通过SSH访问远程Linux服务器的四个安全策略

越来越多的站长，开始使用独立主机(Dedicated Host)和 VPS。而为了节省成本或提高性能，不少人的独机和 VPS，都是基于 unmanaged 的裸机，一切都要自己 DIY。这时候，安全策略的实施，就犹为重要。下面这篇文章，我以 CentOS 为例，简单地总结一下如何配置 SSH 安全访问。

Linux SSH 安全策略一：关闭无关端口

网络上被攻陷的大多数主机，是黑客用扫描工具大范围进行扫描而被瞄准上的。所以，为了避免被扫描到，除了必要的端口，例如 Web、FTP、SSH 等，其他的都应关闭。值得一提的是，我强烈建议关闭 icmp 端口，并设置规则，丢弃 icmp 包。这样别人 Ping 不到你的服务器，威胁就自然减小大半了。丢弃 icmp 包可在 iptables 中， 加入下面这样一条：

  -A INPUT -p icmp -j DROP

Linux SSH 安全策略二：更改 SSH 端口

默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法：

  # 编辑 /etc/ssh/ssh_config 
  vi /etc/ssh/ssh_config 
  # 在 Host * 下 ，加入新的 Port 值。以 18439 为例（下同）： 
  Port 22 
  Port 18439  

  # 编辑 /etc/ssh/sshd_config 
  vi /etc/ssh/sshd_config 
  #加入新的 Port 值 
  Port 22 
  Port 18439  

  # 保存后，重启 SSH 服务： 
  service sshd restart  

这里我设置了两个端口，主要是为了防止修改出错导致 SSH 再也登不上。更改你的 SSH 客户端(例如：Putty)的连接端口，测试连接，如果新端口能连接成功，则再编辑上面两个文件，删除 Port 22 的配置。如果连接失败，而用 Port 22 连接后再重新配置。

端口设置成功后，注意同时应该从 iptables 中， 删除22端口，添加新配置的 18439，并重启 iptables。

如果 SSH 登录密码是弱密码，应该设置一个复杂的密码。Google Blog 上有一篇强调密码安全的文章：Does your password pass the test？

Linux SSH 安全策略三：限制 IP 登录

如果你能以固定 IP 方式连接你的服务器，那么，你可以设置只允许某个特定的 IP 登录服务器。例如我是通过自己的 VPN 登录到服务器。设置如下：

  # 编辑 /etc/hosts.allow 
  vi /etc/hosts.allow  
  # 例如只允许 123.45.67.89 登录 
  sshd:123.45.67.89 

Linux SSH 安全策略四: 使用证书登录 SSH

相对于使用密码登录来说，使用证书更为安全。自来水冲咖啡有写过一篇详细的教程，征得其同意，转载如下：