阿里云ECS安全改造：改用AWS EC2私钥方式登录

阿里云ECS有多烂，用过AWS的人都知道，ECS有什么问题呢，简单总结一下：

1）ubuntu居然root直接访问

2）端口全开

3）WEB控制台无法定义安全组及关闭端口

4）云盾黑洞

的确用起来很糟糕……

本期先说一下如何禁用root，以及改成私钥方式SSH登录。

对于未用过私钥方式的登录的朋友，会有疑问，这个方式有什么好处？简单说如下：

1）使用私钥SSH，无需再记得密码，只需要登录终端上保存私钥

2）分享私钥给同事，方便，又安全

3）服务器上的用户密码可以设置成超级变态的长度，保证无法暴力破解

4）逼格高（配合OSX/*NIX命令下使用的情况）

正题：

一）创建新用户

adduser ubuntu
把ubuntu用户加入adm组及sudo组：usermod -G 4,27 ubuntu
生成公钥和私钥： ssh-keygen (default location, no pass phrase)
把私钥（/home/ubuntu/.ssh/id_rsa）复制到客户端并改名成 ali.pem 用于以后 ssh -i ./ali.pem ubuntu@serverip 方式登录。
把公钥改名为 authorized_keys：
cd /home/ubuntu/.ssh/
touch authorized_keys
more id_rsa.pub >> authorized_keys

设置ubuntu用户sudo时无需密码：
su - root
vi /etc/sudoers.d/users 增加以下内容：
# User rules for ubuntu
ubuntu ALL=(ALL) NOPASSWD:ALL
chmod 440 /etc/sudoers.d/users

二）禁用root登录

vi /etc/ssh/sshd_config 修改如下：
PermitRootLogin without-password
PasswordAuthentication no
#UseDNS no
#AddressFamily inet
/etc/init.d/ssh restart
reboot -n