sshd_config配置詳解

重啟SSH服務(wù)

service sshd restart

名稱??? sshd_config- OpenSSH SSH
服務(wù)器守護(hù)進(jìn)程配置文件

大綱?? /etc/ssh/sshd_config

描述??
??????? sshd(8) 默認(rèn)從/etc/ssh/sshd_config文件(或通過-f命令行選項指定的文件)讀取配置信息。? ?
??????? 配置文件是由"指令 值"對組成的丐枉，每行一個定罢。空行和以'#'開頭的行都將被忽略脐雪。? ?
??????? 如果值中含有空白符或者其他特殊符號，那么可以通過在兩邊加上雙引號(")進(jìn)行界定。? ?
??????? [注意]值是大小寫敏感的吐限，但指令是大小寫無關(guān)的忽刽。? ?

當(dāng)前所有可以使用的配置指令如下：

AcceptEnv

指定客戶端發(fā)送的哪些環(huán)境變量將會被傳遞到會話環(huán)境中天揖。
[注意]只有SSH-2協(xié)議支持環(huán)境變量的傳遞。? ? ? ? ? ?
細(xì)節(jié)可以參考 ssh_config(5) 中的SendEnv配置指令跪帝。? ? ? ? ? ?
指令的值是空格分隔的變量名列表(其中可以使用'*'和'?'作為通配符)今膊。也可以使用多個?? AcceptEnv達(dá)到同樣的目的。? ? ? ? ? ?
需要注意的是伞剑，有些環(huán)境變量可能會被用于繞過禁止用戶使用的環(huán)境變量斑唬。由于這個原因，該指令應(yīng)當(dāng)小心使用黎泣。默認(rèn)是不傳遞任何環(huán)境變量恕刘。

AddressFamily

指定 sshd(8) 應(yīng)當(dāng)使用哪種地址族。取值范圍是："any"(默認(rèn))抒倚、"inet"(僅IPv4)褐着、"inet6"(僅IPv6)。

AllowGroups

這個指令后面跟著一串用空格分隔的組名列表(其中可以使用"*"和"?"通配符)托呕。默認(rèn)允許所有組登錄献起。? ? ? ? ? ?
如果使用了這個指令，那么將僅允許這些組中的成員登錄镣陕，而拒絕其它所有組谴餐。? ? ? ? ??
這里的"組"是指"主組"(primary group)，也就是/etc/passwd文件中指定的組呆抑。? ? ? ? ? ?
這里只允許使用組的名字而不允許使用GID岂嗓。相關(guān)的 allow/deny 指令按照下列順序處理：DenyUsers,AllowUsers,DenyGroups,AllowGroups

AllowTcpForwarding

是否允許TCP轉(zhuǎn)發(fā)，默認(rèn)值為"yes"鹊碍。? ? ? ? ? ?
禁止TCP轉(zhuǎn)發(fā)并不能增強安全性厌殉，除非禁止了用戶對shell的訪問食绿，因為用戶可以安裝他們自己的轉(zhuǎn)發(fā)器。

AllowUsers

這個指令后面跟著一串用空格分隔的用戶名列表(其中可以使用"*"和"?"通配符)公罕。默認(rèn)允許所有用戶登錄器紧。? ? ? ? ? ?
如果使用了這個指令，那么將僅允許這些用戶登錄楼眷，而拒絕其它所有用戶铲汪。? ? ? ? ? ?
如果指定了 USER@HOST 模式的用戶，那么 USER 和 HOST 將同時被檢查罐柳。
例如：
????????? AllowUsers admin@192.168.0.1
指定多用戶用空格
????????? AllowUsers admin@192.168.0.1 users1
這里只允許使用用戶的名字而不允許使用UID掌腰。相關(guān)的 allow/deny 指令按照下列順序處理：DenyUsers,AllowUsers,DenyGroups,AllowGroups

