅持有您私鑰的系統纔可解答的問題。所以，能夠根據所持有的密鑰進行驗證。如此一來，就沒必要在每次訪問系統時鍵入密碼，但安全性仍能獲得保證。

使用ssh-keygen命令生成密碼。將會生成私鑰~/.ssh/id_rsa和公鑰~/.ssh/id_rsa.pub。

//使用ssh-keygen生成密鑰時首先會詢問你密鑰文件存放的位置，默認是在/root/.ssh/id_rsa和id_rsa.pub
[root@CTL ~]# ssh-keygen 
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 

//接着會詢問你是否爲你的私鑰配置密碼
Enter passphrase (empty for no passphrase): 

//最後會提示你密鑰建立成功，私鑰存放在id_rsa,公鑰放在id_rsa.pub
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:XFV5J+RPAuuHQZBipB8yUyQ22/QAOWT+z2Tsi+cJcpw root@CTL
The key's randomart image is:
//RSA算法密鑰通常爲2048位
+---[RSA 2048]----+
|     .B=* .o+oo. |
|     +oOoo.o +o o|
|      Boo.o o ooo|
|       B + . o + |
|        S + o . .|
|       . B   .   |
|      . E +      |
|       o o.o     |
|        .o+      |
+----[SHA256]-----+

注意：

生成密鑰時，系統將提供指定密碼的選項，在訪問私鑰時必須提供該密碼。若是私鑰被偷，除頒發者以外的其餘任何人很難使用該私鑰，由於已使用密碼對其進行保護。這樣，在攻擊者破解並使用私鑰前，會有足夠的時間生成新的密鑰對並刪除全部涉及舊密鑰的內容。

關於權限
生成ssh密鑰後，密鑰將默認存儲在家目錄下的.ssh/目錄中。私鑰和公鑰的權限就分別爲600和644。.ssh目錄權限必須是700。

[root@CTL ~]# ll .ssh/
總用量 12
-rw-------. 1 root root 1679 4月   1 15:27 id_rsa
-rw-r--r--. 1 root root  390 4月   1 15:27 id_rsa.pub
-rw-r--r--. 1 root root  177 4月   1 14:24 known_hosts
[root@CTL ~]# ll .ssh/ -d
drwx------. 2 root root 57 4月   1 14:24 .ssh/
//注意使用ssh-copy-id命令傳輸密鑰時
會在接受端生成一個authorized_keys文件，這個文件的權限必須是600

在可使用基於密鑰的身份驗證前，須要將公鑰複製到目標系統上。可使用ssh-copy-id完成這一操做

經過ssh-copy-id將密鑰複製到另外一系統時，它默認複製~/.ssh/id_rsa.pub文件，若是想要指定複製的文件要使用-i選項

//ssh-copy-id的使用演示
[root@CTL ~]# ssh-copy-id 192.168.112.131
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.112.131's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '192.168.112.131'"
and check to make sure that only the key(s) you wanted were added.

//在GUI主機上查看
[root@GUI .ssh]# ls
authorized_keys  known_hosts
[root@GUI .ssh]# cat authorized_keys 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDX0r6w9kxBLQuvwuAzD7EyMCk/Lhwbh9vc61TkY25VboubUlXEsnc9hXkWgnHSsdXhO5wYCqWMfLUS7Xzb/L7VeRbu9QD0nlsVCRKSM0SavQ6jqFCkD3K/jemLjXmwQTE+DCGG3TAgaisq2wDUUpwQi5vU5d8Gmjv2PfLkuw2UVO3GGs95Wq9nRY7Jr/TmJ86+CGfZBAJMRmJvzwwQd5eeD4XgOOGN8Bjjfeq2rLBucEOCsjf4T++WOAj3RxnAKCMt+g2BE9ssVTbkab+SwhNLxB14gWjkcL0T4BfHQtk6j7H8V3Wr6348OF+48jFqdzyVLH5mitv2nTzJFZ+ZDlez root@CTL

