探索sshd配置文件sshd_config的常见选项

# 1. 简介

SSH（Secure Shell）是一种用于在网络中安全传输数据的协议。sshd_config文件是SSH服务器的配置文件，用于配置SSH服务器的行为和安全选项。了解sshd_config的常见选项对于定制和管理SSH服务器至关重要。

## 什么是sshd_config文件？

sshd_config文件是OpenSSH服务器的主配置文件，通常位于/etc/ssh/目录下。它包含了一系列的配置选项，用于控制SSH服务器的行为和安全参数。

## 为什么需要了解sshd_config的常见选项？

了解sshd_config的常见选项可以帮助管理员定制和优化SSH服务器的行为。通过修改sshd_config文件，管理员可以实现访问控制、认证机制、安全设置、日志记录等方面的定制化配置，以满足特定的安全需求和业务场景。因此，对sshd_config常见选项的深入了解对于确保SSH服务器的安全性和有效性非常重要。

# 2. 常见选项概述

在`sshd_config`文件中，有许多常见选项可以用来配置SSH服务器的行为和安全性。这些选项可以通过编辑`sshd_config`文件来调整，以满足特定需求和安全标准。接下来，我们将概述`sshd_config`文件中的常见选项以及它们对SSH服务器功能的影响。

### 1. Port选项

**作用：** `Port`选项用于指定SSH服务器监听的端口号。默认端口号为22，但为了加强安全性，建议修改为非标准端口号，如2222。

**配置方法：**

# 打开sshd_config文件进行编辑
sudo nano /etc/ssh/sshd_config

# 找到并修改Port选项
Port 2222

# 保存文件并重启SSH服务
sudo systemctl restart sshd

**结果说明：** SSH服务器将会在修改后的端口上监听SSH连接，提高了安全性，避免了自动化扫描常见端口的攻击。

### 2. Protocol选项

**作用：** `Protocol`选项允许您指定SSH协议的版本，可以是1、2或2版本。

**配置方法：**

# 打开sshd_config文件进行编辑
sudo nano /etc/ssh/sshd_config

# 找到并修改Protocol选项
Protocol 2

# 保存文件并重启SSH服务
sudo systemctl restart sshd

**结果说明：** 选择SSH协议版本2可以提高安全性，因为协议2相对更加安全，避免了一些已知的协议1的漏洞。

### 3. LoginGraceTime选项

**作用：** `LoginGraceTime`选项用于设置SSH连接的最大闲置时间，在该时间内未完成认证的会话将会被终止。

**配置方法：**

# 打开sshd_config文件进行编辑
sudo nano /etc/ssh/sshd_config

# 找到并修改LoginGraceTime选项
LoginGraceTime 60

# 保存文件并重启SSH服务
sudo systemctl restart sshd

**结果说明：** 通过设置合理的`LoginGraceTime`可以防止未完成认证的SSH会话长时间占用资源，提高服务器的安全性和性能。

# 3. 访问控制选项

在sshd_config文件中，有一些选项用于控制允许或拒绝用户或用户组对SSH服务器的访问。这些选项可以帮助管理员更精细地管理用户访问权限。

1. **AllowUsers和DenyUsers选项的作用及用法**

- `AllowUsers`选项指定了允许连接到SSH服务器的用户列表，只有在这个列表中的用户才能成功登陆。例如，我们可以在sshd_config中设置：

     AllowUsers alice bob charlie

这样只有用户alice、bob和charlie可以通过SSH连接到服务器。

- `DenyUsers`选项相反，用于指定不允许连接到SSH服务器的用户列表。例如：

     DenyUsers eve mallory

这将拒绝用户eve和mallory的SSH连接请求。

2. **AllowGroups和DenyGroups选项的作用及用法**

- 除了单独指定用户外，还可以使用`AllowGroups`选项来限制连接到SSH服务器的用户组。类似地，`DenyGroups`选项用于拒绝特定用户组的访问。

- 举例来说，我们可以配置如下：

     AllowGroups sshusers
     DenyGroups ftpusers

这将允许属于sshusers组的用户连接，并拒绝属于ftpusers组的用户访问SSH服务器。

通过这些访问控制选项，管理员可以根据实际需要更细致地管理用户和用户组对SSH服务器的访问权限，从而提高服务器的安全性和管理灵活性。

# 4. 认证选项

在SSH服务器配置文件（`sshd_config`）中，有几个重要的认证选项可以影响用户的身份验证方式和安全性。在本节中，我们将详细介绍这些认证选项以及它们的配置方法。

#### 4.1 PubkeyAuthentication选项

`PubkeyAuthentication`选项控制是否允许使用公钥身份验证进行用户认证。公钥身份验证通过用户私钥和服务器上的公钥匹配来进行身份验证，比传统的密码认证更安全。

以下是如何配置`PubkeyAuthentication`选项的示例：

PubkeyAuthentication yes

**代码总结：** 通过设置`PubkeyAuthentication`为`yes`，启用公钥身份验证，提高SSH连接的安全性。

**结果说明：** 当用户尝试连接SSH服务器时，系统将会要求用户提供匹配的私钥以完成身份验证过程。

#### 4.2 PasswordAuthentication选项

`PasswordAuthentication`选项控制是否允许使用密码身份验证。启用密码身份验证可能存在安全风险，因此建议使用公钥身份验证来替代。

以下是如何配置`PasswordAuthentication`选项的示例：

PasswordAuthentication no

**代码总结：** 通过将`PasswordAuthentication`设置为`no`，禁用了密码身份验证，提高了SSH连接的安全性。

**结果说明：** 用户将无法使用密码进行身份验证，必须依赖其他身份验证方式，如公钥身份验证。

#### 4.3 PermitRootLogin选项

`PermitRootLogin`选项用于控制是否允许root用户直接登录到SSH服务器。禁止root用户直接登录可以增加安全性，建议使用普通用户登录后再切换到root用户进行操作。

