当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 13 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-09-14 0:11 

注册: 2008-08-20 20:30
帖子: 33
送出感谢: 0 次
接收感谢: 1
需要安装的软件:openssl、openssh,这两个软件在core库中都有,直接用pacman安装即可。
安装完成之后开始配置SSH。编辑/etc/ssh/sshd_config文件,去掉一些注释修改一些值就行了,示例如附件中我的配置文件。
挑sshd_config文件中几个常用的选项稍微介绍一下,详细的说明可以man sshd_config来查看。
Port 一看就是开放的端口,可以更改端口,这样可以防止一些扫描软件的扫描,能略微增加一些安全性,但是连接的时候请指出连接端口,否则不能连上。
ListenAddress 用来指定监听IP,如果你的电脑上有多块网卡,可以用这个来指定一个网卡对应的IP。
Protocol 是指定SSH用的协议。SSH有两个协议,其中1被认为不安全,通常使用2。如果两个协议都要用,请在1和2之间用逗号分隔。
HostKey 系列用于指定主机私钥放置地址,可以看到有分别指定协议1和2。
KeyRegenerationInterval 是协议1中设置每隔一段时间重新建立一次公钥,以防止公钥被偷造成损失,实用协议2可以忽略这个参数。
ServerKeyBits 用于设置密钥长度,保持默认值。
SyslogFacility 是用于指定SSH的日志记录在什么daemon name下,默认的AUTH是指/var/log/secure。
LoginGaceTime 设置用户在连接上SSH时出现输入密码登录的画面的停留时间,时间单位为秒。
PermitRootLogin 指定是否允许root登录,SSH出于安全考虑默认是不允许root登录的,如果你非要允许就写yes吧,不过请设下更多安全策略来保护你的系统。
StrictModes 设置当用户的host key改变之后服务端就拒绝联机,可以抵挡部分木马。
MaxAuthTries 设置登录时密码尝试的最大次数,可以抵御居心不良者不停尝试密码。
MaxSessions 设置允许的最多同时连接数。
RSAAuthentication 选择是否使用纯RSA认证,这个设置只针对协议1。
PubkeyAuthentication 是否允许公钥,只针对协议2,这里要允许。
AuthorizedKeysFile 此处设置不需要密码登录的帐号,即这个帐号存放文件所在的文件名,很重要,文件名请牢记。
RhostsRSAAuthentication 专为协议1设置,实用rhosts文件在/etc/hosts.equiv配合RSA算法来认证,建议不使用。
HostbasedAuthentication 与上一个类似,不过专为协议2设置。
IgnoreUserKnownHosts 设置是否忽略默认目录内的~/.ssh/known_hosts文件中记录的主机内容,这里请不要忽略,设置为no。
IgnoreRhosts 忽略~/.ssh/.rhosts来认证,要取消。
PasswordAuthentication 密码验证,这当然是需要的,设置为yes。
PermitEmptyPasswords 是否允许以空密码登录,请设置为no来拒绝危险的空密码登录。
ChallengeResponseAuthentication 是否允许任何的密码认证,即任何login.conf规定的认证方式均可适用,不过还是通过PAM模块来管理认证比较合适一点,可以设置为no。
UsePAM 设置使用PAM来管理认证,建议设置为yes。
PrintMotd 设置登录后是否显示一些信息,即打印出/etc/motd文件的内容,考虑到安全可以设置为no。
PrintLastLog 设置登录时打印最后一次登录记录。
TCPKeepAlive 设置了yes的话服务端会传送KeepAlive信息给客户端以确保两者联机正常,有一端死掉的话SSH可以立刻知道并做出反应,避免僵尸程序。
UseLogin SSH下不接受login这个程序的登录。
UsePrivilegeSeparation 设置用户的权限,可以设为yes。
Compression 设置是否可以是用压缩命令,可以设置为yes。
PidFile 设置SSHD的pid文件放置位置。
MaxStartups 设置同时允许几个尚未登录的联机画面,就是指连接上之后还没输入密码登录时的状态,已经登录的不在这个限制中。

下面是Kerberos相关的设置,如果有Kerberos主机才需要设置,没有就不用了
KerberosAuthentication
KerberosOrLocalPasswd
KerberosTicketCleanup
KerberosGetAFSToken

下面两条是有关GSS的设置,不需要做什么
GSSAPIAuthentication
GSSAPICleanupCredentials

下面是关于X-window的设置,视个人情况来定
X11Forwarding
X11DisplayOffset
X11UseLocalhost

Subsystem sftp /usr/lib/ssh/sftp-server 这个是关于SFTP服务的设置,建议不要做更改。

设置完成之后就可以从远程登录了。
出于安全考虑,可以通过修改hosts.allow和hosts.deny文件来设置允许登录的IP及不允许登录的IP。
简单介绍一下通过hosts设置安全策略:
/etc/hosts.allow
加入下面格式的内容:
sshd:192.168.1.101, 192.168.1.102: allow
/etc/hosts.deny加入下面内容:
sshd : ALL : spawn (/bin/echo Security notice from host `/bin.hostname`;\
/bin/echo; /usr/sbin/safe_finger @%h ) | \
/bin/mail -s "%d -%h security" root@localhost & \
: twist (/bin/echo -e " WARNING connection not allowed.". )
当然,要执行这个操作还需要安装twisted包,这是一个异步网络框架的什么东西。
这样就允许了allow中的IP地址登录SSH,其他IP地址登录时将被拒绝。
如果你需要更安全的SSH,可以设置iptables搭建一个防火墙来保护你的主机。

