了解：五条强化 SSH 安全的建议 2023/2/1 9:12:10

高州通

强化密码登录Linux技术教程的具体问题可以到我们网站了解一下，也有业内领域专业的客服为您解答问题，为成功合作打下一个良好的开端！

密码登录很方便，因为你可以从任何地方的任何机器上登录。但是它们在暴力攻击面前也是脆弱的。尝试以下策略来强化你的密码登录。 使用一个密码生成工具，例如 。 有几个选项，比较有用的就是密码长度的选项（例如， 12产生一个12位字符的密码） 不要重复使用密码。忽略所有那些不要写下你的密码的建议，然后将你的所有登录信息都记在一个本子上。如果你不相信我的建议，那总可以相信安全权威 B S 吧。如果你足够细心，没有人能够发现你的笔记本，那么这样能够不受到络上的那些攻击。 你可以为你的登录记事本增加一些额外的保护措施，例如用字符替换或者增加新的字符来掩盖笔记本上的登录密码。使用一个简单而且好记的规则，比如说给你的密码增加两个额外的随机字符，或者使用单个简单的字符替换，例如 “#” 替换成 “*”。 为你的 SSH 服务开启一个非默认的监听端口。是的，这是很老套的建议，但是它确很有效。检查你的登录；很有可能 22 端口是被普遍攻击的端口，其他端口则很少被攻击。 使用 F2 来动态保护你的服务器，是服务器免于被暴力攻击。 使用不常用的用户。绝不能让 可以远程登录，并避免用户为“”。 解决 T M A F 报错 当我的 登录失败，并显示“T ”的报错信息时，我很难过。我知道我应该不介意，但是这报错确很碍眼。而且，正如我聪慧的奶奶曾经说过，伤痛之感并不能解决问题。解决办法就是在你的（客户端的） ~ 文件设置强制密码登录。如果这个文件不存在，首先创个 ~ 目录。 $ ~ $ 700 ~ 然后在一个文本编辑器创建 ~ 文件，输入以下行，使用你自己的远程域替换 HN。 HN PA= （LCTT 译注：这种错误发生在你使用一台 L 机器使用 登录另外一台服务器时，你的 目录中存储了过多的私钥文件，而 客户端在你没有指定 - 选项时，会默认逐一尝试使用这些私钥来登录远程服务器后才会提示密码登录，如果这些私钥并不能匹配远程主机，显然会触发这样的报错，甚至拒绝连接。因此本条是通过禁用本地私钥的方式来强制使用密码登录——显然这并不可取，如果你确要避免用私钥登录，那你应该用 - PA= 选项登录。显然这条和下两条是互相矛盾的，所以请视本条即可。） 使用公钥认证 公钥认证比密码登录安全多了，因为它不受暴力密码攻击的影响，但是并不方便因为它依赖于 RSA 密钥对。首先，你要创建一个公钥私钥对。下一步，私钥放于你的客户端电脑，并且复制公钥到你想登录的远程服务器。你只能从拥有私钥的电脑登录才能登录到远程服务器。你的私钥就和你的家门钥匙一样敏感；任何人获取到了私钥就可以获取你的账号。你可以给你的私钥加上密码来增加一些强化保护规则。 使用 RSA 密钥对管理多个用户是一种好的方法。当一个用户离开了，只要从服务器删了他的公钥就能取消他的登录。 以下例子创建一个新的 3072 位长度的密钥对，它比默认的 2048 位更安全，而且为它起一个独一二的字，这样你就可以知道它属于哪个服务器。 $ - - 3072 - _ 以下创建两个新的密钥, _ 和 _ _ 是你的私钥--不要传播它！现在用 -- 命令安全地复制你的公钥到你的远程服务器。你必须确保在远程服务器上有可用的 SSH 登录方式。 $ -- _ @ --: INFO: (), @' : N () : 1 N , : " '@'" () -- 会确保你不会意间复制了你的私钥。从上述输出中复制登录命令，记得带上其中的单引号，以测试你的新的密钥登录。 $ '@' 它将用你的新密钥登录，如果你为你的私钥设置了密码，它会提示你输入。 取消密码登录 一旦你已经测试并且验证了你的公钥可以登录，就可以取消密码登录，这样你的远程服务器就不会被暴力密码攻击。如下设置你的远程服务器的 _ 文件。 PA 然后重启服务器上的 SSH 守护进程。 设置别 -- 这很捷而且很酷 你可以为你的远程登录设置常用的别，来替代登录时输入的命令，例如 - 2222 - 你可以使用 1 你的客户端机器上的 ~文件可以参照如下设置 H 1 HN - P 2222 U PA 如果你正在使用公钥登录，可以参照这个： H 1 HN - P 2222 U IF ~_ OSSH 文档 很长而且详细，但是当你掌握了基础的 SSH 使用规则之后，你会发现它非常的有用，而且包含很多可以通过 OSSH 来现的炫酷效果。