这样配置 SSH 是否安全？

This topic created in 2932 days ago, the information mentioned may be changed or developed.

在客户端生成 rsa 钥匙对（用默认的 2048 位），
不加 passphrase （假设自己丢掉私钥，比私钥泄漏的可能性大），
设置服务器 SSHD 的 PasswordAuthentication 为 yes （为了方便 ssh-copy-id ），
然后在客户端 ssh-copy-id 把公钥复制到服务器的 sudo 用户中，
root 用户有密码，但非常长（ 10 位以上），
sudo 用户有密码，但只有三个字，比如 abc，
服务器设置 PermitRootLogin 为 no，PasswordAuthentication 为 no，
然后把端口从 22 改掉，
把私钥添加到客户端（ ssh-add ），
平时在客户端用 ssh sudouser@ip -p 端口来登录。

私钥

客户端

sudo

ssh

7 replies • 2018-08-08 13:37:21 +08:00

est

Jun 4, 2018

> sudo 用户有密码，但只有三个字，比如 abc，

那么 sudo 之后就可以改 root 密码了吧。。。

e8c47a0d

Jun 4, 2018

@est
嗯……而且可以改 sshd_conf 和 su root
不过前提是要登进 sudo 用户……主要担心这个

AntonChen

Jun 4, 2018

换端口，禁止 root、密码登录基本够用。之前还用 iptables 实现 ICMP 敲门（发送特定 ping 包才允许访问 SSH 端口），后来发现没什么大用去掉了。

我 sudo 配的 NOPASSWD

如果你想严格些还可以用 https://github.com/Ralnoc/pam-python 写两步验证

AntonChen

Jun 4, 2018

@AntonChen 关于 ICMP 敲门可以参考 https://delcoding.github.io/2017/12/iptables/ 注意配置定时任务清空 iptables 规则以防被关在外面。

boris1993

Jun 4, 2018 via Android

说下我的配置：
禁止 root 登录
禁止密码登录，也就是只允许证书登录
改掉 SSH 端口，不用 22

结果的话，日志里面扫 22 端口的，和猜测密码的，全部没有了
但是还要注意其他对外开放的服务的安全配置。我司一个 Docker 里面的没密码的 Redis 开放到公网(是的我已经吐槽过了)，然后被日了。

nyaruko

Jun 4, 2018

禁止 root 登陆
密码和私钥均可，但是密码登陆需要谷歌验证器

目前我是这么配置的。

e8c47a0d

Aug 8, 2018

@nyaruko 仔细想想其实 root 登录确实没什么用。