1. linux怎麼設置只有一個用戶可以ssh遠程
要看下你用的什麼版本的LINUX。只一個IP登錄,一般最簡單的就是改SSH埠,在iptabls之類的防火牆添加規則,使該埠只對你一個IP開放。
2. linux中的ssh配置
簡單,設置ssh的的配置文件是/etc/ssh/sshd_config
禁止root登錄 是PermitRootLogin no 這個原來好像是yes改成no就行了
然後在裝上sudo
sudo的配置文件是/etc/sudoers
在裡面加上相應的用戶就行了比如
username ALL=(ALL) ALL
這樣這個用戶就能使用root許可權,也可以具體配置讓用戶可以使用那些命令或者工具的時候才擁有root許可權。。。你搜一下sudo設置吧。
用的時候就像一樓 sudo rm /etc/passwd 這樣就行了, 小心哈哈
3. Linux操作系統下如何創建新用戶遠程登錄
9/10 分步閱讀
想要遠程linux伺服器,首先需要在伺服器上開通ssh服務,安裝命令如下:
sudo apt-get install openssh-server
2/10
在上圖的提示中,輸入「y」,繼續等待安裝,安裝成功後如下圖所示
3/10
啟動ssh-server服務,默認情況下安裝結束後就自動啟動了,可以用下列命令進行確認:
ps -e |grep ssh,如果看到截圖中的sshd說明ssh-server啟動成功了
啟動sshserver命令:service ssh start 或者sudo /etc/init.d/ssh start
關閉sshserver命令:service ssh stop
重啟sshserver命令:service ssh restart
4/10
ssh-server配置文件位於/etc/ssh/sshd_config,在這里可以定義SSH的服務埠,默認埠是22,你可以自己定義成其他埠號,如333。
設置成功後重啟SSH服務:
sudo /etc/init.d/ssh sto
sudo /etc/init.d/ssh start
或者:service ssh restart
5/10
成功啟動ssh-server後,應該是可以遠程登錄了,經過測試,普通帳號可以正常遠程登錄,root帳號不行,但root擁有超級許可權,是我們所需要的,因此需要調整下配置文件,允許root也可以遠程登錄
6/10
開通root遠程登錄許可權
vi /etc/ssh/sshd_config
將PermitRootLogin without-password 修改為PermitRootLogin yes
查看剩餘1張圖
7/10
執行命令service ssh restart,重啟ssh-server
8/10
上述操作結束後,linux伺服器上的配置已經結束了,成功開啟了ssh-server,下面需要我們在win7系統上藉助putty工具來遠程訪問,打開網路,從網路中下載該工具
9/10
該工具是個綠色文件,比較方便,啟動該工具,輸入linux伺服器的IP地址,點擊open
10/10
彈出了操作窗口,輸入用戶名,密碼即可成功登錄,使用root登錄,也成功訪問
4. linux的ssh怎麼設置的
配置客戶端的軟體OpenSSH 有三種配置方式:命令行參數、用戶配置文件和系統級的配置文件("/etc/ssh/ssh_config")。命令行參數優先於配置文件,用戶配置文件優先於系統配置文件。所有的命令行的參數都能在配置文件中設置。因為在安裝的時候沒有默認的用戶配置文件,所以要把 "/etc/ssh/ssh_config"拷貝並重新命名為"~/.ssh/config"。標準的配置文件大概是這樣的:[lots of explanations and possible options listed]# Be paranoid by defaultHost *ForwardAgent noForwardX11 noFallBackToRsh no還有很多選項的設置可以用"man ssh"查看"CONFIGURATION FILES"這一章。