禁用密码认证并启用SSH密钥登录
修改SSH配置文件是保护root账户的关键步骤。通过编辑/etc/ssh/sshd_config文件,将PermitRootLogin设为prohibit-password可禁止root密码登录,同时设置PasswordAuthentication no禁用所有用户的密码认证。建议生成RSA密钥对,将公钥上传至服务器~/.ssh/authorized_keys文件,实现密钥验证登录。
密钥管理注意事项:
- 密钥长度建议4096位以上
- 私钥文件设置600权限
- 定期轮换密钥(建议每90天)
配置安全组访问限制
在阿里云控制台的安全组设置中,遵循最小权限原则配置入站规则:
- 仅开放必要端口(如SSH默认22端口)
- 限制源IP范围为运维人员固定IP
- 设置并发连接数限制防止暴力破解
| 协议类型 | 端口范围 | 授权对象 |
|---|---|---|
| SSH(22) | 22/22 | 192.168.1.0/24 |
| ICMP | -1/-1 | 0.0.0.0/0 |
设置权限审计与监控
通过阿里云操作审计功能记录所有root账户操作日志,建议配置以下监控策略:
- 异常登录尝试告警(如非工作时间段访问)
- 敏感命令执行记录(如
rm/chmod等) - 定期生成权限审计报告
启用云监控服务设置root账户的CPU/内存使用阈值告警,当日志存储空间使用量超过80%时触发自动告警。
结论:通过密钥认证替代密码登录、严格限制访问源、实施多层审计监控的三重防护策略,可有效提升阿里云服务器root账户的安全性。建议每月执行权限审查,及时撤销不必要的特权访问。
