ssh配置文件

/etc/ssh/sshd_config

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::


Protocol 2      #ssh协议2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key      #私钥地址
#HostKey /etc/ssh/ssh_host_dsa_key


#KeyRegenerationInterval 1h         #设置多长时间后系统自动重新生成服务器的秘钥
#ServerKeyBits 1024     #服务器**的长度

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV     #设置在记录来自sshd的消息的时候，是否给出“facility code”
#LogLevel INFO      #日志等级

# Authentication:       #限制用户必须在指定的时限内认证成功

#LoginGraceTime 2m      #设定如果用户登录失败，在切断连接前服务器需要等待的时间，单位为妙
#PermitRootLogin yes    #允许roo登录
#StrictModes yes        #用来设置ssh在接收登录请求之前是否检查用户根目录和rhosts文件的权限和所有权，建议开启
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes      #是否开启RSA**验证，只针对SSH1
#PubkeyAuthentication yes   #设置是否开启公钥验证，如果使用公钥验证的方式登录时，则设置为yes
#AuthorizedKeysFile .ssh/authorized_keys    #设置公钥验证文件的路径
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no     #是否使用强可信主机认证(通过检查远程主机名和关联的用户名进行认证，仅用于ssh-1
# similar for protocol version 2
#HostbasedAuthentication no     #与 RhostsRSAAuthentication 类似，但是仅可以用于SSH-2。
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no        #用来设置ssh在进行RhostsRSAAuthentication安全验证时是否忽略用户的“/$HOME/.ssh/known_hosts”文件
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes       #设置验证的时候是否使用“~/.rhosts”和“~/.shosts”文件

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes     #是否开启密码验证
#PermitEmptyPasswords no        #是否允许空密码
PasswordAuthentication yes

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes        #是否允许质疑-应答(challenge-response)认证
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes

# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM no
UsePAM yes  #开启后，服务端会先根据客户端 IP进行 DNS PTR 反向查询，得到客户端主机名。再根据得到的客户端主机名进行 DNS 正向 A 记录查询，最后比对得到的 IP 与原始 IP 是否一致，用以防止客户端欺骗。但通常情况下，客户端使用的都是动态 IP，没有相应的 PTR 记录。所以，该特性开启后，不仅无法用于信息比对，反而由于相关查询操作增加了操作延迟，最终导致客户端连接速度变慢。

# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no       #是否允许X11转发
X11Forwarding yes
#X11DisplayOffset 10        #指定X11 转发的第一个可用的显示区(display)数字。默认值是 10 。可以用于防止 sshd 占用了真实的 X11 服务器显示区，从而发生混淆
#X11UseLocalhost yes
#PrintMotd yes      #设置sshd是否在用户登录时显示“/etc/motd”中的信息
#PrintLastLog yes   #是否显示上次登录信息
#TCPKeepAlive yes   ###是否持续连接，设置yes可以防止死连接，ssh发送 KeepAlive消息可以检测到死连接、连接不当关闭、客户端崩溃等异常。在这个情况下，任何一端死掉后，SSH可以立刻知道，而不会有僵尸程序的发生！
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes     #是否使用dns反向解析
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100      #设置同时允许几个尚未登入的联机，当用户连上ssh但并未输入密码即为所谓的联机
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem   sftp    /usr/libexec/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#   X11Forwarding no
#   AllowTcpForwarding no
#   ForceCommand cvs server

生产环境可用

Port 22
ListenAddress 172.22.0.28
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
AuthorizedKeysCommand /usr/bin/openssh-ldap-publickey
AuthorizedKeysCommandUser nobody
AuthorizedKeysFile    .ssh/authorized_keys
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024
LogLevel INFO
LoginGraceTime 120
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/libexec/openssh/sftp-server
UsePAM yes
UseDNS no
PermitRootLogin no
SyslogFacility AUTHPRIV
PasswordAuthentication no