AuthorizedKeysFile

存放該用戶可以用來登錄的 RSA/DSA 公鑰。? ? ? ? ? ?
該指令中可以使用下列根據(jù)連接時的實際情況進(jìn)行展開的符號：? ? ? ? ? ?
%% 表示'%'张吉、%h 表示用戶的主目錄齿梁、%u 表示該用戶的用戶名。? ? ? ? ? ?
經(jīng)過擴展之后的值必須要么是絕對路徑肮蛹，要么是相對于用戶主目錄的相對路徑勺择。? ? ? ? ? ?
默認(rèn)值是".ssh/authorized_keys"。

Banner

將這個指令指定的文件中的內(nèi)容在用戶進(jìn)行認(rèn)證前顯示給遠(yuǎn)程用戶伦忠。? ? ? ? ? ?
這個特性僅能用于SSH-2省核，默認(rèn)什么內(nèi)容也不顯示。"none"表示禁用這個特性缓苛。

ChallengeResponseAuthentication

是否允許質(zhì)疑-應(yīng)答(challenge-response)認(rèn)證芳撒。默認(rèn)值是"yes"。? ? ? ? ? ?
所有 login.conf(5) 中允許的認(rèn)證方式都被支持未桥。

Ciphers

指定SSH-2允許使用的加密算法笔刹。多個算法之間使用逗號分隔《ⅲ可以使用的算法如下：? ? ? ? ? ? "aes128-cbc", "aes192-cbc", "aes256-cbc", "aes128-ctr", "aes192-ctr", "aes256-ctr",? ? ? ? ? ? "3des-cbc", "arcfour128", "arcfour256", "arcfour", "blowfish-cbc", "cast128-cbc"? ? ? ? ? ?
默認(rèn)值是可以使用上述所有算法舌菜。

ClientAliveCountMax

sshd(8) 在未收到任何客戶端回應(yīng)前最多允許發(fā)送多少個"alive"消息。默認(rèn)值是 3 亦镶。? ? ? ? ? ?
到達(dá)這個上限后日月，sshd(8) 將強制斷開連接、關(guān)閉會話缤骨。? ? ? ? ? ?
需要注意的是爱咬，"alive"消息與TCPKeepAlive有很大差異。? ? ? ? ? ?
"alive"消息是通過加密連接發(fā)送的绊起，因此不會被欺騙精拟；而TCPKeepAlive卻是可以被欺騙的。
如果ClientAliveInterval被設(shè)為 15 并且將ClientAliveCountMax保持為默認(rèn)值， 那么無應(yīng)答的客戶端大約會在45秒后被強制斷開蜂绎。這個指令僅可以用于SSH-2協(xié)議栅表。

ClientAliveInterval

設(shè)置一個以秒記的時長，如果超過這么長時間沒有收到客戶端的任何數(shù)據(jù)师枣，? ? ? ? ? ?
sshd(8) 將通過安全通道向客戶端發(fā)送一個"alive"消息怪瓶，并等候應(yīng)答。? ? ? ? ? ?
默認(rèn)值 0 表示不發(fā)送"alive"消息践美。這個選項僅對SSH-2有效洗贰。

Compression

是否對通信數(shù)據(jù)進(jìn)行加密，還是延遲到認(rèn)證成功之后再對通信數(shù)據(jù)加密拨脉。? ? ? ? ? ?
可用值："yes", "delayed"(默認(rèn)), "no"哆姻。

DenyGroups

這個指令后面跟著一串用空格分隔的組名列表(其中可以使用"*"和"?"通配符)宣增。默認(rèn)允許所有組登錄玫膀。? ? ? ? ? ?
如果使用了這個指令，那么這些組中的成員將被拒絕登錄爹脾。? ? ? ? ? ?
這里的"組"是指"主組"(primary group)帖旨，也就是/etc/passwd文件中指定的組。? ? ? ? ? ?
這里只允許使用組的名字而不允許使用GID灵妨。相關(guān)的 allow/deny 指令按照下列順序處理：DenyUsers,AllowUsers,DenyGroups,AllowGroups

