下载后可任意编辑利用 SSH Key 实现安全的密钥证书方式登陆SSH 作为 Linux 服务器的缺省登陆方式,安全性上需要进一步的增强,就我个人经验来讲,主要有以下方法:1.禁止 root 用户登陆:修改/etc/ssh/sshd_configPermitRootLogin yes2.仅允许某一用户(如 Jack)登陆修改/etc/ssh/sshd_configUserAllow Jack3.修改 SSH 监听端口(如 7890)修改/etc/ssh/sshd_configPort 78904.通过 hosts.allow 仅允许指定 IP(如 8.8.8.8)或 IP 段(如 8.8.8.x)通过修改/etc/hosts.denysshd:all修改/etc/hosts.allowsshd:8.8.8.8sshd:8.8.8.5.禁用密码方式验证,使用密钥证书方式登陆具体实现过程将稍后在本文中进行讲解6.在服务器上安装 OpenVPN Server,然后仅允许 OpenVPN 的本地 IP 段通过这样每次都需要通过证书登陆到 OpenVPN,才能再登陆到 SSH,具体 OpenVPN 的搭建请参考我的这篇文章:http://heylinux.com/archives/555.html从 1 到 6,安全级别逐渐加强,但安全与便捷始终存在着矛盾,这一点需要大家自己进行取舍。下面,我将对利用 SSH Key 实现安全的密钥证书方式登陆进行介绍,介绍中包括的客户端为 SSH Secure Shell,PuTTY,SecureCRT 以及 Linux 终端。一、配置 OpenSSH 服务端1.修改配置文件中的以下记录# vim /etc/ssh/sshd_config================================PermitEmptyPasswords noPasswordAuthentication noRSAAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keysStrictModes no================================2.为用户(如 jack)创建 authorized_keys 文件# cd /home/jack下载后可任意编辑# mkdir .ssh# touch .ssh/authorized_keys# chmod 700 .ssh# chmod 600 .ssh/authorized_keys# chown -R jack:jack .ssh(SUSE 上需要执行 chown -R jack:users .ssh)3.重启 OpenSSH 服务# /etc/init.d/sshd restart二、配置 SSH 客户端使用 SSH Secure Shell 客户端生成 SSH Key打开 SecureCRT 客户端,点击 “ Edit- Settings ”;选择 “ Global Settings - User Authentication – Keys ”,点击 “ Generate New ”;再出现的界面中选择 “ RSA ” 与 “ 1024 ”,点击 “ 下一步 ”;下载后可任意编辑会出现一个密码生成的界面,完成之后,点击下一步;在界面中输入...
