安全 Shell 中的关键字
下表列出了关键字及其缺省值(如果有)。这些关键字按字母顺序排列。客户机上的关键字位于 ssh_config 文件中。应用于服务器的关键字位于 sshd_config 文件中。一些关键字在两个文件中均有设置。如果关键字仅适用于一种协议版本,则会列出该版本。
表 20-1 安全 Shell 配置文件中的关键字(A 到 Escape)
|
|
|
|
|---|
|
无缺省值。 |
服务器 |
|
|
yes |
服务器 |
|
|
无缺省值。 |
服务器 |
|
|
~/.ssh/authorized_keys |
服务器 |
|
|
/etc/issue |
服务器 |
|
|
no |
客户机 |
|
|
无缺省值。 |
客户机 |
|
|
yes |
客户机 |
|
|
no |
服务器 |
v2 |
|
|
客户机 |
v1 |
|
aes128-ctr, aes128-cbc, 3des-cbc, blowfish-cbc, arcfour |
两者 |
v2 |
|
no |
客户机 |
|
|
3 |
服务器 |
v2 |
|
0 |
服务器 |
v2 |
|
no |
两者 |
|
|
无缺省值。 |
客户机 |
v1 |
|
1 |
客户机 |
|
|
无缺省值 |
服务器 |
|
|
无缺省值 |
服务器 |
|
|
无缺省值。 |
客户机 |
|
|
~ |
客户机 |
|
|
表 20-2 安全 Shell 配置文件中的关键字(Fall 至 Local)
|
|
|
|
|---|
|
no |
客户机 |
|
|
no |
客户机 |
|
|
no |
客户机 |
|
|
no |
两者 |
|
|
/etc/ssh/ssh_known_hosts |
客户机 |
|
|
yes |
两者 |
v2 |
GSSAPIDelegateCredentials |
no |
客户机 |
v2 |
|
yes |
两者 |
v2 |
GSSAPIStoreDelegateCredentials |
yes |
服务器 |
v2 |
|
|
客户机 |
|
|
no |
两者 |
v2 |
HostbasedUsesNameFromPacketOnly |
no |
服务器 |
v2 |
|
/etc/ssh/ssh_host_key |
服务器 |
v1 |
HostKey |
/etc/ssh/host_rsa_key, /etc/ssh/host_dsa_key |
服务器 |
v2 |
|
ssh-rsa, ssh-dss |
客户机 |
v2 |
|
无缺省值。 |
客户机 |
v2 |
|
无缺省值。 |
客户机 |
v2 |
|
~/.ssh/identity |
客户机 |
v1 |
IdentityFile |
~/.ssh/id_dsa, ~/.ssh/id_rsa |
客户机 |
v2 |
|
yes |
服务器 |
|
|
yes |
服务器 |
|
KbdInteractiveAuthentication |
yes |
两者 |
|
|
yes |
两者 |
|
|
3600(秒) |
服务器 |
|
|
无缺省值。 |
服务器 |
|
|
无缺省值。 |
客户机 |
|
|
表 20-3 安全 Shell 配置文件中的关键字(Login 至 R)
|
|
|
|
|---|
|
600(秒) |
服务器 |
|
|
info |
两者 |
|
|
yes |
服务器 |
|
|
|
两者 |
v2 |
|
6 |
服务器 |
|
|
3 |
服务器 |
|
|
10:30:60 |
服务器 |
|
NoHostAuthenticationForLocalHost |
no |
客户机 |
|
|
3 |
客户机 |
|
PAMAuthenticationViaKBDInt |
yes |
服务器 |
v2 |
|
yes |
两者 |
两者 |
|
no |
服务器 |
|
|
no |
服务器 |
|
|
no |
服务器 |
|
|
/var/run/sshd.pid |
服务器 |
|
|
22 |
两者 |
|
|
hostbased,publickey,keyboard- interactive,passwor |
客户机 |
v2 |
|
yes |
服务器 |
v2 |
|
no |
服务器 |
|
|
2,1 |
两者 |
|
|
无缺省值。 |
客户机 |
|
|
yes |
两者 |
v2 |
|
无缺省值。 |
客户机 |
|
|
no |
两者 |
v1 |
|
no |
两者 |
v1 |
|
no |
两者 |
v1 |
|
表 20-4 安全 Shell 配置文件中的关键字(S 至 X)
|
|
|
|
|---|
|
ask |
客户机 |
|
|
yes |
服务器 |
|
|
sftp /usr/lib/ssh/sftp-server |
服务器 |
|
|
auth |
服务器 |
|
|
no,已过时并被忽略。 |
服务器 |
|
|
yes |
两者 |
v2 |
|
no |
两者 |
v2 |
|
无缺省值 |
客户机 |
|
|
~/.ssh/known_hosts |
客户机 |
|
|
no |
客户机 |
|
|
no |
服务器 |
|
|
10 |
服务器 |
|
|
yes |
服务器 |
|
|
yes |
服务器 |
|
|
/usr/openwin/bin/xauth |
两者 |
|
|
安全 Shell 中主机特定的参数
如果适合于使不同的本地主机具有不同的安全 Shell 特征,则管理员可以在 /etc/ssh/ssh_config 文件中定义不同的参数集,从而根据主机或正则表达式进行应用。此任务是通过按 Host 关键字对该文件中的项进行分组完成的。如果未使用 Host 关键字,则客户机配置文件中的项将应用于用户正在使用的任意本地主机。
安全 Shell 和登录环境变量
如果在 sshd_config 文件中未设置下列安全 Shell 关键字,它们将从 /etc/default/login 文件中的等效项获取其值。
|
|
|---|
|
PermitRootLogin=without-password |
#CONSOLE=* |
PermitRootLogin=yes |
|
PermitEmptyPasswords=no |
PASSREQ=NO |
PermitEmptyPasswords=yes |
#PASSREQ |
PermitEmptyPasswords=no |
|
LoginGraceTime=secs |
#TIMEOUT |
LoginGraceTime=300 |
RETRIES 和 SYSLOG_FAILED_LOGINS |
仅适用于 password
和 keyboard-interactive 验证方法。 |
|
当用户的登录 shell 中的初始化脚本设置了下列变量时,sshd 守护进程会使用这些值。如果未设置这些变量,守护进程将使用缺省值。
- TIMEZONE
控制 TZ 环境变量的设置。如果未设置这些变量,sshd 守护进程在启动时会使用 TZ 值。
- ALTSHELL
控制 SHELL 环境变量的设置。缺省值为 ALTSHELL=YES,其中 sshd 守护进程使用用户的 shell 值。当 ALTSHELL=NO 时,表明 SHELL 值未设置。
- PATH
控制 PATH 环境变量的设置。如果未设置该值,缺省路径为 /usr/bin。
- SUPATH
控制 root 的 PATH 环境变量的设置。如果未设置该值,缺省路径为 /usr/sbin:/usr/bin 。
有关更多信息,请参见 login(1) 和 sshd(1M) 手册页。
