Chinaunix首页 | 论坛 | 博客
  • 博客访问: 487793
  • 博文数量: 14
  • 博客积分: 7010
  • 博客等级: 少将
  • 技术积分: 1049
  • 用 户 组: 普通用户
  • 注册时间: 2006-04-16 02:16
文章分类

全部博文(14)

文章存档

2009年(3)

2008年(11)

我的朋友

分类: LINUX

2008-09-26 11:27:53

  一、平台选择,我的服务器是centos5

    默认安装完以后用vi打开 /etc/ssh/sshd_config 修改几行内容就能够了

其实原始的SSH服务器配置有着很多的漏洞,但一般网络管理员都喜欢这样的默认配置,认为只要保存好root密码就万事OK了,非也非也!

#ServerKeyBits 768 注释取消,将768改为1024

#PermitRootLogin yes 注释取消,将yes改为no 禁止root登录

#PermitEmptyPasswords no 取消注释,禁止空密码登录

#Protocol 2,1 把前面的注释取消,选择2的版本就行了,1的版本有很多漏洞。

保存退出。

假如想做到最大化安全链接,能够考虑在配置有双网卡的服务器上配置只允许内网链接 SSH,方法很简单,在/etc/hosts.deny文档最后一行添加一句sshd: ALL 然后在/etc/hosts.allow的最后一行加上一句sshd: 192.168.1. 然后保存退出,这样就只能是192.168.1.X的机器可以访问了。

 重启一下SSH服务 /sbin/service sshd restart 就OK了。

 二、制作密钥

先转换进入一个普通用户,输入 ssh-keygen -t rsa

第一步会让您先确认钥匙的文档名。保持默认就能够了。然后输入这个密钥的口令,再确认一次就能够了。

然后cd ~/.ssh 查看一下钥匙是不是都已建立了。将公钥更改名称后删除

cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

rm -rf ~/.ssh/id_rsa.pub 别把密钥误删就行了。

将公钥文档属性更改为400禁止被篡改

chmod 400 ~/.ssh/authorized_keys

剩下的就没什么了,把密钥COPY到U盘还是FTP服务器再转移或是复制到磁盘上就看您自己的需要了。

三、测试

3.1 windows下用putty测试

因为putty不能识别直接从服务器拷贝来的私钥,那么还需要下载一个工具将私钥的格式转化为putty使用的格式。
工具名称:puttygen.exe
下载地址:~sgtatham/putty/download.html
    格式转换
    1)、打开工具puttygen.exe --> Conversions --> Import Key
    2)、选择从拷贝过来的私钥文件id_rsa
    3)、Save private key 名字随便 例如ftpserver.ppk
    测试:打开工具putty.exe
    1)、Session --> Host Name (填写服务器地址或者域名)
    2)、Connection --> SSH --> Auth (点Browse选择刚才经过格式转换的ftpserver.ppk)
    3)、open

3.2 linux下用ssh测试

1)、拷贝id_rsa到linux的任何目录下,可以更改为自己喜欢的名字(如:服务器名+id_rsa,这样登录多台服务器时很容易区分)

2)、chmod 600 id_rsa(自己更改后的名字) (这步不能少)

3)、ssh -i id_rsa(自己更改后的名字) 用户名@服务器IP

四、密钥丢失
    一旦你的用户丢了密匙,一定在服务器端把它的公匙删除,这样即使那人获得了密匙也上不去
阅读(1948) | 评论(1) | 转发(1) |
给主人留下些什么吧!~~

chinaunix网友2009-03-28 10:14:07

很好! 对我有很大的帮助 谢谢!!