Linux安全远程连接：VPN与SSH配置技巧

想要安全地远程连接Linux系统？本文为你提供一份详尽指南，重点讲解如何通过配置SSH密钥认证和强化服务器安全策略，打造坚固的远程访问堡垒。告别密码登录，拥抱更安全的密钥认证，详细步骤教你生成和配置SSH密钥对，提升安全性。同时，修改默认SSH端口，减少被自动化攻击的风险。配置防火墙（如ufw或firewalld），只允许必要的端口对外开放，并配合Fail2ban监控日志，自动封禁恶意IP，构建服务器的第一道主动防御屏障。掌握这些实用技巧，让你的Linux系统远程连接更加安全可靠。

Linux系统实现安全远程连接的核心方法是配置SSH密钥认证与强化服务器安全策略。1. 使用SSH密钥对替代密码认证，通过生成公私钥并正确配置权限，禁用密码登录，提升安全性；2. 修改默认SSH端口，减少自动化攻击风险；3. 配置防火墙（如ufw或firewalld）仅开放必要端口，并确保SSH端口已允许访问；4. 部署Fail2ban监控日志，自动封禁频繁尝试登录的恶意IP，增强主动防御能力。

Linux系统实现安全的远程连接，核心在于利用SSH（Secure Shell）和VPN（Virtual Private Network）技术。SSH提供了一种加密的命令行接口，用于远程管理服务器，而VPN则能构建一个安全的网络隧道，将你的设备接入远程网络，使得所有数据传输都加密且受到保护。两者各有侧重，但都能有效保障数据在公共网络上的传输安全与完整。

要实现Linux系统的安全远程连接，我们主要围绕SSH的强化配置和VPN的合理应用展开。 SSH是日常管理Linux服务器的首选工具。它的安全性主要体现在数据传输的加密、身份验证机制上。我们能做的，是最大化这些机制的效用：从默认的密码认证转向更安全的密钥认证；修改默认的SSH端口，以减少自动化扫描的风险；以及配置防火墙，只允许必要的连接通过。 而VPN，则在需要访问整个远程网络，而非仅仅一个SSH端口时显得尤为重要。它能在公网上为你和目标网络之间建立一个加密的“管道”，所有通过这个管道的数据都得到保护。这对于企业内部网络访问、或构建私有安全网络环境尤其有用。它并非替代SSH，而是提供一个更底层的安全网络基础，SSH可以在这个基础上继续工作。

SSH密钥认证：如何告别密码，实现更高级别的安全登录？

在Linux远程连接中，放弃传统的密码认证，转而使用SSH密钥对是提升安全性的关键一步。这就像你不再用一把容易被复制的普通钥匙，而是用一套独特的、几乎无法伪造的指纹识别系统。

原理很简单：你本地生成一对密钥，一个公钥（public key）和一个私钥（private key）。公钥可以安全地放置在远程服务器上，而私钥则必须严格保存在你的本地机器上，绝不能泄露。当你尝试连接时，服务器会用你的公钥验证你的私钥，如果匹配，连接就建立了。

操作流程通常是这样：

1. 生成密钥对： 在你的本地Linux或macOS终端，输入 ssh-keygen -t rsa -b 4096。这会生成一个4096位的RSA密钥对。你可以选择为私钥设置一个密码（passphrase），这会进一步增加安全性，即使私钥被盗，没有密码也无法使用。
2. 上传公钥： 使用 ssh-copy-id username@remote_host 命令，它会自动将你的公钥复制到远程服务器的 ~/.ssh/authorized_keys 文件中。如果这个命令不可用，你也可以手动复制公钥文件的内容（通常是 ~/.ssh/id_rsa.pub），然后粘贴到远程服务器对应用户的 ~/.ssh/authorized_keys 文件末尾。
3. 强化服务器配置： 在远程服务器上，编辑 /etc/ssh/sshd_config 文件。找到并修改以下行：
   • PasswordAuthentication no （禁用密码认证）
   • PermitRootLogin no （禁止root用户直接SSH登录，应该使用普通用户登录后再su或sudo）
   • PubkeyAuthentication yes （确保公钥认证已启用） 修改后，需要重启SSH服务：sudo systemctl restart sshd 或 sudo service sshd restart。
4. 权限设置： 确保 ~/.ssh 目录及其下的文件权限正确。在服务器上，~/.ssh 目录的权限应为 700，authorized_keys 文件的权限应为 600。错误的权限会导致密钥认证失败。 使用密钥认证后，每次登录不再需要输入密码，既安全又便捷。但请务必保护好你的私钥，它就是你远程服务器的“钥匙”。

防火墙与Fail2ban：如何构建服务器的第一道主动防御屏障？

即便有了SSH密钥认证，服务器依然暴露在互联网上，时刻面临着各种扫描和攻击尝试。防火墙是抵御这些威胁的第一道防线，而Fail2ban则能进一步智能化地阻止恶意行为。

防火墙配置： 对于Linux系统，ufw（Uncomplicated Firewall）或 firewalld 是常用的防火墙管理工具。它们的作用是控制进出服务器的网络流量。

• 基本原则： 只允许必要的端口对外开放。对于SSH连接，默认是端口22。但为了增加一点点“隐蔽性”，你可以将SSH服务监听的端口修改为非标准端口（例如，在 /etc/ssh/sshd_config 中修改 Port 22 为 Port 2222，然后重启SSH服务）。
• UFW示例：
  • 允许新的SSH端口（假设是2222）：sudo ufw allow 2222/tcp
  • 允许HTTP/HTTPS（如果服务器提供Web服务）：sudo ufw allow http 和 sudo ufw allow https
  • 启用UFW：sudo ufw enable
  • 查看状态：sudo ufw status
  • 重要： 在启用防火墙之前，务必确保你已经允许了当前SSH连接的端口，否则你可能会把自己锁在服务器外面！
• Firewalld示例： (适用于CentOS/RHEL等)
  • 允许新的SSH端口：sudo firewall-cmd --permanent --add-port=2222/tcp
  • 重新加载配置：sudo firewall-cmd --reload 防火墙的作用是“守门”，它决定谁能敲门。

Fail2ban： 防火墙是静态规则，而Fail2ban则是一种动态防御机制。它通过监控系统日志（如SSH登录日志），识别出多次失败的登录尝试，然后自动将这些恶意IP地址添加到防火墙的黑名单中，暂时或永久地禁止它们再次连接。 安装和配置Fail2ban相对简单：

1. 安装： sudo apt install fail2ban (Debian/Ubuntu) 或 sudo yum install fail2ban (CentOS/RHEL)。
2. 配置： Fail2ban的配置文件通常在 /etc/fail2ban/jail.conf。为了避免被未来的更新覆盖，最佳实践是创建一个 jail.local 文件，例如 /etc/fail2ban/jail.d/sshd.conf 或 /etc/fail2ban/jail.local，并覆盖默认设置。 一个简单的 jail.local 配置片段可能如下：

   [sshd]
   enabled = true
   port = ssh,sftp
   logpath = %(sshd_log)s
   maxretry = 3
   bantime = 1h
   findtime = 10m

   这表示如果一个IP在10分钟内SSH登录失败3次，就将其封禁1小时。

3. 启动/重启： sudo systemctl enable fail2ban 和 sudo systemctl start fail2ban。 Fail2ban就像一个聪明的保安，能自动识别并驱

以上就是《Linux安全远程连接：VPN与SSH配置技巧》的详细内容，更多关于的资料请关注golang学习网公众号！