配置文件是按順序讀取的。先設置的選項先生效。假定你在 www.foobar.com上有一個名為"bilbo"的帳號。而且你要把"ssh-agent"和"ssh-add"結合起來使用並且使用數據壓縮來加快傳輸速度。因為主機名太長了,你懶得輸入這么長的名字,用"fbc"作為" www.foobar.com"的簡稱。你的配置文件可以是這樣的:Host *fbcHostName www.foobar.comUser bilboForwardAgent yesCompression yes# Be paranoid by defaultHost *ForwardAgent noForwardX11 noFallBackToRsh no你輸入"ssh fbc"之後,SSH會自動地從配置文件中找到主機的全名,用你的用戶名登錄並且用"ssh-agent"管理的密匙進行安全驗證。這樣很方便吧!用SSH連接到其它遠程計算機用的還是"paranoid(偏執)"默認設置。如果有些選項沒有在配置文件或命令行中設置,那麼還是使用默認的"paranoid"設置。在我們上面舉的那個例子中,對於到 www.foobar.com的SSH連接:"ForwardAgent"和"Compression"被設置為 "Yes";其它的設置選項(如果沒有用命令行參數)"ForwardX11"和"FallBackToRsh"都被設置成"No"。其它還有一些需要仔細看一看的設置選項是:l CheckHostIP yes這個選項用來進行IP地址的檢查以防止DNS欺騙。l CompressionLevel壓縮的級別從"1"(最快)到"9"(壓縮率最高)。默認值為"6"。l ForwardX11 yes為了在本地運行遠程的X程序必須設置這個選項。l LogLevel DEBUG當SSH出現問題的時候,這選項就很有用了。默認值為"INFO"。配置服務端的軟體SSH伺服器的配置使用的是"/etc/ssh/sshd_config"配置文件,這些選項的設置在配置文件中已經有了一些說明而且用"man sshd"也可以查看幫助。請注意OpenSSH對於SSH 1.x和2.x沒有不同的配置文件。在默認的設置選項中需要注意的有:l PermitRootLogin yes最好把這個選項設置成"PermitRootLogin without-password",這樣"root"用戶就不能從沒有密匙的計算機上登錄。把這個選項設置成"no"將禁止"root"用戶登錄,只能用"su"命令從普通用戶轉成"root"。l X11Forwarding no把這個選項設置成"yes"允許用戶運行遠程主機上的X程序。就算禁止這個選項也不能提高伺服器的安全因為用戶可以安裝他們自己的轉發器(forwarder),請參看"man sshd"。l PasswordAuthentication yes把這個選項設置為"no"只允許用戶用基於密匙的方式登錄。這當然會給那些經常需要從不同主機登錄的用戶帶來麻煩,但是這能夠在很大程度上提高系統的安全性。基於口令的登錄方式有很大的弱點。l # Subsystem /usr/local/sbin/sftpd把最前面的#號去掉並且把路徑名設置成"/usr/bin/sftpserv",用戶就能使用"sftp"(安全的FTP)了(sftpserv在 sftp 軟體包中)。因為很多用戶對FTP比較熟悉而且"scp"用起來也有一些麻煩,所以"sftp"還是很有用的。而且2.0.7版本以後的圖形化的ftp工具"gftp"也支持"sftp"。
5. Linux怎麼創建低許可權SSH賬戶,怎麼創建用戶
useradd -M -s /sbin/nologin -n 123
passwd 123
6. linux 配置ssh有幾種方法
直接使用Linux系 統的root帳戶登錄系統,在很多環境下是不允許。而且如果網路中的所有機器都能使用ssh登錄關鍵伺服器也是不允許的。這就要求我們需要使用一些手段, 現在root帳號的登錄,而且是只有指定的幾台機器才能登錄。當然限制登錄的ip這些通過網路設備也恩那個完成。但是我們只需要了解怎麼使用系統自己的功 能實現,這是每一個系統管理員都比較了解的。
