Giriş
Bu dosya şu dizinindedir. Bu dosyadaki ayarlar ssh ve sftp'nin çalışmasını değiştirir.
Bu dosya şu dizinindedir. Bu dosyadaki ayarlar ssh ve sftp'nin çalışmasını değiştirir.
/etc/ssh/sshd_config
Açıklaması şöyle
The SSH server has a configuration file, usually /etc/sshd/sshd_config. The configuration file specifies encryption options, authentication options, file locations, logging, and various other parameters.
KexAlgorithms Alanı
Bir zamanlar eski bir ssh istemcini taklit etmek için şöyle yaptım
$ ssh -oKexAlgorithms=diffie-hellman-group14-sha1 jboss@127.0.0.1
Unable to negotiate with 127.0.0.1 port 22: no matching key exchange method found.
Their offer: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,
ecdh-sha2-nistp384,ecdh-sha2-nistp521,sntrup761x25519-sha512@openssh.com,
diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,
diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Örnek
Şöyle yaparız
Ciphers ...
MACs ...
KexAlgorithms ...
AuthorizedKeysFile Alanı
SSH authentication with the "publickey" method works by having the client send each potential public key to the server, then the server responds telling the client which key is allowed. If one of the keys is allowed, then the client must decrypt the private key to sign a message, proving ownership of the private key.
Örnek
Şöyle yaparız
Belirtilen grubun nasıl login olacağını belirtir.
Şöyle yaparız
Protocol 2
Ciphers aes256-ctr
MACs hmac-sha2-512,hmac-sha2-256
# MACs hmac-sha1
PermitRootLogin no
AuthorizedKeysFile .ssh/authorized_keys {set this up}
IgnoreRhosts yes
IgnoreUserKnownHosts yes
StrictModes yes
UsePAM yes
Örnek
Şöyle yaparız
apiVersion: v1
kind: ConfigMap
metadata:
name: ssh-config
data:
sshd_config: |
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
authorized_keys: |
ssh-rsa AAAAB3NzaC1y...
Match Group Alanı
Örnek
Elimizde allowssh ve sftponly grupları olsun. Açıklaması şöyle.
Belirtilen host'un nasıl login olacağını belirtir.
Örnek
Şöyle yaparız
MaxSessions Alanı
Açıklaması şöyle.
Sisteme giren kullanıcı sayısın kısıtlamak için şöyle yaparız.
Açıklaması şöyle.
Şifre ile giriş için şöyle yaparız.
prohibit-password veya no değerini verirsek root login olamaz.
Örnek
Şöyle yaparız.
Elimizde allowssh ve sftponly grupları olsun. Açıklaması şöyle.
-It only allows (pubkey) login for users in the allowssh group.Şöyle yaparız.
-Users in the sftponly group cannot get a shell over SSH, only SFTP.
Match Group allowssh
PubkeyAuthentication yes
Match Group sftponly
ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
Match Host AlanıBelirtilen host'un nasıl login olacağını belirtir.
Örnek
Şöyle yaparız
Match Host server1,server1.internalnet.local,1.2.3.4
PasswordAuthentication yes
Match User Alanı
Belirtilen kullanıcının nasıl login olacağını belirtir.
Belirtilen kullanıcının nasıl login olacağını belirtir.
Örnek
gitlab-ci isimli kullanıcının şifre ile login olması için şöyle yaparız
printf 'Match User gitlab-ci\n\tPasswordAuthentication yes\n' >> /etc/ssh/sshd_config
Örnek
test isimli kullanıcıyı bir chroot jail içinde çalıştırmak için şöyle yaparız
Match User testChrootDirectory /home/foo/X11Forwarding noAllowTcpForwarding no
Açıklaması şöyle.
MaxSessions
Specifies the maximum number of open shell, login or subsystem
(e.g. sftp) sessions permitted per network connection. Multiple
sessions may be established by clients that support connection
multiplexing. Setting MaxSessions to 1 will effectively disable
session multiplexing, whereas setting it to 0 will prevent all
shell, login and subsystem sessions while still permitting for-
warding. The default is 10.
Normalde bu alanın değeri şöyledir. Yani login olacak kullanıcı sayısına kısıtlama getirilmez.#MaxSessions 10
ÖrnekSisteme giren kullanıcı sayısın kısıtlamak için şöyle yaparız.
MaxSessions 20
PasswordAuthentication AlanıAçıklaması şöyle.
It's best to use public keys for SSH. So my sshd_config has PasswordAuthentication no.Örnek - Password ile Giriş
Şifre ile giriş için şöyle yaparız.
PasswordAuthentication yes
PermitEmptyPasswords no
PermitRootLogin Alanı
prohibit-password veya no değerini verirsek root login olamaz.
Örnek
Şöyle yaparız.
PermitRootLogin no
PubkeyAuthentication no
PasswordAuthentication no
RequiredAuthentications Alanı
Açıklaması şöyle
In newer versions of OpenSSH you can set the RequiredAuthentications2 pubkey,password parameter in /etc/ssh/sshd_config. This will force the user to use both public key AND password authentication, effectively giving you two-factor authentication
UsePAM Alanı
Açıklaması şöyle. "yes" ise ChallengeResponseAuthentication ve PasswordAuthentication etkindirUsePAM
Enables the Pluggable Authentication Module interface. If set to “yes” this will enable PAM authentication using ChallengeResponseAuthentication and PasswordAuthentication in addition to PAM account and session module processing for all authentication types.
Because PAM challenge-response authentication usually serves an equivalent role to password authentication, you should disable either PasswordAuthentication or ChallengeResponseAuthentication.
If UsePAM is enabled, you will not be able to run sshd(8) as a non-root user. The default is “no”.
Sadece private key ile login için şöyle yaparız.
PermitRootLogin no
PasswordAuthentication no
UsePAM no
Hiç yorum yok:
Yorum Gönder