1. 项目概述为什么SSH安全配置是运维的必修课干了这么多年运维和开发我经手过的Linux服务器少说也有几百台了。要说最让我后怕的不是半夜被叫起来处理数据库崩溃而是某天突然发现服务器日志里塞满了来自全球各地IP的SSH登录尝试。SSH这个我们每天用来连接服务器、部署代码、查看日志的“老朋友”恰恰是服务器安全防线最常被攻击的薄弱环节。这就像你家大门你天天用觉得最熟悉、最可靠但如果锁芯还是出厂默认的那对别有用心的人来说开锁就跟用万能钥匙一样简单。SSH协议本身设计得非常安全问题往往出在我们的使用和配置习惯上。默认的SSH配置是为了通用性和易用性但“默认”也就意味着“众所周知”成了自动化攻击脚本的首要目标。提高SSH安全性不是要你去研究什么高深的密码学而是通过一系列务实的、可落地的配置调整把这道“大门”从普通的木门升级为带有监控、报警和多重验证的防盗门。这篇文章我就结合自己踩过的坑和积累的经验系统性地拆解如何加固你的SSH服务。无论你是管理着一台个人VPS的开发者还是需要维护一个服务器集群的运维工程师这些方法都能直接拿来用显著降低被“破门而入”的风险。2. SSH安全加固的核心思路与策略选择在动手改任何一个配置文件之前我们得先想清楚加固SSH的目标是什么我的策略又该如何选择盲目地堆砌所有安全措施可能会带来兼容性问题或管理上的麻烦。2.1 安全加固的层次化模型我认为SSH安全应该像一个洋葱层层递进核心思路是“增加攻击成本与复杂度同时平衡自身的管理便利性”。第一层减少暴露面。这是最基本的一步。就像你不会把贵重物品放在临街的窗户边上。具体措施包括修改默认端口、禁用不安全的协议版本、关闭不必要的功能如X11转发。这能过滤掉绝大部分漫无目的的自动化扫描和低水平攻击。第二层强化认证机制。这是防御的核心层。密码认证是最大的弱点如同一个容易被猜到的简单密码。我们要做的是首先强制使用高强度密码并禁用空密码更进一步用公钥认证彻底取代密码认证这是单因素认证下的最强手段再进一步引入双因素认证2FA为登录加上第二把锁。第三层实施访问控制。遵循最小权限原则。不是每个系统用户都需要SSH权限。通过AllowUsers/DenyUsers精确控制谁可以登录将潜在的攻击入口缩到最小。第四层动态防御与监控。前三层是静态配置这一层是动态响应。使用如Fail2Ban这样的工具对持续的暴力破解行为进行实时封禁。同时配置会话超时避免因连接遗忘而留下后门。第五层系统与服务维护。保持SSH服务端openssh-server和系统本身处于最新状态及时修补安全漏洞。这是所有安全措施的基石。2.2 策略组合与取舍原文提到“不需要全部都用”这点非常关键。你需要根据服务器的暴露程度、管理需求和团队习惯来组合策略。个人项目或低风险内网服务器可能做到第一层改端口、禁用旧协议和第二层的基础部分禁用空密码、禁止root登录就足够了。管理简单负担小。面向公网的业务服务器必须实施到第三层。强烈建议采用公钥认证并考虑使用Fail2Ban。这是生产环境的标配。存有核心数据或金融级别的服务器应该追求第四层并严肃评估引入双因素认证的必要性。同时访问控制列表要极其严格。这里有一个重要的互斥点如果你已经彻底禁用了密码登录完全转向公钥认证那么像Fail2Ban这种主要防御密码暴力破解的工具其重要性就大大降低了。因为攻击者连尝试密码的机会都没有。此时Fail2Ban更多是作为一种日志监控和防御其他服务如FTP、Web表单攻击的补充。你可以选择不部署它以简化系统。操作前的重要准备 所有配置都在/etc/ssh/sshd_config这个文件中。动它之前务必备份sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak任何修改后都需要重启SSH服务生效sudo systemctl restart sshd # 对于使用systemd的系统如Ubuntu 16.04, CentOS 7 # 或 sudo service ssh restart # 对于旧版系统重中之重在重启服务前请务必保持一个当前有效的SSH连接窗口不要关闭。这是你的“救命通道”。如果新配置有误导致SSH服务无法启动你可以通过这个保留的连接窗口进行修复。我早年就曾因为配置错误又关了所有窗口不得不通过服务商的控制台VNC才救回来教训深刻。3. 基础加固快速提升安全门槛的必做项这一部分的操作风险极低收益明显适合所有服务器首先实施。3.1 禁用空密码与禁止Root登录PermitEmptyPasswords选项默认为yes这是极其危险的。允许空密码意味着任何一个未设密码的用户账户无论是误操作还是遗留账户都是一个敞开的入口。务必将其设为no。禁止Root直接登录是Linux安全的最佳实践之一。Root权限过大一旦泄露后果不堪设想。而且直接以Root操作不会在sudo日志中留下痕迹不利于审计。通过禁用Root登录强制攻击者必须先破解一个普通用户再提权这增加了攻击难度和可追踪性。# 编辑配置文件 sudo vim /etc/ssh/sshd_config找到并确保如下配置PermitEmptyPasswords no PermitRootLogin no注意在设置为PermitRootLogin no之前请确保你至少有一个拥有sudo权限的普通用户并且你知道如何用这个用户登录。否则你会把自己锁在门外。3.2 修改默认SSH端口这是最简单有效的“隐身”技巧。互联网上充斥着对22端口的全天候扫描。修改端口能立刻让你从大部分自动化脚本的雷达上消失。Port 567 # 可以改为1024到65535之间未被系统使用的端口实操心得端口选择避免使用像2222、22222这样过于明显的替代端口。选择一个看起来随机的比如在20000-40000之间的一个端口。防火墙配置改端口后必须同步更新服务器防火墙如iptables、firewalld、ufw规则放行新的端口并记得关闭对旧端口22的放行。