Zarejestruj się na BitBay.net
Home > Linux > Konfiguracja daemona SSHD

Konfiguracja daemona SSHD

Sshd jest demonem, który nasłuchuje na porcie 22 i czeka na połączenia żądane przez klientów. Uruchamia on osobne demony dla każdego z połączeń. Każdy z nich ma oddzielne dane dotyczące kodowania, autoryzacji wykonywanych komend i plików. Do transmisji używa protokołu SSH. W ścisłym znaczeniu SSH to tylko następca protokołu [[Telnet]], służącego do terminalowego łączenia się ze zdalnymi komputerami. SSH różni się od Telnetu tym, że transfer wszelkich danych jest zaszyfrowany oraz możliwe jest rozpoznawanie użytkownika na wiele różnych sposobów. W szerszym znaczeniu SSH to wspólna nazwa dla całej rodziny protokołów, nie tylko terminalowych, lecz także służących do przesyłania plików ([[SCP]], [[SFTP]]), zdalnej kontroli zasobów, tunelowania i wielu innych zastosowań. Wspólną cechą wszystkich tych protokołów jest identyczna z SSH technika szyfrowania danych i rozpoznawania użytkownika. Obecnie protokoły z rodziny SSH praktycznie wyparły wszystkie inne „bezpieczne” protokoły, takie, jak np. [[Rlogin]] czy [[RSH]].

Edytuj plik /etc/ssh/sshd_config:

#portu i protokołów.
#portu lepiej nie zmieniać, protokół można ustawić tylko na 2 dla bezpieczeństwa
Port 22
Protocol 2,1

#możemy ale nie musimy określać na jakim IP SSHD ma prowadzić nasłuch,
#możemy pozostawić: ListenAddress ::
ListenAddress 10.0.0.2

#jeśli mamy własne klucze i certyfikaty, tu możesz je wprowadzić
HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 963
LoginGraceTime 600
KeyRegenerationInterval 3600

#możliwość logowania się do zdalnego systemu jako root
PermitRootLogin yes

#ignorowanie zawartośCi plików:  ~/.rhosts i  ~/.shosts
IgnoreRhosts yes

#każdy użytkownik systemu może stworzyć w swoim katalogu domowym plik znanych serwerów
#( ~/.ssh/known_hosts)
#poniższa opcja zignoruje te wpisy przy RhostsRSAAuthentication
IgnoreUserKnownHosts yes

#ograniczenia zdalnych użytkowników
StrictModes yes
X11Forwarding no
X11DisplayOffset 10

#wyświetlanie zawartośCi plik /etc/motd
PrintMotd yes

#podtrzymywania połączeń
KeepAlive yes

#opcje logowania
SyslogFacility AUTHPRIV
LogLevel INFO

#opcję rhostów(domyślne są wystarczające)
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes

#opcje haseł
PasswordAuthentication yes
PermitEmptyPasswords no

#automatyczna autentyfikacja przy użyciu kluczy PAM
ChallengeResponseAuthentication no

#sprawdzanie skrzynki tuż po zalogowaniu
CheckMail yes

#UseLogin no
#MaxStartups 10:30:60

#plik wyświetlany przed zalogowaniem,
#jeśli nie jest włączony, po połączeniu się z naszym hostem widnieć będzie tylko
#napis: login
Banner /etc/issue.net

#ReverseMappingCheck yes

#pod system dostępny z SSH
Subsystem       sftp    /usr/libexec/openssh/sftp-server
Kategorie:Linux Tagi:,
  1. Listopad 27th, 2008 at 09:35 | #1

    „który nasłuchuje na kanale 22” chyba bardziej poprawnie będzie port 22

  2. Listopad 27th, 2008 at 19:10 | #2

    Racja 🙂 Już poprawiłem.

  3. cyberwolf
    Marzec 25th, 2011 at 16:48 | #3

    Hej mistrzu, nie chcę krytykować, tym bardziej że post jest stary ale ten konfig wymaga poprawki.
    PermitRootLogin no – bo po co logować się z roota jak możesz userem korzystać z su i sudo?
    I po co koniecznie port 22? Czy nie można sobie dać np 2222 – myślę że to zawsze choć trochę wpłynie na poprawę bezpieczeństwa.
    Poza tym to już trochę się zdezaktualizowało 😉

  4. Marzec 25th, 2011 at 20:56 | #4

    Tak masz rację 🙂

  1. Lipiec 16th, 2010 at 11:13 | #1
  2. Luty 2nd, 2013 at 13:55 | #2

*