全部博文(14)
分类: LINUX
2008-09-26 11:27:53
其实原始的SSH服务器配置有着很多的漏洞,但一般网络管理员都喜欢这样的默认配置,认为只要保存好root密码就万事OK了,非也非也!
#ServerKeyBits 768 注释取消,将768改为1024
#PermitRootLogin yes 注释取消,将yes改为no 禁止root登录
#PermitEmptyPasswords no 取消注释,禁止空密码登录
#Protocol 2,1 把前面的注释取消,选择2的版本就行了,1的版本有很多漏洞。
保存退出。
假如想做到最大化安全链接,能够考虑在配置有双网卡的服务器上配置只允许内网链接 SSH,方法很简单,在/etc/hosts.deny文档最后一行添加一句sshd: ALL 然后在/etc/hosts.allow的最后一行加上一句sshd: 192.168.1. 然后保存退出,这样就只能是192.168.1.X的机器可以访问了。
重启一下SSH服务 /sbin/service sshd restart 就OK了。
二、制作密钥
先转换进入一个普通用户,输入 ssh-keygen -t rsa
第一步会让您先确认钥匙的文档名。保持默认就能够了。然后输入这个密钥的口令,再确认一次就能够了。
然后cd ~/.ssh 查看一下钥匙是不是都已建立了。将公钥更改名称后删除
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
rm -rf ~/.ssh/id_rsa.pub 别把密钥误删就行了。
将公钥文档属性更改为400禁止被篡改
chmod 400 ~/.ssh/authorized_keys
剩下的就没什么了,把密钥COPY到U盘还是FTP服务器再转移或是复制到磁盘上就看您自己的需要了。
三、测试
3.1 windows下用putty测试
因为putty不能识别直接从服务器拷贝来的私钥,那么还需要下载一个工具将私钥的格式转化为putty使用的格式。
工具名称:puttygen.exe
下载地址:~sgtatham/putty/download.html
格式转换
1)、打开工具puttygen.exe --> Conversions --> Import Key
2)、选择从拷贝过来的私钥文件id_rsa
3)、Save private key 名字随便 例如ftpserver.ppk
测试:打开工具putty.exe
1)、Session --> Host Name (填写服务器地址或者域名)
2)、Connection --> SSH --> Auth (点Browse选择刚才经过格式转换的ftpserver.ppk)
3)、open
3.2 linux下用ssh测试
1)、拷贝id_rsa到linux的任何目录下,可以更改为自己喜欢的名字(如:服务器名+id_rsa,这样登录多台服务器时很容易区分)
2)、chmod 600 id_rsa(自己更改后的名字) (这步不能少)
3)、ssh -i id_rsa(自己更改后的名字) 用户名@服务器IP