1,修改ssh的配置文件,是root用戶只能通過本地登錄,不能通過遠程ssh連接伺服器。
vim /etc/ssh/sshd_config,
把#PermitRootLogin yes改成
PermitRootLogin no,然後重啟ssh伺服器,root用戶就不能通過ssh遠程登錄系統了,只能通過一個普通帳號su或者本地登錄。
2,可以同修改其他系統配置文件,使之能通過幾個指定的IP遠程ssh登錄伺服器。把下面這段放到root的.bash_profile文件中
ALLOWHOSTSLIST="192.168.163.1"
REMOTEHOST=$(env | grep SSH_CLIENT | awk '{print $1}' | awk -F "=" '{print $2}')
if echo "${ALLOWHOSTSLIST}" | grep "${REMOTEHOST}" > /dev/null
then :
else
exit
fi
結果就只能通過IP地址是192.168.163.1這台伺服器通過ssh遠程連接本伺服器了。
3,可以把需要ssh遠程伺服器的IP地址添加到/etc/hosts.allow,例如下面的操作:
sshd:192.168.163.1:allow #只允許這個IP地址ssh登錄
sshd:192.168.163.:allow #允許這個網段的所有IP地址ssh登錄
sshd:all:deny #拒絕所有沒有出現在上面的IP地址的ssh連接
4,也可以使用iptables指定能夠遠程ssh到伺服器的IP地址
iptables -A INPUT -p tcp --dport 22 -s 192.168.163.1 -j ACCEPT #允許這個IP地址ssh連接本伺服器
iptables -A INPUT -p tcp --dport 22 -s 192.168.163.0/24 -j ACCEPT #允許這個網段的所有IP遠程ssh連接本伺服器
iptables -A INPUT -p tcp --dport 22 -j DROP #除了上面允許的IP地址外,都拒絕使用ssh連接到伺服器
7. linux怎麼設置ssh用戶登錄地址
ssh登陸是直接用Ip登陸的呀。
設置ip是通過修改ifcfg-eth0文件設置ip
如果你是用域名登陸的話,就要把ip綁定到域名,並且吧域名解析到ip
8. linux下怎麼修改新建用戶許可權
linux下使用useradd增加用戶,如果沒有特別的指定,該用戶指定組名也是用戶名,並且為一般用戶(沒有root用戶的許可權),不能ssh遠程登錄。
[xuwangcheng14@root]#useraddtest2
[xuwangcheng14@root]#idtest2
uid=1009(test2)gid=1009(test2)groups=1009(test2)
1,可以在執行完useradd和passwd命令後,給用戶分配到root組,這樣創建的用戶就有root許可權了,具體步驟如下:
修改 /etc/sudoers 文件,找到下面一行,把前面的注釋(#)去掉
##
%wheelALL=(ALL)ALL
然後修改用戶,使其屬於root組(wheel),命令如下:
[xuwangcheng14@root]#usermod-groottest2
修改完畢,現在可以用test2帳號登錄,然後用命令 su - ,即可獲得root許可權進行操作。
2,編輯sshd_config 文件使新建的用戶可以通過ssh登錄:
vi/etc/ssh/sshd_config
添加
[email protected]
多個用戶用空格隔開。
9. linux下如何開通ssh,允許遠程登錄
ssh是可以代替telnet的一種遠程管理的方式.並且具有安全\快捷等優點的一種服務.
方法一:進入Xwindows,在shell窗口執行setup命令,選擇system service啟動sshd服務.
