年初的时候，自己使用Shadowsocks和Bandwagon搭建了一个SS梯子，顺畅无比。前段时间登上KiviVM一看，我的VPS居然被Suspend了，原因是遭遇DDos共计，我的VPS一直向外发送请求。

    又是改密码，又是改ip的，统统不行。终于没有浪费最后一次机会，Install A New OS，这下没问题了。(三次失败就被ban一年)

一、使用SSH证书密钥登录

ssh登录提供两种认证方式：口令(密码)认证方式和密钥认证方式。其中口令(密码)认证方式是我们最常用的一种，这里介绍密钥认证方式登录到linux/unix的方法。

使用密钥登录分为3步：

• 1、生成密钥（公钥与私钥）；
• 2、放置公钥(Public Key)到服务器~/.ssh/authorized_key文件中；
• 3、配置ssh客户端使用密钥登录。
• 4、修改sshd_config配置

1) 生成密钥公钥（Public key）与私钥(Private Key)

打开Xshell，tools

--> User Key Generation Wizard...(密钥生成向导)

--> Key Type --> DSA公钥加密算法，Key Length选择为“1024”位密钥长度.

--> Next，等待密钥生成, --> Key Name中输入Key的文件名称,例如id_dsa_1024_sherlocky； --> Passphrase处输入一个密码用于加密私钥，并再次输入密码确认.

--> Next，密钥生成完毕（Public key Format选择SSH2-OpenSSH格式），这里显示的是公钥，我们可以复制公钥然后再保存，也可以直接保存公钥到文件，私钥这里不显示，可以在User Key Mangager...导出到文件.

--> Save as file...，将公钥(Public key)保存到磁盘，文件名为id_dsa_1024_sherlocky.pub，备用。

2) 上传公钥(Public Key)到服务器

使用到Xshell登录到服务器，进入到/root/.ssh/目录，将id_dsa_1024_sherlocky.pub发送到服务器，然后运行如下命令，将公钥(Public Key)导入到authorized_keys文件：

cd /root/.ssh/  
cat id_dsa_1024_sherlocky.pub >> authorized_keys  
chmod 600 authorized_keys #修改文件的权限，否则可能会遇到问题  
cat authorized_keys  

3) 配置Xshell使用密钥认证方式登录到服务器

打开Xshell，--> New --> Authentication切换到认证栏目，

--> Method选择Public Key认证，用户名输入root(公钥是放在root目录下的.ssh文件夹中)，

--> User Key中选择我们刚才生成的私钥id_dsa_1024_sherlocky,Passphrase中输入私钥的加密密码 。。。

4) 修改sshd_config配置

为了系统安全着想，要关闭密码认证的方式，还要及时更改ssh端口为非默认端口，同时仅允许证书登录。

vim /etc/ssh/sshd_config  

修改下面几处：

PubkeyAuthentication  yes                   #启用PublicKey认证  
AuthorizedKeysFile .ssh/authorized_keys  #PublicKey文件路径  
PasswordAuthentication  no               #不使用密码认证登录  

二、配置iptabls

    可以安装fail2ban来防止暴力破解SSH,要仔细设置iptables，只允许80 443 53端口的通信.

附上xudshen的iptables设置。

本文转自xudshen's blog，有一些改动。

Q.E.D.