Настройка файла “/etc/ssh2/sshd2_config”.
Файл “/etc/ssh2/sshd2_config” это конфигурационный файл для SSH2, действующий в масштабах системы, который определяет опции изменяющие действия демона. Он содержит пары ключ-значение, одну на строку, не зависящие от регистра. Здесь описаны наиболее важные ключи влияющие на безопасность sshd; полный список вы можете найти в man странице для sshd2 (8).
Редактируйте файл sshd2_config (vi /etc/ssh2/sshd2_config) и добавьте/или измените следующие параметры: # sshd2_config # SSH 2.0 Server Configuration File *: Port 22 ListenAddress 192.168.1.1 Ciphers blowfish IdentityFile identification AuthorizationFile authorization HostKeyFile hostkey PublicHostKeyFile hostkey.pub RandomSeedFile random_seed ForwardAgent no ForwardX11 no PasswordGuesses 3 MaxConnections 5 PermitRootLogin no AllowedAuthentications publickey,password RequiredAuthentications publickey,password VerboseMode no PrintMotd yes CheckMail yes UserConfigDirectory "%D/.ssh2" SyslogFacility DAEMON Ssh1Compatibility no NoDelay yes KeepAlive yes UserKnownHosts yes AllowHosts 192.168.1.4 DenyHosts * QuietMode no # subsystem definitions subsystem-sftp sftp-server
Port 22
Опция “Port” определяет какой порт слушает ssh2 демон для входящих соединений. По умолчанию - 22.
ListenAddress 192.168.1.1
Опция “ListenAddress” определяет IP адрес интерфейса к которому подключен сокет ssh демона. По умолчанию это “0.0.0.0”; для улучшения безопасности вы можете ограничиться только одним адресом.
Ciphers blowfish
Опция “Ciphers” определяет какой шифр должен быть использован для шифрования сессии. blowfish использует 64-битные блоки и ключи до 448 бит.
IdentityFile identification
Опция “IdentityFile” определяет альтернативное имя для идентификационного файла пользователей.
AuthorizationFile authorization
Опция “AuthorizationFile” задает альтернативное имя для файла полномочий пользователей (user's authorization file).
HostKeyFile hostkey
Опция “HostKeyFile” определяет место содержащее приватный ключ сервера. По умолчанию “/etc/ssh2/hostkey”.
PublicHostKeyFile hostkey.pub
Опция “PublicHostKeyFile” определяет альтернативный файл содержащий публичный ключ сервера. По умолчанию - “/etc/ssh2/hostkey.pub”.
RandomSeedFile random_seed
Опция “RandomSeedFile” определяет альтернативное имя для пользовательского файла с начальным числом для генерации псевдослучайных чисел (random seed file).
ForwardAgent no
Опция “ForwardAgent” определяет какой агент установления подлинности соединения должен быть направлен на удаленную машину.
ForwardX11 no
Опция “ForwardX11” определяет должен ли сервер перенаправлять X11 пакеты или нет. Так как мы установили сервер без GUI, то эту опцию устанавливаем в no.
PasswordGuesses 3
Опция “PasswordGuesses” определяет как много попыток имеет пользователь, чтобы ввести имя и пароль, при парольной аутентификации.
MaxConnections 5
Опция “MaxConnections” определяет максимальное число одновременных соединений, которыми демон ssh2 может управлять.
PermitRootLogin no
Опция “PermitRootLogin” определяет может ли root подключаться, используя ssh. Никогда не говорите “yes” в этой опции.
AllowedAuthentications publickey,password
Опция “AllowedAuthentications” определяет какие виды аутентификации разрешено использовать. С этой опцией администратор может вынуждать пользователей заканчивать несколько аутентификаций прежде чем они расссматриваются как заверенные.
RequiredAuthentications publickey,password
Опция “RequiredAuthentications” связана с “AllowedAuthentications”, определяет какие метода аутентификации пользователь должен завершить прежде чем продолжить свою работу. Этот параметр должен иметь те же значения, что и “AllowedAuthentications” или сервер будет все время запрещать соедиенния.
VerboseMode no
Опция “VerboseMode” заставляет демон ssh2 печатать отладочные сообщения о ходе его работы. Эта опция полезна при отладочных соединениях и проблемах с настройками.
PrintMotd yes
Опция “PrintMotd” определяет должен ли ssh2 демон печатать содержимое файла “/etc/motd”, когда пользователь входит на сервер. Файл “/etc/motd” также известен как “сообщение дня”.
CheckMail yes
Опция “CheckMail” определяет должен ли ssh2 демон печатать информацию о новой почте, которая пришла пользователю.
UserConfigDirectory "%D/.ssh2"
Опция “UserConfigDirectory” определяет месторасположение конфигурационных данных пользователей.
SyslogFacility DAEMON
Опция “SyslogFacility” определяет с какого средства (facility) поступают сообщения в syslog от sshd2. facility представляет подсистему, которая создает сообщение, в нашем случае DAEMON.
Ssh1Compatibility no
Опция “Ssh1Compatibility” определяет будут ли использоваться SSH1 совместимые коды в SSH2 для пользователей ssh1.
NoDelay yes
Опция “NoDelay” определяет, что опция сокета TCP_NODELAY должна быть включена. Рекомендуется установить ее в “yes” для улучшения сетевой производительности.
KeepAlive yes
Опция “KeepAlive” определяет должна ли система отправлять keep alive сообщения на удаленный сервер. Если эта опция установлена в “yes”, то в случае разрыва соединения или аварийного отказа удаленной машины будет получено корректное извещение.
UserKnownHosts yes
Опция “UserKnownHosts” определяет может ли быть использован домашний каталог пользователя “$HOME/.ssh2/knownhosts/” для получения публичного ключа хоста, когда используется "hostbased"-аутентификация.
AllowHosts 192.168.1.4
Опция “AllowHosts” определяет и контролирует какие компьютеры имеют доступ к ssh2 сервису. Несколько хостов, разделенных пробелами, может быть перечислено.
DenyHosts *
Опция “DenyHosts” определяет и контролирует какие хосты не имеют доступа к ssh2 сервису. Несколько хостов, разделенных пробелами, может быть перечислено. По умолчанию шаблон “*” означает все компьютеры.
QuietMode no
Опция “QuietMode” определяет будет ли система запущена в тихом режиме. Эта опция должна быть установлена в “no”, потому что в бесшумном режиме, никакой информации не заносится в с системные журналы регистрации, за исключением фатальных ошибок. Так как мы хотим иметь информацию о пользовательских сессиях, нам надо установить опцию в “no”.