DenyUsers

這個指令后面跟著一串用空格分隔的用戶名列表(其中可以使用"*"和"?"通配符)解阅。默認(rèn)允許所有用戶登錄。? ? ? ? ? ?
如果使用了這個指令泌霍，那么這些用戶將被拒絕登錄货抄。? ? ? ? ? ?
如果指定了 USER@HOST 模式的用戶，那么 USER 和 HOST 將同時被檢查朱转。? ? ? ? ? ?
這里只允許使用用戶的名字而不允許使用UID蟹地。相關(guān)的 allow/deny 指令按照下列順序處理：DenyUsers,AllowUsers,DenyGroups,AllowGroups

ForceCommand

強制執(zhí)行這里指定的命令而忽略客戶端提供的任何命令。這個命令將使用用戶的登錄shell執(zhí)行(shell -c)藤为。? ? ? ? ? ?
這可以應(yīng)用于 shell 怪与、命令、子系統(tǒng)的完成缅疟，通常用于Match塊中分别。? ? ? ? ? ?
這個命令最初是在客戶端通過 SSH_ORIGINAL_COMMAND 環(huán)境變量來支持的。

GatewayPorts

是否允許遠(yuǎn)程主機連接本地的轉(zhuǎn)發(fā)端口存淫。默認(rèn)值是"no"耘斩。? ? ? ? ? ?
sshd(8) 默認(rèn)將遠(yuǎn)程端口轉(zhuǎn)發(fā)綁定到loopback地址。這樣將阻止其它遠(yuǎn)程主機連接到轉(zhuǎn)發(fā)端口桅咆。GatewayPorts指令可以讓 sshd 將遠(yuǎn)程端口轉(zhuǎn)發(fā)綁定到非loopback地址括授，這樣就可以允許遠(yuǎn)程主機連接了。? ? ? ? ? ?
"no"表示僅允許本地連接，"yes"表示強制將遠(yuǎn)程端口轉(zhuǎn)發(fā)綁定到統(tǒng)配地址(wildcard address)刽脖，?
"clientspecified"表示允許客戶端選擇將遠(yuǎn)程端口轉(zhuǎn)發(fā)綁定到哪個地址羞海。

GSSAPIAuthentication

是否允許使用基于 GSSAPI 的用戶認(rèn)證。默認(rèn)值為"no"曲管。僅用于SSH-2却邓。

GSSAPICleanupCredentials

是否在用戶退出登錄后自動銷毀用戶憑證緩存。默認(rèn)值是"yes"院水。僅用于SSH-2腊徙。

HostbasedAuthentication

這個指令與RhostsRSAAuthentication類似，但是僅可以用于SSH-2檬某。推薦使用默認(rèn)值"no"撬腾。??
推薦使用默認(rèn)值"no"禁止這種不安全的認(rèn)證方式。

HostbasedUsesNameFromPacketOnly

在開啟HostbasedAuthentication的情況下恢恼，指定服務(wù)器在使用~/.shosts ~/.rhosts /etc/hosts.equiv進(jìn)行遠(yuǎn)程主機名匹配時民傻，是否進(jìn)行反向域名查詢。? ? ? ? ? ?
"yes"表示 sshd(8) 信任客戶端提供的主機名而不進(jìn)行反向查詢场斑。默認(rèn)值是"no"漓踢。

HostKey

主機私鑰文件的位置。如果權(quán)限不對漏隐，sshd(8) 可能會拒絕啟動喧半。? ? ? ? ? ?
SSH-1默認(rèn)是/etc/ssh/ssh_host_key。? ? ? ? ? ?
SSH-2默認(rèn)是/etc/ssh/ssh_host_rsa_key和/etc/ssh/ssh_host_dsa_key青责。? ? ? ? ? ?
一臺主機可以擁有多個不同的私鑰挺据。"rsa1"僅用于SSH-1，"dsa"和"rsa"僅用于SSH-2脖隶。

