SSH服務(wù)是目前類unix系統(tǒng)上使用最為廣泛的遠(yuǎn)程安全登錄服務(wù)之一，默認(rèn)端口為tcp 22端口。由于遠(yuǎn)程管理的需要，很多防火墻都對(duì)外開放了22端口，這就使得SSH服務(wù)很容易成為黑客的攻擊目標(biāo)，可以通過查看類unix系統(tǒng)的安全日志，能發(fā)現(xiàn)大量針對(duì)tcp 22端口的非法連接。為避免系統(tǒng)的SSH服務(wù)被黑客攻擊，我們需要對(duì)SSH服務(wù)進(jìn)行一些加固操作，以保證服務(wù)器的安全。

　　下面以較普遍的centos6.2為例：

　　需要安裝的操作系統(tǒng)是centos6.2 minimal 版本，即最小安裝版本，本著對(duì)服務(wù)器需要什么安裝什么的要求，這個(gè)版本是最為簡便的。在安裝完成操作系統(tǒng)后，需要做以下幾點(diǎn)操作。

　　1 修改ssh 端口

　　Linux修改ssh端口22

　　vi /etc/ssh/ssh_config

　　vi /etc/ssh/sshd_config

　　然后修改為port 8888

　　以root身份service sshd restart ，ssh_config和sshd_config必須同時(shí)修改成8888,方可生效

　　2 關(guān)閉遠(yuǎn)程root

　　#vi /etc/ssh/sshd_config

　　把PermitRootLogin yes

　　改為PermitRootLogin no

　　重啟sshd服務(wù)

　　#servicesshd restart

　　3 創(chuàng)建普通用戶

　　#useradduser199

　　#passwduser199

　　4 讓用戶user199可以通過sudo執(zhí)行所有root可執(zhí)行的命令

　　首先＃yun install sudo

　　以root身份用visudo打開配置文件，可以看到以下幾行：

　　# Runas alias specification

　　# User privilege specificationroot ALL=(ALL)ALL

　　user199 ALL=(ALL) ALL

　　為了更好的保證安全性，作以下設(shè)置：

　　修改vi /etc/ssh/sshd_config 文件

　?。?）PermitEmptyPasswords no #不允許空密碼用戶login（僅僅是明文密碼方式，非證書方式）。

　　（2）RSAAuthentication yes # 啟用RSA 認(rèn)證。

　　（3）PubkeyAuthentication yes # 啟用公鑰認(rèn)證。

　?。?）PasswordAuthentication no # 禁止密碼認(rèn)證。

　　補(bǔ)充：修改vi /etc/ssh/ssh_config 文件（全局配置文件）

　　RSAAuthentication yes

　　# 允許RSA私鑰方式認(rèn)證。

　　PasswordAuthentication no #，禁止明文密碼登陸。（這里才是關(guān)鍵）

　　生成配置公鑰與私鑰

　　mail:/$ ssh-keygen -t rsa

　　Generating public/private rsa key pair.

　　Enter file in which to save the key (/root/.ssh/id_rsa): /home/user/.ssh/id_rsa

　　(生成私鑰與公鑰存放位置，使用哪個(gè)賬戶操作就放在哪個(gè)賬戶下面)

　　Enter passphrase (empty for no passphrase): 輸入密碼

　　Enter same passphrase again:再次輸入密碼

　　Your identification has been saved in /home/user/.ssh/id_rsa. (生成的私鑰)

　　Your public key has been saved in /home/user/.ssh/id_rsa.pub. (生成的公鑰)

　　The key fingerprint is:

　　76:04:4d:44:25:37:0f:b1:a5:b7:6e:63:d4:97:22:6b

　　將生成的公鑰i d _ r s a . p u b 復(fù)制一份并重命名為authorized_keys放在服務(wù)器用戶主文件夾的.ssh目錄下。

　　將生成的私鑰id_rsa拷貝到需要發(fā)起遠(yuǎn)程的客戶端電腦上。

　　啟動(dòng)客戶端連接軟件（以Private Shell為例），點(diǎn)擊Advanced選項(xiàng)，選擇User Keys，點(diǎn)擊Import Key，在彈出的“打開”中找到剛剛復(fù)制到本地的id_rsa文件并打開。輸入在制作這個(gè)私鑰時(shí)設(shè)置的密碼，輸入完確定之后為該key命名，確定后設(shè)置此證書在本地發(fā)起連接時(shí)是否需要輸入密碼，如需要?jiǎng)t設(shè)置，不需要就留空，最后點(diǎn)擊Ok，本地證書就制作添加完成了。

　　重新啟動(dòng)ssh服務(wù):/etc/init.d/ssh restart。