SSH的安装
apt-getinstallopenssh-server
apt-getinstallssh
SSH的配置
OpenSSH的配置都集中在/etc/ssh/ssh_config文件中
编辑“ssh_config”文件(vi /etc/ssh/ssh_config),添加或改变下面的参数:
# Site-wide defaults for various options
Host *
ForwardAgent no
ForwardX11 no
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication yes
FallBackToRsh no
UseRsh no
BatchMode no
CheckHostIP yes
StrictHostKeyChecking no
IdentityFile ~/.ssh/identity
Port 22
Cipher blowfish
EscapeChar ~
下面逐行说明上面的选项设置:
Host *
选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。
ForwardAgent no
“ForwardAgent”设置连接是否经过验证代理(如果存在)转发给远程计算机。
ForwardX11 no
“ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集(DISPLAY set)。
RhostsAuthentication no
“RhostsAuthentication”设置是否使用基于rhosts的安全验证。
RhostsRSAAuthentication no
“RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。
RSAAuthentication yes
“RSAAuthentication”设置是否使用RSA算法进行安全验证。
PasswordAuthentication yes
“PasswordAuthentication”设置是否使用口令验证。
FallBackToRsh no
“FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。
UseRsh no
“UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。
BatchMode no
“BatchMode”如果设为“yes”,passphrase/password(交互式输入口令)的提示将被禁止。当不能交互式输入口令的时候,这个选项对脚本文件和批处理任务十分有用。
CheckHostIP yes
“CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”。
StrictHostKeyChecking no
“StrictHostKeyChecking”如果设置成“yes”,ssh就不会自动把计算机的密匙加入“$HOME/.ssh/known_hosts”文件,并且一旦计算机的密匙发生了变化,就拒绝连接。
SSH
#服务器端配置/etc/ssh/sshd_config
#只考虑协议版本2
#全局配置
VersionAddendumTecZm-20050505#在telnetip22时只能看出openssh的版本,看不出OS
Protocol2#使用协议版本2
Port22#sshd监听22端口
ListenAddress192.168.7.1#sshd只监听目标ip为192.168.7.1的请求
AllowGroupswheelmyguest#允许wheel组和myguest组的用户登录
AllowUsersteczmauthen@192.168.8.5#允许来自以上组的teczm用户和authen用户登录,
#且authen用户只能从主机192.168.8.5登录
#DenyGroups#拒绝登录的组,参数设置和AllowGroups一样
#DenyUsers#拒绝登录的用户,参数设置和AllowUsers一样
#AllowTcpForwardingyes#是否转发的TCP包都被允许。默认是“yes”。
LoginGraceTime60#60秒内客户端不能登录即登录超时,sshd切断连接。
KeyRegenerationInterval1800#1800秒(30分钟)后自动重新生成服务器的密匙。
MaxStartups3#设置同时发生的未验证的并发量,即同时可以有几个
UseDNSno#不使用DNS查询客户端。
PermitRootLoginno#不允许root登录,root可由wheel组用户登录后su。
X11Forwardingno#禁止用户运行远程主机上的X程序,我没有X,所以无所谓。
UseLoginyes#禁止X11Forwarding
#认证配置(口令认证、PAM认证、非对称密钥认证任选其一)
#口令认证
PubkeyAuthenticationno#不使用非对称密钥认证
PasswordAuthenticationyes#使用口令认证
PermitEmptyPasswordsno#不允许使用空密码的用户登录
#PAM认证
PasswordAuthenticationno#不使用口令认证
UsePAM#使用pam认证
ChallengeResponseAuthenticationyes#允许挑战应答方式
#非对称密钥认证
PasswordAuthenticationno#不使用口令认证
PubkeyAuthenticationyes#使用非对称密钥认证
AuthorizedKeysFile.ssh/authorized_keys#用户认证使用的公钥。
下载本文示例代码
