Порядок строк в sshd_config
не важно, за исключением одной вещи: каждая строка, которая начинается со слова Match
запускает новый раздел, и расположение этих разделов важно.
Строки, которые начинаются #
комментируются: они проигнорированы. Можно видеть их в конфигурационном файле по умолчанию как примеры вещей, которые Вы могли записать, хотели ли Вы. Вы не должны комментировать строку для изменения настроек, можно записать дополнительные строки, как Вы желаете.
Например, #Port 22
есть ли, потому что порт по умолчанию равняется 22. Если Вы удаляете #
символ, Вы явно установите порт на 22, который ничего на самом деле не изменяет. Если Вы удаляете #
и измените число, это заставит сервер SSH слушать на другом порте. Можно также оставить закомментированную строку в покое (если она присутствует вообще), и записать Port 1234
на отдельной строке.
Слушание на другом порте не очень полезно: взломщики знают, как найти серверы, слушающие на любом порте, риск только незначительно снижен. Единственное преимущество для изменения порта - то, что Вы получите меньше автоматизированных попыток (ищущий слабые пароли) в Ваших журналах. Это не стоит того: изменение порта сделает Ваш сервер недостижимым позади некоторых брандмауэров, которые только позволяют зашифрованный трафик на определенных портах.
Наличие Protocol 2
хорошая идея, если Вы не знаете, что хотите смочь использовать чрезвычайно старые клиенты.
ListenAddress
только полезно для определенных конфигураций, где Вы хотите, чтобы сервер SSH послушал только на одной сетевой плате. Вам не нужен он.
PermitRootLogin no
обычно хорошая идея, но это не абсолютная легкая задача, которой некоторые люди разбирают его, чтобы быть. Это только предоставляет прямое преимущество безопасности, если Ваш пароль root слаб или пропущен (не хорошая идея) или если Вы позволяете корню входить в систему со слабым или пропустили ключ (так же). Если корень не может войти в систему непосредственно, это означает, что пользователи должны сначала войти в систему со своей собственной учетной записью. Это хорошо для отслеживаемости, для знания то, что произошло после факта, когда законные пользователи вошли в систему. В большинстве установок злонамеренные пользователи могут изменить журналы после факта, таким образом, дополнительный шаг, который они сделали, не будет видим.
Другая общая стабилизирующая установка должна потребовать, чтобы пользователи использовали пары ключей вместо паролей для аутентификации, т.е. отключили аутентификацию по паролю:
PasswordAuthentication no
Необходимо только уехать, аутентификация по паролю позволила если:
Таким образом, использование процессора происходит из-за порожденных детей, которые не учитываются в столбце TIME+.[116354] Вы можете изменить верхнюю часть, чтобы сделать кумулятивное время с помощью переключателя 'S'.
Но я думаю, что Вы смотрите на неправильные индикаторы для того, что Вы ищете для исследования.
Strace принимает бесчисленное множество опций. Некоторые примечательные опции включают -f, -ff, -i, v, и т.д. ... Strace - самый полезный инструмент, поэтому лучше всего делать [116357]man strace [116358] и самостоятельно искать те опции, которые он предоставляет для решения проблем, подобных этой [115981].