OS X

在你的办事器上（用你的权限受限用户登录）：

Linux

采米运行的办事

在本机上：

如不雅相对于 scp 你更爱好 ssh-copy-id 的话，那么它也可以在 Hemebrew 中找到。应用 brew install ssh-copy-id 安装。

Windows

• 选择 1：应用 WinSCP 来完成。 在登录窗口中，输入你的办事器的 IP 地址作为主机名，以及非 root 的用户名和暗码。单击“登录”连接。
• 一旦 WinSCP 连接后，你会看到两个重要部分。 左边显示本机汕９依υ?件，右边显示办事区汕９依υ?件。 应用左侧的文件浏览器，导航到你已保存公钥的文件，选择公钥文件，然后点击膳绫擎对象栏中的“上传”。

体系会提示你输入要将文件放在办事器上的路径。 将文件上传到 /home/example_user/.ssh /authorized_keys，用你的用户名调换 example_user。

• 选择 2：将公钥直接大年夜 PuTTY 键生成器复制到连接到你的办事器中（作为非 root 用户）：

• 膳绫擎敕令将在文本编辑器中打开一个名为 authorized_keys 的空文件。 将公钥复制到文本文件中，确保复制为一行，与 PuTTY 所生成的完全一样。 按下 CTRL + X，然后按下 Y，然后回车保存文件。

最后，你须要为公钥目次和密钥文件本身设置权限：

这些敕令经由过程阻拦其他用户拜访公钥目灌音及文件本身来供给额外的安然性。有关它若何工作的更多信息，请参阅我们的指南若何修改文件权限。

3、 如今退出场从新登录你的办事器。如不雅你为私钥指定了暗码，则须要输入暗码。

SSH 守护过程选项

1、 不许可 root 用户经由过程 SSH 登录。 这请求所有的 SSH 连接都是经由过程非 root 用户进行。当以受限用户帐户连接后，可以经由过程应用 sudo 或应用 su - 切换为 root shell 来应用治理员权限。

2、 禁用 SSH 暗码认证。 这请求所有经由过程 SSH 连接的用户应用密钥认证。根据 Linux 发行版的不合，它可能须要添加 PasswordAuthentication 这行，或者删除前面的 # 来撤消注释。

如不雅你大年夜很多不合的计算机连接到办事器，你可能想要持续启用暗码验证。这将许可你应用暗码进行身份验证，而不是为每个设备生成和上传密钥对。

3、 只监听一个互联网协定。 在默认情况下，SSH 守护过程同时监听 IPv4 和 IPv6 上的传入连接。除非你须要应用这两种协定进入你的办事器，不然就禁用你不须要的。 这不会禁用体系范围的协定，它只用于 SSH 守护过程。

默认情况下，AddressFamily 选项平日不在 sshd_config 文件中。将它添加到文件的末尾：

这些是加固 Linux 办事器的最根本步调，然则进一步的安然层将取决于其预期用处。 其他技巧可以包含应用法度榜样设备，应用入侵检测或者安装某个情势的拜访控制。

4、 从新启动 SSH 办事以加载新设备。

如不雅你应用的 Linux 发行版应用 systemd（CentOS 7、Debian 8、Fedora、Ubuntu 15.10+）

如不雅您的 init 体系是 SystemV 或 Upstart（CentOS 6、Debian 7、Ubuntu 14.04）：

应用 Fail2Ban 保护 SSH 登录

Fail2Ban是一个应用法度榜样，会把频繁出现上岸掉败的IP地址进行主动封禁。一般情况下，人们都不会持续三次以上输错暗码（如不雅应用 SSH 密钥，那不会跨越一个），是以如不雅办事器充斥了登录掉败的请求那就表示有恶意拜访。

这个软件的监听范围很广，包含我们熟知的 SSH、HHTP或者SMTP。不过在默认仅监督 SSH，并且因为 SSH 守护法度榜样平日设备为持续运行并监听来自任何长途 IP 地址的连接，所以对于任何办事器都是一种安然威慑。

删除未应用的面向收集的办事

使悠揭捉?项：

• AddressFamily inet 只监听 IPv4。
• AddressFamily inet6 只监听 IPv6。

大年夜部分 Linux 发行版都可以应用收集办事，你可以选择把不再须要的那部分删除掉落，如许可以削减被进击的概率。

要查看办事器中运行的办事：

　　推荐阅读

　　数据中心成功迁移的十五个最佳实践

CTO练习营 | 12月3-5日，深圳，是时刻成为优良的技巧治理者了 数据中间迁徙往往是复杂而具有风险的。以下这些最>>>详细阅读

本文标题：Linux服务器安全简明指南

地址：http://www.17bianji.com/lsqh/39413.html

 1/2    1