SSH服务是目前类unix系统上使用最为广泛的远程安全登录服务之一，默认端口为tcp 22端口。由于远程管理的需要，很多防火墙都对外开放了22端口，这就使得SSH服务很容易成为黑客的攻击目标，可以通过查看类unix系统的安全日志，能发现大量针对tcp 22端口的非法连接。为避免系统的SSH服务被黑客攻击，我们需要对SSH服务进行一些加固操作，以保证服务器的安全。

　　下面以较普遍的centos6.2为例：

　　需要安装的操作系统是centos6.2 minimal 版本，即最小安装版本，本着对服务器需要什么安装什么的要求，这个版本是最为简便的。在安装完成操作系统后，需要做以下几点操作。

　　1 修改ssh 端口

　　Linux修改ssh端口22

　　vi /etc/ssh/ssh_config

　　vi /etc/ssh/sshd_config

　　然后修改为port 8888

　　以root身份service sshd restart ，ssh_config和sshd_config必须同时修改成8888,方可生效

　　2 关闭远程root

　　#vi /etc/ssh/sshd_config

　　把PermitRootLogin yes

　　改为PermitRootLogin no

　　重启sshd服务

　　#servicesshd restart

　　3 创建普通用户

　　#useradduser199

　　#passwduser199

　　4 让用户user199可以通过sudo执行所有root可执行的命令

　　首先＃yun install sudo

　　以root身份用visudo打开配置文件，可以看到以下几行：

　　# Runas alias specification

　　# User privilege specificationroot ALL=(ALL)ALL

　　user199 ALL=(ALL) ALL

　　为了更好的保证安全性，作以下设置：

　　修改vi /etc/ssh/sshd_config 文件

　　（1）PermitEmptyPasswords no #不允许空密码用户login（仅仅是明文密码方式，非证书方式）。

　　（2）RSAAuthentication yes # 启用RSA 认证。

　　（3）PubkeyAuthentication yes # 启用公钥认证。

　　（4）PasswordAuthentication no # 禁止密码认证。

　　补充：修改vi /etc/ssh/ssh_config 文件（全局配置文件）

　　RSAAuthentication yes

　　# 允许RSA私钥方式认证。

　　PasswordAuthentication no #，禁止明文密码登陆。（这里才是关键）

　　生成配置公钥与私钥

　　mail:/$ ssh-keygen -t rsa

　　Generating public/private rsa key pair.

　　Enter file in which to save the key (/root/.ssh/id_rsa): /home/user/.ssh/id_rsa

　　(生成私钥与公钥存放位置，使用哪个账户操作就放在哪个账户下面)

　　Enter passphrase (empty for no passphrase): 输入密码

　　Enter same passphrase again:再次输入密码

　　Your identification has been saved in /home/user/.ssh/id_rsa. (生成的私钥)

　　Your public key has been saved in /home/user/.ssh/id_rsa.pub. (生成的公钥)

　　The key fingerprint is:

　　76:04:4d:44:25:37:0f:b1:a5:b7:6e:63:d4:97:22:6b

　　将生成的公钥i d _ r s a . p u b 复制一份并重命名为authorized_keys放在服务器用户主文件夹的.ssh目录下。

　　将生成的私钥id_rsa拷贝到需要发起远程的客户端电脑上。

　　启动客户端连接软件（以Private Shell为例），点击Advanced选项，选择User Keys，点击Import Key，在弹出的“打开”中找到刚刚复制到本地的id_rsa文件并打开。输入在制作这个私钥时设置的密码，输入完确定之后为该key命名，确定后设置此证书在本地发起连接时是否需要输入密码，如需要则设置，不需要就留空，最后点击Ok，本地证书就制作添加完成了。

　　重新启动ssh服务:/etc/init.d/ssh restart。

　　(作者单位为南昌理工学院英雄校区计算机系)