背景:centos7或者ubuntu细诸、OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013堪藐、xshell5
一榛做、修改端口號(hào)
nmap序苏、鐘馗之眼等一些掃描工具會(huì)掃描一些常見(jiàn)端口绿饵,sshd的22端口必定也在其中
修改/etc/ssh/sshd_config,把 Port 22 修改成你喜歡的端口號(hào)垄懂,最好是>10000骑晶,但是要<65535
二、使用證書(shū)登錄
1. 生成密鑰草慧,我這里用的是xshell 5
生成密鑰.png
生成密鑰.PNG
類(lèi)型選擇RSA桶蛔,長(zhǎng)度自己喜歡
生成密鑰.PNG
生成密鑰.PNG
這里可以選擇保存為文件,然后使用winscp上傳到服務(wù)器漫谷,然后拷貝內(nèi)容到(你要登錄的用戶的home目錄)/.ssh/authorized_keys
如:cat id_rsa_2048.pub >>/home/(你要登錄的用戶用戶名)/.ssh/authorized_keys
(推薦)或者直接拷貝公鑰到/home/(你要登錄的用戶用戶名)/.ssh/authorized_keys仔雷,沒(méi)有.ssh文件夾和authorized_keys就自己新建一個(gè),不過(guò)要注意文件所屬者
1.1.(推薦)或者使用ssh-keygen 生成密鑰
選項(xiàng)
- -t #密鑰類(lèi)型舔示,dsa | ecdsa | ed25519 | rsa | rsa1
- -b bits #密鑰長(zhǎng)度 1024 | 2048 |4096 | 8192碟婆,默認(rèn)2048
例:ssh-keygen -t rsa -b 4096
然后可以在/home/(user)/.ssh/ 目錄中找到一對(duì)密鑰id_rsa是私鑰, id_rsa.pub是公鑰,然后把公鑰復(fù)制到authorized_keys惕稻,私鑰自己留著
ok竖共!到這里我們就得到一對(duì)密鑰了,一個(gè)是公鑰(已經(jīng)拷貝到服務(wù)器上了)俺祠,一個(gè)是私鑰公给,在xshell5上(在工具->用戶密鑰管理者可以看到),私鑰要導(dǎo)出來(lái)锻煌,然后隨身攜帶妓布,否者就無(wú)法登錄自己的服務(wù)器了
2.修改/etc/ssh/sshd_config,修改以下幾個(gè)選項(xiàng)
- PermitRootLogin no #不允許root登錄
- StrictModes no #解決Authentication refused: bad ownership or modes for file /home/---/.ssh/authorized_keys的問(wèn)題
- RSAAuthentication yes #開(kāi)啟RSA類(lèi)型認(rèn)證
- AuthorizedKeysFile .ssh/authorized_keys #認(rèn)證密鑰文件位置
- PasswordAuthentication no #不允許直接密碼登錄(有了證書(shū)登錄,就不用密碼登錄了)
3.登陸服務(wù)器
service sshd restart
嘗試登錄:
登錄.PNG
OK!.PNG