IgnoreRhosts

是否在RhostsRSAAuthentication或HostbasedAuthentication過程中忽略.rhosts和.shosts文件扁耐。? ? ? ? ??
不過/etc/hosts.equiv和/etc/shosts.equiv仍將被使用。推薦設(shè)為默認(rèn)值"yes"浩村。

IgnoreUserKnownHosts

是否在RhostsRSAAuthentication或HostbasedAuthentication過程中忽略用戶的~/.ssh/known_hosts文件做葵。? ? ? ? ??
默認(rèn)值是"no"。為了提高安全性心墅，可以設(shè)為"yes"酿矢。

KerberosAuthentication

是否要求用戶為PasswordAuthentication提供的密碼必須通過 Kerberos KDC 認(rèn)證，也就是是否使用Kerberos認(rèn)證怎燥。? ? ? ? ? ?
要使用Kerberos認(rèn)證瘫筐，服務(wù)器需要一個可以校驗 KDC identity 的 Kerberos servtab 。默認(rèn)值是"no"铐姚。

KerberosGetAFSToken

如果使用了 AFS 并且該用戶有一個 Kerberos 5 TGT策肝，那么開啟該指令后肛捍，將會在訪問用戶的家目錄前嘗試獲取一個 AFS token 。默認(rèn)為"no"之众。

KerberosOrLocalPasswd

如果 Kerberos 密碼認(rèn)證失敗拙毫，那么該密碼還將要通過其它的認(rèn)證機制(比如/etc/passwd)。? ? ? 默認(rèn)值為"yes"棺禾。

KerberosTicketCleanup

是否在用戶退出登錄后自動銷毀用戶的 ticket 缀蹄。默認(rèn)值是"yes"。

KeyRegenerationInterval

在SSH-1協(xié)議下膘婶，短命的服務(wù)器密鑰將以此指令設(shè)置的時間為周期(秒)缺前，不斷重新生成。? ? ? ? ? ? 這個機制可以盡量減小密鑰丟失或者黑客攻擊造成的損失悬襟。
設(shè)為 0 表示永不重新生成衅码，默認(rèn)為 3600(秒)。

ListenAddress

指定 sshd(8) 監(jiān)聽的網(wǎng)絡(luò)地址脊岳，默認(rèn)監(jiān)聽所有地址逝段。可以使用下面的格式：
ListenAddresshost|IPv4_addr|IPv6_addr
ListenAddresshost|IPv4_addr:port
ListenAddress[host|IPv6_addr]:port
如果未指定port逸绎，那么將使用Port指令的值惹恃。? ? ? ? ? ?
可以使用多個ListenAddress指令監(jiān)聽多個地址夭谤。

LoginGraceTime

限制用戶必須在指定的時限內(nèi)認(rèn)證成功棺牧，0 表示無限制。默認(rèn)值是 120 秒朗儒。

LogLevel

指定 sshd(8) 的日志等級(詳細(xì)程度)颊乘。可用值如下：
?? ? QUIET, FATAL, ERROR, INFO(默認(rèn)), VERBOSE, DEBUG, DEBUG1, DEBUG2, DEBUG3? ? ? ?? DEBUG 與 DEBUG1 等價醉锄；DEBUG2 和 DEBUG3 則分別指定了更詳細(xì)乏悄、更羅嗦的日志輸出。
比 DEBUG 更詳細(xì)的日志可能會泄漏用戶的敏感信息恳不，因此反對使用檩小。

MACs

指定允許在SSH-2中使用哪些消息摘要算法來進(jìn)行數(shù)據(jù)校驗。? ? ? ? ? ?
可以使用逗號分隔的列表來指定允許使用多個算法烟勋。默認(rèn)值(包含所有可以使用的算法)是：? ? ?? hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-sha1-96,hmac-md5-96

