1.修改sshd伺服器的配置檔案/etc/ssh/sshd_config，將部分引數參照如下修改，增強安全性。

Port 6688

系統預設使用22號埠，將監聽埠更改為其他數值（最好是1024以上的高階口，以免和其他常規服務埠衝突），這樣可以增加入侵者探測系統是否運行了sshd守護程序的難度。

ListenAddress 192.168.0.1

對於在伺服器上安裝了多個網絡卡或配置多個IP地址的情況，設定sshd只在其中一個指定的介面地址監聽，這樣可以減少sshd的入口，降低入侵的可能性。

PermitRootLogin no

注意： 在設定之前，請給與其他使用者root許可權。步驟如下：

方法二： 修改 /etc/sudoers 檔案，找到root一行，在root下面新增一行，如下所示：
## Allow root to run any commands anywhere
root    ALL=(ALL)     ALL
tommy   ALL=(ALL)     ALL
修改完畢，現在可以用tommy帳號登入，然後用命令 sudo su - ，即可獲得root許可權進行操作。
 

如果允許使用者使用root使用者登入，那麼黑客們可以針對root使用者嘗試暴力破解密碼，給系統安全帶來風險。

PermitEmptyPasswords no

允許使用空密碼系統就像不設防的堡壘，任何安全措施都是一句空話。

AllowUsers user01 user02

只允許指定的某些使用者通過ssh訪問伺服器，將ssh使用許可權限定在最小的範圍內。

AllowGroups sshgroup1

同上面的AllowUsers類似，限定指定的使用者組通過ssh訪問伺服器，二者對於限定訪問伺服器有相同的效果。

Protocol 2

禁止使用版本1協議，因為其存在設計缺陷，很容易使密碼被黑掉。

禁止所有不需要的（或不安全的）授權認證方式。

X11Forwarding no

關閉X11Forwarding，防止會話被劫持。

MaxStartups 5

2.修改sshd伺服器的配置檔案/etc/ssh/sshd_config的讀寫許可權，對所有非root使用者設定只讀許可權，防止非授權使用者修改sshd服務的安全設定。

chmod 644 /etc/ssh/sshd_config

3.儘量關閉一些系統不需要的啟動服務。系統預設情況下啟動了許多與網路相關的服務，因此相對應的開放了許多埠進行LISTENING（監聽）。我們知道，開放的埠越多，系統從外部被入侵的可能也就越大，所以我們要儘量關閉一些不需要的啟動服務，從而儘可能的關閉埠，提供系統的安全性。

4.重啟 sshd

service sshd restart