author: hjb2722404
head: https://avatars1.githubusercontent.com/u/10215241?v=3&s=460
date: 2016-12-10
title: ssh修改登录端口禁止密码登录并免密登录
tags: : SSH linx远程
category: tech-linux
status: publish
summary: 本文记录在CentOS7中修改ssh登录端口,免密登录ssh以及ssh禁止口令登录的方法,最后达到保证服务器安全的目的。
1.修改ssh登录端口
1.1 登录远程linux主机:
#linux:
$ ssh user@ip -p port
#windows git-bash:
# ssh user@ip port
1.2 修改ssh登录端口
#以下操作在远程linux主机中操作:
$ vi /etc/ssh/sshd_config
找到sshd_config文件中如下选项并修改:
#Port 22
#修改为:
Port 60022 #这里修改为你想要设置的端口,以60022为例
1.3 修改防火墙配置
$ vi /etc/sysconfig/iptabels
添加以下规则
-A INPUT -m state --state NEW -m tcp -p tcp --dport 60022 -j ACCEPT
修改完成后,刷新iptables并重启ssh服务
$ systemctl restart iptables.service
$ systemctl restart sshd.service
此时如果再使用22端口进行ssh连接,就会报错,用60022端口连接才可以建立。
2.免密登录
SSH免密登录利用了rsa密钥对匹配的原理,可以允许用户从本地不用密码就可以访问到远程主机,让我们来看看怎么做。
2.1 本地生成密钥对
# 在本机命令行控制台输入:
$ ssh-keygen
会有提示,连续按三次回车。
此时会在系统用户的.ssh目录下生成一对密钥文件:私钥文件id_rsa和公钥文件id_rsa_pub。
2.2 将本地公钥内容追加到远程主机的授权文件(authorized_keys)中
本地查看id_rsa_pub文件内容:
$ cat ~/.ssh/id_rsa_pub
复制得到的公钥字符串,在远程服务器上编辑authorized_keys文件:
$ vi .ssh/authorized_keys
将刚刚得到的本地公钥字符串添加到该文件的末尾(如果是新建的文件就直接添加)
编辑保存完成后,修改该文件的权限:
$chmod 600 .ssh/authorized_keys
2.3 修改ssh配置
编辑远程服务器上的sshd_config文件:
$vi /etc/ssh/sshd_config
找到如下选项并修改(通常情况下,前两项默认为no,地三项如果与此处不符,以此处为准):
#启用密钥验证
RSAAuthentication yes
PubkeyAuthentication yes
#指定公钥数据库文件
AuthorsizedKeysFile.ssh/authorized_keys
编辑保存完成后,重启ssh服务使得新配置生效:
$ systemctl restart sshd.service
此时,就可以通过ssh命令免除密码直接登录远程主机了,在本地命令行控制台输入:
$ ssh user@ip -p 60022
就可以了(第一次需要输入密码,以后就不用了)
3. 禁止SSH口令登录
为了安全性更高,我们既然已经使用了密钥免密登录,那么就可以直接禁止再使用口令来连接SSH远程主机了。
3.1 更改ssh配置
编辑远程服务器上的sshd_config文件:
$vi /etc/ssh/sshd_config
找到如下选项并修改(通常情况下,前两项默认为no,地三项如果与此处不符,以此处为准):
#PasswordAuthentication yes 改为
PasswordAuthentication no
编辑保存完成后,重启ssh服务使得新配置生效,然后就无法使用口令来登录ssh了
$ systemctl restart sshd.service