Match

引入一個條件塊规求。塊的結(jié)尾標(biāo)志是另一個Match指令或者文件結(jié)尾。? ? ? ? ??
如果Match行上指定的條件都滿足卵惦，那么隨后的指令將覆蓋全局配置中的指令阻肿。Match的值是一個或多個"條件-模式"對【谀颍可用的"條件"是：User,Group,Host,Address丛塌。? ? ? ? ? ?
只有下列指令可以在Match塊中使用：
AllowTcpForwarding,Banner,ForceCommand,GatewayPorts,GSSApiAuthentication,
KbdInteractiveAuthentication,KerberosAuthentication,PasswordAuthentication,
PermitOpen,PermitRootLogin,RhostsRSAAuthentication,RSAAuthentication,
X11DisplayOffset,X11Forwarding,X11UseLocalHost

MaxAuthTries

指定每個連接最大允許的認(rèn)證次數(shù)。默認(rèn)值是 6 。? ? ? ? ? ?
如果失敗認(rèn)證的次數(shù)超過這個數(shù)值的一半赴邻，連接將被強制斷開印衔，且會生成額外的失敗日志消息。

MaxStartups

最大允許保持多少個未認(rèn)證的連接姥敛。默認(rèn)值是 10 当编。? ? ? ? ? ?
到達(dá)限制后，將不再接受新連接徒溪，除非先前的連接認(rèn)證成功或超出LoginGraceTime的限制忿偷。

PasswordAuthentication

是否允許使用基于密碼的認(rèn)證。默認(rèn)為"yes"臊泌。

PermitEmptyPasswords

是否允許密碼為空的用戶遠(yuǎn)程登錄鲤桥。默認(rèn)為"no"。

PermitOpen

指定TCP端口轉(zhuǎn)發(fā)允許的目的地渠概，可以使用空格分隔多個轉(zhuǎn)發(fā)目標(biāo)茶凳。默認(rèn)允許所有轉(zhuǎn)發(fā)請求。?? 合法的指令格式如下：
PermitOpenhost:port
PermitOpenIPv4_addr:port
PermitOpen[IPv6_addr]:port
"any"可以用于移除所有限制并允許一切轉(zhuǎn)發(fā)請求播揪。

PermitRootLogin

是否允許 root 登錄贮喧。可用值如下：? ? ? ? ??
"yes"(默認(rèn)) 表示允許猪狈。"no"表示禁止箱沦。? ? ? ? ??
"without-password"表示禁止使用密碼認(rèn)證登錄。? ? ? ? ? ?
"forced-commands-only"表示只有在指定了command選項的情況下才允許使用公鑰認(rèn)證登錄雇庙。?? 同時其它認(rèn)證方法全部被禁止谓形。這個值常用于做遠(yuǎn)程備份之類的事情。

PermitTunnel

是否允許 tun(4) 設(shè)備轉(zhuǎn)發(fā)疆前『可用值如下：
"yes", "point-to-point"(layer 3), "ethernet"(layer 2), "no"(默認(rèn))。? ? ? ? ? ?
"yes"同時蘊含著"point-to-point"和"ethernet"竹椒。

PermitUserEnvironment

指定是否允許 sshd(8) 處理~/.ssh/environment以及~/.ssh/authorized_keys中的environment=選項童太。? ? ? ? ? ?
默認(rèn)值是"no"。如果設(shè)為"yes"可能會導(dǎo)致用戶有機會使用某些機制(比如 LD_PRELOAD)繞過訪問控制胸完，造成安全漏洞书释。

