LinuxSSH安全设置与加固方法

学习文章要努力，但是不要急！今天的这篇文章《Linux SSH安全加固技巧》将会介绍到等等知识点，如果你想深入学习文章，可以关注我！我会持续更新相关文章的，希望对大家都能有所帮助！

修改SSH端口、禁用root登录、启用密钥认证、限制用户访问并配置Fail2ban可显著提升服务器安全性。

如果您尝试通过SSH远程管理Linux服务器，但担心存在未授权访问或暴力破解风险，则可能是由于默认配置缺乏足够的安全防护。以下是提升SSH服务安全性的具体操作步骤：

本文运行环境：Dell PowerEdge R750，Ubuntu 22.04 Server。

一、修改SSH默认端口

更改默认的SSH端口可以有效减少自动化扫描和机器人攻击，因为大多数恶意程序会针对默认的22端口进行探测。

1、使用文本编辑器打开SSH主配置文件：sudo nano /etc/ssh/sshd_config。

2、找到包含 Port 22 的行，将其修改为一个非特权端口，例如 Port 22222。

3、保存并关闭文件后，重启SSH服务以应用更改：sudo systemctl restart ssh。

4、确保防火墙规则已更新以允许新端口通信。

二、禁用root用户直接登录

禁止root用户通过SSH直接登录可防止攻击者直接获取最高权限账户的访问机会，强制使用普通用户登录后再提权，增加安全性。

1、编辑SSH配置文件：sudo nano /etc/ssh/sshd_config。

2、查找 PermitRootLogin 参数，并将其值设置为 no。

3、保存更改并重启SSH服务：sudo systemctl restart ssh。

三、启用密钥认证并禁用密码登录

使用SSH密钥对进行身份验证比密码更安全，能有效抵御暴力破解攻击。在完成密钥部署后，可安全地关闭密码登录功能。

1、在本地机器上生成SSH密钥对：ssh-keygen -t ed25519。

2、将公钥上传至服务器：ssh-copy-id user@server_ip -p [custom_port]。

3、确认密钥登录成功后，编辑配置文件：sudo nano /etc/ssh/sshd_config。

4、将 PasswordAuthentication 设置为 no。

5、重启SSH服务使设置生效。

四、限制允许登录的用户账户

仅允许可信用户通过SSH访问系统，能够显著缩小潜在攻击面，避免未知账户被利用。

1、编辑SSH配置文件：sudo nano /etc/ssh/sshd_config。

2、在文件末尾添加 AllowUsers username1 username2，替换为实际需要的用户名。

3、保存文件并执行：sudo systemctl restart ssh 来加载新规则。

五、配置基于Fail2ban的自动封禁机制

Fail2ban可监控SSH登录尝试，自动将频繁失败的IP地址加入防火墙黑名单，从而阻止暴力破解行为。

1、安装Fail2ban工具：sudo apt install fail2ban -y。

2、复制默认配置文件创建本地策略：sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local。

3、编辑 jail.local 文件，确保 [sshd] 段落中启用了 enabled = true。

4、根据需要调整最大尝试次数和封禁时长，然后重启服务：sudo systemctl restart fail2ban。

到这里，我们也就讲完了《LinuxSSH安全设置与加固方法》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！