方法二:在/etc/ssh/sshd_config文件中,將permitRootLogin no|yes設置為允許root用戶遠程登錄
/etc/init.d/sshd start 啟動ssh服務
/etc/init.d/sshd stop關閉服務
啟動:
service sshd start
安裝過程:
1.以root身份登入系統(沒登入系統和沒有足夠的許可權都不能安裝,暈,這不是廢話)
2.檢查安裝系統時是否已經安裝SSH服務端軟體包:
rpm -qa|grep openssh
若顯示結果中包含openssh-server-*,則說明已經安裝,直接啟動
sshd服務就可以了(service sshd start).(其中*的內容是該包的版本,一般為3.5p1-6)
若無任何顯示,或顯示中不包含openssh-server-*則說明沒有安裝SSH服務端軟體包, 進入第3步
3.找到redhat 9.0 安裝光碟,放入光碟機中並載入光碟機
mount -t iso9660 /dev/cdrom /mnt/cdrom (載入光碟機命令)
4.查找光碟機中的SSH服務端軟體所在目錄,一般在/mnt/cdrom/RedHat/RPMS/目錄下,
可以先cd到該目錄下再用ls查看,如:ls openssh*,然後根據上面具體顯示直接安裝
rpm -ivh openssh-3.5p1-6 (如果第二步中顯示已經安裝該包就不要安裝)
rpm -ivh oeenssh-server-3.5p1-6
5.啟動sshd服務 /etc/rc.d/init.d/sshd start
netstat -a | more看有沒正常啟動
如果出現:
tcp 0 0 *:ssh *:* LISTEN
就說明正常啟動了
6.在windows 下用putty等SSH客戶端軟體連接測試,或直接在linux主機上輸入
ssh 測試,但必須要先安裝linux 下的SSH客戶端軟體包,即
openssh-clients-*,安裝過程和上面的服務端包相同
7.若能成功遠程登入,則說明SSH服務安裝配置成功,
否則很可能就是你的防火牆阻止連接了,重新配置防火牆或乾脆先停掉防火牆
(/etc/rc.d/init.d/iptables stop) 就可以連接了
或者service iptables stop
10. 如何建立linux ssh信任的方法與常見問題
在Linux伺服器之間建立信任關系,是很多線上服務系統的基礎性工作,這樣能便於程序在多台伺服器之間自動傳輸數據,或者方便用戶不輸入密碼就可以在不同的主機間完成登錄或者各種操作。
網上關於建立Linux信任關系(ssh trust)的中文文章有一些,但是寫得都不太詳細,這里匯總了方方面面的資料,把多機信任關系建立方法說說清楚(文/陳運文)
一 建立信任關系的基本操作
基本場景是想從一台Server伺服器直接登錄另一台,或者將Server伺服器的數據不需密碼驗證直接拷貝至Client伺服器,以下我們簡稱Server伺服器為S(待發送的數據文件在這台伺服器上),Client服務為C,信任關系的最簡單操作方法如下:
1 在S伺服器上,進入當前用戶根目錄下的隱藏目錄 .ssh,命令如下:
cd ~/.ssh
(註:目錄名前的點好」.」表示該文件夾是一個特殊的隱藏文件夾,ls命令下默認是看不到的,通過 ls –a 命令觀察到)
2 生成S伺服器的私鑰和公鑰:
ssh-keygen -t rsa
(註:rsa是一種加密演算法的名稱,此處也可以使用dsa,關於rsa和dsa演算法的介紹可見本文後半章節)
ssh-keygen生成密鑰用於信任關系生成
-此時會顯示Generating public/private key pair. 並提示生成的公鑰私鑰文件的存放路徑和文件名,默認是放在 /home/username/.ssh/id_rsa 這樣的文件里的,通常不用改,回車就可以
然後Enter passphrase(empty for no passphrase): 通常直接回車,默認不需要口令
Enter same passphrase again: 也直接回車
然後會顯式密鑰fingerprint生成好的提示,並給出一個RSA加密協議的方框圖形。此時在.ssh目錄下ls,就可以看到生成好的私鑰文件id_rsa和公鑰文件id_rsa.pub了
以下是各種補充說明:
注1:如果此時提示 id_rsaalready exists,Overwrite(y/n) 則說明之前已經有人建好了密鑰,此時選擇n 忽略本次操作就行,可以直接用之前生成好的文件;當然選y覆蓋一下也無妨
注2:公鑰用於加密,它是向所有人公開的(pub是公開的單詞public的縮寫);私鑰用於解密,只有密文的接收者持有。
3 在Server伺服器上載入私鑰文件
仍然在.ssh目錄下,執行命令:
