前言：SSH（全稱 Secure Shell)是一種加密的網(wǎng)絡(luò)協(xié)議。使用該協(xié)議的數(shù)據(jù)將被加密，即使在傳輸中間數(shù)據(jù)泄漏，也可以確保沒有人能讀取出有用信息。SSH 是基于客戶-服務(wù)模式的。 當(dāng)你想安全的遠(yuǎn)程連接到主機(jī)，可中間的網(wǎng)絡(luò)（比如因特網(wǎng)）并不安全，通常這種情況下就會(huì)使用 SSH。

****安裝ssh客戶端****

sudo apt-get install ssh

或者

sudo apt-get install openssh-client    #推薦

****安裝ssh服務(wù)端****

sudo apt-get install openssh-server

****改變ssh服務(wù)器端的狀態(tài)****

sudo service ssh start    #開啟

sudo service ssh stop     #停止

sudo service ssh restart    #重啟

****SSH連接常用命令****

ssh 172.16.168.111    #無參數(shù)運(yùn)行ssh

ssh alic@172.16.168.111    #指定用戶

ssh alic@172.16.168.111 -p 22    #指定端口

ssh -i privateKey.file alic@172.16.168.111     #引用秘鑰文件

****修改sshd_config配置文件****

sudo nano /etc/ssh/sshd_config

****SSH基礎(chǔ)設(shè)置****

• Port 22
  端口設(shè)置：SSH 預(yù)設(shè)使用 22 這個(gè) port，您也可以使用多的 port

• Protocol 2,1
  版本設(shè)置：選擇的 SSH 協(xié)議版本，可以是 1 也可以是 2

• ListenAddress 0.0.0.0
  監(jiān)聽的主機(jī)適配卡設(shè)置：默認(rèn)為任何回環(huán)地址，ListenAddress:192.168.0.100

• PrintMotd no
  登入后是否顯示出一些信息呢？例如上次登入的時(shí)間、地點(diǎn)等，預(yù)設(shè)是 yes ，但是，如果為了安全，可以考慮改為 no ！

• PrintLastLog yes　　　　　
  顯示上次登入的信息！可以??！預(yù)設(shè)也是 yes ！

• KeepAlive yes　　　　　　
  一般而言，如果設(shè)定這項(xiàng)目的話，那么 SSH Server 會(huì)傳送KeepAlive 的訊息給 Client 端，以確保兩者的聯(lián)機(jī)正常！在這個(gè)情況下，任何一端死掉后， SSH 可以立刻知道！而不會(huì)有僵尸程序的發(fā)生！

• UsePrivilegeSeparation yes
  使用者的權(quán)限設(shè)定項(xiàng)目,就設(shè)定為 yes

• MaxStartups 10　　　　　　
  同時(shí)允許幾個(gè)尚未登入的聯(lián)機(jī)畫面？當(dāng)我們連上 SSH ,但是尚未輸入密碼時(shí)，這個(gè)時(shí)候就是我們所謂的聯(lián)機(jī)畫面啦！在這個(gè)聯(lián)機(jī)畫面中，為了保護(hù)主機(jī)，所以需要設(shè)定最大值，預(yù)設(shè)最多十個(gè)聯(lián)機(jī)畫面，而已經(jīng)建立聯(lián)機(jī)的不計(jì)算在這十個(gè)當(dāng)中

• PidFile /var/run/sshd.pid
  可以放置 SSHD 這個(gè) PID 的檔案！左列為默認(rèn)值

• LoginGraceTime 600
  當(dāng)使用者連上 SSH server 之后，會(huì)出現(xiàn)輸入密碼的畫面,在該畫面中，在多久時(shí)間內(nèi)沒有成功連上 SSH server ,時(shí)間為秒！

