配置文件~/.ssh/config和/etc/ssh/ssh_config

時間 2021-08-15

標籤算法 shell 安全服務器 ssh ide 加密 spa 命令行欄目 Unix 简体版

原文原文鏈接

通常不須要修改OpenSSH客戶端配置文件。對於給定用戶，共有兩個配置文件：~/.ssh/config（用戶專用）和/etc/ssh/ssh_config（全局共享）。要按照該順序讀取這些文件，對於給定的某個參數，它使用的是讀取過程當中發現的第一個配置。用戶能夠經過如下方式將全局參數設置覆蓋掉：在本身的用戶配置文件中設置一樣的參數便可。在ssh或scp命令行上給出的參數的優先級要高於這兩個文件中所設置的參數的優先級。算法

用戶的~/.ssh/config文件必須由該用戶全部（他是目錄"~/"的全部者），而且除了全部者以外任何人都不能寫入該文件。不然客戶端就會給出一條錯誤消息而後退出。這個文件的模式一般被設爲600，這是由於除了它的全部者以外任何人沒有理由可以讀取它。shell

這些配置文件中的配置行包含着聲明，這些聲明均以某個關鍵字（不區分大小寫）開頭，後面跟着空格，最後是參數（區分大小寫）。可使用關鍵字Host，讓聲明只做用於特定的系統。Host聲明做用於它與下一條Host聲明之間的全部配置行。安全

CheckHostIP yes \| no服務器
	若是將其設置爲yes（默認值），那麼除了用known_hostsssh 文件中的主機名以外，還能夠採用IP地址來識別遠程系統。ide 若設置爲no，則只使用主機名。將CheckHostIP設置爲yes加密能夠提升系統的安全性。spa
ForwardX11 yes \| no命令行
	若是設置爲yes，那麼自動經過一條安全通道以不可信模式ci 來轉發X11鏈接，可是並不設置shell變量DISPLAY。若是ForwardX11Trusted也設置爲yes,那麼鏈接以可信模式轉發。此外，能夠在命令行上使用選項-X以不可信模式重定向X11鏈接。這個參數的默認值是no。要想讓X11轉發起做用，還必須將服務器上的/etc/sshd_config文件中的X11Forwarding設置爲yes（參見8.4.6節）。更多信息請參見8.6節的「X11轉發」部分。
ForwardX11Trusted yes \| no
	與ForwardX11一塊使用時，ForwardX11必須設置爲yes（默認），這個聲明才能起做用。當這個聲明設置爲yes（默認），而 ForwardX11也設置爲yes時，這個聲明將設置shell變量DISPLAY，並給予遠程X11客戶端對原來的（服務器）X11顯示的徹底訪問權限。此外，能夠在命令行上使用選項-Y以可信模式重定向X11鏈接。這個聲明的默認值是no。要想讓X11轉發起做用，還必須將服務器上的/etc/sshd_config文件中的X11Forwarding設置爲yes（參見8.4.6節）。更多信息請參見8.6節的「X11轉發」部分。
HashKnownHosts
	當設置爲yes時， OpenSSH會將文件~/.ssh/known_hosts中的主機名和地址進行散列。當設置爲no時，主機名與地址將以明文形式寫入。Ubuntu Linux將這份聲明設置爲yes來提升系統的安全性。關於known_hosts文件的更多信息請參見8.3.3節第2小節。
Host hostnames
	指定它後面的（直到下一個主機聲明爲止）聲明只適用於與 hostnames相匹配的主機。Hostnames能夠包含?與通配符。單個的指定全部主機。若是沒有這個關鍵字，任何聲明都適用於全部主機。
HostbasedAuthentication yes \| no
	當設置爲yes時，嘗試進行rhosts身份驗證。對於安全性要求較高的系統，設置爲no（默認）。
HostKeyAlgorithms algorithms
	其中algorithms是一個由逗號隔開的算法列表，客戶端按照優先級順序依次使用這些算法。從ssh-rsa或ssh-dss中選擇algorithms （默認值爲「ssh-rsa, ssh-dss」）。
Port num	使OpenSSH經過num端口與遠程系統鏈接。默認值爲22。
StrictHostKeyChecking yes \| no \| ask
	決定OpenSSH是否將主機密鑰添加到用戶的known_hosts文件中以及如何添加。若是將該選項設置爲ask，那麼在鏈接新系統時會詢問是否添加主機密鑰；若是設置爲no，就會自動添加主機密鑰；若是設置爲yes，就要求手工添加主機密鑰。若將參數設置yes或ask，則當某系統的主機密鑰發生改變以後， OpenSSH會拒絕鏈接到該系統。對於安全性要求較高的系統，請將此參數設置爲yes或ask。默認爲ask。
TCPKeepAlive yes \| no
	若是設置爲yes（默認值），就按期檢查鏈接是否存活。若是服務器崩潰或者因爲其餘緣由致使鏈接死掉，那麼這種檢查將會致使ssh或scp鏈接中斷，即使鏈接只是暫時死掉。若將這個參數設置爲no，則會致使客戶端不去檢查鏈接是否存活。這項聲明用到了TCP keepalive選項，它未經加密，而且容易受到 IP欺騙（參見術語表）。若是但願採用可以防止IP欺騙的替代品，那麼能夠採用基於服務器的相關技術，請參見8.4.6節中的「ClientAliveInterval」。
User name
	指定登陸系統時所用的用戶名。可用Host聲明來指定系統。該選項意味着，在遠程系統上登陸時，若是使用的用戶名不一樣於在本地系統上登陸所用的用戶名，那麼沒必要在命令行上輸入用戶名。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。

