通过SSH访问远程Linux服务器的安全策略

　　越来越多的站长，开始使用独立主机(DedicatedHost)和VPS。而为了节省成本或提高性能，不少人的独机和VPS，都是基于unmanaged的裸机，一切都要自己DIY。这时候，安全策略的实施，就犹为重要。下面这篇文章，我以CentOS为例，简单地总结一下如何配置SSH安全访问。
　　LinuxSSH安全策略一：关闭无关端口
　　网络上被攻陷的大多数主机，是黑客用扫描工具大范围进行扫描而被瞄准上的。所以，为了避免被扫描到，除了必要的端口，例如Web、FTP、SSH等，其他的都应关闭。值得一提的是，我强烈建议关闭icmp端口，并设置规则，丢弃icmp包。这样别人Ping不到你的服务器，威胁就自然减小大半了。丢弃icmp包可在iptables中，加入下面这样一条：
　　-AINPUT-picmp-jDROP
　　LinuxSSH安全策略二：更改SSH端口
　　默认的SSH端口是22。强烈建议改成10000以上。这样别人扫描到端口的机率也大大下降。修改方法：
　　#编辑/etc/ssh/ssh_config
　　vi/etc/ssh/ssh_config
　　#在Host*下，加入新的Port值。以18439为例（下同）：
　　Port22
　　Port18439
　　#编辑/etc/ssh/sshd_config
　　vi/etc/ssh/sshd_config
　　#加入新的Port值
　　Port22
　　Port18439
　　#保存后，重启SSH服务：
　　servicesshdrestart
　　这里我设置了两个端口，主要是为了防止修改出错导致SSH再也登不上。更改你的SSH客户端(例如：Putty)的连接端口，测试连接，如果新端口能连接成功，则再编辑上面两个文件，删除Port22的配置。如果连接失败，而用Port22连接后再重新配置。
　　端口设置成功后，注意同时应该从iptables中，删除22端口，添加新配置的18439，并重启iptables。
　　如果SSH登录密码是弱密码，应该设置一个复杂的密码。GoogleBlog上有一篇强调密码安全的文章：Doesyourpasswordpassthetest？
　　LinuxSSH安全策略三：限制IP登录
　　如果你能以固定IP方式连接你的服务器，那么，你可以设置只允许某个特定的IP登录服务器。例如我是通过自己的VPN登录到服务器。设置如下：
　　#编辑/etc/hosts.allow
　　vi/etc/hosts.allow
　　#例如只允许123.45.67.89登录
　　sshd：123.45.67.89
　　LinuxSSH安全策略四：使用证书登录SSH
　　相对于使用密码登录来说，使用证书更为安全。自来水冲咖啡有写过一篇详细的教程，征得其同意，转载如下：
　　为CentOS配置SSH证书登录验证
　　来源：自来水冲咖啡
　　下午帮公司网管远程检测一下邮件服务器，一台CentOS5.1，使用OpenSSH远程管理。
　　检查安全日志时，发现这几天几乎每天都有一堆IP过来猜密码。看来得修改一下登录验证方式，改为证书验证为好。
　　为防万一，临时启了个VNC，免得没配置完，一高兴顺手重启了sshd就麻烦了。（后来发现是多余的，只要事先开个putty别关闭就行了）
　　以下是简单的操作步骤：
　　1）先添加一个维护账号：msa
　　2）然后su-msa
　　3）ssh-keygen-trsa
　　指定密钥路径和输入口令之后，即在/home/msa/.ssh/中生成公钥和私钥：id_rsaid_rsa.pub
　　4）catid_rsa.pub>>authorized_keys
　　至于为什么要生成这个文件，因为sshd_config里面写的就是这个。然后chmod400authorized_keys，稍微保护一下。
　　5）用psftp把把id_rsa拉回本地，然后把服务器上的id_rsa和id_rsa.pub干掉
　　6）配置/etc/ssh/sshd_config
　　Protocol2
　　ServerKeyBits1024
　　PermitRootLoginno#禁止root登录而已，与本文无关，加上安全些
　　#以下三行没什么要改的，把默认的#注释去掉就行了
　　RSAAuthenticationyes
　　PubkeyAuthenticationyes
　　AuthorizedKeysFile.ssh/authorized_keys
　　PasswordAuthenticationno
　　PermitEmptyPasswordsno
　　7）重启sshd
　　/sbin/servicesshdrestart
　　8）转换证书格式，迁就一下putty
　　运行puttygen，转换id_rsa为putty的ppk证书文件
　　9）配置putty登录
　　在connection--SSH--Auth中，点击Browse，选择刚刚转换好的证书。然后在connection-Data填写一下autologinusername，例如我的是msa。在session中填写服务器的IP地址，高兴的话可以save一下
　　10）解决一点小麻烦
　　做到这一步的时候，很可能会空欢喜一场，此时就兴冲冲的登录，没准登不进去：
　　Nosupportedauthenticationmethodsavailable
　　这时可以修改一下sshd_config，把
　　PasswordAuthenticationno
　　临时改为：
　　PasswordAuthenticationyes
　　并重启sshd。
　　这样可以登录成功，退出登录后，再重新把PasswordAuthentication的值改为no，重启sshd。以后登录就会正常的询问你密钥文件的密码了，答对了就能高高兴兴的登进去。
　　至于psftp命令，加上个-i参数，指定证书文件路径就行了。
　　如果你是远程操作服务器修改上述配置，切记每一步都应慎重，不可出错。如果配置错误，导致SSH连接不上，那就杯具了。
　　基本上，按上述四点配置好后，Linux下的SSH访问，是比较安全的了。当然，安全与不安全都是相对的，你应该定期检查服务器的log，及时发现隐患并排除