Linux SSH安全提升核心是控制“谁、从哪、用什么”三要素:禁用密码登录、强制密钥认证(推荐ed25519),限制AllowUsers与IP白名单,改端口、禁root、启Fail2ban,并注意配置重载与权限设置。
Linux SSH 安全提升,核心不在堆配置,而在控制“谁、从哪、用什么”连进来——即身份认证、访问来源和密钥管理三要素。只要把住这三关,90% 的暴力破解和未授权访问就能拦在门外。
禁用密码登录,强制使用密钥对认证
密码登录是暴力破解的主入口,尤其当 root 或弱口令存在时风险极高。SSH 密钥(如 ed25519)强度远超人工密码,且可配合 passphrase 实现双因子效果。
- 生成密钥对建议用:ssh-keygen -t ed25519 -C "your_email@example.com"(比 rsa 更快更安全)
- 服务端只保留公钥到 ~/.ssh/authorized_keys,权限设为 600
- 修改 /etc/ssh/sshd_config:设置 PasswordAuthentication no 和 PubkeyAuthentication yes,然后重启 sshd
限制登录用户与来源 IP
不是所有用户都需要 SSH 权限,也不是所有网络都该被放行。最小权限 + 网络白名单,是最直接有效的收敛手段。
- 用 AllowUsers 明确指定可登录账户,例如:AllowUsers deploy@192.168.1.* alice@203.0.113.5
- 搭配防火墙(如 ufw 或 firewalld)封掉非必要端口和地域 IP 段,例如只允许公司出口 IP 访问 22 端口
- 避免使用 DenyUsers 或黑名单思维——漏一个就可能被利用
降低攻击面:改端口 + 禁 root + 启用 Fail2ban
虽然改端口不能防专业扫描,但能大幅减少自动化脚本的无效请求;禁 root 则消除最高权限的直连入口;Fail2ban 是应对试探性爆破的实时响应层。
- 修改 Port 值(如改为 2222),并同步更新防火墙规则和客户端配置
- 设置 PermitRootLogin no,普通用户登录后用 sudo 执行特权操作
- 安装 Fail2ban 后启用 sshd 过滤器,自动封禁 5 分钟内失败 3 次的 IP(默认策略已够用)
基本上就这些。不复杂,但容易忽略细节——比如改完配置忘了重载服务,或密钥权限没设对导致登录失败。动手前备份 sshd_config,开一个备用会话验证再退出,稳一点。