ssh-add id_rsa
系統如果提示:Identity added: id_rsa (id_rsa) 就表明載入成功了
下面有幾個異常情況處理:
–如果系統提示:could not open a connection to your authentication agent
則需要執行一下命令:
ssh-agent bash
然後再執行上述的ssh-add id_rsa命令
–如果系統提示id_rsa: No such file or directory
這是系統無法找到私鑰文件id_rsa,需要看看當前路徑是不是不在.ssh目錄,或者私鑰文件改了名字,例如如果建立的時候改成 aa_rsa,則這邊命令中也需要相應改一下
-如果系統提示 command not found,那肯定是你命令敲錯字元了J
-提示Agent admitted failure to sign using the key,私鑰沒有載入成功,重試ssh-add
-注意id_rsa/id_rsa.pub文件不要刪除,存放在.ssh目錄下
4 把公鑰拷貝至Client伺服器上
很簡單,例如 scp id_rsa.pub [email protected]:~
5 ssh登錄到Client伺服器上,然後在Client伺服器上,把公鑰的內容追加到authorized_keys文件末尾(這個文件也在隱藏文件夾.ssh下,沒有的話可以建立,沒有關系)
cat id_rsa.pub >> ~/.ssh/authorized_keys
以下是各種補充說明,遇到問題時可以參考:
注1:這里不推薦用文件覆蓋的方式,有些教程直接scp id_rsa.pub 到Client伺服器的authorized_keys文件,會導致之前建的其他信任關系的數據被破壞,追加到末尾是更穩妥的方式;
注2: cat 完以後,Client伺服器上剛才拷貝過來的id_rsa.pub文件就不需要了,可以刪除或移動到其它地方)
注3:ssh-keygen 命令通過-b參數可以指定生成的密鑰文件的長度,如果不指定則默認為1024,如果ssh-keygen –b 4096(最長4096),則加密程度提高,但是生成和驗證時間會增加。對一般的應用來說,默認長度已經足夠勝任了。如果是rsa加密方式,那麼最短長度為768 byte
注4:authorized_keys文件的許可權問題。如果按上述步驟建立關系後,仍然要驗證密碼,並且沒有其他報錯,那麼需要檢查一下authorized_keys文件的許可權,需要作下修改: chmod g-w authorized_keys
OK,現在試試在Server端拷貝一個文件到Client伺服器,應該無需交互直接就傳過去了。
但是此時從Client傳數據到Server伺服器,仍然是需要密碼驗證的。如果需要兩台伺服器間能直接互傳數據,則反過來按上述步驟操作一下就可以了
二 刪除伺服器間信任關系的方法
如果想取消兩台伺服器之間的信任關系,直接刪除公鑰或私鑰是沒有用的,需要在Client伺服器上,打開 ~/.ssh/ authorized_keys 文件,找到對應的伺服器的公鑰欄位並刪除
每個段落的開頭是ssh-rsa字樣,段尾是Server伺服器的帳號和ip(如下圖紅框),需要細心的找一下後刪除整段
密鑰文件內容和刪除Linux伺服器間信任關系的方法
三 各種可能遇到的情況和處理方法
–提示 port 22: Connection refused
可能的原因:沒有正確安裝最新的openssh-server,安裝方法如下
sudo apt-get install openssh-server
不支持apt安裝的,可以手工下載:
wget ftp.ssh.com/pub/ssh/ssh-3.2.9.1.tar.gz
–關於目錄和文件的許可權設置
.ssh目錄的許可權必須是700,同時本機的私鑰的許可權必須設置成600:
chmod 600 id_rsa
否則ssh伺服器會拒絕登錄
四 關於RSA和DSA加密演算法
在ssh-keygen命令中,-t參數後指定的是加密演算法,可以選擇rsa或者dsa
RSA 取名自演算法的三位提出者Ron Rivest, Adi Shamir, and Leonard Adleman的姓名首字母,作為一種非對稱加密演算法,RSA的安全性基於及其困難的大整數分解(兩個素數的乘積的還原問題)。關於RSA演算法原理的文章很多,感興趣的朋友可以找來讀一讀。
DSA = Digital Signature Algorithm,基於有限域離散對數難題,是Schnorr和ElGamal簽名演算法的變種,一般用於數字簽名和認證,被美國標准局(NIST)採納為數字簽名標准DSS(Digital Signature Standard),based on discrete logarithms computation.