以下是如何配置`PermitRootLogin`选项的示例：

PermitRootLogin no

**代码总结：** 将`PermitRootLogin`设置为`no`，禁止root用户直接登录，加强了服务器的安全性。

**结果说明：** root用户将无法直接通过SSH登录服务器，需要使用普通用户登录后再切换到root用户。

# 5. 安全选项

在sshd_config文件中，有一些选项可以帮助管理员增强SSH服务器的安全性。这些选项包括修改SSH端口、限制协议版本、设置会话超时时间等。接下来，我们将详细介绍这些安全选项以及它们的配置方法。

#### Port选项的作用及如何修改SSH端口

**作用：** Port选项用于指定SSH服务器监听的端口。默认情况下，SSH服务器使用22号端口。通过修改Port选项，可以更改SSH服务器的监听端口，从而增加安全性。

**配置方法：**
1. 打开sshd_config文件：

   sudo nano /etc/ssh/sshd_config

2. 找到Port选项并修改为所需的端口号，例如：

   Port 2222

3. 保存文件并重启SSH服务：

   sudo systemctl restart sshd

**结果说明：** 修改SSH端口后，连接SSH服务器时需要指定新的端口号，如`ssh username@hostname -p 2222`。

#### Protocol选项的作用及不同协议版本的差异

**作用：** Protocol选项用于指定SSH协议的版本。默认情况下，SSH服务器同时支持协议版本1和2。通过修改Protocol选项，可以限制SSH服务器只支持特定的协议版本，增强安全性。

**配置方法：**
1. 打开sshd_config文件：

   sudo nano /etc/ssh/sshd_config

2. 找到Protocol选项并修改为所需的协议版本，例如：

   Protocol 2

3. 保存文件并重启SSH服务：

   sudo systemctl restart sshd

**结果说明：** 限制SSH服务器只支持协议版本2可以提高安全性，因为SSH协议版本1存在安全漏洞。

#### LoginGraceTime选项的作用及设置会话超时时间

**作用：** LoginGraceTime选项用于设置SSH会话的超时时间。当SSH连接建立后，在指定的时间内没有完成认证，连接将被终止。这可以防止未经授权的用户占用连接资源。

**配置方法：**
1. 打开sshd_config文件：

   sudo nano /etc/ssh/sshd_config

2. 找到LoginGraceTime选项并修改为所需的超时时间（以秒为单位），例如：

   LoginGraceTime 60

3. 保存文件并重启SSH服务：

   sudo systemctl restart sshd

**结果说明：** 设置LoginGraceTime为60秒后，如果用户在建立连接后60秒内未完成认证，连接将被终止，释放资源。

通过以上安全选项的配置，管理员可以加强SSH服务器的安全性，有效防范潜在的安全威胁。

# 6. 日志和监控选项

在SSH服务器的配置中，日志和监控选项对于跟踪用户活动、排查问题以及确保系统安全至关重要。以下是sshd_config文件中常见的日志和监控选项：

#### LogLevel选项
`LogLevel`选项用于指定SSH服务器的日志记录级别，可以控制记录的详细程度。常见的日志级别包括：
- `QUIET`：只记录致命错误
- `FATAL`：记录非常严重的错误
- `ERROR`：记录错误信息
- `INFO`：记录关键的信息
- `VERBOSE`：记录详细的信息
- `DEBUG`：记录调试信息

LogLevel VERBOSE

**代码总结：** 以上代码将SSH服务器的日志级别设置为VERBOSE，记录详细信息。根据实际情况调整日志级别，以便于排查问题或监控用户活动。

#### SyslogFacility选项
`SyslogFacility`选项用于指定在syslog中使用的设施代码，这有助于标识SSH服务器的日志消息。常见的设施代码包括：
- `AUTH`：认证和授权消息
- `AUTHPRIV`：类似AUTH，但是日志消息更加私密
- `LOCAL0`~`LOCAL7`：本地使用的设施代码

SyslogFacility AUTH

**代码总结：** 以上代码将SSH服务器日志消息标识为身份验证和授权相关消息，便于在syslog中进行分类和过滤。

#### ClientAliveInterval和ClientAliveCountMax选项
`ClientAliveInterval`和`ClientAliveCountMax`选项一起用于设置SSH会话的保活机制。`ClientAliveInterval`指定服务器向客户端发送保活消息的间隔（秒），而`ClientAliveCountMax`指定在没有收到客户端响应时服务器终止会话之前发送的保活消息数量。

ClientAliveInterval 300
ClientAliveCountMax 2

**代码总结：** 以上代码设置SSH服务器向客户端每5分钟发送一次保活消息，若连续两次保活消息未得到响应则终止会话。这有助于保持长时间闲置会话的活动并释放不再需要的资源。

通过合理配置上述日志和监控选项，管理员可以更好地记录和分析SSH服务器的活动，确保其安全性和稳定性。