阿里云ECS安全改造：改用AWS EC2私钥方式登陆

时间 2019-11-18

标签阿里 ecs 安全改造改用 aws ec2 方式登陆栏目阿里巴巴繁體版

原文原文链接

阿里云ECS有多烂，用过AWS的人都知道，ECS有什么问题呢，简单总结一下：ubuntu

1）ubuntu竟然root直接访问安全

2）端口全开服务器

3）WEB控制台没法定义安全组及关闭端口ssh

4）云盾黑洞阿里云

的确用起来很糟糕……rest

本期先说一下如何禁用root，以及改为私钥方式SSH登陆。server

对于未用过私钥方式的登陆的朋友，会有疑问，这个方式有什么好处？简单说以下：ip

1）使用私钥SSH，无需再记得密码，只须要登陆终端上保存私钥it

2）分享私钥给同事，方便，又安全io

3）服务器上的用户密码能够设置成超级变态的长度，保证没法暴力破解

4）逼格高（配合OSX/*NIX命令下使用的状况）

正题：

一）建立新用户

adduser ubuntu
把ubuntu用户加入adm组及sudo组：usermod -G 4,27 ubuntu
生成公钥和私钥： ssh-keygen (default location, no pass phrase)
把私钥（/home/ubuntu/.ssh/id_rsa）复制到客户端并更名成 ali.pem 用于之后 ssh -i ./ali.pem ubuntu@serverip 方式登陆。
把公钥更名为 authorized_keys：
cd /home/ubuntu/.ssh/
touch authorized_keys
more id_rsa.pub >> authorized_keys

设置ubuntu用户sudo时无需密码：
su - root
vi /etc/sudoers.d/users 增长如下内容：
# User rules for ubuntu
ubuntu ALL=(ALL) NOPASSWD:ALL
chmod 440 /etc/sudoers.d/users

二）禁用root登陆

vi /etc/ssh/sshd_config 修改以下：
PermitRootLogin without-password
PasswordAuthentication no
#UseDNS no
#AddressFamily inet
/etc/init.d/ssh restart
reboot -n