Linux如何防御暴力破解攻击_LinuxSSH安全强化方法-linux运维-PHP中文网

Linux如何防御暴力破解攻击_LinuxSSH安全强化方法

冰川箭仙

发布： 2025-11-30 19:15:13

原创

796人浏览过

修改SSH默认端口、禁用密码启用密钥认证、限制用户与IP访问、部署fail2ban封禁恶意IP，可有效防御暴力破解攻击。

linux如何防御暴力破解攻击_linuxssh安全强化方法

SSH 是 Linux 系统远程管理的核心服务，但因其默认开放在公网，常成为暴力破解攻击的首要目标。攻击者通过自动化工具反复尝试用户名和密码组合，试图获取系统访问权限。为有效防御此类攻击，必须从多个层面强化 SSH 安全配置。

修改默认 SSH 端口

SSH 默认使用 22 端口，这是所有扫描工具的首要目标。更改端口可大幅减少无效登录尝试。

操作方法：
编辑 SSH 配置文件：
/etc/ssh/sshd_config
找到并修改以下行：
Port 22 → Port 2222（或其他非知名端口）
保存后重启 SSH 服务：
sudo systemctl restart sshd
注意： 修改前确保防火墙已放行新端口，且本地客户端能正常连接。

禁用密码登录，启用密钥认证

密码认证是暴力破解的基础。使用 SSH 密钥对替代密码，可从根本上杜绝此类攻击。

步骤如下：

在本地生成密钥对：ssh-keygen -t rsa -b 4096
将公钥上传至服务器：ssh-copy-id user@server
测试密钥登录是否成功
确认无误后，编辑 /etc/ssh/sshd_config
设置：PasswordAuthentication no
重启 SSH 服务

启用密钥后，即使攻击者知道用户名也无法登录。

限制用户与 IP 访问

缩小合法访问范围，能显著降低暴露面。

Creatext AI

专为销售人员提供的 AI 咨询辅助工具

查看详情

建议配置：

只允许特定用户登录：
AllowUsers admin deploy
结合防火墙限制来源 IP：
sudo ufw allow from 192.168.1.100 to any port 2222
若使用云服务器，可通过安全组策略封锁非信任 IP

多数暴力破解来自境外 IP，精准放行可过滤 90% 以上异常请求。

使用 fail2ban 自动封禁恶意 IP

fail2ban 能监控登录日志，自动将频繁失败的 IP 加入防火墙黑名单。

安装与配置示例（Ubuntu）：
sudo apt install fail2ban
复制配置文件：
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
编辑 jail.local，启用 SSH 保护：
[sshd]
enabled = true
maxretry = 3
bantime = 86400（封禁一天）
保存后启动服务：
sudo systemctl enable fail2ban && sudo systemctl start fail2ban

基本上就这些。通过改端口、关密码、限用户、加防护四步，能有效抵御绝大多数暴力破解攻击。安全不是一劳永逸，定期查看日志、更新系统同样重要。

以上就是Linux如何防御暴力破解攻击_LinuxSSH安全强化方法的详细内容，更多请关注php中文网其它相关文章！