很多人在这一步栽跟头改了端口却连不上就是因为防火墙没配。连接方式以后连接时需指定端口ssh -p 567 usernameserver_ip。3.3 禁用不安全的SSH协议版本SSH协议有版本1和2。SSHv1在设计上存在严重缺陷早已被淘汰。现代OpenSSH默认都使用v2。但检查一下并无坏处。Protocol 2如果配置文件中只有Protocol 2或者没有Protocol行默认即用v2那就是安全的。3.4 配置会话超时与保持连接ClientAliveInterval和ClientAliveCountMax这两个参数配合用于管理空闲连接。默认情况下SSH连接可能无限期保持这可能导致连接被劫持或占用资源。ClientAliveInterval 300 # 服务器每300秒5分钟向客户端发送一次保活消息 ClientAliveCountMax 2 # 客户端连续2次无响应后服务器断开连接这样配置意味着如果一个连接空闲了大约10分钟300秒 * 2服务器就会主动断开它。这平衡了安全性和使用体验。对于需要通过跳板机进行长时间稳定工作的场景你可能需要调整这个值或者使用客户端侧的ServerAliveInterval配置来维持连接。3.5 禁用X11转发除非你明确需要通过SSH远程运行图形界面程序比如xclock否则应该关闭X11转发。X11协议本身较老可能带来安全风险并且启用它会打开额外的网络通道。X11Forwarding no4. 高级访问控制与认证强化完成基础加固后你的服务器已经比90%的默认配置服务器更安全了。接下来我们通过精细化的访问控制和更强的认证手段把安全等级再提升一个档次。4.1 实施基于用户的访问控制使用AllowUsers,AllowGroups,DenyUsers,DenyGroups可以精确控制登录权限。例如你的服务器上有admin,app_user,backup等多个用户但只有admin需要SSH登录。AllowUsers admin或者创建一个专门的组比如ssh_users然后将允许登录的用户加入这个组。AllowGroups ssh_users配置步骤创建组sudo groupadd ssh_users将用户加入组sudo usermod -aG ssh_users admin在sshd_config中设置AllowGroups ssh_users注意事项使用AllowUsers和AllowGroups是白名单机制更安全。DenyUsers和DenyGroups是黑名单机制通常作为补充。配置时注意不要产生冲突导致所有用户都无法登录。一个常见的错误是同时配置了AllowUsers和DenyUsers而同一个用户出现在两个列表中这时DenyUsers的优先级更高。4.2 彻底告别密码部署公钥认证这是提升SSH安全性的最关键一步能从根本上杜绝暴力破解密码的可能。原理是使用一对加密密钥公钥和私钥进行认证。服务器持有公钥客户端持有私钥。登录时服务器用公钥挑战客户端客户端用私钥解密并回应证明身份。操作流程在客户端生成密钥对如果还没有ssh-keygen -t ed25519 -C your_emailexample.com # 推荐使用更安全高效的Ed25519算法 # 或者使用传统的RSA算法密钥长度至少2048位 # ssh-keygen -t rsa -b 4096 -C your_emailexample.com命令会提示你输入密钥的保存路径直接回车用默认位置~/.ssh/id_ed25519和密码短语passphrase。强烈建议设置一个强密码短语这样即使私钥文件被盗攻击者也无法直接使用。将公钥上传到服务器ssh-copy-id -p 22 -i ~/.ssh/id_ed25519.pub adminserver_ip这条命令会将你的公钥id_ed25519.pub内容自动追加到服务器上对应用户admin的~/.ssh/authorized_keys文件中。这是最安全便捷的方式。在服务器上禁用密码认证 确保用公钥可以成功登录后再修改服务器配置关闭密码认证的大门。PasswordAuthentication no PubkeyAuthentication yes致命警告在将PasswordAuthentication设为no并重启sshd之前务必、务必、务必用新配置公钥登录测试成功。最好开两个终端窗口一个用旧会话保持连接另一个用新配置尝试登录确认无误后再重启服务并关闭旧窗口。否则你可能永久失去服务器访问权限。4.3 应对暴力破解Fail2Ban实战部署当你仍然需要开放密码认证比如某些临时账户或特定场景或者想防护其他服务时Fail2Ban是一个强大的动态防御工具。它监控系统日志如/var/log/auth.log当发现同一个IP在短时间内有多次失败的登录尝试时自动调用防火墙规则将其IP临时封禁。安装与基本配置以Ubuntu/Debian为例安装sudo apt update sudo apt install fail2ban创建本地配置文件避免升级被覆盖sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local配置SSH防护编辑/etc/fail2ban/jail.local找到[sshd]段落进行修改。这里提供一个强化配置[sshd] enabled true port ssh # 如果你改了SSH端口这里要同步改例如 port 567 filter sshd logpath /var/log/auth.log maxretry 3 # 最大重试次数3次失败就封 findtime 600 # 在10分钟600秒内计数 bantime 3600 # 封禁1小时3600秒 ignoreip 127.0.0.1/8 ::1 # 忽略本机IPmaxretry和findtime定义了触发封禁的阈值10分钟内失败3次。