Читаем Linux глазами хакера полностью

□ PubkeyAuthentication — дозволена ли аутентификация по публичному ключу. Параметр действует для 2-й версии протокола;

□ AuthorizedKeysFile — файл с публичным ключом, который может использоваться для аутентификации;

□ RhostsAuthentication — разрешение аутентификации по файлам $HOME/.rhosts и /etc/hosts.equiv. По умолчанию стоит no, и без особой надобности менять этот параметр не стоит, потому что это небезопасно;

□ IgnoreRhosts — если параметр равен yes, то запрещается читать файлы ~/.rhosts и ~/.shosts. Без необходимости значение лучше не изменять, потому что это может повлиять на безопасность;

□ AuthorizedKeysFile — файл для хранения списка авторизованных ключей. Если пользователь входит в систему с имеющимся в этом файле ключом, то его пустят автоматически без ввода дополнительных паролей;

□ RhostsRSAAuthentication — если этот параметр yes, то при аутентификации будет требоваться ключ хоста из директории /etc/ssh/ssh_known_hosts. Параметр используется в 1 версии SSH;

□ IgnoreUserKnownHosts — если параметр равен no, то необходимо доверять компьютерам из списка ~/.ssh/known_hosts при RhostsRSAAuthentication-аутентификации. Не верьте никому, поэтому параметр лучше всего изменить на yes;

□ PasswordAuthentication — если значение равно yes, то будет требоваться пароль. При использовании авторизации через ключи параметр можно отключить;

□ PermitEmptyPasswords — по умолчанию установлено no, что запрещает использование пустых паролей, и изменять это значение не стоит;

□ KerberosAuthentication — использовать проверку подлинности по протоколу Kerberos. В последнее время именно эта аутентификация набирает большую популярность благодаря своей безопасности;

□ KerberosOrLocalPasswd — если пароль Kerberos не был принят, то включается проверка локального файла паролей из файла /etc/shadow;

□ KerberosTicketCleanup — очищать билет Kerberos из кэша при выходе из системы;

□ Banner — позволяет указать файл, в котором находится текст приветствия, отображаемый пользователями.

Кроме приведенных в листинге 5.1 можно использовать следующие директивы:

□ AllowGroups — позволить вход в систему только пользователям указанных групп (перечисляются через пробел в одной строке);

□ AllowUsers — разрешить вход в систему пользователям, имена которых перечислены через пробел;

□ DenyGroups — запретить вход в систему пользователям указанных через пробел групп;

□ DenyUsers — запретить вход в систему пользователям, имена которых перечислены через пробел. Этот параметр бывает удобен, когда дано разрешение на вход группе, но нужно отказать в подключении к SSH-серверу одному из ее пользователей.

Я рекомендую вам явно прописать группы или имена пользователей, которые могут входить в систему по SSH.

Настройки SSH-клиента содержат еще меньше параметров. В файле /etc/ssh/ssh_config находятся глобальные настройки для всех пользователей в системе. Но вы можете для любого из них переопределить произвольный параметр в файле .ssh_config из директории пользователя. В листинге 5.2 приведено содержимое глобального файла настроек без некоторых комментариев.

# Site-wide defaults for various options

# Host *

#  ForwardAgent no

#  ForwardX11 no

#  RhostsAuthentication yes

#  RhostsRSAAuthentication yes

#  RSAAuthentication yes

#  PasswordAuthentication yes

#  FallBackToRsh no

#  UseRsh no

#  BatchMode no

#  CheckHostIP yes

#  StrictHostKeyChecking ask

#  IdentityFile ~/.ssh/identity

#  IdentityFile ~/.ssh/id_rsa

#  IdentityFile ~/.ssh/id_dsa

#  Port 22

#  Protocol 2,1

#  Cipher 3des

#  Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc

#  EscapeChar ~

Host *

Protocol 1,2