使用ssh-copy-id傳輸密鑰後在用ssh登錄不須要輸入密碼

[root@CTL ~]# ssh 192.168.112.131
Last login: Mon Apr  1 14:40:57 2019 from 192.168.112.14
[root@GUI ~]#

2.1 scp命令

scp是secure copy的簡寫，用於在Linux下進行遠程拷貝文件的命令，和它相似的命令有cp，不過cp只是在本機進行拷貝不能跨服務器，並且scp傳輸是加密的。可能會稍微影響一下速度。當你服務器硬盤變爲只讀 read only system時，用scp能夠幫你把文件移出來。另外，scp還很是不佔資源，不會提升多少系統負荷，在這一點上，rsync就遠遠不及它了。雖然 rsync比scp會快一點，但當小文件衆多的狀況下，rsync會致使硬盤I/O很是高，而scp基本不影響系統正常使用。

//scp命令經常使用選項
    -r      //遞歸複製
    -p      //保持權限
    -P      //端口
    -q      //靜默模式
    -a      //所有複製

//使用 scp 命令傳送文件到遠程主機
[root@CTL ~]# scp -r ./aaa/ 192.168.112.131:/root
111                                                                                                                                                          100%    0     0.0KB/s   00:00    
[root@GUI ~]# ls
aaa  anaconda-ks.cfg  initial-setup-ks.cfg 
//使用 scp 命令從遠程主機上下載文件到本地

[root@CTL ~]# scp -r 192.168.112.131:/root/bbb/ .
222                                                                                                                                                          100%    0     0.0KB/s   00:00    
[root@CTL ~]# ls
aaa  anaconda-ks.cfg  bbb
[root@CTL ~]# ls bbb/
222

3. 自定義 SSH 服務配置

雖然OpenSSH服務器一般無需修改，但會提供其餘安全措施，能夠在配置文件/etc/ssh/sshd_config中修改OpenSSH服務器的各個方面。

注意

/etc/ssh/sshd_config是服務端的配置文件

/etc/ssh/ssh_config可客戶端的配置文件

PermitRootLogin {yes|no}    //是否容許root用戶遠程登陸系統
PermitRootLogin without-password    //僅容許root用戶基於密鑰方式遠程登陸
PasswordAuthentication {yes|no}     //是否啓用密碼身份驗證，默認開啓

4. SSH 安全注意事項

1. 密碼應該常常換且足夠複雜

[root@localhost ~]# openssl rand 20 -base64
Di9ry+dyV40xVvBHirsc3XpBOzg=    //生成20位隨機密碼

1. 使用非默認端口

注意：ssh服務默認端口爲22，容易被別人掃描端口進行攻擊，因此通常不使用默認端口

1. 限制登陸客戶端地址
2. 僅監聽特定的IP地址
3. 禁止管理員直接登陸
4. 僅容許有限制用戶登陸：AllowUsers，AllowGroups
5. 使用基於密鑰的認證
6. 禁止使用空密碼
7. 禁止使用SSHv1版本
8. 設定空閒會話超時時長
9. 利用防火牆設置ssh訪問策略
10. 限制ssh的訪問頻度和併發在線數
11. 作好日誌的備份，常常分析（集中於某臺服務器）