bantime是封禁时长。对于初犯可以设置短一些如1800秒对于顽固攻击可以设置得非常长如-1表示永久封禁需谨慎。启动并设置开机自启sudo systemctl start fail2ban sudo systemctl enable fail2ban检查状态sudo fail2ban-client status sshd这会显示当前被sshd规则封禁的IP列表。Fail2Ban高级技巧多端口监控如果你为SSH配置了多个端口可以在port处指定如port 22,567。封禁动作默认动作是使用iptables或firewalld添加拒绝规则。你可以在action配置项中查看和修改。日志与通知可以配置fail2ban发送邮件通知当有IP被封禁时告知管理员。谨慎使用永久封禁对于公网服务器攻击IP可能是动态的或来自大型NAT网络永久封禁可能导致误伤正常用户。建议先使用较长的封禁时间如24小时观察效果。5. 终极防线与运维管理实践如果你管理的服务器承载着核心业务或敏感数据那么可以考虑以下更进阶的方案。5.1 部署双因素认证2FA双因素认证为SSH登录增加了一层基于时间TOTP的动态密码。即使你的私钥和密码都泄露了没有你手机上的验证码或认证器App生成的6位数字攻击者依然无法登录。常用的工具是Google Authenticator的PAM模块。部署步骤简述安装依赖sudo apt install libpam-google-authenticator # Ubuntu/Debian # CentOS/RHEL可能需要先启用EPEL源然后安装google-authenticator为用户生成初始密钥 以需要启用2FA的用户身份运行google-authenticator程序会以交互方式引导你生成一个二维码用Authenticator App如Google Authenticator, Microsoft Authenticator, Authy扫描。生成一堆备用紧急代码务必安全保存。询问是否更新用户配置文件~/.google_authenticator选y。设置是否禁止同一令牌重复使用、是否根据时间窗口偏移等对于个人使用通常对所有提示都选y即可。配置SSH使用PAM进行2FA 编辑/etc/pam.d/sshd文件在文件开头附近添加一行auth required pam_google_authenticator.so配置SSH以使用键盘交互式认证 编辑/etc/ssh/sshd_config确保以下配置ChallengeResponseAuthentication yes UsePAM yes同时如果你已经用了公钥认证可以设置认证顺序。例如先公钥再2FAAuthenticationMethods publickey,keyboard-interactive或者如果允许密码2FAAuthenticationMethods password,keyboard-interactive重启SSH服务并测试sudo systemctl restart sshd测试时在输入密码或完成公钥认证后会提示你输入Verification code此时打开手机上的认证器App输入当前的6位数字即可。重要警告部署2FA前必须像之前一样保留一个活跃的SSH会话。配置过程复杂极易出错。务必先在测试环境演练并确保备用代码已妥善保存以防手机丢失无法生成验证码。5.2 安全审计与持续维护安全不是一劳永逸的配置而是一个持续的过程。检查当前配置 使用sshd -T命令可以以可读的格式列出SSH服务当前加载的所有配置。这是一个非常好的审计工具可以验证你的修改是否真正生效。sudo sshd -T | grep -E (passwordauth|permitroot|port|protocol)定期查看认证日志 经常检查/var/log/auth.logDebian/Ubuntu或/var/log/secureRHEL/CentOS关注失败的登录尝试。sudo tail -f /var/log/auth.log | grep -i failed这能让你直观感受到攻击的频率并确认你的安全措施如改端口、Fail2Ban是否有效。保持更新 定期更新操作系统和openssh-server软件包以获取安全补丁。sudo apt update sudo apt upgrade openssh-server # Debian/Ubuntu sudo yum update openssh-server # RHEL/CentOS 7 sudo dnf update openssh-server # RHEL/CentOS 8/Fedora密钥管理定期轮换密钥就像改密码一样可以考虑每隔一段时间如一年生成并更换一次SSH密钥对。使用不同的密钥对为不同的服务器或服务使用不同的密钥对避免一把钥匙开所有的门。保护私钥私钥文件~/.ssh/id_xxx的权限必须是600仅用户可读写。绝对不要将其传输给他人或存放在不安全的位置。6. 常见问题排查与实战技巧在实际操作中你肯定会遇到各种问题。这里汇总了一些典型场景和解决方法。6.1 连接失败问题速查表问题现象可能原因排查命令/步骤Connection refused1. SSH服务未运行2. 防火墙阻止了端口3. 修改端口后连接命令未指定端口1.sudo systemctl status sshd2.sudo ufw status(UFW) 或sudo firewall-cmd --list-all(firewalld)3.ssh -p 端口号 userhostPermission denied (publickey)1. 公钥未正确上传至authorized_keys2.authorized_keys文件权限不对3.sshd_config中PubkeyAuthentication为no4..ssh目录权限不对1. 