修改SSH服务配置项

操作场景

用户可以根据需要选择登录裸金属服务器的登录方式或账户类型，如果需要特殊配置，可执行本节操作修改SSH服务配置项。

操作步骤

1. 如果要禁用密码远程登录，仅支持证书登录的方式，以提高裸金属服务器的安全性，可设置如下参数：
   • 查看文件“/etc/ssh/sshd_config”中是否存在参数“ChallengeResponseAuthentication”且值是否为“no”，若不是则修改或添加该参数且值为“no”。使其在使用Xshell登录时，拒绝通过keyboard inactive方式输入密码登录。
2. 如果开放root密码远程登录并开启root用户的ssh权限，需要执行以下操作：
   

   允许root用户登录有一定的安全隐患，请谨慎操作。

   1. 执行以下命令，在vi编辑器中打开“/etc/ssh/sshd_config”。

      vi /etc/ssh/sshd_config

      将“sshd_config”中的“PasswordAuthentication”的值修改为“yes”，“UseDNS”的值修改为“no”。

      

      • 如果是SUSE和OpenSUSE系列操作系统，需要将“sshd_config”中的“PasswordAuthentication”和“ChallengeResponseAuthentication”参数同时配置为“yes”。
      • 如果是Ubuntu系列操作系统，需要将“PermitRootLogin”参数配置为“yes”。
   2. 修改shadow文件配置，将镜像模板中的初始root账户密码锁定，避免安全风险。
      1. 使用vi编辑器打开“/etc/shadow”配置文件。

         vi /etc/shadow

         在root账户的密码hash值中添加“!!”。修改后的配置文件如下：

         # cat /etc/shadow | grep root 
          root:!!$6$SphQRPXu$Nvg6izXbhDPrcY3j1vRiHaQFVRpNiV3HD/bjDgnZrACOWPXwJahx78iaut1IigIUrwavVGSYQ1JOIw.rDlVh7.:17376:0:99999:7:::

      2. 修改完成后，按“Esc”，输入:wq保存并退出文件编辑。
         

         如果是Ubuntu系列操作系统，需要将安装操作系统过程中新创建的用户删除。例如创建的用户为“ubuntu”，删除命令：userdel -rf ubuntu 。