近期因為項目需求,采購了兩台阿里雲ECS,選擇的系統為CentOS 6.3 X64 安全加固版,額外買了160G的硬盤,應該夠應付此項目的需求了。
ECS默認已經配置好了sshd服務,可以使用root賬號直接登錄,但是這通常是不安全的,第一件事就是針對sshd服務進行優化配置。
1.創建常用的賬號
在任何Linux相關的描述中,都會說日常使用root操作是很不安全的行為,因此首先創建一個日常使用的賬戶。
useradd gary passwd gary
2.編輯sudoer文件
vim /etc/sudoers
加入用戶,以便使用sudo命令直接操作一些系統命令,減少對root賬戶的使用。
3.編輯sshd配置文件,修改一些默認選項
vim /etc/ssh/sshd_config
修改一些默認的配置項
#僅使用SSH2協議 Protocol 2 #修改密鑰生成強度 ServerKeyBits 1024 #禁止root賬戶通過ssh登錄 PermitRootLogin no #禁止使用常規的用戶名密碼方式登錄,此項慎用 #在沒有生成好Key,並且成功使用之前,不要設置為no PasswordAuthentication no #禁止空密碼登錄 PermitEmptyPasswords no
4.重啟sshd服務
/etc/rc.d/init.d/sshd restart
或
service sshd restart
5.生成個人的公鑰與密鑰
#切換到要生成key的賬號 su - gary #建立公鑰與私鑰 ssh-keygen -t rsa #密鑰文件,可直接回車使用默認的文件名 Enter file in which to save the key (/home/gary/.ssh/id_rsa): #輸入兩遍密鑰文件,僅供密鑰登錄用,可為空,不需與系統密碼一致 Enter passphrase (empty for no passphrase): Enter same passphrase again: #改名為sshd支持的默認公鑰文件名 mv ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys #設置公鑰文件名,如不設置為400,會無法登錄 chmod 400 ~/.ssh/authorized_keys #取出私鑰文件(可遠程通過pscp獲取),並刪除服務器備份 rm –rf ~/.ssh/id_rsa
6.在linux系統中,可以直接使用密鑰文件,登錄遠程服務器
ssh gary@ip -i id_rsa
7.在windows系統中,需要使用putty項目的puttygen生成本地私鑰,再使用putty進行登錄
載入--全部文件,選擇獲取到的服務器密鑰--確定(如果服務器端生成時,設置了密鑰,會提示輸入)--保存私鑰(保存為本地putty可是別的ppk私鑰文件)
在putty的認證標簽中,瀏覽選擇上一步生成的ppk私鑰文件,即可登錄。
8.總結
8.1.為什么說是安全的SSH鏈接呢?關閉了空密碼鏈接、禁止常規的ssh用戶名密碼方式登錄,只有在服務器上生成過key文件的用戶方可訪問,key文件+密鑰,保護更完善一些
8.2.友情提示,PasswordAuthentication no配置內容,一定要在已經生成好了至少一個key之后再使用,否則會導致直接無法登錄哦。
8.3.參考:
http://www.centospub.com/make.html