检查服务器~/.ssh/authorized_keys内容2.chmod 600 ~/.ssh/authorized_keys3. 检查配置文件4.chmod 700 ~/.ssh修改配置后重启sshd失败配置文件有语法错误sudo sshd -t此命令会测试配置文件语法并指出错误行。启用2FA后无法登录1. PAM配置错误2. 手机时间不同步3. 未正确设置AuthenticationMethods1. 通过备用SSH会话检查/etc/pam.d/sshd2. 校准手机时间3. 检查sshd_config中的认证方法顺序6.2 实操技巧与心得使用SSH配置文件简化连接 在客户端~/.ssh/config文件中预定义连接参数可以免去每次输入端口号、用户名、密钥路径的麻烦。Host myserver HostName server_ip_or_domain Port 567 User admin IdentityFile ~/.ssh/id_ed25519之后只需ssh myserver即可连接。Fail2Ban封禁了自己怎么办如果你多次输错密码可能会触发Fail2Ban把自己封了。解决方法通过服务器控制台VNC/Console登录。或者如果ignoreip配置了你的办公网IP段可以从办公室网络登录。登录后使用命令解封sudo fail2ban-client set sshd unbanip your_ip公钥认证比密码认证快多少不仅仅是快更是本质的安全提升。密码认证需要通过网络传输密码尽管是加密的且面临暴力破解和键盘记录风险。公钥认证使用非对称加密进行挑战-应答私钥从不离开客户端从根本上杜绝了密码泄露的风险。在实际使用中配合ssh-agent管理私钥密码短语登录体验是无缝且极其安全的。内网服务器也需要这么严格吗需要。“内网”不等于“安全网”。一旦攻击者通过其他方式进入内网如钓鱼邮件、感染的个人电脑那些配置薄弱的内网服务器就是下一个跳板。内网服务器同样应遵循最小权限原则使用公钥认证。端口可以不改但其他安全措施不应放松。如何批量管理多台服务器的SSH密钥对于运维大量服务器手动管理密钥是噩梦。可以考虑使用Ansible通过authorized_key模块批量部署公钥。专门的密钥管理服务器如HashiCorp Vault的SSH秘密引擎可以签发短期的SSH证书实现更集中和动态的权限管理。但这属于更高级的架构范畴了。安全配置是一个不断权衡安全性与便利性的过程。我的经验是对于生产环境公钥认证非默认端口严格的访问控制列表AllowUsers是性价比最高的“黄金组合”。在此基础上根据业务的重要程度逐步考虑是否引入Fail2Ban和2FA。最重要的是养成定期查看日志和更新系统的习惯让安全成为一种持续的运维状态而不是一次性的配置任务。
SSH安全加固实战:从基础配置到公钥认证与Fail2Ban部署
发布时间:2026/5/20 8:13:04
1. 项目概述为什么SSH安全配置是运维的必修课干了这么多年运维和开发我经手过的Linux服务器少说也有几百台了。要说最让我后怕的不是半夜被叫起来处理数据库崩溃而是某天突然发现服务器日志里塞满了来自全球各地IP的SSH登录尝试。SSH这个我们每天用来连接服务器、部署代码、查看日志的“老朋友”恰恰是服务器安全防线最常被攻击的薄弱环节。这就像你家大门你天天用觉得最熟悉、最可靠但如果锁芯还是出厂默认的那对别有用心的人来说开锁就跟用万能钥匙一样简单。SSH协议本身设计得非常安全问题往往出在我们的使用和配置习惯上。默认的SSH配置是为了通用性和易用性但“默认”也就意味着“众所周知”成了自动化攻击脚本的首要目标。提高SSH安全性不是要你去研究什么高深的密码学而是通过一系列务实的、可落地的配置调整把这道“大门”从普通的木门升级为带有监控、报警和多重验证的防盗门。这篇文章我就结合自己踩过的坑和积累的经验系统性地拆解如何加固你的SSH服务。无论你是管理着一台个人VPS的开发者还是需要维护一个服务器集群的运维工程师这些方法都能直接拿来用显著降低被“破门而入”的风险。2. SSH安全加固的核心思路与策略选择在动手改任何一个配置文件之前我们得先想清楚加固SSH的目标是什么我的策略又该如何选择盲目地堆砌所有安全措施可能会带来兼容性问题或管理上的麻烦。2.1 安全加固的层次化模型我认为SSH安全应该像一个洋葱层层递进核心思路是“增加攻击成本与复杂度同时平衡自身的管理便利性”。第一层减少暴露面。这是最基本的一步。就像你不会把贵重物品放在临街的窗户边上。具体措施包括修改默认端口、禁用不安全的协议版本、关闭不必要的功能如X11转发。这能过滤掉绝大部分漫无目的的自动化扫描和低水平攻击。第二层强化认证机制。这是防御的核心层。密码认证是最大的弱点如同一个容易被猜到的简单密码。我们要做的是首先强制使用高强度密码并禁用空密码更进一步用公钥认证彻底取代密码认证这是单因素认证下的最强手段再进一步引入双因素认证2FA为登录加上第二把锁。第三层实施访问控制。遵循最小权限原则。不是每个系统用户都需要SSH权限。通过AllowUsers/DenyUsers精确控制谁可以登录将潜在的攻击入口缩到最小。第四层动态防御与监控。前三层是静态配置这一层是动态响应。使用如Fail2Ban这样的工具对持续的暴力破解行为进行实时封禁。同时配置会话超时避免因连接遗忘而留下后门。第五层系统与服务维护。保持SSH服务端openssh-server和系统本身处于最新状态及时修补安全漏洞。这是所有安全措施的基石。2.2 策略组合与取舍原文提到“不需要全部都用”这点非常关键。你需要根据服务器的暴露程度、管理需求和团队习惯来组合策略。个人项目或低风险内网服务器可能做到第一层改端口、禁用旧协议和第二层的基础部分禁用空密码、禁止root登录就足够了。管理简单负担小。面向公网的业务服务器必须实施到第三层。