其实原始的SSH服务器配置有着很多的漏洞，但一般网络管理员都喜欢这样的默认配置，认为只要保存好root密码就万事OK了，非也非也！

#ServerKeyBits 768 注释取消，将768改为1024

#PermitRootLogin yes 注释取消，将yes改为no 禁止root登录

#PermitEmptyPasswords no 取消注释，禁止空密码登录

#Protocol 2,1 把前面的注释取消，选择2的版本就行了，1的版本有很多漏洞。

保存退出。

假如想做到最大化安全链接，能够考虑在配置有双网卡的服务器上配置只允许内网链接 SSH，方法很简单，在/etc/hosts.deny文档最后一行添加一句sshd: ALL 然后在/etc/hosts.allow的最后一行加上一句sshd: 192.168.1. 然后保存退出,这样就只能是192.168.1.X的机器可以访问了。

 重启一下SSH服务 /sbin/service sshd restart 就OK了。

 二、制作密钥

先转换进入一个普通用户，输入 ssh-keygen -t rsa

第一步会让您先确认钥匙的文档名。保持默认就能够了。然后输入这个密钥的口令，再确认一次就能够了。

然后cd ~/.ssh 查看一下钥匙是不是都已建立了。将公钥更改名称后删除

cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

rm -rf ~/.ssh/id_rsa.pub 别把密钥误删就行了。

将公钥文档属性更改为400禁止被篡改

chmod 400 ~/.ssh/authorized_keys

剩下的就没什么了，把密钥COPY到U盘还是FTP服务器再转移或是复制到磁盘上就看您自己的需要了。

三、测试

3.1 windows下用putty测试

因为putty不能识别直接从服务器拷贝来的私钥，那么还需要下载一个工具将私钥的格式转化为putty使用的格式。
工具名称：puttygen.exe
下载地址：~sgtatham/putty/download.html
    格式转换
    1)、打开工具puttygen.exe --> Conversions --> Import Key
    2)、选择从拷贝过来的私钥文件id_rsa
    3)、Save private key 名字随便 例如ftpserver.ppk
    测试：打开工具putty.exe
    1)、Session --> Host Name (填写服务器地址或者域名)
    2)、Connection --> SSH --> Auth (点Browse选择刚才经过格式转换的ftpserver.ppk)
    3)、open

3.2 linux下用ssh测试

1)、拷贝id_rsa到linux的任何目录下,可以更改为自己喜欢的名字(如：服务器名+id_rsa,这样登录多台服务器时很容易区分)

2)、chmod 600 id_rsa（自己更改后的名字） （这步不能少）

3)、ssh -i id_rsa（自己更改后的名字） 用户名@服务器IP