CheckHostIP yes \| no服務器
	若是將其設置爲yes（默認值），那麼除了用known_hostsssh 文件中的主機名以外，還能夠採用IP地址來識別遠程系統。ide 若設置爲no，則只使用主機名。將CheckHostIP設置爲yes加密能夠提升系統的安全性。spa
ForwardX11 yes \| no命令行
	若是設置爲yes，那麼自動經過一條安全通道以不可信模式ci 來轉發X11鏈接，可是並不設置shell變量DISPLAY。若是ForwardX11Trusted也設置爲yes,那麼鏈接以可信模式轉發。此外，能夠在命令行上使用選項-X以不可信模式重定向X11鏈接。這個參數的默認值是no。要想讓X11轉發起做用，還必須將服務器上的/etc/sshd_config文件中的X11Forwarding設置爲yes（參見8.4.6節）。更多信息請參見8.6節的「X11轉發」部分。
ForwardX11Trusted yes \| no
	與ForwardX11一塊使用時，ForwardX11必須設置爲yes（默認），這個聲明才能起做用。當這個聲明設置爲yes（默認），而 ForwardX11也設置爲yes時，這個聲明將設置shell變量DISPLAY，並給予遠程X11客戶端對原來的（服務器）X11顯示的徹底訪問權限。此外，能夠在命令行上使用選項-Y以可信模式重定向X11鏈接。這個聲明的默認值是no。要想讓X11轉發起做用，還必須將服務器上的/etc/sshd_config文件中的X11Forwarding設置爲yes（參見8.4.6節）。更多信息請參見8.6節的「X11轉發」部分。
HashKnownHosts
	當設置爲yes時， OpenSSH會將文件~/.ssh/known_hosts中的主機名和地址進行散列。當設置爲no時，主機名與地址將以明文形式寫入。Ubuntu Linux將這份聲明設置爲yes來提升系統的安全性。關於known_hosts文件的更多信息請參見8.3.3節第2小節。
Host hostnames
	指定它後面的（直到下一個主機聲明爲止）聲明只適用於與 hostnames相匹配的主機。Hostnames能夠包含?與通配符。單個的指定全部主機。若是沒有這個關鍵字，任何聲明都適用於全部主機。
HostbasedAuthentication yes \| no
	當設置爲yes時，嘗試進行rhosts身份驗證。對於安全性要求較高的系統，設置爲no（默認）。
HostKeyAlgorithms algorithms
	其中algorithms是一個由逗號隔開的算法列表，客戶端按照優先級順序依次使用這些算法。從ssh-rsa或ssh-dss中選擇algorithms （默認值爲「ssh-rsa, ssh-dss」）。
Port num	使OpenSSH經過num端口與遠程系統鏈接。默認值爲22。
StrictHostKeyChecking yes \| no \| ask
	決定OpenSSH是否將主機密鑰添加到用戶的known_hosts文件中以及如何添加。若是將該選項設置爲ask，那麼在鏈接新系統時會詢問是否添加主機密鑰；若是設置爲no，就會自動添加主機密鑰；若是設置爲yes，就要求手工添加主機密鑰。若將參數設置yes或ask，則當某系統的主機密鑰發生改變以後， OpenSSH會拒絕鏈接到該系統。對於安全性要求較高的系統，請將此參數設置爲yes或ask。默認爲ask。
TCPKeepAlive yes \| no
	若是設置爲yes（默認值），就按期檢查鏈接是否存活。若是服務器崩潰或者因爲其餘緣由致使鏈接死掉，那麼這種檢查將會致使ssh或scp鏈接中斷，即使鏈接只是暫時死掉。若將這個參數設置爲no，則會致使客戶端不去檢查鏈接是否存活。這項聲明用到了TCP keepalive選項，它未經加密，而且容易受到 IP欺騙（參見術語表）。若是但願採用可以防止IP欺騙的替代品，那麼能夠採用基於服務器的相關技術，請參見8.4.6節中的「ClientAliveInterval」。
User name
	指定登陸系統時所用的用戶名。可用Host聲明來指定系統。該選項意味着，在遠程系統上登陸時，若是使用的用戶名不一樣於在本地系統上登陸所用的用戶名，那麼沒必要在命令行上輸入用戶名。