文章內(nèi)容

在Centos5環(huán)境下搭建安全的SSH服務(wù)

發(fā)布時間: 2012/8/13 11:53:09

其實(shí)原始的SSH服務(wù)器設(shè)置有著很多的漏洞，但一般網(wǎng)絡(luò)管理員都喜歡這樣的默認(rèn)設(shè)置，認(rèn)為只要保存好root密碼就萬事OK了，非也非也。以前給保險公司做集成的時候曾經(jīng)看到他們內(nèi)部的工程師給系統(tǒng)安裝SSH服務(wù)器的時候總要在最后導(dǎo)出一個.ppk的文件，最后才知道那就是SSH服務(wù)器的密鑰，在網(wǎng)上百度一下才知道如果沒有這個密鑰，就算你在網(wǎng)絡(luò)環(huán)境中知道了root密碼也無濟(jì)于事。不信的話試試看就知道了。1、選擇平臺:公司的很多機(jī)器都是使用NT2003和BSD的，為了搞實(shí)驗(yàn)我裝了一個Centos5.0的在我的測試機(jī)上。默認(rèn)安裝完以后用VI打開/etc/ssh/sshd_config修改幾行內(nèi)容就可以了#ServerKeyBits768注釋取消，將768改為1024#PermitRootLoginyes注釋取消，將yes改為no禁止root登錄#PermitEmptyPasswordsno取消注釋，禁止空密碼登錄#PasswordAuthenticationno取消注釋，禁止使用密碼方式登錄，有密鑰誰還用密碼啊注意一下，在centos5.0之前SSH服務(wù)需要指明版本，#Protocol2,1把前面的注釋取消，選擇自己需要的版本就行了。保存退出。如果想做到最大化安全鏈接，可以考慮在配置有雙網(wǎng)卡的服務(wù)器上設(shè)置只允許內(nèi)網(wǎng)鏈接SSH，方法很簡單，在/etc/hosts.deny文件最后一行添加一句sshd:ALL然后在/etc/hosts.allow的最后一行加上一句sshd:192.168.0.然后保存退出。重啟一下SSH服務(wù)servicesshdrestart就OK了。2、制作密鑰先切換進(jìn)入一個wheel組的普通用戶，輸入ssh-keygen-trsa第一步會讓你先確認(rèn)鑰匙的文件名。保持默認(rèn)就可以了。然后輸入這個密鑰的口令，再確認(rèn)一次就可以了。然后cd~/.ssh查看一下鑰匙是不是都已經(jīng)建立了。將公鑰更改名稱后刪除cat~/.ssh/id_rsa.pub>>~/.ssh/authorized_keysrm-rf~/.ssh/id_rsa.pub別把密鑰誤刪就行了。將公鑰文件屬性更改為400禁止被篡改chmod400~/.ssh/authorized_keys剩下的就沒什么了，把密鑰COPY到U盤還是FTP服務(wù)器再轉(zhuǎn)移或者是復(fù)制到磁盤上就看你自己的需要了。測試一下看服務(wù)能不能正常連接打開puttygen-x86.exe在程序下面選擇SSH-2（RSA）密鑰強(qiáng)度改為1024，然后點(diǎn)擊"Load"選取服務(wù)器端生成的私鑰（文件類型要選擇“AllFiles”）如果沒有改名字的話我們選的應(yīng)該是id_rsa這個文件，開始轉(zhuǎn)換私鑰，這里需要輸入在服務(wù)器端建立此私鑰時的口令。在文本框中輸入口令開始轉(zhuǎn)換，保存轉(zhuǎn)換后的私鑰匙到適當(dāng)?shù)奈恢茫ㄞD(zhuǎn)換后的私鑰將做為PuTTY登錄到服務(wù)器時使用的私鑰）。點(diǎn)擊“Saveprivatekey”，并選擇適當(dāng)?shù)奈恢帽４嫠借€。PUTTY估計做網(wǎng)管的朋友都很熟悉，下載地址就不廢話了，沒有可以下載我附件里提供的，我感覺這樣的兵器絕對是每人必備一把的，雙擊啟動PuTTY，在左側(cè)找到Auth（認(rèn)證方式）一項，點(diǎn)擊Browse，選擇剛剛用PuTTYGen轉(zhuǎn)換后的私鑰。然后點(diǎn)擊左側(cè)的Session，回到主機(jī)連接信息的設(shè)置。剩下的我就不羅嗦了，自己試試就行了。
本文出自：億恩科技【1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]