配置安全的ssh服务

swfclyb

                 
                                一、平台选择，我的服务器是centos5
    默认安装完以后用vi打开 /etc/ssh/sshd_config 修改几行内容就能够了 其实原始的SSH服务器配置有着很多的漏洞，但一般网络管理员都喜欢这样的默认配置，认为只要保存好root密码就万事OK了，非也非也！
#ServerKeyBits 768 注释取消，将768改为1024
#PermitRootLogin yes 注释取消，将yes改为no 禁止root登录
#PermitEmptyPasswords no 取消注释，禁止空密码登录
#Protocol 2,1 把前面的注释取消，选择2的版本就行了，1的版本有很多漏洞。
保存退出。
假如想做到最大化安全链接，能够考虑在配置有双网卡的服务器上配置只允许内网链接
SSH，方法很简单，在/etc/hosts.deny文档最后一行添加一句sshd: ALL
然后在/etc/hosts.allow的最后一行加上一句sshd: 192.168.1. 然后保存退出,这样就只能是192.168.1.X的机器可以访问了。
重启一下SSH服务 /sbin/service sshd restart 就OK了。
二、制作密钥
先转换进入一个普通用户，输入 ssh-keygen -t rsa
第一步会让您先确认钥匙的文档名。保持默认就能够了。然后输入这个密钥的口令，再确认一次就能够了。
然后cd ~/.ssh 查看一下钥匙是不是都已建立了。将公钥更改名称后删除
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
rm -rf ~/.ssh/id_rsa.pub 别把密钥误删就行了。
将公钥文档属性更改为400禁止被篡改
chmod 400 ~/.ssh/authorized_keys
剩下的就没什么了，把密钥COPY到U盘还是FTP服务器再转移或是复制到磁盘上就看您自己的需要了。
三、测试
3.1 windows下用putty测试
因为putty不能识别直接从服务器拷贝来的私钥，那么还需要下载一个工具将私钥的格式转化为putty使用的格式。
工具名称：puttygen.exe
下载地址：http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
    格式转换
    1)、打开工具puttygen.exe --> Conversions --> Import Key
    2)、选择从拷贝过来的私钥文件id_rsa
    3)、Save private key 名字随便 例如ftpserver.ppk
    测试：打开工具putty.exe
    1)、Session --> Host Name (填写服务器地址或者域名)
    2)、Connection --> SSH --> Auth (点Browse选择刚才经过格式转换的ftpserver.ppk)
    3)、open
3.2 linux下用ssh测试
1)、拷贝id_rsa到linux的任何目录下,可以更改为自己喜欢的名字(如：服务器名+id_rsa,这样登录多台服务器时很容易区分)
2)、chmod 600 id_rsa（自己更改后的名字） （这步不能少）
3)、ssh -i id_rsa（自己更改后的名字） 用户名@服务器IP
四、密钥丢失
    一旦你的用户丢了密匙，一定在服务器端把它的公匙删除，这样即使那人获得了密匙也上不去
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/17549/showart_1226055.html