一切配置好之后用命令启动SSH
代码:
/etc/rc.d/sshd start

如果需要开机自动启动,请将sshd加入到rc.conf的daemon中。

PS:我的博客站“傻东の学习笔记”重见天日啦!欢迎大家去看看,最近还在整理文章,很快就会把前面一些文章贴上去,并且贴几篇没发过的,欢迎去看看!


附件:
文件注释: 我的sshd_config文件,进攻参考!请自行去掉txt后缀
sshd_config.txt [3.08 KiB]
被下载 39 次


最后由 傻东 编辑于 2010-09-18 12:59,总共编辑了 2 次
页首
 用户资料  
 
2 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-09-14 1:14 
头像

注册: 2006-12-15 9:32
帖子: 1249
系统: linux
送出感谢: 2
接收感谢: 14
偶英文不行,进来学习,谢谢楼主的注解


页首
 用户资料  
 
3 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-09-14 13:31 
头像

注册: 2009-06-01 10:48
帖子: 575
地址: 杭州
送出感谢: 2
接收感谢: 2
不错!!! :em11


_________________
Linux/Unix命令行手册:Unix Toolbox
一位坛友推荐的学习Linux/Unix的好书:传送门
A life without passion resembles the shadow from a grave.


页首
 用户资料  
 
4 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-09-14 13:34 
头像

注册: 2007-05-06 2:46
帖子: 15634
送出感谢: 0 次
接收感谢: 2
学习学习

make


_________________
وإذا كان هذا لا يحصل أكثر من 100 ملاحظات ، انا ذاهب الى غضب


页首
 用户资料  
 
5 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-09-14 13:38 

注册: 2008-01-09 22:41
帖子: 18311
送出感谢: 0 次
接收感谢: 6
mark了

话说我装arch看的就是lz的手册


页首
 用户资料  
 
6 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-09-14 13:55 
头像

注册: 2008-02-17 23:47
帖子: 22120
地址: 美丽富饶的那啥星球
送出感谢: 11
接收感谢: 84
学习 :em11


_________________
明天就换大三八!
——8核CPU、8G内存、8T硬盘……
8卡交火,80寸大屏放8个……
IPv8的光纤要8条……

---------------------------------------------------------------------------------
[图片版]新手当自强(续)FAQ
[新手进阶]挂载、fstab、调整linux分区
[图片版]E17桌面环境配置手把手


页首
 用户资料  
 
7 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-09-14 15:29 
头像

注册: 2008-03-25 15:49
帖子: 25877
地址: 谁知道?
送出感谢: 8
接收感谢: 10
:em11


页首
 用户资料  
 
8 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-09-14 16:19 
头像

注册: 2009-03-18 18:47
帖子: 307
送出感谢: 0 次
接收感谢: 0 次
make学习
过段时间需要


_________________
唉,这么久了我还什么都不会,什么时候才能升级到菜鸟级别呢。。。
获得武功秘籍的方法
发现自己就是个2,cpufreq降频只降一个核


页首
 用户资料  
 
9 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-09-14 23:35 
头像

注册: 2008-07-21 9:44
帖子: 2371
地址: 深圳
送出感谢: 0 次
接收感谢: 0 次
学习了 :em11


_________________

My blog


页首
 用户资料  
 
10 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-09-15 13:27 

注册: 2009-10-31 12:00
帖子: 132
送出感谢: 0 次
接收感谢: 0 次
强烈学习了。 :em03


页首
 用户资料  
 
11 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-12-20 18:15 
头像

注册: 2008-11-07 12:48
帖子: 3
送出感谢: 0 次
接收感谢: 0 次
:em11
good good study;
day day up;


页首
 用户资料  
 
12 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-12-24 12:14 

注册: 2008-10-28 15:59
帖子: 48
送出感谢: 0 次
接收感谢: 2
学习 :em05


页首
 用户资料  
 
13 楼 
 文章标题 : Re: (原创)Arch Linux搭建SSH环境
帖子发表于 : 2010-12-24 12:37 
头像

注册: 2009-10-09 12:54
帖子: 989
地址: 北京某胡同
系统: debian
送出感谢: 4
接收感谢: 2
mark!! :em11


_________________
python写的一个跨平台的聊天软件TChat。支持文件传输。
android防火墙droidwall更新,添加月流量统计功能。有兴趣的点我:D
原创Android社交应用[飘],开源免费!


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 13 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 4 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译