|
sshd工具相关 修改sshd的端口: vi /etc/ssh/sshd_config 修改里面的端口号(或新加一行,使用p键直接复制一行)。 修改为:2222 保存退出后,重启sshd systemctl restart sshd 修改防火墙端口 # firewall-cmd --permanent --add-port=2222/tcp # firewall-cmd --permanent --add-port=2222/udp # firewall-cmd --reload -- 推荐的一种强化ssh安全的策略就是只允许使用证书登录ssh,下面介绍配置方法以及如何使用。 生成私人密钥 下载puttyfile_0.60en.zip文件,打开压缩包里的puttygen.exe文件,点击“生成”按钮,并在进度表的下面空白处随机移动鼠标,等生成私钥完成。 修改密钥注释和密码。 然后,点击“保存私钥”,保存好私钥文件。这时不要关闭密钥生成器。 将密钥生成器“显示的公钥()由OpenSSH认可”一行文字下面的框区域中的内容,拷贝出来并保存到新建文件“authorized_keys”中。 创建.ssh/authorized_keys 以root身份,登录linux系统,创建~/.ssh/文件夹,将本地文件“authorized_keys”,上传到文件夹“~/.ssh/”下。 设置putty实现用证书登录 Putty→Session:将Host Name(Or IP Address)填好 Putty→Connection→Date:填好Auto-login username(自动登陆用户名) Putty→Connection→SSH→Auth:在Private key file for authentication选择认证私钥文件 回到Putty→Session:Saved Session,填个名称保存下吧,下次直接双击名称就可以登录了. 取消密码认证登录 为了进一步增强安全,现在设置禁止使用密码登录 编辑/etc/ssh/sshd_config文件,更改为以下设置。 PasswordAuthentication no 重启sshd服务。 如果需要更安全,可以禁止root登录 PermitRootLogin no 但是,前提是需要建立一个普通用户,并且设置这个普通用的sudo权限,具有和root相同的效果才可以。否则就悲剧了。^_^. 另:注意:如果证书不生效,则有可能是selinux的权限不通过引起的。 检查.ssh文件夹标签是否是“ssh_home_t”, 检查authorized_keys文件的标签是否是“user_home_t”, 否则selinux是不允许访问的。 # ls -laZ # chcon -t ssh_home_t .ssh # chcon -t user_home_t authorized_keys 参考资料:https://www.centos.bz/2012/02/strengthen-ssh-security-login-with-certificate/ (责任编辑:IT) |