Linux SSH安全提升需按顺序执行五步:禁用root和空密码登录;强制密钥认证并禁用密码登录;修改默认端口并配置防火墙白名单;限制允许登录的用户及来源IP;启用连接超时与Fail2Ban失败锁定机制。
直接上干货:Linux SSH 安全提升不是堆功能,而是层层设防。核心是“关掉默认漏洞、用更牢的认证、限制谁和怎么连”。下面按实战顺序讲清楚最关键的五步,每步都带配置要点和注意事项。
禁用 root 登录和空密码
这是最基础也最容易被忽略的一环。root 直连等于把大门钥匙挂门上;空密码用户则相当于门没锁。
- 编辑 /etc/ssh/sshd_config,确认以下两行已设置并取消注释:
PermitRootLogin no
PermitEmptyPasswords no
- 改完必须重启服务:sudo systemctl restart sshd(CentOS/RHEL 用 sshd,Ubuntu/Debian 用 ssh)
- 验证方式:用 root 尝试 ssh 登录,应直接拒绝;清空某用户密码后尝试登录,也应失败
强制使用密钥认证,禁用密码登录
密码再强也扛不住暴力扫描,而密钥认证(尤其是 4096 位 RSA 或 Ed25519)几乎无法爆破。
- 本地生成密钥:ssh-keygen -t ed25519 -a 100(推荐,比 RSA 更快更安全)
- 上传公钥到服务器:ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server_ip -p 2222(若已改端口需加 -p)
- 修改 /etc/ssh/sshd_config:
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no(再次确认)
- ⚠️ 操作前务必确保密钥已生效且你有其他方式(如控制台)可回滚,否则可能锁死自己
修改默认端口 + 配合防火墙白名单
端口 22 是扫描器的“打卡点”,换一个非常规端口(比如 2025、5922、22222)能过滤掉 80%+ 的自动化攻击。
- 在 /etc/ssh/sshd_config 中设置:Port 2025(选 1024–65535 之间未被占用的端口)
- 更新防火墙规则:
—— Ubuntu/Debian(ufw):sudo ufw allow 2025/tcp && sudo ufw enable
—— CentOS/RHEL(firewalld):sudo firewall-cmd --permanent --add-port=2025/tcp && sudo firewall-cmd --reload
- SELinux 用户注意:改端口后需运行 sudo semanage port -a -t ssh_port_t -p tcp 2025,否则启动会失败
- 测试新端口连接:ssh -p 2025 user@server_ip
限制可登录用户和来源 IP
最小权限原则:只让必要的人、从必要的地方进来。
- 在 /etc/ssh/sshd_config 中添加(一行写完):
AllowUsers deploy@192.168.1.0/24 admin@203.12.45.112
- 支持用户名+IP 组合,多个用户用空格分隔;不匹配的任何尝试都会被直接拒绝
- 如果用的是云服务器,建议只允许可信办公 IP 或跳板机 IP,避免开放整个公网段
- 改完记得重载:sudo systemctl reload sshd(reload 比 restart 更轻量,不中断已有连接)
启用连接超时与失败锁定机制
防止空闲会话被劫持,也压制暴力试探。
- 在 /etc/ssh/sshd_config 中加入:
ClientAliveInterval 300(每 5 分钟发一次心跳)
ClientAliveCountMax 3(连续 3 次无响应就断开,即 15 分钟无操作自动登出)
MaxAuthTries 4(单次连接最多试 4 次密码,防爆破)
- 搭配 Fail2Ban 效果更佳:安装后默认监控 /var/log/auth.log,触发 5 次失败即封 IP 10 分钟
- 安装命令(Ubuntu):sudo apt install fail2ban && sudo systemctl enable --now fail2ban
- 查看封禁状态:sudo fail2ban-client status sshd
基本上就这些。不需要一步到位,但建议按顺序做:先禁 root 和空密码 → 再切密钥 → 然后改端口+防火墙 → 接着限用户/IP → 最后加超时和 Fail2Ban。每步验证后再推进,稳扎稳打。
