環境:Ubuntu 16
前言
黑客遍地都是,ssh/pop3/ftp等爆破工具的流行讓站長的日常運維工作量大大加重。Metasplot,Bruter等工具更是針對以上協議有專門
的破解方法,有字典破解版,枚舉破解等。面對着網絡背后手里操着高級破解工具/平台/軟件的人,為了保證服務器安全,必須把網絡
背后的黑手想象的更強大,從攻守的角度來制定服務器安全策略,網絡中(非)針對性掃描以及攻擊防不勝防,除了使用前面
ubuntu自動拉黑破解ssh服務的IP或者安全運維 -- 更改ssh端口都能擋住一部分小黑客,但是萬一哪一天系統出現漏洞,被觸發了,黑客還是
有機會登錄你的服務器的,本文介紹證書登錄,設置證書登錄后除非對方拿到你的證書和密碼才能登錄Linux服務器
(2013年前的干貨,拿出來備份一下:))。
使用證書登錄Linux
申明:以下操作請在虛擬下測試通過再應用到服務器,對操作失誤引起的無法登錄服務器產生的影響,本人不負責任何相關責任。
以下三次輸入的密碼均和第一次一樣,設置證書登錄后不需要root密碼登錄,而是采用證書密碼登錄。
1.以root身份登錄服務器,執行以下命令
ssh-keygen -t rsa -P '替換成你的證書密碼'
一路回車,然后下載/root/.ssh/id_rsa到本地
2.將公鑰設置到相關位置
cat /root/.ssh/id_rsa.pub>>/root/.ssh/authorized_keys
3.修改ssh配置文件
vim /etc/ssh/sshd_config RSAAuthentication yes #RSA認證 PubkeyAuthentication yes #公匙認證 AuthorizedKeysFile ~/.ssh/authorized_keys #公匙路徑 PasswordAuthentication no PermitEmptyPasswords no
4. 重啟ssh服務
service ssh restart
5.ssh客戶端配置
推薦使用Xshell登錄,請參考以下圖例完成客戶端證書登錄配置
選擇剛剛第一步下載的id_rsa,導入過程中需要輸入私鑰證書密碼
修改用戶身份驗證方式為公鑰
登錄的時候需要再次私鑰輸入密碼
經過以上操作就可以用證書登錄了,以后登錄就可以免密碼輸入了。