Linux SSH安全密钥认证与端口防护实战指南在 Linux 服务器管理中SSHSecure Shell是用于安全远程登录和管理服务器的事实标准。默认配置的 SSH 服务存在安全隐患容易受到暴力破解等攻击。因此对 SSH 服务进行安全加固至关重要。本指南将介绍如何通过Linux SSH 密钥认证、修改默认端口及配置防火墙等手段提升Linux SSH 安全性有效防范潜在的安全风险。我们将以 CentOS/RHEL 7/8/9 或 Ubuntu 18.04/20.04/22.04 等常见发行版为例讲解具体操作步骤。Linux SSH安全禁用密码认证启用密钥认证使用密码进行 SSH 认证的安全性较低容易受到暴力破解攻击。为提高 Linux SSH 安全性强烈建议禁用密码认证启用密钥认证。密钥认证基于公钥密码学使用密钥对公钥和私钥进行身份验证。私钥保存在客户端公钥保存在服务器端。本节将详细介绍如何生成密钥对、上传公钥以及禁用密码认证从而避免暴力破解风险。生成 SSH 密钥对RSA首先需要在客户端例如您的本地电脑生成 SSH 密钥对。可以使用ssh-keygen命令。以下命令生成一个 4096 位的 RSA 密钥对ssh-keygen -t rsa -b 4096执行该命令后会在用户目录下生成.ssh目录其中id_rsa是私钥id_rsa.pub是公钥。请务必妥善保管私钥切勿泄露给他人。私钥丢失可能导致无法登录服务器。上传 SSH 公钥到服务器生成密钥对后需要将公钥上传到服务器以便服务器能够使用公钥验证客户端的身份。可以使用ssh-copy-id命令简化上传过程例如ssh-copy-id useryour_server_ip该命令会自动将公钥添加到服务器上的~/.ssh/authorized_keys文件中。如果ssh-copy-id命令不可用也可以手动将id_rsa.pub的内容追加到服务器上的~/.ssh/authorized_keys文件中。为了保证 Linux SSH 安全性务必确保.ssh目录的权限是700authorized_keys文件的权限是600。手动上传公钥的步骤如下使用scp或其他文件传输工具将id_rsa.pub文件上传到服务器的临时目录例如/tmp。在服务器上使用以下命令将公钥添加到~/.ssh/authorized_keys文件中cat /tmp/id_rsa.pub ~/.ssh/authorized_keys设置正确的权限chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys禁用 SSH 密码认证成功上传公钥后就可以禁用密码认证了。编辑服务器上的 SSH 配置文件/etc/ssh/sshd_config。找到以下选项并修改为PasswordAuthentication no ChallengeResponseAuthentication no # 如果有的话也禁用 UsePAM no # 建议禁用PAM认证除非你有特殊需求保存文件后重启 SSH 服务使配置生效systemctl restart sshd重要提示在禁用密码认证之前请务必确保您已经成功配置了密钥认证并且能够使用密钥登录服务器。否则您可能会因为无法通过密码认证登录而失去对服务器的访问权限。建议在一个新的终端窗口中测试密钥认证是否生效确认无误后再禁用密码认证。通过禁用密码认证并启用密钥认证可以有效防止暴力破解提高 SSH 安全性。Linux SSH安全修改默认端口配置防火墙SSH 默认使用 22 端口进行通信但攻击者通常会扫描服务器的 22 端口尝试进行攻击。修改默认端口可以增加攻击者扫描和攻击的难度提高 Linux SSH 安全性。同时配置防火墙可以限制对 SSH 端口的访问只允许特定的 IP 地址或 IP 段访问 SSH 服务。本节将介绍如何修改 SSH 端口并配置防火墙规则以降低被恶意扫描和攻击的风险。修改 SSH 默认端口编辑 SSH 配置文件/etc/ssh/sshd_config。找到以下选项并修改为Port 2222 # 修改为其他未被使用的端口例如2222建议选择一个大于 1024 且未被其他服务使用的端口。保存文件后重启 SSH 服务systemctl restart sshd注意修改端口后需要同时更新防火墙规则允许新的端口通过。客户端连接时也需要指定新的端口例如ssh -p 2222 useryour_server_ip。