强烈建议采用公钥认证并考虑使用Fail2Ban。这是生产环境的标配。存有核心数据或金融级别的服务器应该追求第四层并严肃评估引入双因素认证的必要性。同时访问控制列表要极其严格。这里有一个重要的互斥点如果你已经彻底禁用了密码登录完全转向公钥认证那么像Fail2Ban这种主要防御密码暴力破解的工具其重要性就大大降低了。因为攻击者连尝试密码的机会都没有。此时Fail2Ban更多是作为一种日志监控和防御其他服务如FTP、Web表单攻击的补充。你可以选择不部署它以简化系统。操作前的重要准备 所有配置都在/etc/ssh/sshd_config这个文件中。动它之前务必备份sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak任何修改后都需要重启SSH服务生效sudo systemctl restart sshd # 对于使用systemd的系统如Ubuntu 16.04, CentOS 7 # 或 sudo service ssh restart # 对于旧版系统重中之重在重启服务前请务必保持一个当前有效的SSH连接窗口不要关闭。这是你的“救命通道”。如果新配置有误导致SSH服务无法启动你可以通过这个保留的连接窗口进行修复。我早年就曾因为配置错误又关了所有窗口不得不通过服务商的控制台VNC才救回来教训深刻。3. 基础加固快速提升安全门槛的必做项这一部分的操作风险极低收益明显适合所有服务器首先实施。3.1 禁用空密码与禁止Root登录PermitEmptyPasswords选项默认为yes这是极其危险的。允许空密码意味着任何一个未设密码的用户账户无论是误操作还是遗留账户都是一个敞开的入口。务必将其设为no。禁止Root直接登录是Linux安全的最佳实践之一。Root权限过大一旦泄露后果不堪设想。而且直接以Root操作不会在sudo日志中留下痕迹不利于审计。通过禁用Root登录强制攻击者必须先破解一个普通用户再提权这增加了攻击难度和可追踪性。# 编辑配置文件 sudo vim /etc/ssh/sshd_config找到并确保如下配置PermitEmptyPasswords no PermitRootLogin no注意在设置为PermitRootLogin no之前请确保你至少有一个拥有sudo权限的普通用户并且你知道如何用这个用户登录。否则你会把自己锁在门外。3.2 修改默认SSH端口这是最简单有效的“隐身”技巧。互联网上充斥着对22端口的全天候扫描。修改端口能立刻让你从大部分自动化脚本的雷达上消失。Port 567 # 可以改为1024到65535之间未被系统使用的端口实操心得端口选择避免使用像2222、22222这样过于明显的替代端口。选择一个看起来随机的比如在20000-40000之间的一个端口。防火墙配置改端口后必须同步更新服务器防火墙如iptables、firewalld、ufw规则放行新的端口并记得关闭对旧端口22的放行。很多人在这一步栽跟头改了端口却连不上就是因为防火墙没配。连接方式以后连接时需指定端口ssh -p 567 usernameserver_ip。3.3 禁用不安全的SSH协议版本SSH协议有版本1和2。SSHv1在设计上存在严重缺陷早已被淘汰。现代OpenSSH默认都使用v2。但检查一下并无坏处。Protocol 2如果配置文件中只有Protocol 2或者没有Protocol行默认即用v2那就是安全的。3.4 配置会话超时与保持连接ClientAliveInterval和ClientAliveCountMax这两个参数配合用于管理空闲连接。默认情况下SSH连接可能无限期保持这可能导致连接被劫持或占用资源。ClientAliveInterval 300 # 服务器每300秒5分钟向客户端发送一次保活消息 ClientAliveCountMax 2 # 客户端连续2次无响应后服务器断开连接这样配置意味着如果一个连接空闲了大约10分钟300秒 * 2服务器就会主动断开它。这平衡了安全性和使用体验。对于需要通过跳板机进行长时间稳定工作的场景你可能需要调整这个值或者使用客户端侧的ServerAliveInterval配置来维持连接。3.5 禁用X11转发除非你明确需要通过SSH远程运行图形界面程序比如xclock否则应该关闭X11转发。X11协议本身较老可能带来安全风险并且启用它会打开额外的网络通道。X11Forwarding no4. 高级访问控制与认证强化完成基础加固后你的服务器已经比90%的默认配置服务器更安全了。接下来我们通过精细化的访问控制和更强的认证手段把安全等级再提升一个档次。4.1 实施基于用户的访问控制使用AllowUsers,AllowGroups,DenyUsers,DenyGroups可以精确控制登录权限。例如你的服务器上有admin,app_user,backup等多个用户但只有admin需要SSH登录。AllowUsers admin或者创建一个专门的组比如ssh_users然后将允许登录的用户加入这个组。AllowGroups ssh_users配置步骤创建组sudo groupadd ssh_users将用户加入组sudo usermod -aG ssh_users admin在sshd_config中设置AllowGroups ssh_users注意事项使用AllowUsers和AllowGroups是白名单机制更安全。DenyUsers和DenyGroups是黑名单机制通常作为补充。配置时注意不要产生冲突导致所有用户都无法登录。一个常见的错误是同时配置了AllowUsers和DenyUsers而同一个用户出现在两个列表中这时DenyUsers的优先级更高。4.2 彻底告别密码部署公钥认证这是提升SSH安全性的最关键一步能从根本上杜绝暴力破解密码的可能。原理是使用一对加密密钥公钥和私钥进行认证。