1. SSH服务安装与基础配置
在Linux系统中安装OpenSSH服务可通过包管理器快速完成。Ubuntu/Debian系统使用sudo apt install openssh-server,CentOS/RHEL系统执行sudo yum install openssh-server。安装完成后需启动服务并设置开机自启:
sudo systemctl start sshd
sudo systemctl enable sshd2. 密钥认证机制实现
密钥认证相比密码认证提供更高级别的安全性,实施流程包括:
- 客户端生成RSA/ED25519密钥对:
ssh-keygen -t ed25519 - 上传公钥至服务器:
ssh-copy-id user@hostname - 服务器端配置
sshd_config文件:- 禁用密码认证:
PasswordAuthentication no - 指定密钥存储路径:
AuthorizedKeysFile .ssh/authorized_keys
- 禁用密码认证:
3. 端口安全策略优化
修改默认22端口可显著降低自动化攻击风险:
- 编辑配置文件:
vim /etc/ssh/sshd_config - 设置新端口号:
Port 2222 - 更新防火墙规则:
sudo ufw allow 2222/tcp sudo ufw reload
4. 权限管理与访问控制
通过细粒度权限配置提升安全防护:
- 禁止root直接登录:
PermitRootLogin no - 白名单机制:
AllowUsers user1 user2@192.168.1.0/24 - 黑名单机制:
DenyUsers baduser - 会话超时设置:
ClientAliveInterval 300
通过密钥认证替代传统密码验证、非标准端口配置、严格的权限管理三重防护机制,可有效提升SSH服务安全性。建议定期审计登录日志/var/log/auth.log,及时更新OpenSSH软件版本以修复已知漏洞。
