·策略二禁止ROOT登陆，扼杀高权限

    我们更改了端口，那万一被某高手用软件破解出来，再次登陆你的linux服务器，那我们的服务器甚为危险了，别着急 有对策！我们可以禁止ROOT帐户登陆此服务器，由于ROOT用户权限过高，对任何文件可以访问、删除，被坏人利用那可不得了。所以我们在服务器上编辑/etc/ssh/sshd_configw文件，找到PermitRootLogin yes这一行，默认也是被注释掉的。我们必须删除#号并修改yes为no（禁止），这样客户端便不能使用root登陆Linux服务器了

    那我们需要在客户端管理服务器时不是也不能登陆了？没关系，我们可以新建一用户，并设置为管理员组，这样我们可以在客户端使用新建的用户来登陆远程服务器了，并且权限也不低哦。

    此时客户端用putty软件登陆服务器时只要在用户名处输入bestsafe即可登陆

    当不知情的人还以ROOT用户登陆服务器时，出现如图错误提示框。

    ·策略三设置简易防火墙，控制登陆IP

    如果你觉得更改SSH端口不是很安全，禁止ROOT登陆不是很方便，我们还可以通过修改/etc/hosts.deny和/etc/hosts.allow两个文件来搭建简易防火墙，控制允许使用SSH登陆的客户端IP地址。
    hosts.deny文件用于设置禁止访问此服务器的客户端，hosts.allow文件用于设置允许访问此服务器的客户端。其格式为 服务进程名：主机列表：，服务器进程可以是单个服务如fttpd，也可是所有服务（all）；主机列表也可为单个IP如192.168.0.18，也可是所有IP（all）。

    首先修改/etc/hosts.deny文件，我们先禁用掉所有的IP访问此服务器的所有服务

    然后再修改/etc/hosts.allow文件，设置只有192.168.0.18这个客户端可以访问此服务器的OpenSSH服务。

    由于我们首先禁用所有IP访问所有服务，再设置了所有IP可以访问HTTP服务，FTP服务；只有192.168.0.18这个客户端可以访问OpenSSH服务，而对于客户端访问服务器的其他服务如DHCP、DNS都禁止了。关于这个简易防火墙的更详细用法，可参考此站点

    这样我们设置了只有192.168.0.18这个客户端（平时自己使用的那台机子）才能通过远程SSH登陆到服务器，当其他IP使用putty软件登陆服务器时会出现软件黑屏，接着自动关闭该软件，这样达到了禁止了其他IP登陆到此服务器。

    不过对于这种方法，似乎也不是那么安全，客户机可以通过更改IP为192.168.0.18来登陆到远程服务器。所以我们必须设置客户端使用users用户登陆，那样客户端就不具备更改IP地址的权利了。

    本文出自 “.\Best” 博客，请务必保留此出处http://best0.blog.51cto.com/444987/107655

责任编辑：HengFen