服务器持有公钥客户端持有私钥。登录时服务器用公钥挑战客户端客户端用私钥解密并回应证明身份。操作流程在客户端生成密钥对如果还没有ssh-keygen -t ed25519 -C your_emailexample.com # 推荐使用更安全高效的Ed25519算法 # 或者使用传统的RSA算法密钥长度至少2048位 # ssh-keygen -t rsa -b 4096 -C your_emailexample.com命令会提示你输入密钥的保存路径直接回车用默认位置~/.ssh/id_ed25519和密码短语passphrase。强烈建议设置一个强密码短语这样即使私钥文件被盗攻击者也无法直接使用。将公钥上传到服务器ssh-copy-id -p 22 -i ~/.ssh/id_ed25519.pub adminserver_ip这条命令会将你的公钥id_ed25519.pub内容自动追加到服务器上对应用户admin的~/.ssh/authorized_keys文件中。这是最安全便捷的方式。在服务器上禁用密码认证 确保用公钥可以成功登录后再修改服务器配置关闭密码认证的大门。PasswordAuthentication no PubkeyAuthentication yes致命警告在将PasswordAuthentication设为no并重启sshd之前务必、务必、务必用新配置公钥登录测试成功。最好开两个终端窗口一个用旧会话保持连接另一个用新配置尝试登录确认无误后再重启服务并关闭旧窗口。否则你可能永久失去服务器访问权限。4.3 应对暴力破解Fail2Ban实战部署当你仍然需要开放密码认证比如某些临时账户或特定场景或者想防护其他服务时Fail2Ban是一个强大的动态防御工具。它监控系统日志如/var/log/auth.log当发现同一个IP在短时间内有多次失败的登录尝试时自动调用防火墙规则将其IP临时封禁。安装与基本配置以Ubuntu/Debian为例安装sudo apt update sudo apt install fail2ban创建本地配置文件避免升级被覆盖sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local配置SSH防护编辑/etc/fail2ban/jail.local找到[sshd]段落进行修改。这里提供一个强化配置[sshd] enabled true port ssh # 如果你改了SSH端口这里要同步改例如 port 567 filter sshd logpath /var/log/auth.log maxretry 3 # 最大重试次数3次失败就封 findtime 600 # 在10分钟600秒内计数 bantime 3600 # 封禁1小时3600秒 ignoreip 127.0.0.1/8 ::1 # 忽略本机IPmaxretry和findtime定义了触发封禁的阈值10分钟内失败3次。bantime是封禁时长。对于初犯可以设置短一些如1800秒对于顽固攻击可以设置得非常长如-1表示永久封禁需谨慎。启动并设置开机自启sudo systemctl start fail2ban sudo systemctl enable fail2ban检查状态sudo fail2ban-client status sshd这会显示当前被sshd规则封禁的IP列表。Fail2Ban高级技巧多端口监控如果你为SSH配置了多个端口可以在port处指定如port 22,567。封禁动作默认动作是使用iptables或firewalld添加拒绝规则。你可以在action配置项中查看和修改。日志与通知可以配置fail2ban发送邮件通知当有IP被封禁时告知管理员。谨慎使用永久封禁对于公网服务器攻击IP可能是动态的或来自大型NAT网络永久封禁可能导致误伤正常用户。建议先使用较长的封禁时间如24小时观察效果。5. 终极防线与运维管理实践如果你管理的服务器承载着核心业务或敏感数据那么可以考虑以下更进阶的方案。5.1 部署双因素认证2FA双因素认证为SSH登录增加了一层基于时间TOTP的动态密码。即使你的私钥和密码都泄露了没有你手机上的验证码或认证器App生成的6位数字攻击者依然无法登录。常用的工具是Google Authenticator的PAM模块。部署步骤简述安装依赖sudo apt install libpam-google-authenticator # Ubuntu/Debian # CentOS/RHEL可能需要先启用EPEL源然后安装google-authenticator为用户生成初始密钥 以需要启用2FA的用户身份运行google-authenticator程序会以交互方式引导你生成一个二维码用Authenticator App如Google Authenticator, Microsoft Authenticator, Authy扫描。生成一堆备用紧急代码务必安全保存。询问是否更新用户配置文件~/.google_authenticator选y。设置是否禁止同一令牌重复使用、是否根据时间窗口偏移等对于个人使用通常对所有提示都选y即可。配置SSH使用PAM进行2FA 编辑/etc/pam.d/sshd文件在文件开头附近添加一行auth required pam_google_authenticator.so配置SSH以使用键盘交互式认证 编辑/etc/ssh/sshd_config确保以下配置ChallengeResponseAuthentication yes UsePAM yes同时如果你已经用了公钥认证可以设置认证顺序。