如果您仍然使用 telnet, 而不是 ssh, 則需要改變對本手冊的閱讀方式. 應當用 ssh 來取代所有的 telnet 遠程登錄。任何時候通過嗅探互聯網通訊來獲取明文密碼都是相當簡單的, 您應該采用使用加密算法的協議. 那麼, 現在在你的系統上執行 apt-get install ssh。
鼓勵您系統上的所有用戶使用 ssh 取代 telnet, 或者更進一步, 卸載 telnet/telnetd. 另外您應該避免使用 ssh 以 root 身份登錄, 其替代的方法是使用 su 或 sudo 轉換成 root 用戶。最後, /etc/ssh 目錄下的 sshd_config 文件, 應當作如下修改, 以增強安全性:
ListenAddress 192.168.0.1
使得 ssh 只監聽一個指定的接口, 如果你有多個(並不想在其上邊獲得 ssh 服務)接口, 或者將來會增加一塊新網卡(但並不想通過它連接ssh服務).
PermitRootLogin no
嘗試任何情況先都不允許 Root 登錄. 如果有人想通過 ssh 成為 root, 需要兩次登錄, 並且root的密碼現在仍不可能通過SSH暴力破解.
Listen 666
改變監聽端口, 這樣入侵者不能完全確定是否運行了sshd守護進程(事先警告,這是模糊安全的).
PermitEmptyPasswords no
空密碼是對系統安全的嘲弄.
AllowUsers alex ref me@somewhere
只允許某些用戶通過 ssh 訪問主機. user@host 也可用於限制指定用戶通過指定主機訪問.
AllowGroups wheel admin
僅允許某個組的成員通過 ssh 訪問主機. AllowGroups 和 AllowUsers 對於拒絕訪問主機有同樣的效果. 當稱它們為 "DenyUsers" 和 "DenyGroups" 時不要覺得奇怪.
PasswordAuthentication yes
這完全取決於您的選擇. 僅僅允許用戶使用置於 ~/.ssh/authorized_keys 文件中的 ssh-keys 登錄主機將更加安全. 如果要達到這種效果,將其設為 "no".
禁用所有的您不需要的認證方式, 如果您用不到, 例如 RhostsRSAAuthentication, HostbasedAuthentication, KerberosAuthentication 或 RhostsAuthentication(例如), 您應該將其禁用, 即使它們是缺省設置(參閱聯機幫助 sshd_config(5)).
Protocol 2
禁用版本1協議, 因為其設計缺陷, 很容易使密碼被黑掉. 更多信息, 參閱 ssh協議問題報告 或 Xforce 通告.
Banner /etc/some_file
為用戶連接到 ssh 服務器增加一個標題(它將從文件讀取), 在一些國家, 登入給定系統前, 給出未經授權或者用戶監視警告信息, 將會受到法律的保護