配置防火墙规则使用firewalld或iptables配置防火墙只允许特定的 IP 地址访问 SSH 端口。以firewalld为例以下命令允许来自192.168.1.0/24网段的 IP 地址访问 2222 端口firewall-cmd --permanent --add-port2222/tcp firewall-cmd --permanent --add-source192.168.1.0/24 --add-port2222/tcp # 允许特定IP段访问 firewall-cmd --reload如果使用iptables可以参考以下配置iptables -A INPUT -p tcp --dport 2222 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 2222 -j DROP # 默认拒绝其他IP访问 service iptables save service iptables restart下表总结了 SSH 安全加固中的一些常见配置项及其推荐值供您参考配置项文件路径推荐值说明PasswordAuthentication/etc/ssh/sshd_configno禁用密码认证防止暴力破解Port/etc/ssh/sshd_config非 22 端口 (例如2222)修改默认端口增加扫描难度PermitRootLogin/etc/ssh/sshd_configno禁止 root 用户直接登录防火墙规则firewalld或iptables仅允许特定 IP 访问 SSH 端口限制对 SSH 端口的访问修改 SSH 默认端口并配置防火墙可以有效降低被恶意扫描和攻击的风险增强服务器的安全性。其他 Linux SSH 安全加固措施除了密钥认证和端口防护之外还有一些其他的措施可以进一步提高 SSH 服务的安全性。这些措施是对密钥认证和端口防护的补充共同构建更完善的安全体系。禁止 root 用户直接登录编辑/etc/ssh/sshd_config设置PermitRootLogin no。禁止 root 用户直接通过 SSH 登录可以降低 root 账号被攻破的风险。设置登录尝试次数限制使用MaxAuthTries限制每个连接的认证尝试次数。例如设置为 3 表示允许最多尝试 3 次密码或密钥认证。使用 fail2banfail2ban可以自动监控 SSH 日志并禁止恶意 IP 地址。Fail2ban 通过分析日志文件自动识别并屏蔽尝试暴力破解 SSH 服务的 IP 地址。定期更新 SSH 软件及时安装安全补丁修复已知漏洞。禁用 X11 forwarding除非需要通过 SSH 运行图形界面程序否则应该禁用 X11 forwardingX11Forwarding no以降低安全风险。常见问题能否使用 SSH 证书认证代替密钥认证可以。 SSH 证书认证比普通的密钥认证更安全但配置也更复杂适用于对安全性要求极高的场景。通过综合运用这些安全加固措施可以显著提高 Linux SSH 服务的安全性。禁用密码认证强制使用 SSH 密钥认证。修改 SSH 默认端口降低被扫描和攻击的风险。配置防火墙规则限制对 SSH 端口的访问。禁止 root 用户直接 SSH 登录降低 root 账户被攻破的风险。使用 Fail2ban 自动屏蔽恶意 IP。
Linux SSH安全:密钥认证与端口防护实战指南
发布时间:2026/5/27 22:07:46
Linux SSH安全密钥认证与端口防护实战指南在 Linux 服务器管理中SSHSecure Shell是用于安全远程登录和管理服务器的事实标准。默认配置的 SSH 服务存在安全隐患容易受到暴力破解等攻击。因此对 SSH 服务进行安全加固至关重要。本指南将介绍如何通过Linux SSH 密钥认证、修改默认端口及配置防火墙等手段提升Linux SSH 安全性有效防范潜在的安全风险。我们将以 CentOS/RHEL 7/8/9 或 Ubuntu 18.04/20.04/22.04 等常见发行版为例讲解具体操作步骤。Linux SSH安全禁用密码认证启用密钥认证使用密码进行 SSH 认证的安全性较低容易受到暴力破解攻击。为提高 Linux SSH 安全性强烈建议禁用密码认证启用密钥认证。密钥认证基于公钥密码学使用密钥对公钥和私钥进行身份验证。