阿里雲ECS天天一件事D1：配置SSH

近期由於項目需求，採購了兩臺阿里雲ECS，選擇的系統爲CentOS 6.3 X64 安全加固版，額外買了160G的硬盤，應該夠應付此項目的需求了。

ECS默認已經配置好了sshd服務，可使用root帳號直接登陸，可是這一般是不安全的，第一件事就是針對sshd服務進行優化配置。

1.建立經常使用的帳號

在任何Linux相關的描述中，都會說平常使用root操做是很不安全的行爲，所以首先建立一個平常使用的帳戶。

useradd gary passwd gary

2.編輯sudoer文件

vim /etc/sudoers

加入用戶，以便使用sudo命令直接操做一些系統命令，減小對root帳戶的使用。

3.編輯sshd配置文件，修改一些默認選項

vim /etc/ssh/sshd_config

修改一些默認的配置項

#僅使用SSH2協議 Protocol 2 #修改密鑰生成強度 ServerKeyBits 1024 #禁止root帳戶經過ssh登陸 PermitRootLogin no #禁止使用常規的用戶名密碼方式登陸，此項慎用 #在沒有生成好Key，而且成功使用以前，不要設置爲no PasswordAuthentication no #禁止空密碼登陸 PermitEmptyPasswords no

4.重啓sshd服務

/etc/rc.d/init.d/sshd restart 或 service sshd restart

5.生成我的的公鑰與密鑰

#切換到要生成key的帳號 su - gary #創建公鑰與私鑰 ssh-keygen -t rsa #密鑰文件，可直接回車使用默認的文件名 Enter file in which to save the key (/home/gary/.ssh/id_rsa): #輸入兩遍密鑰文件，僅供密鑰登陸用，可爲空，不需與系統密碼一致 Enter passphrase (empty for no passphrase): Enter same passphrase again: #更名爲sshd支持的默認公鑰文件名 mv ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys #設置公鑰文件名，如不設置爲400，會沒法登陸 chmod 400 ~/.ssh/authorized_keys #取出私鑰文件（可遠程經過pscp獲取），並刪除服務器備份 rm –rf ~/.ssh/id_rsa

6.在linux系統中，能夠直接使用密鑰文件，登陸遠程服務器

ssh gary@ip -i id_rsa

7.在windows系統中，須要使用putty項目的puttygen生成本地私鑰，再使用putty進行登陸

載入--所有文件，選擇獲取到的服務器密鑰--肯定（若是服務器端生成時，設置了密鑰，會提示輸入）--保存私鑰（保存爲本地putty但是別的ppk私鑰文件）

在putty的認證標籤中，瀏覽選擇上一步生成的ppk私鑰文件，便可登陸。

8.總結

8.1.爲何說是安全的SSH連接呢？關閉了空密碼連接、禁止常規的ssh用戶名密碼方式登陸，只有在服務器上生成過key文件的用戶方可訪問，key文件+密鑰，保護更完善一些

8.2.友情提示，PasswordAuthentication no配置內容，必定要在已經生成好了至少一個key以後再使用，不然會致使直接沒法登陸哦。

8.3.參考：

http://www.centospub.com/make.html