Linux SSH安全核心是禁用密码登录、限制用户与IP访问、加固服务配置。需生成ed25519密钥对,设PubkeyAuthentication yes且PasswordAuthentication no;AllowUsers限定用户,PermitRootLogin no;调优超时、加密算法并启用fail2ban;定期审计日志与轮换密钥。
Linux SSH 安全是系统防护的第一道门,关不牢,再强的防火墙也白搭。核心就三点:禁用密码登录、限制访问权限、最小化暴露面。
禁用密码认证,强制使用密钥登录
密码暴力破解是攻击者最常用手段。启用密钥对后,攻击成功率断崖式下降。
- 在客户端生成密钥对:ssh-keygen -t ed25519 -C "your_email@example.com"(推荐 ed25519,比 rsa 更快更安全)
- 将公钥复制到服务器:ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server_ip
- 编辑 /etc/ssh/sshd_config,确认以下配置生效:
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no - 重启服务前先用新终端测试密钥是否可用:sudo systemctl restart sshd
限制用户与IP,缩小攻击面
不是所有用户都需要 SSH,也不是所有网络都该连进来。
- 只允许特定用户登录:AllowUsers deploy admin(写在 sshd_config 中)
- 禁止 root 直接登录:PermitRootLogin no(必须设为 no,别信“改端口就行”)
- 按 IP 白名单控制访问:AllowUsers user@192.168.1.100 user@2001:db8::1(支持 IPv4/IPv6)
- 配合防火墙进一步收紧:ufw allow from 203.0.113.5 to any port 22,然后 ufw deny 22
加固 SSH 服务本身
默认配置太宽松,几个关键参数一调,安全性直接上台阶。
标签: linux word go 防火墙 ipv6 端口 ai
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~