CentOS 7 SSH常用配置

sshd_config 常用配置

# 查看是否安装OpenSSH
yum list installed | grep openssh
# CentOS安装OpenSSH客户端和服务端
yum install -y openssh-server openssh-clients

配置文件路径：/etc/ssh/sshd_config

• Port 端口号，默认22

• ListenAddress 监听（绑定）IP地址，0.0.0.0监听所有IPv4地址。::是IPv6的地址不需要改

• Protocol ssh协议版本；1或2，建议设置为最新版本

• HostKey 私人密钥的文件，不建议修改

  HostKey /etc/ssh/ssh_host_rsa_key
  HostKey /etc/ssh/ssh_host_dsa_key
  HostKey /etc/ssh/ssh_host_ecdsa_key
  HostKey /etc/ssh/ssh_host_ed25519_key
  

• LoginGraceTime 登录超时时间，限定时间内未登录成功则断开连接(单位：秒)

• PermitRootLogin 是否允许root登录【可选项yes/no】

• PasswordAuthentication 是否使用密码验证【可选项yes/no】

• PermitEmptyPasswords 是否允许空密码的用户登录【可选项yes/no】

• HostbasedAuthentication 是否允许登录者使用主机名和用户名进行身份验证，而不仅是用户名和密码或公钥【可选项yes/no】

• IgnoreUserKnownHosts 是否忽略公钥验证，设置为 yes 时，SSH 客户端将不会检查用户家目录下的 .ssh/known_hosts 文件中的公钥信息，即使这些信息与远程服务器提供的公钥不匹配，也不会发出警告。这降低了 SSH 连接的安全性，因为它允许用户绕过对远程服务器身份的验证。【可选项yes/no】

• ChallengeResponseAuthentication 是否允许使用挑战-响应（Challenge-Response）认证机制【可选项yes/no】

  当 ChallengeResponseAuthentication 设置为 yes 时，SSH 服务器将允许使用挑战-响应认证方式，这种方式要求客户端在响应服务器的挑战时提供正确的信息（如一次性密码、动态令牌等）。这增加了认证过程的安全性，因为即使密码被截获，也无法用于未来的认证尝试，因为挑战和响应是动态变化的。

• ClientAliveInterval 心跳检测周期（单位 秒）

• ClientAliveCountMax 最大心跳检测次数

  # 服务器每300秒向“连接状态客户端”发送一个“存活”消息。服务器连续发送了3次消息，客户端均未响应，服务器则断开此连接
  ClientAliveInterval 300
  ClientAliveCountMax 3
  

• PrintMotd 是否打印登录提示，提示信息存储在/etc/moed文件中【可选项yes/no】

• PrintLastLog 是否打印上次登录信息【可选项yes/no】

• UseDNS 是否允许DNS反向解析【可选项yes/no】