彻底解决VPS ROOT密码扫描问题

By小酷

远程Linux主机的/etc/ssh/sshd_config配置文件
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes　　　　＃＝＝＝＝＝＝》这里把注释去掉，并改成no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes #========>把注释去掉，并改成no
修改后/etc/init.d/sshd reload #加载修改后的配置文件并生效
如果是debian的话使用 /etc/init.d/ssh reload 来重新加载配置文件
这样其他远程客户端如果没有私钥，那么这些用户连输入密码的机会都没有，就会被本主机直接断开

好了 这样子看谁还是猜密码，肯定有人问，如果自己想登录的话怎么办呢？我早就写过教程不过没人看
我这里重新整理下


第一步 生成一对锁匙
密匙有公匙和私匙，形象的说就是钥匙和锁头，虽然这样说不太对，不过为了便于理解，我这里把公匙比喻为锁头，私匙比喻为钥匙
生成这一对锁匙有多种方法，先来最简单的，
我们先密码登录到我们的linux VPS上，键入如下命令
ssh-keygen -t rsa
然后会得到提示 叫你输入密码，如果你不想为这对锁头再加密码就直接输入2次回车即可，如果你为了更加安全希望这对锁匙加密的话可以输入自己的密码，也就是把你的钥匙变成高级的带密码的钥匙
提示画面应该是这样的

1. Generating public/private rsa key pair.
   
2. Enter file in which to save the key (/root/.ssh/id_rsa):
   
3. Enter passphrase (empty for no passphrase):
   
4. Enter same passphrase again:
   
5. Your identification has been saved in /root/.ssh/id_rsa.
   
6. Your public key has been saved in /root/.ssh/id_rsa.pub.
   
7. The key fingerprint is:*****************************

复制代码

你得到了2个文件 在/root/.ssh/下面应该有 id_rsa（钥匙）和id_rsa.pub（锁头）.
我们需要把锁头id_rsa.pub 改名字为 authorized_keys
（如果你需要这一对钥匙在别的VPS上也可以使用，而不是一个机子一个钥匙的话，可以把锁头和钥匙一起复制下来，在别的机子上直接把authorized_keys上传到/root/.ssh/下面即可）
好了 上面这些就是第一步 生成一对锁匙

第二步 用puttygen.exe导入我们的钥匙 然后点击Save private key完成钥匙的转换
第三步 putty登录的时候在验证下选择刚才的钥匙，能成功登录会出现这样的提示

1. login as: root
   
2. Authenticating with public key “imported-openssh-key”

复制代码

完了教程

hepac

serial console登录，sshd都可以不开

wfqvip

fail2ban

By小酷

Administrator 发表于 2012-6-3 20:21
太长了。。来个一键

你太懒了 比猪都懒

zzyxz

好复杂...

By小酷

zzyxz 发表于 2012-6-3 20:33
好复杂...

能不能认真看看那里复杂？

lazyzhu

按楼主的做法生成authorized_keys,上传到支持外链的空间
将脚本另存为SSHSafe.sh,也可上传到支持外链的空间
每次重装系统只要运行脚本,设置端口,就可以安枕无忧了,
wget http://YourURL/SSHSafe.sh
chmod +x SSHSafe.sh
sh SSHSafe.sh

1. #! /bin/bash
   
2. 
   
3. mkdir ~/.ssh
   
4. cd /root/.ssh/
   
5. wget http://YourURL/authorized_keys
   
6. chmod 700 ~/.ssh
   
7. chmod 600 ~/.ssh/authorized_keys
   
8. 
   
9. SSHPORT="22"
   
10. echo -n "Enter SSH Port : "
    
11. read -p "(Default Port : 22):" SSHPORT
    
12. if [ "$SSHPORT" = "" ]; then
    
13. SSHPORT="22"
    
14. fi
    
15. echo "=================================="
    
16. echo        SSH Port is "$SSHPORT"
    
17. echo "=================================="
    
18. sed -i "s/#   Port 22/Port 22/g" /etc/ssh/ssh_config
    
19. sed -i "s/Port 22/Port $SSHPORT/g" /etc/ssh/ssh_config
    
20. sed -i "s/#Port 22/Port 22/g" /etc/ssh/sshd_config
    
21. sed -i "s/Port 22/Port $SSHPORT/g" /etc/ssh/sshd_config
    
22. 
    
23. sed -i "s/#RSAAuthentication/RSAAuthentication/g" /etc/ssh/sshd_config
    
24. sed -i "s/RSAAuthentication no/RSAAuthentication yes/g" /etc/ssh/sshd_config
    
25. sed -i "s/#PubkeyAuthentication/PubkeyAuthentication/g" /etc/ssh/sshd_config
    
26. sed -i "s/PubkeyAuthentication no/PubkeyAuthentication yes/g" /etc/ssh/sshd_config
    
27. sed -i "s/#AuthorizedKeysFile/AuthorizedKeysFile/g" /etc/ssh/sshd_config
    
28. sed -i "s/#PermitEmptyPasswords/PermitEmptyPasswords/g" /etc/ssh/sshd_config
    
29. sed -i "s/PermitEmptyPasswords yes/PermitEmptyPasswords no/g" /etc/ssh/sshd_config
    
30. sed -i "s/#PasswordAuthentication/PasswordAuthentication/g" /etc/ssh/sshd_config
    
31. sed -i "s/PasswordAuthentication yes/PasswordAuthentication no/g" /etc/ssh/sshd_config
    
32. 
    
33. service sshd restart
    
34. /etc/init.d/ssh restart
    
35. 
    
36. exit
    

复制代码