网站首页 > 技术文章正文

CentOS7系统下/etc/ssh/sshd_config文件解释

nanyue 2024-11-04 13:08:46 技术文章 3 ℃

深入解析 CentOS 7 中的/etc/ssh/sshd_config配置文件

在 CentOS 7 中，/etc/ssh/sshd_config 文件是 OpenSSH 服务器的核心配置文件，用于设置 SSH 服务的各种参数。正确配置该文件可以有效增强系统的安全性和可用性。本文将详细解析常见的配置项，并提供相应的示例和解释。

常见配置项详解

1.端口设置：Port

指定 SSH 服务器监听的 端口号，默认值为 22。修改该值可以增强安全性，避免被常见的扫描攻击。

Port 2222

解释：将 SSH 服务的端口改为 2222，需要确保防火墙和 SELinux 已允许该端口。

2.禁止 root 登录：PermitRootLogin

控制是否允许 root 用户 通过 SSH 登录。

PermitRootLogin no

解释：设置为 no 后，禁止 root 用户直接远程登录，提高系统安全性。建议创建普通用户并授予必要的权限。

3.密码认证：PasswordAuthentication

决定是否允许使用密码进行身份验证。

PasswordAuthentication no

解释：设置为 no，强制使用密钥认证，增强身份验证的安全性。需确保已配置好公钥认证。

4.公钥认证：PubkeyAuthentication

控制是否启用 公钥身份验证。

PubkeyAuthentication yes

解释：设置为 yes，允许使用公钥进行认证，配合禁用密码认证，提高安全性。

5.允许空密码：PermitEmptyPasswords

决定是否允许用户使用 空密码 登录。

PermitEmptyPasswords no

解释：保持为 no，禁止使用空密码登录，确保用户必须设置密码。

6.指定允许登录的用户和组：AllowUsers和AllowGroups

限制哪些用户或 用户组 可以通过 SSH 登录。

AllowUsers user1 user2
AllowGroups sshusers

解释：仅允许 user1、user2 和属于 sshusers 组的用户登录。

7.DNS 反向解析：UseDNS

指定是否对客户端进行 DNS 反向解析。

UseDNS no

解释：设置为 no 可以加快 SSH 连接速度，特别是在没有有效 DNS 的环境中。

8.最大认证尝试次数：MaxAuthTries

设置一次 SSH 会话中允许的 最大身份验证尝试次数。

MaxAuthTries 3

解释：将默认的 6 次尝试减少为 3 次，有助于防范暴力破解攻击。

配置修改流程

为了安全地修改 sshd_config 文件，建议按照以下步骤进行：

备份原始配置文件
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
解释：创建配置文件的备份，以便在出现问题时恢复。
编辑配置文件
vi /etc/ssh/sshd_config
解释：使用 vi 编辑器打开配置文件，进行必要的修改。
检查配置文件语法
sshd -t
解释：验证配置文件的语法是否正确，避免因配置错误导致服务无法启动。
重新加载 SSH 服务
systemctl restart sshd
解释：重启 SSH 服务以使配置更改生效。

注意事项 ??

防火墙设置：修改 SSH 端口后，需要更新 防火墙规则。
firewall-cmd --permanent --add-port=2222/tcp firewall-cmd --reload
解释：开放新的 SSH 端口并重新加载防火墙配置。
SELinux 设置：如果启用了 SELinux，需要添加新的端口上下文。
semanage port -a -t ssh_port_t -p tcp 2222
解释：为 SELinux 添加 SSH 服务的新端口上下文。

常见问题解答 ?

Q1：修改 SSH 端口后无法连接？

可能原因：

防火墙未开放新端口
SELinux 未添加新端口上下文
SSH 服务未正确重启

解决方法： 检查上述配置并确保正确应用。

Q2：禁用密码认证后无法登录？