IgnoreRhosts yes

To disable tunneled clear text passwords, change to no here!

設置是否允許口令驗證

PasswordAuthentication yes

設置是否允許使用空口令

PermitEmptyPasswords no

PasswordAuthentication yes

設置是否響應login.conf文件中規定的認證方式

ChallengeResponseAuthentication yes

ChallengeResponseAuthentication no

指定可以使用SSH的賬戶或組，賬戶名或用戶名用空格分隔

AllowUsers　hungws newham

AllowGroups　stu1 mont

指定不能使用SSH的賬戶列表，賬戶名用空格分隔

DenyUsers poite copper

DenyGroups jun cert

以下是Kerberos認證相關參數選項

KerberosAuthentication no

KerberosOrLocalPasswd yes

KerberosTicketCleanup yes

KerberosGetAFSToken no

GSSAPI（公共安全事務應用程序接口）配置參數項

設置是否允許使用基於 GSSAPI 的用戶認證

GSSAPIAuthentication no

GSSAPIAuthentication yes

設置是否在用戶退出登錄後自動銷毀用戶憑證緩存

GSSAPICleanupCredentials yes

GSSAPICleanupCredentials yes

設置是否支持PAM認證

UsePAM yes

設置客戶端的係統環境變量傳遞到會話中，可以使用通配符*和?

AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_PAPER

AcceptEnv LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT

AcceptEnv LC_IDENTIFICATION LC_ALL LC_MONETARY LC_MESSAGES

設置是否允許本地端口轉發，即將連接本地端口的數據轉發到遠程SSH服務器

AllowTcpForwarding yes

設置是否允許遠程主機連接本地的轉發端口，no表示連接到loopback端口

GatewayPorts no

設置圖形用戶終端界麵的參數項

X11Forwarding no

X11Forwarding yes

X11DisplayOffset 10

X11UseLocalhost yes

設置是否在用戶登錄時顯示/etc/motd中的歡迎信息

PrintMotd yes

設置是否顯示上次登錄信息

PrintLastLog yes

設置是否檢查TCP連接的有效性

TCPKeepAlive yes

是否使用login程序登錄

UseLogin no

設置是否使用特權分離。SSH服務端通過創建非特權子進程處理接入請求的方法進

行權限分離，目的是防止通過有缺陷的子進程提升權限，從而使係統更加安全

UsePrivilegeSeparation yes

設置是否使用客戶端環境變量

PermitUserEnvironment no

設置是否使用數據壓縮功能

Compression yes

指定在沒有接收到客戶的消息，通過加密通道發送信息的時間。0表示不發送消息

ClientAliveInterval 0

指定SSH斷開連接之前，在沒收到客戶響應時能夠發送client-alive消息的條數

ClientAliveCountMax 3

設置是否關閉SSH的補丁版本號

ShowPatchLevel no

設置是否對遠程主機名進行反向解析，以檢查主機名是否與其IP地址真實對應

UseDNS yes

設置sshd進程使用的pid文件

PidFile /var/run/sshd.pid

設置最大允許保持多少個未認證的連接

MaxStartups 10

設置是否允許SSH支持隧道設備轉發

PermitTunnel no

no default banner path

顯示登錄提示信息

Banner /some/path

配置一個外部的子係統，僅用於SSH2。本項設置開啟sftp服務

Subsystem sftp /usr/libexec/openssh/sftp-server

Example of overriding settings on a per-user basis

Match User anoncvs

X11Forwarding no

AllowTcpForwarding no

ForceCommand cvs server

（2）啟動或重啟SSH服務。

[root@vm ~]service sshd start

或

[root@vm ~]service sshd resstart

學藝錦囊

◎Open SSH安裝後，其默認的配置就能提供良好的SSH服務。如無特殊要求，強烈建議不必修改默認配置。

◎RSA和DSA（Digital Signature Algorithm，數字簽名算法）都是公開密鑰加密算法。在遠程服務器中，RSA算法生成的密鑰存放在/etc/ssh/ssh_host_rsa_key和/etc/ssh/ssh_host_rsa_key.pub中，DSA生成的密鑰存放在/etc/ssh/ssh_host_dsa_key和/etc/ssh/ssh_host_dsa_key.pub中，這兩對文件的所有者是root，前者存入私鑰，隻能由root讀寫，其他任何人不能讀取，文件權限應為600，後者存入公鑰，任何人可以讀取，隻有root可寫，文件權限為644。

◎文件~/.ssh/known_hosts存放遠程服務器主機密鑰的公鑰，它是客戶端本地係統管理員建立並提供給用戶使用的。該文件任何人可以讀取，但隻有root能寫入，該文件權限應為644。

二、從客戶端連接使用SSH服務

在Linux係統下的Open SSH套件提供了SSH的客戶端軟件，其中SSH用於遠程登錄，scp用於文件的安全複製，sftp用於訪問SSH提供的安全FTP服務器。而Windows係統沒有SSH客戶端，但可以使用第三方軟件商提供的SSH客戶端軟件（如PuTTY）來使用SSH服務。