一.更换端口, 可以在一定程度上防止扫描攻击
vim /etc/ssh/sshd_config
将 port 一项从 22 更改为高位端口, 然后重启 ssh 服务
systemctl restart sshd.service
二.禁止使用root账号登录, 允许使用root账号登录服务器是一个极其危险的行为!
vim /etc/ssh/sshd_config
MaxAuthTries 3 # 限制失败次数
PermitRootLogin no # 禁止使用root账号登录
重启 ssh 服务
三.关闭密码登录, 防止暴力攻击, 使用 非对称密钥对进行身份认证
vim /etc/ssh/sshd_config
RSAAuthentication yes # 开启RSA验证
PubkeyAuthentication yes # 是否使用公钥验证
AuthorizedKeysFile .ssh/authorized_keys # 保存公钥的文件的位置, 这里就是登录用户的家目录下的 .ssh目录, 可以根据自己的实际情况进行配置
PasswordAuthentication no #禁止使用密码验证登陆
四.生成公钥私钥, 将公钥上传到服务器
1、确认服务器都已都已安装了ssh服务
2、在本机上创建密钥对
ssh-keygen
-t rsa
1).注意查看提示,如果出现提示系统已经生成了ssh-key,则不必生成
2).如果需要重新生成ssh-key,所有的提示按enter键即可,也可以根据自己的需要输入自己的选项
3).注意提示保存ssh-key的存放目录
4).完成以后进入到保存ssh-key的目录, 就可以看到id_rsa和id_rsa.pub文件
3、把公钥的内容追加拷贝到服务器上登录用户的家目录下的.ssh目录下的authorized_keys 文件(具体将公钥追加拷贝到那个文件, 根据ssh的配置文件的实际配置而定)
4、systemctl
restart sshd.service
#
重启ssh服务
再次使用ssh远程连接服务器, 发现已不需要输入密码进行验证
注意: 如果使用ssh进行远程登录时 使用了sudo 超级管理员权限, 那么私钥就是当前服务器的root用户的私钥, 所以,也就是说需要把当前服务器root用户的公钥上传到目标服务器,才可以使用 sudo 超级管理员权限, 否则仍然需要输入密码(如果开启了允许输入密码进行身份验证)