LinuxSSH安全怎么提升_操作步骤详解提升实战能力【教程】

Linux SSH安全提升需按顺序执行五步：禁用root和空密码登录；强制密钥认证并禁用密码登录；修改默认端口并配置防火墙白名单；限制允许登录的用户及来源IP；启用连接超时与Fail2Ban失败锁定机制。

直接上干货：Linux SSH 安全提升不是堆功能，而是层层设防。核心是“关掉默认漏洞、用更牢的认证、限制谁和怎么连”。下面按实战顺序讲清楚最关键的五步，每步都带配置要点和注意事项。

禁用 root 登录和空密码

这是最基础也最容易被忽略的一环。root 直连等于把大门钥匙挂门上；空密码用户则相当于门没锁。

• 编辑 /etc/ssh/sshd_config，确认以下两行已设置并取消注释：

PermitRootLogin no
PermitEmptyPasswords no

• 改完必须重启服务：sudo systemctl restart sshd（CentOS/RHEL 用 sshd，Ubuntu/Debian 用 ssh）
• 验证方式：用 root 尝试 ssh 登录，应直接拒绝；清空某用户密码后尝试登录，也应失败

强制使用密钥认证，禁用密码登录

密码再强也扛不住暴力扫描，而密钥认证（尤其是 4096 位 RSA 或 Ed25519）几乎无法爆破。

• 本地生成密钥：ssh-keygen -t ed25519 -a 100（推荐，比 RSA 更快更安全）
• 上传公钥到服务器：ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server_ip -p 2222（若已改端口需加 -p）
• 修改 /etc/ssh/sshd_config：

PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no（再次确认）

• ⚠️ 操作前务必确保密钥已生效且你有其他方式（如控制台）可回滚，否则可能锁死自己

修改默认端口 + 配合防火墙白名单

端口 22 是扫描器的“打卡点”，换一个非常规端口（比如 2025、5922、22222）能过滤掉 80%+ 的自动化攻击。

标签： linux word centos 防火墙 云服务 端口 ubuntu ai 云服务器 2025