• Compression yes
  是否允許使用壓縮指令

• HostKey /etc/ssh/ssh_host_key　　　　
  SSH version 1 使用的私鑰

• HostKey /etc/ssh/ssh_host_rsa_key　　
  SSH version 2 使用的 RSA 私鑰

• HostKey /etc/ssh/ssh_host_dsa_key　　
  SSH version 2 使用的 DSA 私鑰

• KeyRegenerationInterval 3600　 　　　
  由前面聯(lián)機(jī)的說明可以知道， version 1 會(huì)使用

• PermitRootLogin no　　 　　
  是否允許 root 登入！預(yù)設(shè)是允許的，但是建議設(shè)定成 no！

• UserLogin no　　　　　　　
  在 SSH 底下本來就不接受 login 這個(gè)程序的登入！

• StrictModes yes
  當(dāng)使用者的 host key 改變之后，Server 就不接受聯(lián)機(jī)，　　　　　　　　　　　　　
  可以抵擋部分的木馬程序！

• RSAAuthentication yes　　
  是否使用純的 RSA 認(rèn)證！僅針對 version 1

• PubkeyAuthentication yes　
  是否允許 Public Key ？當(dāng)然允許啦！只有 version 2

• AuthorizedKeysFile .ssh/authorized_keys　　　　　　　　　　　　　
  上面這個(gè)在設(shè)定若要使用不需要密碼登入的賬號時(shí)，那么那個(gè)　　　　　　　　　　　　　
  賬號的存放檔案所在檔名！

****SSH認(rèn)證部分****

• RhostsAuthentication no
  本機(jī)系統(tǒng)不止使用 .rhosts ，因?yàn)閮H使用 .rhosts 太　　　　　　　　　　　　　
  不安全了，所以這里一定要設(shè)定為 no ！

• IgnoreRhosts yes　　　　　
  是否取消使用 ~/.ssh/.rhosts 來做為認(rèn)證！當(dāng)然是！

• RhostsRSAAuthentication no
  這個(gè)選項(xiàng)是專門給 version 1 用的，使用 rhosts 檔案在　　　　　　　　　　　　　
  /etc/hosts.equiv配合 RSA 演算方式來進(jìn)行認(rèn)證！不要使用

• HostbasedAuthentication no
  這個(gè)項(xiàng)目與上面的項(xiàng)目類似，不過是給 version 2 使用的！

• IgnoreUserKnownHosts no　　
  是否忽略家目錄內(nèi)的 ~/.ssh/known_hosts 這個(gè)檔案所記錄　　　　　　　　　　　　　
  的主機(jī)內(nèi)容？當(dāng)然不要忽略，所以這里就是 no 啦！

• PasswordAuthentication yes
  密碼驗(yàn)證當(dāng)然是需要的！所以這里寫 yes 啰！

• PermitEmptyPasswords no　　
  若上面那一項(xiàng)如果設(shè)定為 yes 的話，這一項(xiàng)就最好設(shè)定　　　　　　　　　　　　　
  為 no ，這個(gè)項(xiàng)目在是否允許以空的密碼登入！當(dāng)然不許！

• ChallengeResponseAuthentication yes
  挑戰(zhàn)任何的密碼認(rèn)證！所以，任何 login.conf 　　　　　　　　　　　　　　　　　　
  規(guī)定的認(rèn)證方式，均可適用！

• PAMAuthenticationViaKbdInt yes
  是否啟用其它的 PAM 模塊！啟用這個(gè)模塊將會(huì)　　　　　　　　　　　　　　　　　　
  導(dǎo)致 PasswordAuthentication 設(shè)定失效！

****關(guān)于使用者抵擋的設(shè)定項(xiàng)目****

• DenyUsers *　　　　　　　
  設(shè)定受抵擋的使用者名稱，如果是全部的使用者，那就是全部擋吧！若是部分使用者，可以將該賬號填入！例如下列！

• DenyUsers testDenyGroups test　　　　　
  與 DenyUsers 相同！僅抵擋幾個(gè)群組而已！