<p>Linux SSH 连接安全配置<br />
一、安全配置<br />
1. 限制所有IP都无法连接<br />
# vi /etc/hosts.deny<br />
sshd:ALL<br />
2. 允许指定的IP地址连接,xxx.xxx.xxx.表示网段<br />
# vi /etc/hosts.allow<br />
sshd:xxx.xxx.xxx.<br />
3. 修改SSH配置文件<br />
# vi /etc/ssh/sshd_config<br />
# 指定端口号<br />
Port 60022<br />
# 仅使用SSH2协议<br />
Protocol 2<br />
# 使用1024bit加密<br />
ServerKeyBits 1024<br />
# 禁止root登录,根据实际情况配置<br />
PermitRootLogin no<br />
# 禁止空密码<br />
PermitEmptyPasswords no<br />
# 禁用密码验证方式(当使用私钥连接时关闭)<br />
PasswordAuthentication no<br />
# 设置客户端是否持久连接<br />
ClientAliveInterval 60<br />
ClientAliveCountMax 3</p>
<p>4. 修改防火墙规则配置把默认的22端口改为刚才指定的60022端口<br />
# vi /etc/sysconfig/iptables<br />
/etc/init.d/iptables restart<br />
二、SSH 信任关系配置<br />
5. 在两台主机上建立信任关系(登录不需要密码)<br />
# A机器 192.168.1.189<br />
# B机器 192.168.1.199<br />
(1) 从A机器以 root 用户登录到B机器的 root 用户的信任关系<br />
# 在A机器使用root用户生成公钥id_rsa,id_rsa.pub文件<br />
#ssh-keygen<br />
# 查看<br />
# ls /root/.ssh/<br />
# 复制到B机器的root目录下<br />
# scp /root/.ssh/id_rsa.pub <a href="mailto:root@192.168.1.199:/root/.ssh/id_rsa.pub">root@192.168.1.199:/root/.ssh/id_rsa.pub</a><br />
# 在A机器测试登录B机器,这时还需要输入密码<br />
# ssh <a href="mailto:root@192.168.1.199">root@192.168.1.199</a><br />
# 在B机器的认证里面追加A机器的公钥authorized_keys<br />
# cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys<br />
# 在A机器登录B机器不需要输入密码,已建立信任关系。</p>