修改 SSH 默认端口
不要使用默认的 22 端口,这样很容易暴露 SSH 服务,也为暴力猜解用户名和密码留下了隐患。解决方法:将 /etc/ssh/sshd_config 中的 Port 改为其他端口。
禁止 root 帐号 SSH 登录
这样也是相当危险的,一般的做法是通过 SSH 配置文件,限制 root 帐号直接登录。
修改 /etc/ssh/sshd_config
将 PermitRootLogin 的值改为 no
这样,SSH 一律使用普通用户登录,在需要执行更高权限命令时,通过 sudo 命令,或者 su 成 root 再执行。
限制账号多重登陆
这样的做法,能让同一个账号,在同一时间内不能被多人同时登录。
实现方法:编辑 /etc/security/limits.conf
加入如下配置项即可:
* hard maxlogins 2
防 ping
# 禁止 ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
# 允许 ping
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
一、生成密钥对
可以使用命令行 ssh-keygen 生成(RSA/DSA 二选一):
# RSA
ssh-keygen -t rsa -b 2048 -C kiccleaf@163.com
# DSA
ssh-keygen -t dsa -C kiccleaf@163.com
当然也可以使用 putty 的 puttygen 工具生成。
SSH 登录需要 OpenSSH 格式的公钥,ssh-keygen 生成的 id_rsa.pub / id_dsa.pub 就是这种格式,如果是用 puttygen 生成,需要导出为 OpenSSH 格式。
二、添加服务端公钥
用将要使用密钥的用户登录 VPS。
cd
mkdir -p .ssh
chmod 755 .ssh
# RSA
cat id_rsa.pub >> .ssh/authorized_keys
# RSA
cat id_dsa.pub >> .ssh/authorized_keys2
chmod 644 .ssh/authorized_keys
三、配置 SSH 服务端
编辑 /etc/ssh/sshd_config,修改以下几个参数,禁止 root 账号 和 使用密码 直接登录:
PermitRootLogin no
PasswordAuthentication no
重启 SSH 服务:
/etc/init.d/sshd restart
四、配置 SSH 客户端
SecureCRT 可以直接使用 OpenSSH 格式的密钥,putty 则需要使用 puttygen 导入 id_rsa / id_dsa 再保存为 .ppk 格式的私钥。