4.1 sshd_config配置詳解

Port 22　　　　　　　　　　# SSH 預設使用 22 這個 port，您也可使用多的 port ！
　　　　　　　　　　　　　 # 亦即重複使用 port 這個設定項目便可！
Protocol 2,1　　　　　　　 # 選擇的 SSH 協議版本，能夠是 1 也能夠是 2 ，
　　　　　　　　　　　　　 # 若是要同時支持二者，就必需要使用 2,1 這個分隔了！
#ListenAddress 0.0.0.0　　 # 監聽的主機適配卡！舉個例子來講，若是您有兩個 IP，
　　　　　　　　　　　　　 # 分別是 192.168.0.100 及 192.168.2.20 ，那麼只想要
　　　　　　　　　　　　　 # 開放 192.168.0.100 時，就能夠寫如同下面的樣式：
ListenAddress 192.168.0.100          # 只監聽來自 192.168.0.100 這個 IP 的SSH聯機。
　　　　　　　　　　　　　　　　　　 # 若是不使用設定的話，則預設全部接口均接受 SSH
PidFile /var/run/sshd.pid　　　　　　# 能夠放置 SSHD 這個 PID 的檔案！左列爲默認值
LoginGraceTime 600　　　　 # 當使用者連上 SSH server 以後，會出現輸入密碼的畫面，
　　　　　　　　　　　　　 # 在該畫面中，在多久時間內沒有成功連上 SSH server ，
　　　　　　　　　　　　　 # 就斷線！時間爲秒！
Compression yes　　　　　　# 是否可使用壓縮指令？固然能夠囉！
　
# 2. 說明主機的 Private Key 放置的檔案，預設使用下面的檔案便可！
HostKey /etc/ssh/ssh_host_key　　　　# SSH version 1 使用的私鑰
HostKey /etc/ssh/ssh_host_rsa_key　　# SSH version 2 使用的 RSA 私鑰
HostKey /etc/ssh/ssh_host_dsa_key　　# SSH version 2 使用的 DSA 私鑰
# 2.1 關於 version 1 的一些設定！
KeyRegenerationInterval 3600　 　　　# 由前面聯機的說明能夠知道， version 1 會使用 
　　　　　　　　　　　　　　　　　　 # server 的 Public Key ，那麼若是這個 Public 
　　　　　　　　　　　　　　　　　　 # Key 被偷的話，豈不完蛋？因此須要每隔一段時間
　　　　　　　　　　　　　　　　　　 # 來從新創建一次！這裏的時間爲秒！
ServerKeyBits 768 　　　　　　　　　 # 沒錯！這個就是 Server key 的長度！
# 3. 關於登陸文件的訊息數據放置與 daemon 的名稱！
SyslogFacility AUTH　　　　　　　　　# 當有人使用 SSH 登入系統的時候，SSH會記錄資
　　　　　　　　　　　　　　　　　　 # 訊，這個信息要記錄在什麼 daemon name 底下？
　　　　　　　　　　　　　　　　　　 # 預設是以 AUTH 來設定的，便是 /var/log/secure　　　　　　　　　　　　　
　　　　　　　　　　　　　　　　　　 # 其它可用的 daemon name 爲：DAEMON,USER,AUTH,
　　　　　　　　　　　　　　　　　　 # LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5,
LogLevel INFO　　　　　　　　　　　　# 登陸記錄的等級！嘿嘿！任何訊息！
　　　　　　　　　　　　　　　　　　
# 4. 安全設定項目！極重要！
# 4.1 登入設定部分
PermitRootLogin no　　 　　# 是否容許 root 登入！預設是容許的，可是建議設定成 no！
UserLogin no　　　　　　　 # 在 SSH 底下原本就不接受 login 這個程序的登入！
StrictModes yes　　　　　　# 當使用者的 host key 改變以後，Server 就不接受聯機，
　　　　　　　　　　　　　 # 能夠抵擋部分的木馬程序！
#RSAAuthentication yes　　 # 是否使用純的 RSA 認證！？僅針對 version 1 ！
PubkeyAuthentication yes　 # 是否容許 Public Key ？固然容許啦！只有 version 2能夠容許
AuthorizedKeysFile      .ssh/authorized_keys
　　　　　　　　　　　　　 # 上面這個在設定若要使用不須要密碼登入的帳號時，那麼那個
