配置文件/etc/ssh/sshd_config包含这一系列单行声明，每行声明均以某个关键字（不区分大小写）开头，其后跟着空格，最后是参数（区分大小写）。想要这些修改生效，必须重新加载sshd服务器。

AllowUsers userlist

userlist是一个由空格隔开的用户名列表，指定哪些用

户允许使用sshd登录。这个列表可以含有通配符*和?。

可以用user或者user@host的形式来指定用户。如果使用的

是第二种格式的话，那么要确保将host指定为hostname命令

所返回的值。如果没有指定这项声明，那么任何能够在本地

登录的用户都能够使用OpenSSH客户端登录。

ClientAliveCountMax n

n指定sshd从客户端断开连接之前，在没有接收到响应时能够

发送client-alive消息的条数。参见ClientAliveInterval。默认值为3。

ClientAliveInterval n

如果n秒之内没有接收到客户端的消息，就通过加

密通道发送一条信息。参见ClientAliveCountMax。默认值为0，

意味着不发送消息。

这项声明通过加密通道（应用层，参见《基础篇》10.1.7节）

传递消息，不容易受到IP欺骗攻击（参见术语表）。它区别于

TCPKeepAlive，后者使用TCP的keepalive选项（传输层，

参见《基础篇》10.1.7节），容易受到IP欺骗攻击。

DenyUsers userlist

userlist是一个由空格隔开的用户名列表，指定哪些用户不

可以使用sshd登录。这个列表可以含有通配符*和?。

可以用user或者user@host的形式来指定用户。如果使用

的是第二种格式的话，那么要确保将host指定为hostname命令所返回的值。

HostbasedAuthentication yes | no

如果设置为yes，则尝试进行rhosts和/etc/hosts.equiv身份验证。

要想提高系统安全性，请将其设置为no（默认值）。

IgnoreRhosts yes | no

忽略.rhosts和.shosts身份验证文件。不会影响到

/etc/hosts.equiv和/etc/ssh/shosts.equiv身份验证文件的使用。

要想提高系统安全性，请将其设置为yes（默认值）。

LoginGraceTime n

在断开连接之前，等待n秒以便用户登录到服务器。

如果值为零的话，表示没有时间限制。默认值为120秒。

LogLevel val

指定日志消息的详细程度。val的值从QUIET、FATAL、

ERROR、INFO和VERBOSE中选取。默认为INFO。

PasswordAuthentication

允许用户使用口令进行身份验证。要想提高系统安全性，

请设置自动登录（参见8.4.4节），并将该声明设置为no。默认值为yes。

PermitEmptyPasswords

允许用户登录到口令为空的账号。默认值为no。

PermitRootLogin

允许root使用OpenSSH客户端登录。考虑到连接到因特网的

典型系统经常遭受到的强力攻击次数，将该声明设置为no是

很必要的。（如果root账号被锁定，如何设置这个声明

就不是一个问题。）默认值为yes。

Port num

指定sshd服务器侦听端口num。将num改成非标准端口

可以提高安全性。默认端口为22。

StrictModes yes | no

检查用户主目录和文件的模式和所有权。如果目录或文件

可以被任何一个除了所有者之外的人写入的话，那么

任何一个除了所有者之外的人登录将失败。出于安全方面的考虑，

请将其设置为yes（默认值）。

TCPKeepAlive yes | no

如果设置为yes（默认值），那么周期性地检查连接是否存活。

当客户端崩溃或者由于其他原因导致连接死掉，那么该项检

查会让ssh或scp连接断开，即便只是临时性的故障。

这个选项在传输层（TCP）测试连接（参见《基础篇》

10.1.7节）。将该参数设置为no，会导致服务器不去检查连接是否存活。

这项声明使用TCP的keepalive选项，该项未被加密，

容易受到IP欺骗攻击（参见术语表）。对于不易

受到IP欺骗攻击的替代技术请参考ClientAliveInterval（参见8.4.6节）。

X11Forwarding yes | no

若将该选项设置为yes，则允许X11转发。默认值为no，

但是Ubuntu Linux将X11Forwarding设置为yes。要想让

可信的X11转发能够工作，那么~/.ssh/config或者

/etc/ssh/ssh_config客户端配置文件（参见8.3.7节）

中也必须将ForwardX11声明和ForwardX11Trusted声明设置为yes。

更多信息请参见（参见8.6节）节的“X11转发”部分。