这是 sshd 服务器系统范围的配置文件。请参阅

Question 1

您需要#先删除PermitRootLogin Yes。

#意味着该行将成为注释并被 sshd 忽略。

请注意，这是一个安全问题。

您应该使用公钥/私钥登录。从安全角度来看，这是值得设置的。

Answer

您需要#先删除PermitRootLogin Yes。

#意味着该行将成为注释并被 sshd 忽略。

请注意，这是一个安全问题。

您应该使用公钥/私钥登录。从安全角度来看，这是值得设置的。

Question 2

这是 sshd 服务器系统范围的配置文件。请参阅

sshd_config(5) 了解更多信息。

此 sshd 是用 PATH=/usr/local/bin:/usr/bin:/bin:/usr/games 编译的

默认 sshd_config 中选项使用的策略

OpenSSH 指定具有其默认值的选项，其中

可以，但请保留注释。未注释的选项将覆盖

默认值。

包括 /etc/ssh/sshd_config.d/*.conf

#端口 22 #AddressFamily 任何 #ListenAddress 0.0.0.0 #ListenAddress ::

#主机密钥 /etc/ssh/ssh_host_rsa_key #主机密钥 /etc/ssh/ssh_host_ecdsa_key #主机密钥 /etc/ssh/ssh_host_ed25519_key

密码和密钥

#RekeyLimit 默认无

日志记录

#SyslogFacility AUTH #LogLevel INFO

验证：

#LoginGraceTime 2m PermitRootLogin 是 #StrictModes 是 #MaxAuthTries 6 #MaxSessions 10

#PubkeyAuthentication 是

预计将来 .ssh/authorized_keys2 将默认被忽略。

#AuthorizedKeys文件 .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile 无

#AuthorizedKeysCommand 无 #AuthorizedKeysCommandUser 无人

为了实现此功能，您还需要 /etc/ssh/ssh_known_hosts 中的主机密钥

#HostbasedAuthentication 否

如果你不信任 ~/.ssh/known_hosts，请更改为 yes

基于主机的身份验证

#IgnoreUserKnownHosts 否

不要读取用户的 ~/.rhosts 和 ~/.shosts 文件

#IgnoreRhosts 是

要禁用隧道明文密码，请在此处更改为否！

#PasswordAuthentication 是 #PermitEmptyPasswords 否

更改为 yes 以启用质询-响应密码（注意

一些 PAM 模块和线程）

KbdInteractiveAuthentication 没有

Kerberos 选项

#KerberosAuthentication 否 #KerberosOrLocalPasswd 是 #KerberosTicketCleanup 是 #KerberosGetAFSToken 否

GSSAPI 选项

#GSSAPIAuthentication 否 #GSSAPICleanupCredentials 是 #GSSAPIStrictAcceptorCheck 是 #GSSAPIKeyExchange 否

将其设置为“是”以启用 PAM 身份验证、帐户处理，

和会话处理。如果启用此功能，PAM 身份验证将

通过 KbdInteractiveAuthentication 获得允许，并且

密码验证。根据您的 PAM 配置，

通过 KbdInteractiveAuthentication 进行 PAM 身份验证可能会绕过

“PermitRootLogin inhibit-password”的设置。

如果你只希望运行 PAM 帐户和会话检查，而无需

PAM 身份验证，然后启用此功能但设置 PasswordAuthentication

并将 KbdInteractiveAuthentication 设置为‘否’。

UsePAM 是

#AllowAgentForwarding 是 #AllowTcpForwarding 是 #GatewayPorts 否 X11Forwarding 是 #X11DisplayOffset 10 #X11UseLocalhost 是 #PermitTTY 是 PrintMotd 否 #PrintLastLog 是 #TCPKeepAlive 是 #PermitUserEnvironment 否 #Compression 延迟 #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS 否 #PidFile /run/sshd.pid #MaxStartups 10:30:100 #PermitTunnel 否 #ChrootDirectory 无 #VersionAddendum 无

没有默认横幅路径

#横幅无

允许客户端传递区域环境变量

接受环境语言 LC_*

覆盖无子系统的默认设置

子系统 sftp /usr/lib/openssh/sftp-server

根据每个用户覆盖设置的示例

#匹配用户匿名简历

X11转发否

AllowTcpForwarding 否

许可证TTY 号

ForceCommand cvs 服务器

Answer

这是 sshd 服务器系统范围的配置文件。请参阅

sshd_config(5) 了解更多信息。

此 sshd 是用 PATH=/usr/local/bin:/usr/bin:/bin:/usr/games 编译的

默认 sshd_config 中选项使用的策略

OpenSSH 指定具有其默认值的选项，其中

可以，但请保留注释。未注释的选项将覆盖

默认值。

包括 /etc/ssh/sshd_config.d/*.conf

#端口 22 #AddressFamily 任何 #ListenAddress 0.0.0.0 #ListenAddress ::