私钥保存在客户端公钥保存在服务器端。本节将详细介绍如何生成密钥对、上传公钥以及禁用密码认证从而避免暴力破解风险。生成 SSH 密钥对RSA首先需要在客户端例如您的本地电脑生成 SSH 密钥对。可以使用ssh-keygen命令。以下命令生成一个 4096 位的 RSA 密钥对ssh-keygen -t rsa -b 4096执行该命令后会在用户目录下生成.ssh目录其中id_rsa是私钥id_rsa.pub是公钥。请务必妥善保管私钥切勿泄露给他人。私钥丢失可能导致无法登录服务器。上传 SSH 公钥到服务器生成密钥对后需要将公钥上传到服务器以便服务器能够使用公钥验证客户端的身份。可以使用ssh-copy-id命令简化上传过程例如ssh-copy-id useryour_server_ip该命令会自动将公钥添加到服务器上的~/.ssh/authorized_keys文件中。如果ssh-copy-id命令不可用也可以手动将id_rsa.pub的内容追加到服务器上的~/.ssh/authorized_keys文件中。为了保证 Linux SSH 安全性务必确保.ssh目录的权限是700authorized_keys文件的权限是600。手动上传公钥的步骤如下使用scp或其他文件传输工具将id_rsa.pub文件上传到服务器的临时目录例如/tmp。在服务器上使用以下命令将公钥添加到~/.ssh/authorized_keys文件中cat /tmp/id_rsa.pub ~/.ssh/authorized_keys设置正确的权限chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys禁用 SSH 密码认证成功上传公钥后就可以禁用密码认证了。编辑服务器上的 SSH 配置文件/etc/ssh/sshd_config。找到以下选项并修改为PasswordAuthentication no ChallengeResponseAuthentication no # 如果有的话也禁用 UsePAM no # 建议禁用PAM认证除非你有特殊需求保存文件后重启 SSH 服务使配置生效systemctl restart sshd重要提示在禁用密码认证之前请务必确保您已经成功配置了密钥认证并且能够使用密钥登录服务器。否则您可能会因为无法通过密码认证登录而失去对服务器的访问权限。建议在一个新的终端窗口中测试密钥认证是否生效确认无误后再禁用密码认证。通过禁用密码认证并启用密钥认证可以有效防止暴力破解提高 SSH 安全性。Linux SSH安全修改默认端口配置防火墙SSH 默认使用 22 端口进行通信但攻击者通常会扫描服务器的 22 端口尝试进行攻击。修改默认端口可以增加攻击者扫描和攻击的难度提高 Linux SSH 安全性。同时配置防火墙可以限制对 SSH 端口的访问只允许特定的 IP 地址或 IP 段访问 SSH 服务。本节将介绍如何修改 SSH 端口并配置防火墙规则以降低被恶意扫描和攻击的风险。修改 SSH 默认端口编辑 SSH 配置文件/etc/ssh/sshd_config。找到以下选项并修改为Port 2222 # 修改为其他未被使用的端口例如2222建议选择一个大于 1024 且未被其他服务使用的端口。保存文件后重启 SSH 服务systemctl restart sshd注意修改端口后需要同时更新防火墙规则允许新的端口通过。客户端连接时也需要指定新的端口例如ssh -p 2222 useryour_server_ip。配置防火墙规则使用firewalld或iptables配置防火墙只允许特定的 IP 地址访问 SSH 端口。以firewalld为例以下命令允许来自192.168.1.0/24网段的 IP 地址访问 2222 端口firewall-cmd --permanent --add-port2222/tcp firewall-cmd --permanent --add-source192.168.1.0/24 --add-port2222/tcp # 允许特定IP段访问 firewall-cmd --reload如果使用iptables可以参考以下配置iptables -A INPUT -p tcp --dport 2222 