例如先公钥再2FAAuthenticationMethods publickey,keyboard-interactive或者如果允许密码2FAAuthenticationMethods password,keyboard-interactive重启SSH服务并测试sudo systemctl restart sshd测试时在输入密码或完成公钥认证后会提示你输入Verification code此时打开手机上的认证器App输入当前的6位数字即可。重要警告部署2FA前必须像之前一样保留一个活跃的SSH会话。配置过程复杂极易出错。务必先在测试环境演练并确保备用代码已妥善保存以防手机丢失无法生成验证码。5.2 安全审计与持续维护安全不是一劳永逸的配置而是一个持续的过程。检查当前配置 使用sshd -T命令可以以可读的格式列出SSH服务当前加载的所有配置。这是一个非常好的审计工具可以验证你的修改是否真正生效。sudo sshd -T | grep -E (passwordauth|permitroot|port|protocol)定期查看认证日志 经常检查/var/log/auth.logDebian/Ubuntu或/var/log/secureRHEL/CentOS关注失败的登录尝试。sudo tail -f /var/log/auth.log | grep -i failed这能让你直观感受到攻击的频率并确认你的安全措施如改端口、Fail2Ban是否有效。保持更新 定期更新操作系统和openssh-server软件包以获取安全补丁。sudo apt update sudo apt upgrade openssh-server # Debian/Ubuntu sudo yum update openssh-server # RHEL/CentOS 7 sudo dnf update openssh-server # RHEL/CentOS 8/Fedora密钥管理定期轮换密钥就像改密码一样可以考虑每隔一段时间如一年生成并更换一次SSH密钥对。使用不同的密钥对为不同的服务器或服务使用不同的密钥对避免一把钥匙开所有的门。保护私钥私钥文件~/.ssh/id_xxx的权限必须是600仅用户可读写。绝对不要将其传输给他人或存放在不安全的位置。6. 常见问题排查与实战技巧在实际操作中你肯定会遇到各种问题。这里汇总了一些典型场景和解决方法。6.1 连接失败问题速查表问题现象可能原因排查命令/步骤Connection refused1. SSH服务未运行2. 防火墙阻止了端口3. 修改端口后连接命令未指定端口1.sudo systemctl status sshd2.sudo ufw status(UFW) 或sudo firewall-cmd --list-all(firewalld)3.ssh -p 端口号 userhostPermission denied (publickey)1. 公钥未正确上传至authorized_keys2.authorized_keys文件权限不对3.sshd_config中PubkeyAuthentication为no4..ssh目录权限不对1. 检查服务器~/.ssh/authorized_keys内容2.chmod 600 ~/.ssh/authorized_keys3. 检查配置文件4.chmod 700 ~/.ssh修改配置后重启sshd失败配置文件有语法错误sudo sshd -t此命令会测试配置文件语法并指出错误行。启用2FA后无法登录1. PAM配置错误2. 手机时间不同步3. 未正确设置AuthenticationMethods1. 通过备用SSH会话检查/etc/pam.d/sshd2. 校准手机时间3. 检查sshd_config中的认证方法顺序6.2 实操技巧与心得使用SSH配置文件简化连接 在客户端~/.ssh/config文件中预定义连接参数可以免去每次输入端口号、用户名、密钥路径的麻烦。Host myserver HostName server_ip_or_domain Port 567 User admin IdentityFile ~/.ssh/id_ed25519之后只需ssh myserver即可连接。Fail2Ban封禁了自己怎么办如果你多次输错密码可能会触发Fail2Ban把自己封了。解决方法通过服务器控制台VNC/Console登录。或者如果ignoreip配置了你的办公网IP段可以从办公室网络登录。登录后使用命令解封sudo fail2ban-client set sshd unbanip your_ip公钥认证比密码认证快多少不仅仅是快更是本质的安全提升。密码认证需要通过网络传输密码尽管是加密的且面临暴力破解和键盘记录风险。公钥认证使用非对称加密进行挑战-应答私钥从不离开客户端从根本上杜绝了密码泄露的风险。在实际使用中配合ssh-agent管理私钥密码短语登录体验是无缝且极其安全的。内网服务器也需要这么严格吗需要。“内网”不等于“安全网”。一旦攻击者通过其他方式进入内网如钓鱼邮件、感染的个人电脑那些配置薄弱的内网服务器就是下一个跳板。内网服务器同样应遵循最小权限原则使用公钥认证。端口可以不改但其他安全措施不应放松。如何批量管理多台服务器的SSH密钥对于运维大量服务器手动管理密钥是噩梦。可以考虑使用Ansible通过authorized_key模块批量部署公钥。专门的密钥管理服务器如HashiCorp Vault的SSH秘密引擎可以签发短期的SSH证书实现更集中和动态的权限管理。但这属于更高级的架构范畴了。安全配置是一个不断权衡安全性与便利性的过程。我的经验是对于生产环境公钥认证非默认端口严格的访问控制列表AllowUsers是性价比最高的“黄金组合”。在此基础上根据业务的重要程度逐步考虑是否引入Fail2Ban和2FA。最重要的是养成定期查看日志和更新系统的习惯让安全成为一种持续的运维状态而不是一次性的配置任务。
相关文章
AI 智能体定制|企业专属数字员工解决方案
