Linux ssh服务常用配置的详细描述及建议配置

配置文件： /etc/ssh/sshd_config

1、AddressFamliy    any；支持那IP协议；比如ipv4,ipv6,；默认 any；
2、Port  22    ：SSH端口号配置，默认22;
3、Protocol 2 ；   SSH协议的2版本，推荐2版本
4、LoginGraceTime  2m; 输入密码时的等待时长默认2分钟，超出则断开会话；
5、ListenAddress  IP：监听哪个IP，默认监听所有IP；
6、PermitRootlogin  YesNo: 控制root账号以密码方式登录；
7、PermitEmptyPasswords  No：控制空密码登录
8、PasswordAuthentication  Yes：建议禁止密码登录，使用key验证登录
9、Gatewayports  YesNo:端口转发功能；
10、StrickHostKeyChecking  AskNo；登录询问；
11、MaxAuthTries  6 ；密码最多试错次数，是设置数值的一半次数；
12、MaxSessions  10；同一个会话的连接次数；默认10个；
13、PubkeyAuthentication  yes ;公钥的身份验证开启；
14、Banner /path/file ；用户SSH登录前的提示信息；
15、ClientAliveInterval 30: 默认0永久连接，可自定义无操作等待时间；
16、ClientAliveCountMax  0：
        表示服务器发出请求客户端没有响应的次数达到一定值,就自动断开. 正常情
    况下,客户端不会不响应。 一般15和16两项同时配合设置，设置用户多久没有
    操作服务器，则自动退出服务器会话；
17、UseDNS No : DNS解析；
18、GSSAPIAuthentication no；
    SSh连接优化，建议配置17和18两项。
19、Maxstartup: 10:30:100：支持10个并发连接，超过10个，以30%概率拒绝，超过60%的并发则全部拒绝；
20、AllowUsers  user1 user2 user3;允许用户登录，其他人拒绝；
21、DenyUsers  user1 user2 :拒绝用户登录；
 AllowUsers和DenyUsers 只能配置一个，若设置允许用户，其他用户都不
 能登录，若设置拒绝用户，则其他用户都可以登录；
22、AllowGroups ：允许组访问，如果没有可以添加；
23、DenyGroups ：拒绝组访问，如果没有可以添加；

建议优化配置：

1、建议使用非默认端口
2、禁止使用protocol version 1
3、限制可登录用户
4、设定空闲会话超时时长
5、利用防火墙设置ssh访问策略
6、仅监听特定的IP地址
7、基于口令认证时，使用强密码策略
8、使用基于密钥的认证
9、禁止使用空密码
10、禁止root用户直接登录
11、限制ssh的访问频度和并发在线数
12、DNS和GSSAPIAuthentication no

提醒：关注系统分析日志

修改配置重新加载配置建议两种方式

1、systemctl reload sshd
2、systemctl restart sshd

关注系统安全系统文件

/var/log/secure