ssh配置文件最佳实践(伪)

时间:2019-09-11
说明:以下配置是基于常用安全设置,并增加阿里云要求的安全参数而成
版本:第一版

# 1.监听相关
## 指定ssh端口
Port 1314
## 只监听网络协议
AddressFamily inet
## 只允许指定用户
AllowUsers  luogang jiepeng yanfa changqing mingzi jum-adm

# 2.日志相关
## 指定日志级别
LogLevel INFO
## 设置日志类型
SyslogFacility AUTHPRIV

# 3.认证相关
## 设置密码错误尝试次数
MaxAuthTries 5
## 禁止root账号登录
PermitRootLogin no
## 禁止密码登录
PasswordAuthentication no
## 公钥存放位置
AuthorizedKeysFile  .ssh/authorized_keys
## 输入密码等待时间
LoginGraceTime 60

# 4.其他认证相关配置
## 禁用GSSAPI认证方式(加速)
GSSAPIAuthentication no
## 不进行反向解析(加速)
UseDNS no
## 不允许应答认证方式
ChallengeResponseAuthentication no
# 配置ssh客户端超时时间(阿里云安全要求)
ClientAliveInterval 900 
ClientAliveCountMax 3
# 加载/etc/pam.d/sshd
UsePAM yes

# 5.协议和算法(阿里云安全要求)
## 强制使用V2安全协议
Protocol 2
## 指定SSH通信时使用的MAC算法类型
Ciphers aes256-ctr,aes192-ctr,aes128-ctr
## 指定SSH通信时可以使用的密码类型
MACs hmac-sha2-512,hmac-sha2-256

# 6.其他
## 禁用X11图形转发
X11Forwarding no
## sftp文件传输(默认)
Subsystem   sftp    /usr/libexec/openssh/sftp-server