介绍 这篇指南由浅入深的介绍属于标准">Ubuntu OpenSSH服务的默认配置和高级设置。这篇文章将详细论述server-side(服务器端)配置指导,并解释了利用Rivest Shamir Adleman (RSA) 算法(注1)生成密钥登陆 OpenSSH 服务器与明文密码的区别.附加的资源为OpenSSH 索引在指南部分。
适当的设定这篇文章里的参数 ,读者应该是一个善于使用命令行程序的Ubuntu用户,使用bash环境,并在基于控制台的文本编辑器程序里把系统配置文件编辑成他们的首选设置,另 外,读者应该知道如何启动和关闭系统,并且基本的了解OpenSSH 程序包的安装,及其目的。
OpenSSH OpenSSH是一种可以自由获得的安全Shell (SSH)协议族工具用来操作控制电脑,或在电脑之间传送文件。传统的工具要完成这样的功能得使用telnet(终端仿真协议),或极不安全的rcp(注 2),并由此来传送用户的密码口令。OpenSSH 提供一种无交互后台程序服务,和可以容易使用的用户工具,来加密远程控制装置,和传输文件操作,由此来代替原来的类似服务。
OpenSSH 服务,SSH,是作为代表性地独立守护程序,然而如果愿意的话也可以让该服务成为按需访问的策略(as- needed basis)的网络守护进程,来监视一些网络请求的守护进程(注3),或更进一步的扩展网络守护进程,或同等安全的, xinetd(注 4)。OpenSSH 服务配置经过 file /etc/ssh/sshd_config 目录创建。这部分内容将讨论默认安装配置文件,和告诉他们如 何做某些修改来得到更安全的 sshd。首先来看默认设置(in italics, such as Port 22)的简单说明,根据建议设置 (in bold, such as Protocol 2)介绍来增强安全防护。
给你的OpenSSH 安装中改变 sshd的结构,首先制做备份你的原始 /etc/ssh/sshd_config 文件,在终端shell中输入下列命令:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.original
你可以随意的选择保存原始文件的存取模式 使用下列命令:
sudo chmod a-w /etc/ssh/sshd_config.original
以这样备份配置文件的方式被认为是最好的练习管理你的Ubuntu GNU/Linux system的方法。如果因为一些原因你需要恢复到原始 的配置,你可以很方便的,并且无论何时你造成一个错误,或执行了无法返回的错配置应用程序,你将总是可以返回到你的原始文件,以提供你在返回它(原始配置 文件)之前已经向后支持它。
现在你已经保存了原始的 /etc/ssh/sshd_config 文件,你可以修改或替换文件的默认值和设定,和建议设定。在你改变任何设定到产生任何结果,你必须保存 /etc/ssh/sshd_config 文件,和重新启动 sshd 使用下命令:
sudo /etc/init.d/ssh restart
建议 OpenSSH 服务设定
Ubuntu的OpenSSH的实现使用的默认 /etc/ssh/sshd_config 配置文件比其他GNU linux发行版还要更安全。但是还可以进一步提高现有的安全程度,而且那些建议在这里实被提到。在特别情况下一些变化对你可能是不适当的。使用提供的设 置来做出最有利的安全性抉择,还有你环境的可用性。
登录
登录级别 信息
默认设定允许 sshd 记录 AUTH 设备的syslog(系统日志),在信息级别。如果使用默认设置的 ssh 远程访问你的Ubuntu电脑,你应该考虑直接抛出 LogLevel的日志详细级别给VERBOSE,因为这样你可以获得详细的关于所有企图和成功ssh登记。
详细登录级别
现在所有ssh 登记程序详情,和可能的登录程序将记录在你的AUTH上下文中/var/log/auth.log logfile 详细方式。