# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
# sshd監(jiān)聽的端口號
Port 22

# Use these options to restrict which interfaces/protocols sshd will bind to
# 設置sshd服務器綁定的IP地址
#ListenAddress ::
#ListenAddress 0.0.0.0

# 僅使用SSH2
Protocol 2

# HostKeys for protocol version 2
# 設置包含計算機私人密匙的文件
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

#Privilege Separation is turned on for security
# 是否讓sshd通過創(chuàng)建非特權子進程處理接入請求的方法來進行權限分離。默認值是"yes"。認證成功后，將以該認證用戶的身份創(chuàng)建另一個子進程。這樣做的目的是為了防止通過有缺陷的子進程提升權限，從而使系統(tǒng)更加安全。
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
# 在SSH-1協(xié)議下，短命的服務器密鑰將以此指令設置的時間為周期(秒)，不斷重新生成。這個機制可以盡量減小密鑰丟失或者黑客攻擊造成的損失。設為 0 表示永不重新生成，默認為 3600(秒)。
KeyRegenerationInterval 3600

# 指定臨時服務器密鑰的長度。僅用于SSH-1。默認值是 768(位)。最小值是 512 。
ServerKeyBits 768

# Logging
# 指定 sshd(8) 將日志消息通過哪個日志子系統(tǒng)(facility)發(fā)送。有效值是：DAEMON, USER, AUTH(默認), LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7
SyslogFacility AUTH

# 指定 sshd(8) 的日志等級(詳細程度)?？捎弥等缦拢?QUIET, FATAL, ERROR, INFO(默認), VERBOSE, DEBUG, DEBUG1, DEBUG2, DEBUG3 DEBUG 與 DEBUG1 等價；DEBUG2 和 DEBUG3 則分別指定了更詳細、更羅嗦的日志輸出。比 DEBUG 更詳細的日志可能會泄漏用戶的敏感信息，因此反對使用。
LogLevel INFO

# Authentication:
# 限制用戶必須在指定的時限內認證成功，0 表示無限制。默認值是 120 秒。
LoginGraceTime 120

# 是否允許 root 登錄。可用值如下："yes"(默認) 表示允許。"no"表示禁止。"without-password"表示禁止使用密碼認證登錄。"forced-commands-only"表示只有在指定了 command 選項的情況下才允許使用公鑰認證登錄。同時其它認證方法全部被禁止。這個值常用于做遠程備份之類的事情。
PermitRootLogin yes

# 指定是否要求在接受連接請求前對用戶主目錄和相關的配置文件進行宿主和權限檢查。強烈建議使用默認值"yes"來預防可能出現(xiàn)的低級錯誤。
StrictModes yes

# 是否允許使用純 RSA 公鑰認證。僅用于SSH-1。默認值是"yes"。
RSAAuthentication yes

# 是否允許公鑰認證。僅可以用于SSH-2。默認值為"yes"。
PubkeyAuthentication yes

# 存放該用戶可以用來登錄的 RSA/DSA 公鑰。該指令中可以使用下列根據(jù)連接時的實際情況進行展開的符號： %% 表示'%'、%h 表示用戶的主目錄、%u 表示該用戶的用戶名。經(jīng)過擴展之后的值必須要么是絕對路徑，要么是相對于用戶主目錄的相對路徑。默認值是".ssh/authorized_keys"。
#AuthorizedKeysFile    %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
# 是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 過程中忽略 .rhosts 和 .shosts 文件。不過 /etc/hosts.equiv 和 /etc/shosts.equiv 仍將被使用。推薦設為默認值"yes"。
IgnoreRhosts yes

# For this to work you will also need host keys in /etc/ssh_known_hosts
# 是否使用強可信主機認證(通過檢查遠程主機名和關聯(lián)的用戶名進行認證)。僅用于SSH-1。這是通過在RSA認證成功后再檢查 ~/.rhosts 或 /etc/hosts.equiv 進行認證的。出于安全考慮，建議使用默認值"no"。
RhostsRSAAuthentication no

# similar for protocol version 2
# 這個指令與 RhostsRSAAuthentication 類似，但是僅可以用于SSH-2。推薦使用默認值"no"。推薦使用默認值"no"禁止這種不安全的認證方式。
HostbasedAuthentication no

# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
# 是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 過程中忽略用戶的 ~/.ssh/known_hosts 文件。默認值是"no"。為了提高安全性，可以設為"yes"。
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
# 允是否允許密碼為空的用戶遠程登錄。默認為"no"。
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
# 是否允許質疑-應答(challenge-response)認證。默認值是"no"。
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
# 是否允許使用基于密碼的認證。默認為"yes"。
#PasswordAuthentication yes

# Kerberos options
# 是否要求用戶為 PasswordAuthentication 提供的密碼必須通過 Kerberos KDC 認證，也就是是否使用Kerberos認證。要使用Kerberos認證，服務器需要一個可以校驗 KDC identity 的 Kerberos servtab 。默認值是"no"。
#KerberosAuthentication no

# 如果使用了 AFS 并且該用戶有一個 Kerberos 5 TGT，那么開啟該指令后，將會在訪問用戶的家目錄前嘗試獲取一個 AFS token 。默認為"no"。
#KerberosGetAFSToken no

# 如果 Kerberos 密碼認證失敗，那么該密碼還將要通過其它的認證機制(比如 /etc/passwd)。默認值為"yes"。
#KerberosOrLocalPasswd yes

# 是否在用戶退出登錄后自動銷毀用戶的 ticket 。默認值是"yes"。
#KerberosTicketCleanup yes

# GSSAPI options
# 是否允許使用基于 GSSAPI 的用戶認證。默認值為"no"。僅用于SSH-2。
#GSSAPIAuthentication no

# 是否在用戶退出登錄后自動銷毀用戶憑證緩存。默認值是"yes"。僅用于SSH-2。
#GSSAPICleanupCredentials yes

# 是否允許進行 X11 轉發(fā)。默認值是"yes"，設為"yes"表示允許。如果允許X11轉發(fā)并且代理的顯示區(qū)被配置為在含有通配符的地址(X11UseLocalhost)上監(jiān)聽。那么將可能有額外的信息被泄漏。由于使用X11轉發(fā)的可能帶來的風險，此指令應設為"no"。需要注意的是，禁止X11轉發(fā)并不能禁止用戶轉發(fā)X11通信，因為用戶可以安裝他們自己的轉發(fā)器。如果啟用了 UseLogin ，那么X11轉發(fā)將被自動禁止。
X11Forwarding yes

# 指定X11 轉發(fā)的第一個可用的顯示區(qū)(display)數(shù)字。默認值是 10 。這個可以用于防止 sshd 占用了真實的 X11 服務器顯示區(qū)，從而發(fā)生混淆。
X11DisplayOffset 10

# 是否在每一次交互式登錄時打印 /etc/motd 文件的內容。默認值是"no"。
PrintMotd no

# 是否在每一次交互式登錄時打印最后一位用戶的登錄時間。默認值是"yes"。
PrintLastLog yes

# 指定系統(tǒng)是否向客戶端發(fā)送 TCP keepalive 消息。默認值是"yes"。這種消息可以檢測到死連接、連接不當關閉、客戶端崩潰等異常?？梢栽O為"no"關閉這個特性。
TCPKeepAlive yes

# 是否在交互式會話的登錄過程中使用。默認值是"no"。如果開啟此指令，那么X11Forwarding 將會被禁止，因為login不知道如何處理 xauth cookies 。需要注意的是，login是禁止用于遠程執(zhí)行命令的。如果指UsePrivilegeSeparation ，那么它將在認證完成后被禁用。
#UseLogin no

# 最大允許保持多少個未認證的連接。默認值是 10 。到達限制后，將不再接受新連接，除非先前的連接認證成功或超出 LoginGraceTime 的限制。
#MaxStartups 10:30:60

# 將這個指令指定的文件中的內容在用戶進行認證前顯示給遠程用戶。這個特性僅能用于SSH-2，默認什么內容也不顯示。"none"表示禁用這個特性。
#Banner /etc/issue.net

# Allow client to pass locale environment variables
# 指定客戶端發(fā)送的哪些環(huán)境變量將會被傳遞到會話環(huán)境中。[注意]只有SSH-2協(xié)議支持環(huán)境變量的傳遞。細節(jié)可以參考 ssh_config 中的 SendEnv 配置指令。指令的值是空格分隔的變量名列表(其中可以使用'*'和'?'作為通配符)。也可以使用多個 AcceptEnv 達到同樣的目的。需要注意的是，有些環(huán)境變量可能會被用于繞過禁止用戶使用的環(huán)境變量。由于這個原因，該指令應當小心使用。默認是不傳遞任何環(huán)境變量。
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes