現(xiàn)在，安全外殼協(xié)議幾乎已經(jīng)完全成為進(jìn)行遠(yuǎn)程登錄操作時(shí)的必備選擇。對(duì)于很多管理員來(lái)說(shuō)，使用它已經(jīng)屬于默認(rèn)的要求。但問題的關(guān)鍵是，情況也并不是象大家想象的那么肯定，安全外殼協(xié)議提供的安全性也需要進(jìn)行設(shè)置增加效果。現(xiàn)在，有很多種方法可以將安全措施提升到更高的級(jí)別，但哪些是最容易部署，安全性最高的呢?下面，就讓我們來(lái)了解認(rèn)識(shí)一下。

基于ssh的密鑰認(rèn)證

不論用戶怎樣降低使用頻度，但只要還是使用密碼登錄的話，就可能出現(xiàn)被破解的情況。這是一個(gè)永遠(yuǎn)存在的安全漏洞。但是，通過使用基于ssh的密鑰認(rèn)證，問題就可以獲得解決。只要設(shè)定一個(gè)密鑰，然后將密鑰復(fù)制到指定機(jī)器上，就可以完成設(shè)置，下面給出的就是具體實(shí)施步驟(請(qǐng)注意：這些步驟針對(duì)的是基于Ubuntu的客戶機(jī)和服務(wù)器)：

本地系統(tǒng)

打開一個(gè)終端窗口并輸入命令ssh-keygen -t dsa。該命令將生成一個(gè)公鑰，接下來(lái)要做的就是利用ssh-copy-id -i ~/.ssh/id_dsa.pub 用戶名@目標(biāo)地址命令將其復(fù)制到服務(wù)器上，在這里，用戶名指的是遠(yuǎn)程計(jì)算機(jī)上實(shí)際使用的用戶名，目標(biāo)地址指的是遠(yuǎn)程計(jì)算機(jī)的實(shí)際地址。

現(xiàn)在，當(dāng)使用者嘗試?yán)眠h(yuǎn)程計(jì)算機(jī)進(jìn)行登錄的話，將被要求提供證書而不是用戶密碼。

對(duì)于使用圖形界面系統(tǒng)的用戶來(lái)說(shuō)，可以選擇點(diǎn)擊打開系統(tǒng)|首選項(xiàng)|密碼和加密密鑰設(shè)置。從該圖形界面(參見圖A)中選擇個(gè)人密鑰欄，點(diǎn)擊文件|新建|安全外殼協(xié)議密鑰項(xiàng)，按照創(chuàng)建指南的提示完成設(shè)置。

圖A

該工具可以對(duì)所有密碼和私人密鑰進(jìn)行管理。

一旦密鑰得以創(chuàng)建，就可以通過右鍵單擊打開，進(jìn)行安全外殼協(xié)議密鑰的設(shè)置。在新窗口中，使用者可以鍵入計(jì)算機(jī)的名稱(遠(yuǎn)程系統(tǒng))和登錄名。請(qǐng)注意：這么做之前，務(wù)必確保在遠(yuǎn)程計(jì)算機(jī)上已經(jīng)存在登錄名。

如果使用者采用的是Windows來(lái)登錄ssh功能服務(wù)器的話，可以選擇使用密鑰對(duì)生成工具PuTTYgen。下載并啟動(dòng)PuTTYgen，點(diǎn)擊生成按鍵，將鼠標(biāo)移動(dòng)到其它位置(在創(chuàng)建階段)，保存公共密鑰，并將其復(fù)制到ssh服務(wù)器上。

請(qǐng)注意：為了以防萬(wàn)一，大家應(yīng)該選擇始終對(duì)密鑰進(jìn)行強(qiáng)制密碼保護(hù)。因?yàn)椋绻谠O(shè)置的時(shí)間選擇容許密鑰認(rèn)證模式的話，可能會(huì)發(fā)現(xiàn)一些用戶選擇創(chuàng)建無(wú)密碼密鑰(基于易用性的考慮)。這種做法屬于不安全的。

阻止對(duì)根的訪問

對(duì)于所有系統(tǒng)來(lái)說(shuō)，容許基于安全外殼協(xié)議的訪問屬于關(guān)鍵之一。打開文件/etc/ssh/sshd_config，查找這一行：

PermitRootLogin

確保上面的行設(shè)置為否定。正確的行應(yīng)該是：

PermitRootLogin no

一旦對(duì)文件的更改和保存操作完成，就可以輸入命令：

sudo /etc/init.d/ssh restart

現(xiàn)在，如果出現(xiàn)嘗試?yán)胹sh作為根用戶登錄到服務(wù)器上情況的話，訪問就會(huì)被直接拒絕。

調(diào)整端口號(hào)

我相信將安全模糊化并不能帶來(lái)真正的安全。但是針對(duì)安全外殼協(xié)議的情況，設(shè)置越多安全性就越高。因此，我非常支持將安全外殼協(xié)議的默認(rèn)22號(hào)端口調(diào)整為非標(biāo)準(zhǔn)端口。為了做到這一點(diǎn)，需要打開/ etc/ssh/sshd_config文件，并查找此行(靠近頂部)：

Port 22

將端口號(hào)調(diào)整為沒有使用的其它非標(biāo)準(zhǔn)端口。需要注意的是，所有連接到該系統(tǒng)上的用戶都應(yīng)該了解到端口號(hào)方面的調(diào)整。在進(jìn)行了調(diào)整之后，也需要重新啟動(dòng)ssh服務(wù)。

利用命令行連接非標(biāo)準(zhǔn)端口時(shí)間，需要使用這樣的命令：

ssh -p 端口_數(shù)字 -v -l 用戶名 網(wǎng)絡(luò)地址

在這里端口_數(shù)字就是非標(biāo)準(zhǔn)端口，用戶名就是連接時(shí)使用的用戶名，網(wǎng)絡(luò)地址就是遠(yuǎn)程系統(tǒng)的地址。

最后的思考

總體而言，對(duì)于遠(yuǎn)程系統(tǒng)來(lái)說(shuō)，安全外殼協(xié)議是一種相當(dāng)安全的連接方式。但是，只要在默認(rèn)的基礎(chǔ)上進(jìn)行小小的調(diào)整，就可以達(dá)到非常安全的狀態(tài)......花費(fèi)少量時(shí)間就可以換來(lái)安全方面的極大提高。作為一條標(biāo)準(zhǔn)的重要經(jīng)驗(yàn)，使用者應(yīng)該牢記，在任何情況下，都應(yīng)該禁止根登錄......所有超過這一限度的行為都是眾所周知的糖衣炮彈。

【編輯推薦】

1. 用腳本簡(jiǎn)化部署DenyHosts防SSH暴力破解
2. 詳解Linux下SSH遠(yuǎn)程文件傳輸命令scp
3. 用ClusterSSH管理多臺(tái)Linux服務(wù)器
4. 路由器故障：登錄SSH服務(wù)器失敗
5. 故障分析：SSH的攻擊導(dǎo)致CPU利用率突發(fā)增高