Linux SSH 连接安全配置

 

一、安全配置
1. 限制所有IP都无法连接

# vi /etc/hosts.deny
sshd:ALL

2. 允许指定的IP地址连接，xxx.xxx.xxx.表示网段

# vi /etc/hosts.allow
sshd:xxx.xxx.xxx.

3. 修改SSH配置文件

# vi /etc/ssh/sshd_config

# 指定端口号
Port 60022
# 仅使用SSH2协议
Protocol 2
# 使用1024bit加密
ServerKeyBits 1024
# 禁止root登录，根据实际情况配置
PermitRootLogin no
# 禁止空密码
PermitEmptyPasswords no
# 禁用密码验证方式（当使用私钥连接时关闭）
PasswordAuthentication no
# 设置客户端是否持久连接
ClientAliveInterval 60
ClientAliveCountMax 3

4. 修改防火墙规则配置把默认的22端口改为刚才指定的60022端口

# vi /etc/sysconfig/iptables
/etc/init.d/iptables restart

二、SSH 信任关系配置

5. 在两台主机上建立信任关系（登录不需要密码）

# A机器 192.168.1.189
# B机器 192.168.1.199

(1) 从A机器以 root 用户登录到B机器的 root 用户的信任关系

# 在A机器使用root用户生成公钥id_rsa，id_rsa.pub文件

#ssh-keygen

# 查看

# ls /root/.ssh/

# 复制到B机器的root目录下

# scp /root/.ssh/id_rsa.pub root@192.168.1.199:/root/.ssh/id_rsa.pub

# 在A机器测试登录B机器，这时还需要输入密码

# ssh root@192.168.1.199

# 在B机器的认证里面追加A机器的公钥authorized_keys

# cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

# 在A机器登录B机器不需要输入密码，已建立信任关系。