PidFile

指定在哪個文件中存放SSH守護(hù)進(jìn)程的進(jìn)程號，默認(rèn)為/var/run/sshd.pid文件舶吗。

Port

指定 sshd(8) 守護(hù)進(jìn)程監(jiān)聽的端口號征冷，默認(rèn)為 22 ∈那恚可以使用多條指令監(jiān)聽多個端口检激。? ? ? ? ? ? 默認(rèn)將在本機的所有網(wǎng)絡(luò)接口上監(jiān)聽肴捉，但是可以通過ListenAddress指定只在某個特定的接口上監(jiān)聽。

PrintLastLog

指定 sshd(8) 是否在每一次交互式登錄時打印最后一位用戶的登錄時間叔收。默認(rèn)值是"yes"齿穗。

PrintMotd

指定 sshd(8) 是否在每一次交互式登錄時打印/etc/motd文件的內(nèi)容。默認(rèn)值是"yes"饺律。

Protocol

指定 sshd(8) 支持的SSH協(xié)議的版本號窃页。? ? ? ? ??
'1'和'2'表示僅僅支持SSH-1和SSH-2協(xié)議。"2,1"表示同時支持SSH-1和SSH-2協(xié)議复濒。

PubkeyAuthentication

是否允許公鑰認(rèn)證脖卖。僅可以用于SSH-2。默認(rèn)值為"yes"巧颈。

RhostsRSAAuthentication

是否使用強可信主機認(rèn)證(通過檢查遠(yuǎn)程主機名和關(guān)聯(lián)的用戶名進(jìn)行認(rèn)證)畦木。僅用于SSH-1。? ? ? ?
這是通過在RSA認(rèn)證成功后再檢查 ~/.rhosts 或 /etc/hosts.equiv 進(jìn)行認(rèn)證的砸泛。? ? ? ? ? ?
出于安全考慮十籍，建議使用默認(rèn)值"no"。

RSAAuthentication

是否允許使用純 RSA 公鑰認(rèn)證唇礁。僅用于SSH-1勾栗。默認(rèn)值是"yes"。

ServerKeyBits

指定臨時服務(wù)器密鑰的長度盏筐。僅用于SSH-1围俘。默認(rèn)值是 768(位)。最小值是 512 机断。

StrictModes

指定是否要求 sshd(8) 在接受連接請求前對用戶主目錄和相關(guān)的配置文件進(jìn)行宿主和權(quán)限檢查楷拳。? ? ? ? ? ?
強烈建議使用默認(rèn)值"yes"來預(yù)防可能出現(xiàn)的低級錯誤。

Subsystem

配置一個外部子系統(tǒng)(例如吏奸，一個文件傳輸守護(hù)進(jìn)程)。僅用于SSH-2協(xié)議陶耍。? ? ? ? ??
值是一個子系統(tǒng)的名字和對應(yīng)的命令行(含選項和參數(shù))奋蔚。比如"sft /bin/sftp-server"。

SyslogFacility

指定 sshd(8) 將日志消息通過哪個日志子系統(tǒng)(facility)發(fā)送烈钞。有效值是：? ? ? ? ? ? DAEMON, USER, AUTH(默認(rèn)), LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7

TCPKeepAlive

指定系統(tǒng)是否向客戶端發(fā)送 TCP keepalive 消息泊碑。默認(rèn)值是"yes"。? ? ? ? ??
這種消息可以檢測到死連接毯欣、連接不當(dāng)關(guān)閉馒过、客戶端崩潰等異常。? ? ? ? ? ?
可以設(shè)為"no"關(guān)閉這個特性酗钞。

UseDNS

指定 sshd(8) 是否應(yīng)該對遠(yuǎn)程主機名進(jìn)行反向解析腹忽，以檢查此主機名是否與其IP地址真實對應(yīng)来累。默認(rèn)值為"yes"。

UseLogin

是否在交互式會話的登錄過程中使用 login(1) 窘奏。默認(rèn)值是"no"嘹锁。? ? ? ? ? ?
如果開啟此指令，那么X11Forwarding將會被禁止着裹，因為 login(1) 不知道如何處理 xauth(1) cookies 领猾。? ? ? ? ? ?
需要注意的是，login(1) 是禁止用于遠(yuǎn)程執(zhí)行命令的骇扇。? ? ? ? ? ?
如果指定了UsePrivilegeSeparation摔竿，那么它將在認(rèn)證完成后被禁用。

