高级SSH安全技巧

• 关 键 词：
• exchange
• ssh安全
• linux
• 服务器配置
• word

如果你想让任何连接到你SSH服务的用户看到一条特殊的消息，你可以创建一个自定义SSH banner，只需要创建一个文本文件（我的是/etc/ssh-banner.txt），然后输入你想的任何文本消息，如：

编辑好后，保存这个文件，在sshd_config中查找下面这样一行：
#Banner /etc/issue.net

取消掉注释【将#去掉】，然后将路径修改为你自定义的SSH banner文本文件。

5、使用DSA公钥认证

代替使用用户名和密码对SSH进行认证，你可以使用DSA公钥进行认证，注意你既可以使用登陆名，也可以使用DSA公钥进行认证，使用DSA公钥认证可以预防你的系统遭受字典攻击，因为你不需要用登陆名和密码登陆SSH服务，而是需要一对DSA密钥，一个公钥和一个私钥，在你本地机器上保存私钥，将公钥放在服务器上。当你发起一个SSH登陆会话时，服务器检查密钥，如果它们匹配的话，你就可以直接进入shell，如果它们不匹配，你的连接将被自动断开。

在本例中的私人计算机叫‘工作站1’，服务器叫‘服务器1’。在两个机器上我有相同的home目录，如果服务器和客户端上的home目录不同将不能工作，实现，你需要在你的私人计算机上创建一对密钥，命令：~$ ssh-keygen -t dsa，它将要求你为私钥输入一个密语，但是你可以保留为空，因为这不是一个推荐的做法。密钥对创建好了：你的私钥在~/.ssh/id_dsa，你的公钥在.ssh/id_dsa.pub。

接下来，拷贝~/.ssh/id_dsa.pub中的内容到‘服务器1’的~/.ssh/authorized_keys文件中，~/.ssh/id_dsa.pub的内容看起来象下面这样：

~$ cat .ssh/id_dsa.pub
ssh-dss AAAAB3NzaC1kc3MAAACBAM7K7vkK5C90RsvOhiHDUROvYbNgr7YEqtrdfFCUVwMWc
JYDusNGAIC0oZkBWLnmDu+y6ZOjNPOTtPnpEX0kRoH79maX8NZbBD4aUV91lbG7z604ZTdr
LZVSFhCI/Fm4yROHGe0FO7FV4lGCUIlqa55+QP9Vvco7qyBdIpDuNV0LAAAAFQC/9ILjqII7n
M7aKxIBPDrQwKNyPQAAAIEAq+OJC8+OYIOeXcW8qcB6LDIBXJV0UT0rrUtFVo1BN39cAWz5pu
Fe7eplmr6t7Ljl7JdkfEA5De0k3WDs
9/rD1tJ6UfqSRc2qPzbn0p0j89LPIjdMMSISQqaKO4m2fO2VJcgCWvsghIoD0AMRC7ngIe6bta
NIhBbqri10RGL5gh4AAACAJj1/rV7iktOYuVyqV3BAz3JHoaf+H/dUDtX+wuTuJpl+tfDf61rb
WOqrARuHFRF0Tu/Rx4oOZzadLQovafqrDnU/No0Zge+WVXdd4ol1YmUlRkqp8vc20ws5mLVP
34fST1amc0YNeBp28EQi0xPEFUD0IXzZtXtHVLziA1/NuzY= anze@station1.example.com 

如果文件~/.ssh/authorized_keys已经存在，请将上面的内容附加在该文件的后面。剩下的只是给该文件设置正确的权限了：
~$ chmod 600 ~/.ssh/authorized_keys

现在，配置sshd_config文件使用DSA密钥认证，确保你将下面三行前的注释去掉了：
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

重新启动服务，如果你的配置没有错误，现在你就可以SSH到你的服务器，而且无需任何交互动作（如输入用户名和密码）就直接进入你的home目录了。
如果你只想使用DSA认证登陆，确保你在sshd_config中取消掉注释并修改PasswordAuthentication这一行，将yes改为no：
PasswordAuthentication no

任何在服务器上没有公钥的人试图连接到你的SSH服务，它就被拒绝，给它显示如下一个拒绝提示信息：
Permission denied (publickey).

【深 度 阅 读】 相 关 文 章

• SSH客户端的安装方法
• SSH客户端命令
• SSH使用指南
• SSH权威指南(1)