針對linux登陸的sshd，很多人在使用ssh的安全策略的時候，使用ssh的密碼策略，增加複雜度，數字，字母，特殊符號等組合在一起使用！或者使用白名單方式。然而根據我的使用經驗，密碼策略其實很不好，並且相對來說是存在風險的。白名單方式同樣也帶來風險。

我的建議是放棄使用白名單，放棄使用密碼策略，使用金鑰方式登陸：

sshd的埠一般預設是22，其實這個埠是有很大必要更改的，不更改的話，一旦發現被嘗試登陸是避免不了的。

放棄密碼策略的原因如下：

1、密碼不管怎麼組合，你認為這個密碼已經很複雜了，別人猜不到了，或者字典裡面沒有該密碼了，然而事實上弱口令並不是說1234，123456才是弱口令，只有該密碼經常被使用，該密碼才叫做弱口令。所以很可能你絞盡腦汁想出來的密碼其實是個弱口令。

2、白名單方式這個就更加的坑嗲了，因為如果某一天你使用的白名單的地址，就是那個你所在公司的地址才能夠登陸的，有一天你公司停電了，你公司的網路發生故障了，你公司的硬體故障了，然而恰巧的是客戶那邊說業務故障，需要你登陸上去處理，然後你會發現你沒法子處理這個問題，因為遠端的無數的伺服器都需要從你公司的地址去登陸，你現在無法登陸，然後等你這邊正常的時候，事故已經發生了好長好長時間，客戶都將你從開始電話申報到罵，最後直接將你拉黑。

使用金鑰原因如下：

1、金鑰安全，這個不用多說了，生成金鑰的時候，可以2048位，也可以對每個公鑰進行備註，也可以對生成的金鑰加密，任何使用該私鑰的人都必須使用密碼，防止了私鑰丟失帶來的風險。

2、新版的openssh預設在密碼和金鑰同時存在的時候，以金鑰為主，可見開發openssh的人也認識到金鑰比密碼安全。