在最新的 Debian Stretch 上,我安装了一个 OpenSSH 服务器,它是在以下条件下设置的。
- 没有root登录
- 无密码认证/强制公钥认证
sshusers
仅由该组的用户进行身份验证- 每个用户 3 个并发连接
- 每次登录尝试 1 次身份验证尝试
- 身份验证超时 20 秒
我正在使用最新的 OpenSSHOpenSSH_7.4p1 Debian-10+deb9u6, OpenSSL 1.0.2r 26 Feb 2019
# $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $
X11Forwarding yes
PrintMotd no
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
Protocol 2
KerberosAuthentication no
GSSAPIAuthentication no
AddressFamily inet
Port 22
HostKey /etc/ssh/ssh_host_rsa_key
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes
LoginGraceTime 20s
MaxAuthTries 1
MaxStartups 3
AuthorizedKeysFile .ssh/authorized_keys
PermitRootLogin no
AllowGroups sshusers
我根据 2005 年的这篇文章创建了上面的配置,我试图尽可能多地理解它。所以我发现RSAAuthentication
它已被弃用并删除了它,我从 DSA 转移到 RSA ...
我的问题是:此配置是否安全,或者我是否错过了一些重要的内容,或者我是否错误配置了某些内容?
我深入研究了手册页,但我真的不太清楚所有内容。
答案1
您可以禁用对弱密码的支持,例如 Arcfour、blowfish、三重 DES...