LinuxSSH安全怎么提升_标准流程剖析适用于全部场景【教程】

Linux SSH安全需从访问控制、身份认证、服务加固、日志审计四维度系统落实：禁用密码登录、强制密钥认证；限制用户与IP；修改端口、禁用SSHv1、收紧加密套件；启用fail2ban监控封禁。

Linux SSH 安全不是靠一两个配置就能搞定的，而是需要从访问控制、身份认证、服务加固、日志审计四个维度系统性落实。以下流程适用于所有生产或准生产环境，不依赖特定发行版，适配 OpenSSH 7.0+（主流 CentOS/RHEL 8+、Ubuntu 20.04+、Debian 11+ 均默认满足）。

禁用密码登录，强制使用密钥认证

密码登录是暴力破解的主入口，必须关闭。仅保留经过验证的 SSH 密钥对访问。

• 生成强密钥：本地执行 ssh-keygen -t ed25519 -a 100 -f ~/.ssh/id_ed25519（优先选 ed25519，比 rsa 更快更安全）
• 上传公钥到服务器：ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server_ip
• 编辑 /etc/ssh/sshd_config，确认以下三行已设置并取消注释：

PubkeyAuthentication yes<br>PasswordAuthentication no<br>PermitEmptyPasswords no

重启服务：sudo systemctl restart sshd，新连接将只接受密钥登录。

限制登录用户与来源IP

最小权限原则：谁可以连、从哪连，必须明确限定，避免“全网可入”风险。

• 只允许特定用户登录：在 sshd_config 中添加 AllowUsers deploy admin@192.168.10.*（支持用户名+IP段组合）
• 禁止高危账户登录：添加 DenyUsers root guest（root 默认禁用，但显式声明更稳妥）
• 结合防火墙做网络层收敛：用 ufw 或 iptables 限制 22 端口仅开放给运维跳板机或办公出口IP

例如：sudo ufw allow from 203.0.113.44 to any port 22，再 sudo ufw enable。

改默认端口 + 禁用协议v1和弱加密套件

虽然“端口隐蔽”不是真正安全，但能过滤掉大量自动化扫描；同时淘汰老旧协议和易被破解的算法。

标签： linux word centos go 防火墙 端口 ubuntu mac ai