科辉荣盛深耕软件定制开发 18 年,立足太原,服务山西政企,现推出企业级 AI 智能体定制服务,5000元起即可落地。贴合你业务、能自主干活、打通你系统的专属智能体:✅ 业务专属:深度理解行业流程、产品、话术、…
Lumerical案例 | 具有分布式电极的行波调制器
引言 采用集总电极结构的一般电光调制器面临着这样的局限:器件的带宽受RC常数限制,而更高的运行速度需要更短的器件长度,这同样受到RC-lump的限制。采用行波电极结构具有显著优势,可消除集总电极设计带来的限制。本节介绍了采用行…
FakeLocation:无需Root的Android虚拟定位终极解决方案
FakeLocation:无需Root的Android虚拟定位终极解决方案 【免费下载链接】FakeLocation Xposed module to mock locations per app. 项目地址: https://gitcode.com/gh_mirrors/fak/FakeLocation 你是否曾经因为地理位置限制而无法参与心爱的游戏活动ÿ…
步进电机驱动电路功能:HANSTAR 42HSTE22-0804A
简 介: 本文介绍了基于CIU32步进电机驱动的测试过程与参数分析。测试使用42HSTE22-0804A型号步进电机,通过实验验证其步距角为1.8度/步(200步/转),未发现丢步现象。文章详细解析了该电机的技术参数:相电流0…
基于python爬虫的天气数据的预测及可视化
第1章 绪论1.1 课题背景全球气候变化的加剧以及城市化进程的不断推进,天气数据预测在各个领域的重要性也越来越大,对于海口市来说,由于它是海南省的省会城市,具有独特的地理位置和气候特点,所以天气变化会对当地居民的…
实战演示:用SigmaStudio为ADSP-21569搭建一个8进6出的音频直通系统
实战演示:用SigmaStudio为ADSP-21569搭建一个8进6出的音频直通系统 在音频信号处理领域,图形化编程正逐渐成为开发者的首选工具。ADSP-21569作为ADI公司的高性能音频DSP,配合SigmaStudio的图形化开发环境,能够大幅提升开发效率。本…
百度千帆平台文心4.0 API开通与计费避坑指南:个人开发者如何低成本尝鲜?
百度千帆文心4.0 API低成本接入实战:个人开发者的精打细算指南 当大模型API成为个人开发者的"新基建",如何用最低成本体验最前沿的ERNIE-Bot-4能力?作为经历过完整踩坑流程的实践者,我将分享从申请到调用的全流程避坑策…
HoRain云--Skills skill-creator 创建 Skill
🎬 HoRain 云小助手:个人主页 ⛺️生活的理想,就是为了理想的生活! ⛳️ 推荐 前些天发现了一个超棒的服务器购买网站,性价比超高,大内存超划算!忍不住分享一下给大家。点击跳转到网站。 目录 ⛳️ 推荐 …
抖音无水印高清视频下载器:三种方式获取纯净素材,让创作更自由
抖音无水印高清视频下载器:三种方式获取纯净素材,让创作更自由 【免费下载链接】douyin_downloader 抖音短视频无水印下载 win编译版本下载:https://www.lanzous.com/i9za5od 项目地址: https://gitcode.com/gh_mirrors/dou/douyin_downloa…
顶伯在线语音工具背后的技术力量:AI语音合成与深度学习解析
顶伯在线语音工具背后的技术力量在人工智能浪潮中,语音交互正成为人机沟通的核心方式。顶伯作为行业领先的在线语音工具,凭借自主研发的深度学习架构,将文字转化为高度自然的语音,广泛应用于有声阅读、智能客服、教育辅助等领域。…
全志V3s开发板实战:用Buildroot 2020.02.4定制你的第一个最小Linux文件系统
全志V3s开发板实战:用Buildroot 2020.02.4定制最小Linux文件系统 在嵌入式开发领域,构建一个精简高效的Linux文件系统往往是项目成功的关键第一步。全志V3s作为一款高性价比的ARM Cortex-A7芯片,搭配Buildroot这一经典构建工具,能…
百考通:AI赋能期刊论文写作,智能生成优质内容
在学术研究领域,期刊论文的撰写是成果输出的关键环节,却也让众多科研工作者与学生倍感压力:选题迷茫、逻辑梳理困难、格式规范复杂、内容提炼耗时,严重拖慢了学术成果的发表节奏。百考通(https://www.baikaotongai.com…
【实用小程序】超轻量级文件上传下载中心 (File Download Server)
站内源码及jar包下载 一、项目概述 文件下载中心一个基于 Java 内置 HTTP 服务器(com.sun.net.httpserver)构建的轻量级文件管理服务。它零第三方依赖,单 JAR 包即可运行,适合在内网环境或临时场景中快速搭建文件共享站点。 你的团队需要临时共享一批日志文件或交付物,…
py每日spider案例之某website之xin东方选课搜索接口(难度一般 扣取代码即可)
加密位置: 逆向接口参数: 逆向接口: const g = globalThis; g.window = g; g.self = g; g.location = {<
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南 【免费下载链接】markor Text editor - Notes & ToDo (for Android) - Markdown, todo.txt, plaintext, math, .. 项目地址: https://gitcode.com/gh_mirrors/ma/markor 在移动设备上寻找一款…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…