　　　　　　　　　　　　　 # 帳號的存放檔案所在檔名！
# 4.2 認證部分
RhostsAuthentication no　　# 本機系統不止使用 .rhosts ，由於僅使用 .rhosts 太
　　　　　　　　　　　　　 # 不安全了，因此這裏必定要設定爲 no ！
IgnoreRhosts yes　　　　　 # 是否取消使用 ~/.ssh/.rhosts 來作爲認證！固然是！
RhostsRSAAuthentication no # 這個選項是專門給 version 1 用的，使用 rhosts 檔案在
　　　　　　　　　　　　　 # /etc/hosts.equiv配合 RSA 演算方式來進行認證！不要使用
HostbasedAuthentication no # 這個項目與上面的項目相似，不過是給 version 2 使用的！
IgnoreUserKnownHosts no　　# 是否忽略家目錄內的 ~/.ssh/known_hosts 這個檔案所記錄
　　　　　　　　　　　　　 # 的主機內容？固然不要忽略，因此這裏就是 no 啦！
PasswordAuthentication yes # 密碼驗證固然是須要的！因此這裏寫 yes 囉！
PermitEmptyPasswords no　　# 若上面那一項若是設定爲 yes 的話，這一項就最好設定
　　　　　　　　　　　　　 # 爲 no ，這個項目在是否容許以空的密碼登入！固然不準！
ChallengeResponseAuthentication yes  # 挑戰任何的密碼認證！因此，任何 login.conf 
　　　　　　　　　　　　　　　　　　 # 規定的認證方式，都可適用！
#PAMAuthenticationViaKbdInt yes      # 是否啓用其它的 PAM 模塊！啓用這個模塊將會
　　　　　　　　　　　　　　　　　　 # 致使 PasswordAuthentication 設定失效！
　
# 4.3 與 Kerberos 有關的參數設定！由於咱們沒有 Kerberos 主機，因此底下不用設定！
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosTgtPassing no
　
# 4.4 底下是有關在 X-Window 底下使用的相關設定！
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
# 4.5 登入後的項目：
PrintMotd no              # 登入後是否顯示出一些信息呢？例如上次登入的時間、地點等
　　　　　　　　　　　　　# 等，預設是 yes ，可是，若是爲了安全，能夠考慮改成 no ！
PrintLastLog yes　　　　　# 顯示上次登入的信息！能夠啊！預設也是 yes ！
KeepAlive yes　　　　　　 # 通常而言，若是設定這項目的話，那麼 SSH Server 會傳送
　　　　　　　　　　　　　# KeepAlive 的訊息給 Client 端，以確保二者的聯機正常！
　　　　　　　　　　　　　# 在這個狀況下，任何一端死掉後， SSH 能夠馬上知道！而不會
　　　　　　　　　　　　　# 有殭屍程序的發生！
UsePrivilegeSeparation yes # 使用者的權限設定項目！就設定爲 yes 吧！
MaxStartups 10　　　　　　# 同時容許幾個還沒有登入的聯機畫面？當咱們連上 SSH ，
　　　　　　　　　　　　　# 可是還沒有輸入密碼時，這個時候就是咱們所謂的聯機畫面啦！
　　　　　　　　　　　　　# 在這個聯機畫面中，爲了保護主機，因此須要設定最大值，
　　　　　　　　　　　　　# 預設最多十個聯機畫面，而已經創建聯機的不計算在這十個當中
# 4.6 關於使用者抵擋的設定項目：
DenyUsers *　　　　　　　 # 設定受抵擋的使用者名稱，若是是所有的使用者，那就是所有
　　　　　　　　　　　　　# 擋吧！如果部分使用者，能夠將該帳號填入！例以下列！
DenyUsers test
DenyGroups test　　　　　 # 與 DenyUsers 相同！僅抵擋幾個羣組而已！
# 5. 關於 SFTP 服務的設定項目！
Subsystem       sftp    /usr/lib/ssh/sftp-server

基本上，在系統中，==除非有必要，不然請不要更改 /etc/ssh/sshd_config 這個檔案的設定值==！！須要注意的是最後一項，若是不肯意開放 SFTP 的話，將最後一行批註掉便可！

若是修改過上面這個檔案(/etc/ssh/sshd_config)，那麼就必須要從新啓動一次服務或主機