sshd 配置翻译

配置文件

# /etc/ssh/sshd_config

配置项

Include /etc/ssh/sshd_config.d/*.conf
#占用端口
Port 22

#监听地址
#AddressFamily any

#ipv4监听地址
ListenAddress 0.0.0.0

#ipv6监听地址
#ListenAddress ::

# RSA认证
RSAAuthentication yes

# 授权密钥文件
AuthorizedKeysFile      .ssh/authorized_keys  

# 禁用密码认证
PasswordAuthentication no

# 启用公钥认证
PubkeyAuthentication yes

# 允许root用户登录
PermitRootLogin yes

# 挑战响应认证
ChallengeResponseAuthentication no
#挑战响应认证（Challenge-Response Authentication）是一种安全认证机制。
#它通过向用户发送一个挑战（通常是随机生成的字符串），用户必须使用某种方法（如密码或密钥）
#生成正确的响应来证明身份。这种方法可以防止重放攻击，因为挑战是动态生成的，每次都不同。

# 禁用网关端口
GatewayPorts no
# 启用X11转发
X11Forwarding yes

# 使用PAM认证
UsePAM yes
# 设置为 'yes' 以启用 PAM 认证、账户处理和会话处理。
# 如果启用，PAM 认证将通过 ChallengeResponseAuthentication 允许，
# 并且 PAM 认证可能会绕过 "PermitRootLogin without-password" 设置。
# 如果只想运行 PAM 账户和会话检查而不使用 ChallengeResponseAuthentication，则设置为 'no'。

# 禁用显示登录信息
PrintMotd no
# 允许客户端传递本地环境变量
AcceptEnv LANG LC_*
# 子系统配置
Subsystem sftp	/usr/lib/openssh/sftp-server

# 主机密钥文件
# HostKey /etc/ssh/ssh_host_rsa_key
# HostKey /etc/ssh/ssh_host_ecdsa_key
# HostKey /etc/ssh/ssh_host_ed25519_key

# 加密和密钥管理
# RekeyLimit none

# 日志记录
# SyslogFacility AUTH
# LogLevel INFO

# 认证设置：

# 登录宽限时间
# LoginGraceTime 2m

# 严格模式
# StrictModes yes

# 最大认证尝试次数
# MaxAuthTries 6

# 最大会话数
# MaxSessions 10

# 预计未来将默认忽略 .ssh/authorized_keys2
# AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2

# 授权主体文件
# AuthorizedPrincipalsFile none

# 授权密钥命令
# AuthorizedKeysCommand none

# 授权密钥命令用户
# AuthorizedKeysCommandUser nobody

# 要使其工作，还需要在 /etc/ssh/ssh_known_hosts 中的主机密钥
# 主机认证
# HostbasedAuthentication no

# 如果不信任 ~/.ssh/known_hosts 中的主机认证，则改为 yes
# 忽略用户已知主机
# IgnoreUserKnownHosts no

# 不读取用户的 ~/.rhosts 和 ~/.shosts 文件
# IgnoreRhosts yes

# 要禁用明文密码隧道，请改为 no
# PermitEmptyPasswords no

# Kerberos 选项
# KerberosAuthentication no
# KerberosOrLocalPasswd yes
# KerberosTicketCleanup yes
# KerberosGetAFSToken no

# GSSAPI 选项
# GSSAPIAuthentication no
# GSSAPICleanupCredentials yes
# GSSAPIStrictAcceptorCheck yes
# GSSAPIKeyExchange no


# 允许代理转发
# AllowAgentForwarding yes

# 允许 TCP 转发
# AllowTcpForwarding yes

# X11 显示偏移
# X11DisplayOffset 10

# 使用本地主机进行 X11
# X11UseLocalhost yes

# 允许 TTY
# PermitTTY yes

# 打印最后登录信息
# PrintLastLog yes

# TCP 保持连接
# TCPKeepAlive yes

# 允许用户环境
# PermitUserEnvironment no

# 压缩延迟
# Compression delayed

# 客户端存活间隔
# ClientAliveInterval 0

# 客户端存活最大次数
# ClientAliveCountMax 3

# 使用 DNS
# UseDNS no

# PID 文件
# PidFile /var/run/sshd.pid

# 最大启动数
# MaxStartups 10:30:100

# 允许隧道
# PermitTunnel no

# Chroot 目录
# ChrootDirectory none

# 版本附加信息
# VersionAddendum none

# 无默认横幅路径
# Banner none

# 示例：按用户设置覆盖
# Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	PermitTTY no
#	ForceCommand cvs server