端口設置成功後,注意同時應該從 iptables 中, 刪除22端口,添加新配置的 18439,並重啟 iptables。
如果 SSH 登錄密碼是弱密碼,應該設置一個復雜的密碼。Google Blog 上有一篇強調密碼安全的文章:Does your password pass the test?
如果你能以固定 IP 方式連接你的服務器,那麼,你可以設置只允許某個特定的 IP 登錄服務器。例如我是通過自己的 VPN 登錄到服務器。設置如下:
# 編輯 /etc/hosts.allow vi /etc/hosts.allow # 例如只允許 123.45.67.89 登錄 sshd:123.45.67.89
相對於使用密碼登錄來說,使用證書更為安全。自來水沖咖啡有寫過一篇詳細的教程,征得其同意,轉載如下:
為CentOS配置SSH證書登錄驗證
來源:自來水沖咖啡
下午幫公司網管遠程檢測一下郵件服務器,一台CentOS 5.1,使用OpenSSH遠程管理。
檢查安全日志時,發現這幾天幾乎每天都有一堆IP過來猜密碼。看來得修改一下登錄驗證方式,改為證書驗證為好。
為防萬一,臨時啟了個VNC,免得沒配置完,一高興順手重啟了sshd就麻煩了。(後來發現是多余的,只要事先開個putty別關閉就行了)
以下是簡單的操作步驟:
1)先添加一個維護賬號:msa 2)然後su - msa 3)ssh-keygen -t rsa 指定密鑰路徑和輸入口令之後,即在/home/msa/.ssh/中生成公鑰和私鑰:id_rsa id_rsa.pub 4)cat id_rsa.pub >> authorized_keys 至於為什麼要生成這個文件,因為sshd_config裡面寫的就是這個。 然後chmod 400 authorized_keys,稍微保護一下。 5)用psftp把把id_rsa拉回本地,然後把服務器上的id_rsa和id_rsa.pub干掉 6)配置/etc/ssh/sshd_config Protocol 2 ServerKeyBits 1024 PermitRootLogin no #禁止root登錄而已,與本文無關,加上安全些 #以下三行沒什麼要改的,把默認的#注釋去掉就行了 RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys PasswordAuthentication no PermitEmptyPasswords no 7)重啟sshd /sbin/service sshd restart 8)轉換證書格式,遷就一下putty 運行puttygen,轉換id_rsa為putty的ppk證書文件 9)配置putty登錄 在connection--SSH--Auth中,點擊Browse,選擇剛剛轉換好的證書。 然後在connection-Data填寫一下auto login username,例如我的是msa 在session中填寫服務器的IP地址,高興的話可以save一下 10)解決一點小麻煩 做到這一步的時候,很可能會空歡喜一場,此時就興沖沖的登錄,沒准登不進去: No supported authentication methods available 這時可以修改一下sshd_config,把 PasswordAuthentication no臨時改為: PasswordAuthentication yes 並重啟sshd 這樣可以登錄成功,退出登錄後,再重新把PasswordAuthentication的值改為no,重啟sshd。 以後登錄就會正常的詢問你密鑰文件的密碼了,答對了就能高高興興的登進去。 至於psftp命令,加上個-i參數,指定證書文件路徑就行了。
如果你是遠程操作服務器修改上述配置,切記每一步都應慎重,不可出錯。如果配置錯誤,導致 SSH 連接不上,那就杯具了。
基本上,按上述四點配置好後,Linux 下的 SSH 訪問,是比較安全的了。當然,安全與不安全都是相對的,你應該定期檢查服務器的 log,及時發現隱患並排除。
