linux sshd_config配置说明

[root@01 ssh]# cat sshd_config

#######################SSH Base Config##################

#######通过OpenSSH工具入xshell连接默认端口 可以改成其他默认是22

PAM 认证过程

1）使用者执行/usr/bin/passwd程序，并输入密码。

2）passwd开始呼叫PAM模块，PAM模块会搜寻passwd程序的PAM 相关设定文件，这个设定文件一般是在/etc/pam.d/里边的与程序同名的文件 ，即PAM 会搜寻/etc/pam.d/passwd这个设置文件。

3）经由/etc/pam.d/passwd 设定文件的数据，取用PAM 所提供的相关模块来进行验证。

4）将验证结果回传给passwd 这个程序，而passwd 这个程序会根据PAM回传的结果决定下一个动作（重新输入密码或者通过验证）

Port 22

######Authentication Config

######PermitRootLogin可以限定root用户通过ssh的登录方式，如禁止登陆、禁止密码登录、仅允许密钥登陆和开放登陆，以下是对可选项的概括：

######参数类别yes 是否允许ssh登陆 登录方式无限制

######参数类别no 不允许ssh登录(禁止root用户远程登录) 登录方式N/A

PermitRootLogin yes

AddressFamily any 设置协议簇,默认支持IPV4和IPV6

ListenAddress 0.0.0.0 默认监听网卡所有的IP地址

PermitRootLogin yes 是否允许root登陆,默认是允许的,建议设置成no

StrictModes yes 当使用者的host key改变之后,server就不接受其联机

MaxAuthTries 6 最多root尝试6次连接(pam_tally2 -u root -r )

MaxSessions 10 最大允许保持多少个未认证的连接 默认值是 10 到达限制后 ,将不再接受新连接 ,除非先前的连接认证成功或超出 LoginGraceTime 的限制

PrintMotd yes 登陆后是否显示一些默认信息

PrintLastLog yes 显示上次登录的信息

TCPKeepAlive yes ssh server会传keepalive信息给client以此确保两者的联机正常,任何一端死后马上断开

PasswordAuthentication yes 是否允许使用基于密码的认证

PermitEmptyPasswords no 是否允许密码为空的用户远程登录

############可以有效地防止密码被暴力破解 vi /etc/pam.d/sshd

UsePAM yes 启用PAM配置文管理件

####/etc/pam.d/sshd deny 设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户

####/etc/pam.d/sshd unlock_time 设定普通用户锁定后，多少时间后解锁，单位是秒；

####root_unlock_time 设定root用户锁定后，多少时间后解锁，单位是秒；

#### pam_tally2 -u root 清空指定用户的错误登录次数

####解除锁定方法 pam_tally2 -u root -r