DES = Digital Encryption Standard. Obsolete standard.
RSA演算法好在網路容易實現密鑰管理,便進行數字簽名,演算法復雜,加/解速度慢,採用非對稱加密。在實際用於信任關系建立中,這兩種方法的差異很微小,可以挑選其一使用。
五 關於SSH協議的介紹
SSH全稱Secure SHell,顧名思義就是非常安全的shell的意思,SSH協議是IETF(Internet Engineering Task Force)的Network Working Group所制定的一種協議。SSH的主要目的是用來取代傳統的telnet和R系列命令(rlogin,rsh,rexec等)遠程登陸和遠程執行命令的工具,實現對遠程登陸和遠程執行命令加密。防止由於網路監聽而出現的密碼泄漏,對系統構成威脅。
ssh協議目前有SSH1和SSH2,SSH2協議兼容SSH1。目前實現SSH1和SSH2協議的主要軟體有OpenSSH和SSH Communications Security Corporation公司的SSH Communications 軟體。前者是OpenBSD組織開發的一款免費的SSH軟體,後者是商業軟體,因此在linux、FreeBSD、OpenBSD、NetBSD等免費類UNIX系統種,通暢都使用OpenSSH作為SSH協議的實現軟體。因此,本文重點介紹一下OpenSSH的使用。需要注意的是OpenSSH和SSH Communications的登陸公鑰/私鑰的格式是不同的,如果想用SSH Communications產生的私鑰/公鑰對來登入到使用OpenSSH的linux系統需要對公鑰/私鑰進行格式轉換。
第一次登陸後,ssh就會把登陸的ssh指紋存放在用戶home目錄的.ssh目錄的know_hosts文件中,如果遠程系統重裝過系統,ssh指紋已經改變,你需要把 .ssh 目錄下的know_hosts中的相應指紋刪除,再登陸回答yes,方可登陸。請注意.ssh目錄是開頭是」.」的隱藏目錄,需要ls –a參數才能看到。而且這個目錄的許可權必須是700,並且用戶的home目錄也不能給其他用戶寫許可權,否則ssh伺服器會拒絕登陸。如果發生不能登陸的問題,請察看伺服器上的日誌文件/var/log/secure。通常能很快找到不能登陸的原因。
六 關於ssh_config和sshd_config文件配置的說明
/etc/ssh/ssh_config:
Host *
選項「Host」只對能夠匹配後面字串的計算機有效。「*」表示所有的計算機。
ForwardAgent no
「ForwardAgent」設置連接是否經過驗證代理(如果存在)轉發給遠程計算機。
ForwardX11 no
「ForwardX11」設置X11連接是否被自動重定向到安全的通道和顯示集(DISPLAY set)。
RhostsAuthentication no
「RhostsAuthentication」設置是否使用基於rhosts的安全驗證。
RhostsRSAAuthentication no
「RhostsRSAAuthentication」設置是否使用用RSA演算法的基於rhosts的安全驗證。
RSAAuthentication yes
「RSAAuthentication」設置是否使用RSA演算法進行安全驗證。
PasswordAuthentication yes
「PasswordAuthentication」設置是否使用口令驗證。
FallBackToRsh no
「FallBackToRsh」設置如果用ssh連接出現錯誤是否自動使用rsh。
UseRsh no
「UseRsh」設置是否在這台計算機上使用「rlogin/rsh」。
BatchMode no
「BatchMode」如果設為「yes」,passphrase/password(互動式輸入口令)的提示將被禁止。當不能互動式輸入口令的時候,這個選項對腳本文件和批處理任務十分有用。
CheckHostIP yes
「CheckHostIP」設置ssh是否查看連接到伺服器的主機的IP地址以防止DNS欺騙。建議設置為「yes」。