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 2222 -j DROP # 默认拒绝其他IP访问 service iptables save service iptables restart下表总结了 SSH 安全加固中的一些常见配置项及其推荐值供您参考配置项文件路径推荐值说明PasswordAuthentication/etc/ssh/sshd_configno禁用密码认证防止暴力破解Port/etc/ssh/sshd_config非 22 端口 (例如2222)修改默认端口增加扫描难度PermitRootLogin/etc/ssh/sshd_configno禁止 root 用户直接登录防火墙规则firewalld或iptables仅允许特定 IP 访问 SSH 端口限制对 SSH 端口的访问修改 SSH 默认端口并配置防火墙可以有效降低被恶意扫描和攻击的风险增强服务器的安全性。其他 Linux SSH 安全加固措施除了密钥认证和端口防护之外还有一些其他的措施可以进一步提高 SSH 服务的安全性。这些措施是对密钥认证和端口防护的补充共同构建更完善的安全体系。禁止 root 用户直接登录编辑/etc/ssh/sshd_config设置PermitRootLogin no。禁止 root 用户直接通过 SSH 登录可以降低 root 账号被攻破的风险。设置登录尝试次数限制使用MaxAuthTries限制每个连接的认证尝试次数。例如设置为 3 表示允许最多尝试 3 次密码或密钥认证。使用 fail2banfail2ban可以自动监控 SSH 日志并禁止恶意 IP 地址。Fail2ban 通过分析日志文件自动识别并屏蔽尝试暴力破解 SSH 服务的 IP 地址。定期更新 SSH 软件及时安装安全补丁修复已知漏洞。禁用 X11 forwarding除非需要通过 SSH 运行图形界面程序否则应该禁用 X11 forwardingX11Forwarding no以降低安全风险。常见问题能否使用 SSH 证书认证代替密钥认证可以。 SSH 证书认证比普通的密钥认证更安全但配置也更复杂适用于对安全性要求极高的场景。通过综合运用这些安全加固措施可以显著提高 Linux SSH 服务的安全性。禁用密码认证强制使用 SSH 密钥认证。修改 SSH 默认端口降低被扫描和攻击的风险。配置防火墙规则限制对 SSH 端口的访问。禁止 root 用户直接 SSH 登录降低 root 账户被攻破的风险。使用 Fail2ban 自动屏蔽恶意 IP。
相关文章
游戏开发者必看:MSAA与TAA性能对比实测(附UE4配置代码)
游戏开发者必看:MSAA与TAA性能对比实测(附UE4配置代码) 当你在UE4编辑器中第一次看到锯齿状的电线杆边缘时,可能会下意识地打开抗锯齿设置。但面对MSAA、TAA这些选项,你是否真正了解它们背后的性能代价?去年…
Qwen3-ASR-0.6B语音识别实战:录制声音实时转文字
Qwen3-ASR-0.6B语音识别实战:录制声音实时转文字 1. 快速了解Qwen3-ASR-0.6B Qwen3-ASR-0.6B是一款支持52种语言和方言的语音识别模型,由阿里云团队开发并开源。它基于Transformer架构,专门针对语音识别任务进行了优化,在保持较…
别再手动写用例了!我用AI给Yapi插了个翅膀,自动化测试效率提升80%的真实复盘
从手工到智能:AIYapi接口测试自动化实战全解析 测试工程师们是否厌倦了日复一日地手动编写接口测试用例?那些重复性的劳动不仅消耗了大量时间,还容易因人为疏忽导致测试覆盖率不足。本文将分享一个真实案例:如何通过AI与Yapi的深度…
初次使用Taotoken平台从注册到成功调用的全过程耗时记录
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 初次使用Taotoken平台从注册到成功调用的全过程耗时记录 1. 启动:访问与注册 我决定尝试使用Taotoken平台来统一调用不…
6G通信中RIS辅助XL-MIMO的信道估计优化方案
1. 项目背景与核心挑战在第六代移动通信系统(6G)的研究中,超大规模多输入多输出(XL-MIMO)和可重构智能表面(RIS)技术被视为关键使能技术。XL-MIMO通过在紧凑空间部署数千个天线,显著提升频谱效率和空间自由度;而RIS则通过可编程的被动反射单元…