UsePrivilegeSeparation

是否讓 sshd(8) 通過創(chuàng)建非特權(quán)子進(jìn)程處理接入請求的方法來進(jìn)行權(quán)限分離少孝。默認(rèn)值是"yes"拯坟。?
認(rèn)證成功后，將以該認(rèn)證用戶的身份創(chuàng)建另一個子進(jìn)程韭山。? ? ? ? ? ?
這樣做的目的是為了防止通過有缺陷的子進(jìn)程提升權(quán)限郁季，從而使系統(tǒng)更加安全。

X11DisplayOffset

指定 sshd(8) X11 轉(zhuǎn)發(fā)的第一個可用的顯示區(qū)(display)數(shù)字钱磅。默認(rèn)值是 10 梦裂。? ? ? ? ? ?
這個可以用于防止 sshd 占用了真實的 X11 服務(wù)器顯示區(qū)，從而發(fā)生混淆盖淡。

X11Forwarding

是否允許進(jìn)行 X11 轉(zhuǎn)發(fā)年柠。默認(rèn)值是"no"，設(shè)為"yes"表示允許褪迟。? ? ? ? ? ?
如果允許X11轉(zhuǎn)發(fā)并且sshd(8)代理的顯示區(qū)被配置為在含有通配符的地址(X11UseLocalhost)上監(jiān)聽冗恨。? ? ? ? ? ?
那么將可能有額外的信息被泄漏。由于使用X11轉(zhuǎn)發(fā)的可能帶來的風(fēng)險味赃，此指令默認(rèn)值為"no"掀抹。? ? ? ? ? ?
需要注意的是，禁止X11轉(zhuǎn)發(fā)并不能禁止用戶轉(zhuǎn)發(fā)X11通信心俗，因為用戶可以安裝他們自己的轉(zhuǎn)發(fā)器傲武。? ? ? ? ? ?
如果啟用了UseLogin，那么X11轉(zhuǎn)發(fā)將被自動禁止城榛。

X11UseLocalhost

sshd(8) 是否應(yīng)當(dāng)將X11轉(zhuǎn)發(fā)服務(wù)器綁定到本地loopback地址揪利。默認(rèn)值是"yes"。? ? ? ? ? ?
sshd 默認(rèn)將轉(zhuǎn)發(fā)服務(wù)器綁定到本地loopback地址并將 DISPLAY 環(huán)境變量的主機名部分設(shè)為"localhost"狠持。? ? ? ? ? ?
這可以防止遠(yuǎn)程主機連接到 proxy display 疟位。不過某些老舊的X11客戶端不能在此配置下正常工作。? ? ? ? ? ?
為了兼容這些老舊的X11客戶端喘垂，你可以設(shè)為"no"甜刻。

XAuthLocation

指定 xauth(1) 程序的絕對路徑绍撞。默認(rèn)值是/usr/X11R6/bin/xauth

時間格式

在 sshd(8) 命令行參數(shù)和配置文件中使用的時間值可以通過下面的格式指定：time[qualifier] 。? ? 其中的time是一個正整數(shù)罢吃，而qualifier可以是下列單位之一：? ? ? ? ?
<無>? ? 秒
s|S秒
m|M分鐘
h|H小時
d|D天
w|W星期? ?
可以通過指定多個數(shù)值來累加時間楚午，比如：? ? ? ? ?
1h30m? 1 小時 30 分鐘 (90 分鐘)

文件

/etc/ssh/sshd_config? ? ? ? ? ?
sshd(8) 的主配置文件。這個文件的宿主應(yīng)當(dāng)是root尿招，權(quán)限最大可以是"644"矾柜。