一、云服务器基础配置与直连准备
在部署SSH服务前,需完成云服务器的基础网络配置。首先在云服务商控制台中创建实例时,需分配公网IP并选择支持SSH协议的操作系统(如CentOS或Ubuntu)。随后配置安全组规则,开放TCP 22端口作为默认SSH通信通道。
关键步骤包括:
- 通过控制台创建实例并绑定弹性公网IP
- 在安全组入站规则中添加协议类型为SSH(端口22)
- 安装最新系统补丁与依赖库(
yum update或apt update)
二、SSH服务部署与安全加固
默认SSH配置存在安全风险,建议通过以下措施增强防护:
- 修改默认监听端口(如将22改为61234),降低自动化攻击风险
- 禁用root用户直接登录,创建专用管理账户
- 启用密钥认证并禁用密码登录(修改
sshd_config中的PasswordAuthentication参数)
配置文件示例:
Port 61234 PermitRootLogin no PubkeyAuthentication yes PasswordAuthentication no
三、防火墙规则与访问控制
采用双层防护机制提升安全性:
- 在云平台安全组中设置IP白名单,仅允许特定IP访问SSH端口
- 通过系统防火墙(如firewalld或ufw)限制连接源:
- 添加放行规则:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.20" port protocol="tcp" port="61234" accept' - 重载配置:
firewall-cmd --reload
- 添加放行规则:
四、密钥管理与连接测试
使用RSA 4096位密钥对实现安全认证:
- 本地生成密钥:
ssh-keygen -t rsa -b 4096 - 上传公钥至服务器:
ssh-copy-id -p 61234 user@server_ip - 测试连接:
ssh -p 61234 -i ~/.ssh/private_key user@server_ip
通过组合安全组配置、SSH参数优化、密钥认证和防火墙规则,可构建完整的云服务器安全防护体系。建议定期审计SSH日志(/var/log/secure),并采用fail2ban等工具防御暴力破解攻击。