3分钟掌握专业字体:设计师必备的思源宋体终极指南
3分钟掌握专业字体:设计师必备的思源宋体终极指南 【免费下载链接】source-han-serif-ttf Source Han Serif TTF 项目地址: https://gitcode.com/gh_mirrors/so/source-han-serif-ttf 还在为商业项目寻找高质量中文字体而烦恼吗?Source Han Serif…
3分钟解锁iPhone应用自由:TrollInstallerX终极安装指南
3分钟解锁iPhone应用自由:TrollInstallerX终极安装指南 【免费下载链接】TrollInstallerX A TrollStore installer for iOS 14.0 - 16.6.1 项目地址: https://gitcode.com/gh_mirrors/tr/TrollInstallerX 还在为iOS系统的应用安装限制而烦恼吗?想…
华硕笔记本性能控制新选择:GHelper轻量化解决方案深度解析
华硕笔记本性能控制新选择:GHelper轻量化解决方案深度解析 【免费下载链接】g-helper Lightweight Armoury Crate alternative for Asus laptops with nearly the same functionality. Works with ROG Zephyrus, Flow, TUF, Strix, Scar, ProArt, Vivobook, Zenbook…
ALDRED协议:水下异步传感器网络如何实现低延迟与高能效通信
1. 项目概述与核心挑战水下声学传感器网络(UASN)是海洋环境监测、资源勘探和安防侦察等领域的核心技术。与陆地上的无线传感器网络不同,水下环境对通信提出了近乎苛刻的挑战:声波是唯一可行的远距离信息载体,但其传播速…
LVGL绘制平滑曲线避坑指南:为什么你的贝塞尔函数有毛刺?
LVGL绘制平滑曲线避坑指南:为什么你的贝塞尔函数有毛刺? 在嵌入式GUI开发中,贝塞尔曲线是实现流畅动画和优雅界面的核心工具。但许多开发者在使用LVGL绘制曲线时,总会遇到令人头疼的锯齿和毛刺问题。这背后隐藏着嵌入式设备特有的…
告别手动输入!用Burpsuite插件captcha-killer-modified+ddddocr,5分钟搞定登录爆破验证码
自动化验证码识别实战:Burpsuite与ddddocr的高效联动方案验证码机制作为现代Web应用的基础安全防线,其对抗自动化攻击的能力直接影响系统安全性。但在安全测试领域,验证码往往成为效率瓶颈——传统手工识别方式让渗透测试人员每天浪费数小时在…
中国AI岗位暴涨12倍,13种你没听过的AI岗位
2026年,中国AI岗位数量同比增长12倍,AI科学家月薪高达13.7万,高性能计算工程师出现“7个岗位抢1个人”的荒诞场面。与此同时,数据录入、基础财务分析、一线客服等岗位大幅下降。全球范围内,AI/ML岗位招聘量同比增长88%…
施工现场安全事故预警准确率达94.6%?——解密某央企AI Agent边缘计算部署架构与3个月落地实录
更多请点击: https://codechina.net 第一章:施工现场安全事故预警准确率达94.6%?——解密某央企AI Agent边缘计算部署架构与3个月落地实录 在华北某大型地铁盾构施工现场,一套轻量化AI Agent系统于2024年Q2完成全栈部署ÿ…
附录 B:术语表
本术语表面向“从 MM 到 HMM”专栏阅读过程中的快速查阅。它不是内核 API 手册,而是把文章中反复出现的概念放到同一张地图上:先给出直观含义,再说明它在 Linux MM/HMM 语境里的作用。建议阅读方式: 初读专栏时,把它当…
Midjourney渐变美学的神经渲染原理(附RGB-HSV-LCH三空间渐变映射对照表·行业首曝)
更多请点击: https://kaifayun.com 第一章:Midjourney渐变美学的神经渲染原理(附RGB-HSV-LCH三空间渐变映射对照表行业首曝) Midjourney 的渐变美学并非传统插值实现,而是由其隐式神经渲染器(Implicit Neu…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…