ssh修改登录端口禁止密码登录并免密登录


author: hjb2722404 head: https://avatars1.githubusercontent.com/u/10215241?v=3&s=460 date: 2016-12-10 title: ssh修改登录端口禁止密码登录并免密登录 tags: : SSH linx远程 category: 技术-服务器 status: publish summary: 本文记录在CentOS7中修改ssh登录端口,免密登录ssh以及ssh禁止口令登录的方法,最后达到保证服务器安全的目的。


1.修改ssh登录端口

1.1 登录远程linux主机:

#linux:

$ ssh user@ip -p port
#windows git-bash:

# ssh user@ip port

1.2 修改ssh登录端口

#以下操作在远程linux主机中操作:

$ vi /etc/ssh/sshd_config

找到sshd_config文件中如下选项并修改:

#Port 22

#修改为:

Port 60022 #这里修改为你想要设置的端口,以60022为例

1.3 修改防火墙配置

$ vi /etc/sysconfig/iptabels

添加以下规则

-A INPUT -m state --state NEW -m tcp -p tcp --dport 60022 -j ACCEPT

修改完成后,刷新iptables并重启ssh服务

$ systemctl restart iptables.service
$ systemctl restart sshd.service

此时如果再使用22端口进行ssh连接,就会报错,用60022端口连接才可以建立。

2.免密登录

SSH免密登录利用了rsa密钥对匹配的原理,可以允许用户从本地不用密码就可以访问到远程主机,让我们来看看怎么做。

2.1 本地生成密钥对

# 在本机命令行控制台输入:

$ ssh-keygen

会有提示,连续按三次回车。

此时会在系统用户的.ssh目录下生成一对密钥文件:私钥文件id_rsa和公钥文件id_rsa_pub。

2.2 将本地公钥内容追加到远程主机的授权文件(authorized_keys)中

本地查看id_rsa_pub文件内容:

$ cat ~/.ssh/id_rsa_pub

复制得到的公钥字符串,在远程服务器上编辑authorized_keys文件:

$ vi .ssh/authorized_keys

将刚刚得到的本地公钥字符串添加到该文件的末尾(如果是新建的文件就直接添加)

编辑保存完成后,修改该文件的权限:

$chmod 600 .ssh/authorized_keys

2.3 修改ssh配置

编辑远程服务器上的sshd_config文件:

$vi /etc/ssh/sshd_config

找到如下选项并修改(通常情况下,前两项默认为no,地三项如果与此处不符,以此处为准):


#启用密钥验证
RSAAuthentication yes
PubkeyAuthentication yes
#指定公钥数据库文件
AuthorsizedKeysFile.ssh/authorized_keys

编辑保存完成后,重启ssh服务使得新配置生效:

$ systemctl restart sshd.service

此时,就可以通过ssh命令免除密码直接登录远程主机了,在本地命令行控制台输入:

$ ssh user@ip -p 60022

就可以了(第一次需要输入密码,以后就不用了)

3. 禁止SSH口令登录

为了安全性更高,我们既然已经使用了密钥免密登录,那么就可以直接禁止再使用口令来连接SSH远程主机了。

3.1 更改ssh配置

编辑远程服务器上的sshd_config文件:

$vi /etc/ssh/sshd_config

找到如下选项并修改(通常情况下,前两项默认为no,地三项如果与此处不符,以此处为准):

#PasswordAuthentication yes 改为
PasswordAuthentication no

编辑保存完成后,重启ssh服务使得新配置生效,然后就无法使用口令来登录ssh了

$ systemctl restart sshd.service