背景：centos7或者ubuntu、OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013、xshell5

一、修改端口號(hào)

nmap、鐘馗之眼等一些掃描工具會(huì)掃描一些常見(jiàn)端口，sshd的22端口必定也在其中

修改/etc/ssh/sshd_config，把 Port 22 修改成你喜歡的端口號(hào)，最好是>10000，但是要<65535

二、使用證書(shū)登錄

1. 生成密鑰，我這里用的是xshell 5

生成密鑰.png

生成密鑰.PNG

類型選擇RSA，長(zhǎng)度自己喜歡

生成密鑰.PNG

生成密鑰.PNG

這里可以選擇保存為文件，然后使用winscp上傳到服務(wù)器，然后拷貝內(nèi)容到(你要登錄的用戶的home目錄)/.ssh/authorized_keys

  如：cat id_rsa_2048.pub >>/home/(你要登錄的用戶用戶名)/.ssh/authorized_keys

(推薦)或者直接拷貝公鑰到/home/(你要登錄的用戶用戶名)/.ssh/authorized_keys，沒(méi)有.ssh文件夾和authorized_keys就自己新建一個(gè)，不過(guò)要注意文件所屬者

1.1.(推薦)或者使用ssh-keygen 生成密鑰

選項(xiàng)

• -t #密鑰類型，dsa | ecdsa | ed25519 | rsa | rsa1
• -b bits #密鑰長(zhǎng)度 1024 | 2048 |4096 | 8192，默認(rèn)2048

例：ssh-keygen -t rsa -b 4096

然后可以在/home/(user)/.ssh/ 目錄中找到一對(duì)密鑰id_rsa是私鑰, id_rsa.pub是公鑰，然后把公鑰復(fù)制到authorized_keys，私鑰自己留著

ok！到這里我們就得到一對(duì)密鑰了，一個(gè)是公鑰(已經(jīng)拷貝到服務(wù)器上了)，一個(gè)是私鑰，在xshell5上(在工具->用戶密鑰管理者可以看到)，私鑰要導(dǎo)出來(lái)，然后隨身攜帶，否者就無(wú)法登錄自己的服務(wù)器了

2.修改/etc/ssh/sshd_config,修改以下幾個(gè)選項(xiàng)

• PermitRootLogin no #不允許root登錄
• StrictModes no #解決Authentication refused: bad ownership or modes for file /home/---/.ssh/authorized_keys的問(wèn)題
• RSAAuthentication yes #開(kāi)啟RSA類型認(rèn)證
• AuthorizedKeysFile .ssh/authorized_keys #認(rèn)證密鑰文件位置
• PasswordAuthentication no #不允許直接密碼登錄(有了證書(shū)登錄，就不用密碼登錄了)

3.登陸服務(wù)器

service sshd restart
嘗試登錄：

登錄.PNG

OK!.PNG