#主机密钥 /etc/ssh/ssh_host_rsa_key #主机密钥 /etc/ssh/ssh_host_ecdsa_key #主机密钥 /etc/ssh/ssh_host_ed25519_key

密码和密钥

#RekeyLimit 默认无

日志记录

#SyslogFacility AUTH #LogLevel INFO

验证：

#LoginGraceTime 2m PermitRootLogin 是 #StrictModes 是 #MaxAuthTries 6 #MaxSessions 10

#PubkeyAuthentication 是

预计将来 .ssh/authorized_keys2 将默认被忽略。

#AuthorizedKeys文件 .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile 无

#AuthorizedKeysCommand 无 #AuthorizedKeysCommandUser 无人

为了实现此功能，您还需要 /etc/ssh/ssh_known_hosts 中的主机密钥

#HostbasedAuthentication 否

如果你不信任 ~/.ssh/known_hosts，请更改为 yes

基于主机的身份验证

#IgnoreUserKnownHosts 否

不要读取用户的 ~/.rhosts 和 ~/.shosts 文件

#IgnoreRhosts 是

要禁用隧道明文密码，请在此处更改为否！

#PasswordAuthentication 是 #PermitEmptyPasswords 否

更改为 yes 以启用质询-响应密码（注意

一些 PAM 模块和线程）

KbdInteractiveAuthentication 没有

Kerberos 选项

#KerberosAuthentication 否 #KerberosOrLocalPasswd 是 #KerberosTicketCleanup 是 #KerberosGetAFSToken 否

GSSAPI 选项

#GSSAPIAuthentication 否 #GSSAPICleanupCredentials 是 #GSSAPIStrictAcceptorCheck 是 #GSSAPIKeyExchange 否

将其设置为“是”以启用 PAM 身份验证、帐户处理，

和会话处理。如果启用此功能，PAM 身份验证将

通过 KbdInteractiveAuthentication 获得允许，并且

密码验证。根据您的 PAM 配置，

通过 KbdInteractiveAuthentication 进行 PAM 身份验证可能会绕过

“PermitRootLogin inhibit-password”的设置。

如果你只希望运行 PAM 帐户和会话检查，而无需

PAM 身份验证，然后启用此功能但设置 PasswordAuthentication

并将 KbdInteractiveAuthentication 设置为‘否’。

UsePAM 是

#AllowAgentForwarding 是 #AllowTcpForwarding 是 #GatewayPorts 否 X11Forwarding 是 #X11DisplayOffset 10 #X11UseLocalhost 是 #PermitTTY 是 PrintMotd 否 #PrintLastLog 是 #TCPKeepAlive 是 #PermitUserEnvironment 否 #Compression 延迟 #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS 否 #PidFile /run/sshd.pid #MaxStartups 10:30:100 #PermitTunnel 否 #ChrootDirectory 无 #VersionAddendum 无

答案1

答案2

这是 sshd 服务器系统范围的配置文件。请参阅

sshd_config(5) 了解更多信息。

此 sshd 是用 PATH=/usr/local/bin:/usr/bin:/bin:/usr/games 编译的

默认 sshd_config 中选项使用的策略

OpenSSH 指定具有其默认值的选项，其中

可以，但请保留注释。未注释的选项将覆盖

默认值。

密码和密钥

日志记录

验证：

预计将来 .ssh/authorized_keys2 将默认被忽略。

为了实现此功能，您还需要 /etc/ssh/ssh_known_hosts 中的主机密钥

如果你不信任 ~/.ssh/known_hosts，请更改为 yes

基于主机的身份验证

不要读取用户的 ~/.rhosts 和 ~/.shosts 文件

要禁用隧道明文密码，请在此处更改为否！

更改为 yes 以启用质询-响应密码（注意

一些 PAM 模块和线程）

Kerberos 选项

GSSAPI 选项

将其设置为“是”以启用 PAM 身份验证、帐户处理，

和会话处理。如果启用此功能，PAM 身份验证将

通过 KbdInteractiveAuthentication 获得允许，并且

密码验证。根据您的 PAM 配置，

通过 KbdInteractiveAuthentication 进行 PAM 身份验证可能会绕过

“PermitRootLogin inhibit-password”的设置。

如果你只希望运行 PAM 帐户和会话检查，而无需

PAM 身份验证，然后启用此功能但设置 PasswordAuthentication

并将 KbdInteractiveAuthentication 设置为‘否’。

没有默认横幅路径

允许客户端传递区域环境变量

覆盖无子系统的默认设置

根据每个用户覆盖设置的示例

X11转发否

AllowTcpForwarding 否

许可证TTY 号

ForceCommand cvs 服务器

相关内容