、仅允许SSH协议版本2

会更安全，SSH协议版本1有安全问题，包括中间人攻击(man-in-the-middle)和注入(insertion)攻击。编辑/etc/ssh/sshd_config文件并查找下面这样的行：

　　Protocol 2,1

　　修改为

　　Protocol 2

、仅允许特定的用户通过SSH登陆

　　你不一个允许root用户通过SSH登陆，因为这是一个巨大的不必要的安全风险，如果一个攻击者获得root权限登陆到你的系统，相对他获得一个普通用户权限能造成更大的破坏，配置SSH服务器不允许root用户通过SSH登陆，查找下面这样的行：

　　PermitRootLogin yes

　　将yes修改为no，然后重新启动服务。现在，如果你想使用特权用户，你可以先以其他用户登陆，然后再转换到root。

　　创建一个没有实际权限的虚拟用户是一个明智的选择，用这个用户登陆SSH，即使这个用户遭到破解也不会引起什么破坏，当创建这个用户时，确保它属于wheel组，并修改/etc/sudoers，添加wheel组的权限。因为那样你才能切换到特权用户。

　　如果你想让一列用户都能通过SSH登陆，你可以在sshd_config文件中指定它们，例如：我想让用户anze、dasa、kimy能通过SSH登陆，在sshd_config文件的末尾我添加下面这样一行：

　　AllowUsers anze dasa kimy

、创建一个自定义SSH banner

　　如果你想让任何连接到你SSH服务的用户看到一条特殊的消息，你可以创建一个自定义SSH banner，只需要创建一个文本文件(我的是/etc/ssh-banner.txt)，然后输入你想的任何文本消息，如：

　　编辑好后，保存这个文件，在sshd_config中查找下面这样一行：

　　取消掉注释【将#去掉】，然后将路径修改为你自定义的SSH banner文本文件。

转自: http://security.zdnet.com.cn/security_zone/2010/0929/1901964.shtml