StrictHostKeyChecking no
「StrictHostKeyChecking」如果設置成「yes」,ssh就不會自動把計算機的密匙加入「$HOME/.ssh/known_hosts」文件,並且一旦計算機的密匙發生了變化,就拒絕連接。
IdentityFile ~/.ssh/identity
「IdentityFile」設置從哪個文件讀取用戶的RSA安全驗證標識。
Port 22
「Port」設置連接到遠程主機的埠。
Cipher blowfish
「Cipher」設置加密用的密碼。
EscapeChar ~
「EscapeChar」設置escape字元。
/etc/ssh/sshd_config:
Port 22
「Port」設置sshd監聽的埠號。
ListenAddress 192.168.1.1
「ListenAddress」設置sshd伺服器綁定的IP地址。
HostKey /etc/ssh/ssh_host_key
「HostKey」設置包含計算機私人密匙的文件。
ServerKeyBits 1024
「ServerKeyBits」定義伺服器密匙的位數。
LoginGraceTime 600
「LoginGraceTime」設置如果用戶不能成功登錄,在切斷連接之前伺服器需要等待的時間(以秒為單位)。
KeyRegenerationInterval 3600
「KeyRegenerationInterval」設置在多少秒之後自動重新生成伺服器的密匙(如果使用密匙)。重新生成密匙是為了防止用盜用的密匙解密被截獲的信息。
PermitRootLogin no
「PermitRootLogin」設置root能不能用ssh登錄。這個選項一定不要設成「yes」。
IgnoreRhosts yes
「IgnoreRhosts」設置驗證的時候是否使用「rhosts」和「shosts」文件。
IgnoreUserKnownHosts yes
「IgnoreUserKnownHosts」設置ssh daemon是否在進行RhostsRSAAuthentication安全驗證的時候忽略用戶的「$HOME/.ssh/known_hosts」
StrictModes yes
「StrictModes」設置ssh在接收登錄請求之前是否檢查用戶家目錄和rhosts文件的許可權和所有權。這通常是必要的,因為新手經常會把自己的目錄和文件設成任何人都有寫許可權。
X11Forwarding no
「X11Forwarding」設置是否允許X11轉發。
PrintMotd yes
「PrintMotd」設置sshd是否在用戶登錄的時候顯示「/etc/motd」中的信息。
SyslogFacility AUTH
「SyslogFacility」設置在記錄來自sshd的消息的時候,是否給出「facility code」。
LogLevel INFO
「LogLevel」設置記錄sshd日誌消息的層次。INFO是一個好的選擇。查看sshd的man幫助頁,已獲取更多的信息。
RhostsAuthentication no
「RhostsAuthentication」設置只用rhosts或「/etc/hosts.equiv」進行安全驗證是否已經足夠了。
RhostsRSAAuthentication no
「RhostsRSA」設置是否允許用rhosts或「/etc/hosts.equiv」加上RSA進行安全驗證。
RSAAuthentication yes
「RSAAuthentication」設置是否允許只有RSA安全驗證。
PasswordAuthentication yes
「PasswordAuthentication」設置是否允許口令驗證。
PermitEmptyPasswords no
「PermitEmptyPasswords」設置是否允許用口令為空的帳號登錄。
AllowUsers admin
「AllowUsers」的後面可以跟著任意的數量的用戶名的匹配串(patterns)或user@host這樣的匹配串,這些字元串用空格隔開。主機名可以是DNS名或IP地址。